Firewallregels in UniFi
Dit artikel legt uit waar en hoe u firewallregels in de UniFi Network Controller kunt configureren en biedt enkele suggesties voor het beheren van de firewall met de UniFi Security Gateway (USG) . Dit artikel is van toepassing op alle USG-modellen.
De UniFi Security Gateway (USG) biedt beheerders veel nuttige functies voor het beheer van hun UniFi-netwerk, waaronder de mogelijkheid om firewallregels te maken en te beheren die de veiligheid van het netwerk helpen waarborgen. In deze handleiding wordt uitgelegd hoe u firewallregels in de UniFi Network Controller kunt configureren en worden enkele suggesties gegeven voor het beheren van de firewall met behulp van de USG.
Het is belangrijk op te merken dat wanneer een nieuwe regel wordt gemaakt, de positie ervan op de lijst - voor of na de vooraf gedefinieerde regels, een groot verschil zal maken, aangezien firewallregels in de volgorde van boven naar beneden worden verwerkt. Als een regel wordt gemaakt, maar achter de vooraf gedefinieerde regels wordt geplaatst die bedoeld zijn om van toepassing te zijn op verkeer dat overeenkomt met de vooraf gedefinieerde regels, zal die regel nooit worden geëvenaard. Met dit in gedachten moeten de "afwijzen" of "neerzetten" -regels op LAN IN altijd boven de vooraf gedefinieerde regels komen om overeen te komen, omdat de vooraf gedefinieerde "toestaan" -regels met alles overeenkomen.
Inzicht in firewallregels in UniFi
Om Firewall-regels in de UniFi Network Controller te configureren, gaat u naar Instellingen> Routing & Firewall> Firewall zoals weergegeven:
De regels zijn momenteel gegroepeerd op netwerktype in drie groepen: WAN , LAN en GUEST . Netwerken van het bedrijfstype die in de controller zijn gedefinieerd, gebruiken de LAN- regels, gasttype netwerken de GUEST- regels en WAN's die zijn gedefinieerd in de USG-configuratie in het paneel Eigenschappen van de USG gebruiken de WAN- regels. Om het eigenschappenpaneel van de UGS te zien, gaat u naar de sectie Apparaten van de controller, klikt u op de USG om het paneel Eigenschappen te openen en selecteert u vervolgens de Configtab. Dezelfde regelset is van toepassing op alle interfaces van dat type. Dat kan enigszins verwarrend zijn voor degenen die gewend zijn aan één regelset per specifieke interface, maar dezelfde dingen kunnen worden bereikt met beide methoden. De IN / OUT / LOCAL-benadering biedt meer algemene granulariteit.
Lokale, in- en uitregels
WAN LOCAL / LAN LOCAL / GUEST LOCAL
De LOKALE regelsets zijn voor verkeer dat bestemd is voor de interface-adressen van USG zelf .
LAN
Een bedrijfsnetwerkconfiguratie met een LAN IP van 192.168.1.1/24:
Verkeer afkomstig van hosts met adressen in het IP-bereik 192.168.1.2-254 bestemd voor 192.168.1.1 valt onder de regels onder LAN_LOCAL.
WAN
Een configuratie waarin de USG een WAN IP van 100.64.1.1 heeft:
Verkeer afkomstig van hosts op internet met een bestemming van 100.64.1.1 en een bestemmingspoort of -protocol worden volgens WAN_LOCAL toegepast.
Gast
Een Gastnetwerk configuratie met een LAN IP-adres van 192.168.2.1/24:
Verkeer afkomstig van gasthosts met adressen in het IP-bereik 192.168.2.2-254 bestemd voor 192.168.2.1 valt onder de regels onder GUEST_LOCAL.
WAN IN/LAN IN/GUEST IN
De IN-regels zijn van toepassing op verkeer dat de betreffende interface (s) binnenkomt en een andere interface heeft bestemd.
LAN
Regels gelden voor het verkeer geïnitieerd vanuit hosts op Corporate Network LAN's die bestemd zijn voor een ander netwerk (meestal het internet, maar ook het verkeer gerouteerd tussen VLAN's en LAN / LAN2).
WAN
Regels onder WAN_IN worden doorgaans getroffen door retourverkeer dat is bestemd voor hosts op het USG LAN. Soms wordt nieuw of ongevraagd verkeer ook uitgefilterd op deze regelset.
Gast
Regels zijn van toepassing op verkeer dat wordt geïnitieerd door hosts op gastnetwerk- LAN's die zijn bestemd voor een ander netwerk (meestal het internet, maar ook verkeer dat wordt gerouteerd tussen VLAN's en LAN / LAN2).
