Zone e policy

Zone e policy#

Le zone del firewall categorizzano le interfacce di rete, definendo i confini sicuri, mentre le regole del firewall determinano la gestione del traffico tra le zone. Le zone organizzano i segmenti di rete e le regole applicano le politiche di sicurezza specificando le condizioni per le azioni consentite o negate. Insieme, consentono di definire e applicare regole per il traffico di rete all’interno del firewall.

In un sistema firewall, le zone e le policy sono concetti fondamentali che aiutano a gestire la sicurezza della rete controllando il flusso del traffico tra diversi segmenti della rete. Una zona in un firewall rappresenta uno specifico segmento di rete con il proprio livello di affidabilità. Ad esempio, una configurazione comune può includere zone come WAN (Wide Area Network), che rappresenta la rete esterna e non affidabile (di solito Internet), e LAN (Local Area Network), che rappresenta la rete interna e affidabile (i dispositivi all’interno di una rete privata domestica o aziendale). Ogni zona ha il proprio insieme di regole di sicurezza e policy che determinano come il traffico può fluire da e verso quella zona.

Le policy in un firewall definiscono le regole e le azioni che determinano come il traffico viene gestito tra le diverse zone. Queste regole specificano quale tipo di traffico è consentito, negato o monitorato in base a criteri di sicurezza predefiniti.

Zone predefinite:

  • WAN (Wide Area Network): rappresenta la rete esterna e non affidabile (ad esempio, Internet).

  • LAN (Local Area Network): rappresenta la rete interna e affidabile (ad esempio, dispositivi all’interno di una casa privata o di un’organizzazione).

Traffico accettato:

  • da LAN a WAN: il traffico dai dispositivi all’interno della zona LAN verso la zona WAN è consentito, permettendo ai dispositivi interni di accedere a Internet.

  • da LAN al firewall stesso: il traffico dai dispositivi LAN verso il firewall stesso è consentito, facilitando la comunicazione per vari scopi.

  • Da LAN a LAN stessa: il traffico tra dispositivi all’interno della zona LAN è consentito, permettendo ai dispositivi interni di comunicare tra loro.

Traffico negato:

  • Dal WAN al firewall stesso: il traffico dalla zona WAN verso il firewall stesso è negato, impedendo tentativi di accesso esterni non autorizzati.

  • Da WAN a WAN stessa: la comunicazione diretta tra reti esterne (da WAN a WAN) è negata, isolando le diverse entità esterne per una maggiore sicurezza.

In questa configurazione, il firewall regola il traffico tra le zone WAN e LAN, consentendo ai dispositivi interni di accedere a Internet e di comunicare internamente, mantenendo la sicurezza tramite il blocco dell’accesso diretto esterno al firewall e impedendo la comunicazione tra reti esterne.

Le zone predefinite non possono essere eliminate, ma l’amministratore di rete può modificare le policy esistenti o creare nuove zone.

Il logging può essere abilitata per le zone utilizzando l’opzione Log all’interno della pagina Zone e policy. Abilitando il logging, l’amministratore di rete può monitorare l’attività di rete, identificare potenziali minacce e analizzare i modelli di traffico. Il logging è limitata a 5 voci al secondo per impostazione predefinita. Per modificare questo limite, consultare la sezione Limiti di logging.

Zone guest e DMZ#

Oltre alle zone predefinite, il firewall può essere configurato con zone aggiuntive per soddisfare requisiti di rete specifici. Due esempi comuni sono le zone Guest e DMZ (Demilitarized Zone). Talvolta la zona Guest è anche conosciuta come zona blu, mentre la DMZ è anche chiamata arancione.

Zona guest (blu)#

La zona Guest rappresenta un segmento di rete per dispositivi degli ospiti, come visitatori o utenti temporanei. Questa zona è tipicamente isolata dalla zona LAN per prevenire accessi non autorizzati alle risorse interne. Tuttavia, è consentito l’accesso alla zona WAN.

Per creare una zona Guest, seguire questi passaggi:

  • accedere alla sezione Zones & policies

  • fare clic sul pulsante Aggiungi zona

  • inserire guest nel campo Nome, in questo caso la zona verrà evidenziata in blu

  • lascia vuoto il campo Consenti traffico verso

  • selezionare LAN all’interno del campo Consenti traffico da

  • abilitare l’opzione Traffico verso WAN

  • selezionare Drop sia per i campi Traffico verso firewall che Traffico verso la stessa zona

  • fare clic sul pulsante Salva e applicare le modifiche

Nota

Se il firewall è destinato a fornire i servizi DHCP e DNS, creare una regola di input del firewall che consenta il traffico sulle porte 53 TCP/UDP (DNS) e 67 UDP (DHCP) per la zona Guest. Se questi servizi non sono necessari o sono forniti da un altro dispositivo in questa rete, le porte corrispondenti possono rimanere bloccate.

Zona DMZ (arancione)#

La DMZ rappresenta un segmento di rete per server e servizi che devono essere accessibili da internet ma isolati dalla rete interna.

Per creare una DMZ, seguire questi passaggi:

  • accedere alla sezione Zones & policies

  • fare clic sul pulsante Aggiungi zona

  • inserire dmz nel campo Nome, in questo caso la zona verrà evidenziata in arancione

  • lasciare vuoti sia i campi Consenti traffico verso che Consenti traffico da

  • abilitare l’opzione Traffico verso WAN

  • selezionare Drop sia per i campi Traffico verso firewall che Traffico verso la stessa zona

  • fare clic sul pulsante Salva e applicare le modifiche