Cấu hình Rules Layer 3 Meraki Firewall

[CCNACCNP]

Cấu hình Rules Layer 3 Meraki Firewall

1. Giới thiệu.

Các quy tắc tường lửa lớp 3 cung cấp cho người quản trị quyền kiểm soát truy cập chi tiết của lưu lượng khách bên ngoài. Với sê-ri MR, lưu lượng truy cập đi ngoài đề cập đến lưu lượng khách có nguồn gốc từ mạng không dây dành cho mạng LAN hoặc Internet có dây. Trên MX, lưu lượng truy cập đi ngoài đề cập đến lưu lượng truy cập bắt nguồn từ một Vlan được dành cho một Vlan khác hoặc lưu lượng truy cập bắt nguồn từ mạng LAN dành cho Internet hoặc mạng từ xa nằm trên tuyến LAN tĩnh. Bài viết này thảo luận về cách sử dụng các quy tắc Tường lửa Lớp 3 trên các điểm truy cập sê-ri MR, Công cụ bảo mật MX hoặc Cổng Teleworker Z-series.

Quy tắc tường lửa lớp 3 trên thiết bị sê-ri MX hoặc Z có thể dựa trên giao thức, địa chỉ IP nguồn và cổng và địa chỉ IP đích (hoặc FQDN) và cổng. Các quy tắc tường lửa lớp 3 trên MR có thể dựa trên địa chỉ đích và cổng. Bảng điều khiển trình bày các quy tắc theo thứ tự số, chúng được đánh giá từ đầu đến cuối bắt đầu với quy tắc số 1. Quy tắc đầu tiên phù hợp được áp dụng và các quy tắc tiếp theo không được đánh giá. Nếu không có quy tắc nào khớp, quy tắc mặc định (cho phép tất cả lưu lượng truy cập) sẽ được áp dụng.

Giải thích về các trường trong quy tắc tường lửa Lớp 3 được hiển thị bên dưới.

• #: Số thứ tự của một quy tắc tường lửa cụ thể.
• Chính sách: Chỉ định hành động mà tường lửa sẽ thực hiện khi lưu lượng phù hợp với quy tắc. Giao thông phù hợp có thể được cho phép hoặc từ chối.
• Giao thức: Chỉ định giao thức phù hợp với lưu lượng truy cập đi, tức là TCP, UDP, ICMP, ANY.
• Nguồn (chỉ sê-ri MX / Z): Chỉ định địa chỉ IP nguồn hoặc địa chỉ mạng bằng cách sử dụng ký hiệu CIDR để khớp với lưu lượng truy cập đi. "Bất kỳ" cũng có thể được sử dụng để chỉ định tất cả các mạng.
• Cổng Src (chỉ sê-ri MX / Z): Chỉ định số cổng nguồn phù hợp với lưu lượng truy cập đi. Đây có thể là một cổng đơn, phạm vi cổng, nhiều cổng được phân tách bằng dấu phẩy hoặc "bất kỳ".
• Đích đến: Chỉ định FQDN đích, địa chỉ IP hoặc địa chỉ mạng bằng cách sử dụng ký hiệu CIDR để khớp với lưu lượng truy cập đi. "Bất kỳ" cũng có thể được sử dụng để chỉ định tất cả các mạng. Lưu ý rằng, trên mạng có MX xử lý định tuyến giữa các Vlan, địa chỉ IP của MX trên mạng con đích vẫn có thể truy cập được thông qua ping ngay cả khi quy tắc được đặt thành chặn lưu lượng. Điều này là do bản chất của định tuyến phần mềm trên MX và không gây rủi ro bảo mật; thiết bị lưu trữ trên mạng con đích vẫn sẽ bị chặn theo quy tắc.
• Cổng Dst: Chỉ định số cổng từ xa để khớp với lưu lượng truy cập đi. Trên MX, đây có thể là một cổng đơn hoặc nhiều cổng được phân tách bằng dấu phẩy. Trên MR, đây có thể là một cổng đơn hoặc phạm vi cổng.
• Nhận xét: Một mô tả của quy tắc.
• Số lần truy cập (chỉ sê-ri MX / Z): Bộ đếm phản ánh số lần áp dụng quy tắc. Bộ đếm bắt đầu mỗi khi trang được truy cập.
• Hành động: Tùy chọn để xóa hoặc thay đổi thứ tự của quy tắc.
• Ghi nhật ký: Nếu báo cáo nhật ký hệ thống được bật, biểu thị có hay không báo cáo theo quy tắc nhất định.