WAN OUT / LAN OUT / GUEST OUT
De OUT-regels zijn van toepassing op verkeer dat de betreffende interface (s) verlaat. De standaard UIT-regels staan alle verkeer toe, filtering moet in de richting "IN" gebeuren. Het is niet nodig om verkeer op het IN-pad door te geven als het alleen op de OUT wordt geblokkeerd. Het is best om het verkeer zo snel mogelijk te laten vallen en het niet meer middelen te laten verbruiken dan nodig is. Er zijn zeldzame randgevallen waarbij een OUT-regel beter geschikt is voor een specifiek doel, maar meestal moet de IN-regelset worden gebruikt.
Voor richting, denk eraan vanuit het perspectief van de USG: IN-verkeer is verkeer dat de interface binnenkomt (en bestemd is om een andere interface weg te laten). LOCAL is verkeer dat de interface binnenkomt en bestemd is voor het interface-adres van de USG. OUT is verkeer dat die interface verlaat en bestemd is voor een apparaat op dat netwerk.
Vooraf gedefinieerde LAN-, gast- en WAN-regels
LAN
Hoewel niet zichtbaar in de controller, heeft elk van de drie LAN-regelsets de standaardactie "Accepteren". UniFi-beheerders moeten mogelijk een drop-regel maken en dienovereenkomstig plaatsen voor verhoogde beveiliging en / of compliance.
Hoewel niet zichtbaar in de controller, hebben de regelsets GUEST_IN en GUEST_OUT een standaardactie van "Accepteren". GUEST_LOCAL heeft een standaardactie van "drop".
Regels worden automatisch toegevoegd aan WAN_IN om verkeer toe te staan voor geconfigureerde poortdoorsturing en DPI-blokkeerconfiguratie. Regels worden automatisch toegevoegd aan WAN_LOCAL om verkeer toe te staan voor geconfigureerde externe gebruikers VPN-netwerken.
Dit artikel legt uit waar en hoe u firewallregels in de UniFi Network Controller kunt configureren en biedt enkele suggesties voor het beheren van de firewall met de UniFi Security Gateway (USG) . Dit artikel is van toepassing op alle USG-modellen.
De UniFi Security Gateway (USG) biedt beheerders veel nuttige functies voor het beheer van hun UniFi-netwerk, waaronder de mogelijkheid om firewallregels te maken en te beheren die de veiligheid van het netwerk helpen waarborgen. In deze handleiding wordt uitgelegd hoe u firewallregels in de UniFi Network Controller kunt configureren en worden enkele suggesties gegeven voor het beheren van de firewall met behulp van de USG.
Het is belangrijk op te merken dat wanneer een nieuwe regel wordt gemaakt, de positie ervan op de lijst - voor of na de vooraf gedefinieerde regels, een groot verschil zal maken, aangezien firewallregels in de volgorde van boven naar beneden worden verwerkt. Als een regel wordt gemaakt, maar achter de vooraf gedefinieerde regels wordt geplaatst die bedoeld zijn om van toepassing te zijn op verkeer dat overeenkomt met de vooraf gedefinieerde regels, zal die regel nooit worden geëvenaard. Met dit in gedachten moeten de "afwijzen" of "neerzetten" -regels op LAN IN altijd boven de vooraf gedefinieerde regels komen om overeen te komen, omdat de vooraf gedefinieerde "toestaan" -regels met alles overeenkomen.
Inzicht in firewallregels in UniFi
Om Firewall-regels in de UniFi Network Controller te configureren, gaat u naar Instellingen> Routing & Firewall> Firewall zoals weergegeven:
De regels zijn momenteel gegroepeerd op netwerktype in drie groepen: WAN , LAN en GUEST . Netwerken van het bedrijfstype die in de controller zijn gedefinieerd, gebruiken de LAN- regels, gasttype netwerken de GUEST- regels en WAN's die zijn gedefinieerd in de USG-configuratie in het paneel Eigenschappen van de USG gebruiken de WAN- regels. Om het eigenschappenpaneel van de UGS te zien, gaat u naar de sectie Apparaten van de controller, klikt u op de USG om het paneel Eigenschappen te openen en selecteert u vervolgens de Configtab. Dezelfde regelset is van toepassing op alle interfaces van dat type. Dat kan enigszins verwarrend zijn voor degenen die gewend zijn aan één regelset per specifieke interface, maar dezelfde dingen kunnen worden bereikt met beide methoden. De IN / OUT / LOCAL-benadering biedt meer algemene granulariteit.
Lokale, in- en uitregels
WAN LOCAL / LAN LOCAL / GUEST LOCAL
De LOKALE regelsets zijn voor verkeer dat bestemd is voor de interface-adressen van USG zelf .
LAN
Een bedrijfsnetwerkconfiguratie met een LAN IP van 192.168.1.1/24:
Verkeer afkomstig van hosts met adressen in het IP-bereik 192.168.1.2-254 bestemd voor 192.168.1.1 valt onder de regels onder LAN_LOCAL.
