Ctrl+K

Firewall

Firewall#

Le zone del firewall delimitano le interfacce di rete, stabilendone i confini, mentre le regole del firewall determinano il controllo del traffico tra le diverse zone. Le zone organizzano i segmenti di rete, mentre le regole definiscono le politiche di sicurezza specificando le condizioni per consentire o negare determinate azioni. Insieme, consentono la definizione e l’applicazione di regole per la gestione del traffico di rete all’interno del firewall.

Zone e regole#

In un sistema firewall, zone e politiche sono concetti fondamentali che aiutano a gestire la sicurezza della rete controllando il flusso di traffico tra diversi segmenti di una rete. Una zona in un firewall rappresenta un segmento di rete specifico con il proprio livello di affidabilità. Per esempio, una configurazione comune potrebbe includere zone come WAN (Wide Area Network) che rappresentano la rete esterna e non attendibile (solitamente internet) e LAN (Local Area Network) che rappresentano la rete interna e affidabile (dispositivi all’interno di una casa o organizzazione privata). Ogni zona ha una propria serie di regole di sicurezza e politiche che dettano come il traffico può scorrere da e verso quella zona.

Le Policy in un firewall definiscono le regole e le azioni che determinano come il traffico viene gestito tra diverse zone. Queste regole specificano quale tipo di traffico è consentito, negato o monitorato in base ai criteri di sicurezza predefiniti

Zone predefinite:

  • WAN (Wide Area Network): rappresenta la rete esterna e non attendibile (ad esempio internet).

  • LAN (Local Area Network): rappresenta la rete interna e affidabile (ad esempio, dispositivi all’interno di una casa privata o organizzazione).

Traffico accettato:

  • da LAN a WAN: consente il traffico da dispositivi dall’interno della zona LAN alla zona WAN, permettendo ai dispositivi interni di accedere a Internet.

  • dalla LAN al firewall stesso: consente il traffico LAN al firewall stesso, permettendone la comunicazione per scopi specifici.

  • Dalla LAN alla LAN: consente il traffico tra i dispositivi all’interno della zona LAN, consentendo ai dispositivi interni di comunicare tra loro.

Traffico negato:

  • Dal WAN al firewall stesso: nega il traffico dalla zona WAN al firewall stesso, impedendo tentativi di accesso esterno non autorizzati.

  • Da WAN a WAN stesso: nega la comunicazione diretta tra reti esterne (WAN a WAN), isolando l’esterno per una maggiore sicurezza.

In questa configurazione, il firewall regola il traffico tra le zone WAN e LAN, consentendo ai dispositivi interni di accedere a Internet e comunicare internamente e bloccando l’accesso diretto esterno al firewall, impedendo le comunicazioni in ingresso per una maggiore siurezza.

Le zone di default non possono essere eliminate, ma l’amministratore di rete può cambiarne i criteri predefiniti o crearne di nuove.

Guests and DMZ zones#

In addition to the default zones, the firewall can be configured with additional zones to accommodate specific network requirements. Two common examples are the Guest and DMZ (Demilitarized Zone) zones. Sometimes the Guest zone is also known as the blue zone while the DMZ is also named as orange.

Guests zone (blue)#

The Guest zone represents a network segment for guest devices, such as visitors or temporary users. This zone is typically isolated from the LAN zone to prevent unauthorized access to internal resources. But it is allowed to access the WAN zone.

To create a Guest zone, follow these steps:

  • access the Zones & policies section

  • click on the Add zone button

  • enter guest inside the Name field: plesase note that the name is case sensitive and must be in lowercase, in this case the zone will be highlighted in blue

  • leave empty the Allow forwards to field

  • select LAN inside the Allow forwards from field

  • enable the Traffic to WAN option

  • select Drop for both Traffic to firewall and Traffic for the same zone fields

  • click on the Save button and apply the changes

DMZ zone (orange)#

The DMZ represents a network segment for servers and services that need to be accessible from the internet but isolated from the internal network.

To create a DMZ, follow these steps:

  • access the Zones & policies section

  • click on the Add zone button

  • enter dmz inside the Name field: plesase note that the name is case sensitive and must be in lowercase, in this case the zone will be highlighted in orange

  • leave empty both the Allow forwards to and Allow forwards from fields

  • enable the Traffic to WAN option

  • select Drop for both Traffic to firewall and Traffic for the same zone fields

  • click on the Save button and apply the changes

Regole#

Le regole Firewall definiscono come il traffico di rete è segmentato e gestito tra diverse zone. Il firewall agisce come barriera tra le reti interne e reti esterne non attendibili, come Internet. Queste regole specificano quale traffico è consentito, negato o monitorato in base a criteri di sicurezza predefiniti.

L’ordine delle regole è importante; viene applicata la prima regola corrispondente, determinando il comportamento del pacchetto di rete.

La pagina è organizzata in tre schede, ciascuna con uno scopo specifico:

  • Forward rules tab: this tab is dedicated to configuring rules for data packets moving between different zones in the network.

  • Regole di input: questa scheda è dedicata alla configurazione delle regole per i pacchetti in entrata destinati al firewall stesso.

  • Regole di output: questa scheda è dedicata alla configurazione delle regole per i pacchetti in uscita dal firewall.

Cliccare sul pulsante per aggiungere una nuova regola. Compilare i seguenti campi per la nuova regola:

  • Stato: abilitare o disabilitare la regola in base al comportamento voluto. Per impostazione predefinita, durante la creazione la regola è abilitata.

  • Nome regole: assegnare un nome per identificare la regola.

  • Indirizzo sorgente`: inserire uno o più indirizzi IPv4/IPv6 o reti CIDR. Lasciare non selezionato per qualsiasi indirizzo sorgente. Questo campo non è presente per ``Regole di uscita, in quanto l’indirizzo sorgente è sempre il firewall stesso.

  • ``Zona sorgente`: specificare la zona di origine del traffico. Scegliere una zona specifica o selezionare “Qualsiasi” per includere il traffico da qualsiasi zona.

  • Indirizzo di destinazione`: inserire uno o più indirizzi IPv4/IPv6 o reti CIDR. Lasciare non selezionato per qualsiasi indirizzo di destinazione. Questo campo non è presente per ``Regole di input, in quanto l’indirizzo di destinazione è sempre il firewall stesso.

  • Zona di destinazione: specificare la zona di destinazione del traffico scegliendone una specifica tenendo a mente che le zone di origine e di destinazione non possono essere le stesse.

  • ``Servizio di destinazione`: selezionare dall’elenco o scegliere “Personalizzato” per inserire porte o protocolli specifici.

  • Azione`: definisce il comportamento della regola quando le sue condizioni sono validate: * ``Accept: accettare il traffico di rete. * Reject`: bloccare il traffico e notificare l’host del mittente. * ``Drop`: bloccare il traffico, i pacchetti sono scartati e non viene inviata alcuna notifica all’host del mittente.

  • Posizione della regola: consente di impostare se aggiungere la regola in basso o in cima alla lista delle regole.

  • Log: indicare se il traffico corrispondente a questa regola deve essere registrato. La voce nel log includerà il nome della regola come prefisso.

  • ``Tags`: facoltativo, si possono aggiungere dei tag per organizzare meglio le regole. Notare che il tag “automatizzato” è riservato dall’uso del sistema.

Contenuti