Trong phần firmware MX 13.4 trở lên, các tên miền đủ điều kiện có thể được định cấu hình trong trường Đích. Để biết thêm chi tiết, vui lòng đọc phần Hỗ trợ FQDN của Cài đặt tường lửa tại đây

2. Cấu hình Rules.

Trường hợp sử dụng 1: Trong ví dụ bên dưới, chúng tôi muốn chặn tất cả lưu lượng IP có nguồn gốc từ mạng 10.0.0.0/8 được dành cho mạng 192.168.1.0/24. Tuy nhiên, chúng tôi không muốn chặn lưu lượng truy cập bắt nguồn từ mạng 192.168.1.0/24 dành cho 10.0.0.0/8 hoặc chặn mạng truy cập các mạng từ xa khác như Internet.

Dựa trên các quy tắc được hiển thị bên dưới, bất kỳ lưu lượng truy cập nào có nguồn gốc từ mạng 10.0.0.0/8 dành cho mạng 192.168.1.0/24 phù hợp với quy tắc 1 được đánh giá đầu tiên. Vì "Chính sách" cho quy tắc này chỉ định hành động "Từ chối", tường lửa sẽ chặn tất cả lưu lượng truy cập khi quy tắc được nhấn. Quy tắc thứ hai được đánh giá là quy tắc mặc định, thực thi một quy tắc ngầm cho phép tất cả. Tất cả lưu lượng truy cập khác sẽ phù hợp với quy tắc này. Các máy chủ trên một trong hai mạng có thể gửi dữ liệu đến bất kỳ mạng từ xa nào khác.

Khi chọn BẤT KỲ từ menu Giao thức, lựa chọn cho cổng Src và cổng Dst sẽ chuyển sang màu xám vì cài đặt này phù hợp với tất cả lưu lượng IP.

Trường hợp sử dụng 2: Trong ví dụ bên dưới, chúng tôi muốn cho phép bất kỳ máy chủ nào trong mạng 10.0.0.0/8 truy cập vào máy chủ web 192.168.1.254 đang lắng nghe trên cổng TCP 80. Tuy nhiên, chúng tôi muốn chặn bất kỳ lưu lượng truy cập ngoài nào khác từ máy chủ lưu trữ trong 10.0.0.0/8 hoặc máy chủ 192.168.1.254.

Dựa trên các quy tắc được hiển thị bên dưới, lưu lượng truy cập bắt nguồn từ bất kỳ máy chủ nào trên mạng 10.0.0.0/8 được dành cho máy chủ web 192.168.1.254 trên cổng TCP 80 được cho phép. Khi máy chủ cục bộ liên lạc với một dịch vụ trên máy chủ từ xa, nó thường chọn một cổng nguồn phù du và gửi lưu lượng đến cổng được sử dụng bởi dịch vụ trên máy chủ từ xa. Đây là lý do tại sao cổng nguồn trong quy tắc này được đặt thành "Bất kỳ." Vì có một quy tắc cho phép ngầm được xử lý sau cùng và chúng tôi muốn thực hiện hành động "Từ chối" đối với tất cả lưu lượng truy cập đi ra khác từ các máy chủ trên mạng 10.0.0.0/8 và máy chủ web, nên cần phải từ chối tất cả quy tắc. Quy tắc này cần được đánh giá ngay sau quy tắc 1. Vì tường lửa ở trạng thái, nên các phản hồi từ máy chủ web đến máy chủ trên mạng 10.0.0.0/8 được phép bỏ qua quy tắc từ chối do kết nối đã được thiết lập. Từ chối sẽ quy tắc được xử lý thứ hai sẽ phù hợp với tất cả lưu lượng truy cập khác ngoài lưu lượng truy cập đến máy chủ web.

Tường lửa Cisco Meraki triển khai quy tắc Cho phép tất cả vốn có không thể sửa đổi và là quy tắc cuối cùng được xử lý. Các quy tắc tường lửa được xử lý từ trên xuống.