WAN
Een configuratie waarin de USG een WAN IP van 100.64.1.1 heeft:
Verkeer afkomstig van hosts op internet met een bestemming van 100.64.1.1 en een bestemmingspoort of -protocol worden volgens WAN_LOCAL toegepast.
Gast
Een Gastnetwerk configuratie met een LAN IP-adres van 192.168.2.1/24:
Verkeer afkomstig van gasthosts met adressen in het IP-bereik 192.168.2.2-254 bestemd voor 192.168.2.1 valt onder de regels onder GUEST_LOCAL.
WAN IN/LAN IN/GUEST IN
De IN-regels zijn van toepassing op verkeer dat de betreffende interface (s) binnenkomt en een andere interface heeft bestemd.
LAN
Regels gelden voor het verkeer geïnitieerd vanuit hosts op Corporate Network LAN's die bestemd zijn voor een ander netwerk (meestal het internet, maar ook het verkeer gerouteerd tussen VLAN's en LAN / LAN2).
WAN
Regels onder WAN_IN worden doorgaans getroffen door retourverkeer dat is bestemd voor hosts op het USG LAN. Soms wordt nieuw of ongevraagd verkeer ook uitgefilterd op deze regelset.
Gast
Regels zijn van toepassing op verkeer dat wordt geïnitieerd door hosts op gastnetwerk- LAN's die zijn bestemd voor een ander netwerk (meestal het internet, maar ook verkeer dat wordt gerouteerd tussen VLAN's en LAN / LAN2).
WAN OUT / LAN OUT / GUEST OUT
De OUT-regels zijn van toepassing op verkeer dat de betreffende interface (s) verlaat. De standaard UIT-regels staan alle verkeer toe, filtering moet in de richting "IN" gebeuren. Het is niet nodig om verkeer op het IN-pad door te geven als het alleen op de OUT wordt geblokkeerd. Het is best om het verkeer zo snel mogelijk te laten vallen en het niet meer middelen te laten verbruiken dan nodig is. Er zijn zeldzame randgevallen waarbij een OUT-regel beter geschikt is voor een specifiek doel, maar meestal moet de IN-regelset worden gebruikt.
Voor richting, denk eraan vanuit het perspectief van de USG: IN-verkeer is verkeer dat de interface binnenkomt (en bestemd is om een andere interface weg te laten). LOCAL is verkeer dat de interface binnenkomt en bestemd is voor het interface-adres van de USG. OUT is verkeer dat die interface verlaat en bestemd is voor een apparaat op dat netwerk.
Vooraf gedefinieerde LAN-, gast- en WAN-regels
LAN
Hoewel niet zichtbaar in de controller, heeft elk van de drie LAN-regelsets de standaardactie "Accepteren". UniFi-beheerders moeten mogelijk een drop-regel maken en dienovereenkomstig plaatsen voor verhoogde beveiliging en / of compliance.
- LAN_IN: De vooraf gedefinieerde regels staan al het uitgaande verkeer zonder beperkingen toe: LAN's naar andere LAN's, LAN's naar internet, zelfs LAN naar netwerken van het type "Gast".
- LAN_LOCAL: Met de vooraf gedefinieerde regels heeft elke host op een netwerk van het type "Zakelijk" toegang tot services op de USG zelf (bijvoorbeeld SSH, DNS, RADIUS, enz.).
- LAN_OUT: de vooraf gedefinieerde regel staat alle inkomend verkeer toe dat bestemd is voor hosts op netwerken van het type "Corporate".
Hoewel niet zichtbaar in de controller, hebben de regelsets GUEST_IN en GUEST_OUT een standaardactie van "Accepteren". GUEST_LOCAL heeft een standaardactie van "drop".
- Guest_IN: De vooraf gedefinieerde regels staan verkeer toe dat nodig is om de gastportal te laten functioneren; maar blokkeert verkeer dat is bestemd voor bedrijfsnetwerken, alle beperkte netwerken die zijn gedefinieerd in "Guest Control" en externe gebruikers-VPN-subnetten. Het staat al het andere toe (voor internetverkeer).
- Guest_LOCAL: de vooraf gedefinieerde regels staan DNS, ping en verkeer toe dat bestemd is voor de redirector naar de USG zelf. Regels worden automatisch toegevoegd aan GUEST_LOCAL om verkeer toe te staan voor RADIUS-authenticatie en boekhouding.
- Guest_OUT: de vooraf gedefinieerde regel staat alle inkomend verkeer toe dat bestemd is voor hosts op netwerken van het type "Guest".
Regels worden automatisch toegevoegd aan WAN_IN om verkeer toe te staan voor geconfigureerde poortdoorsturing en DPI-blokkeerconfiguratie. Regels worden automatisch toegevoegd aan WAN_LOCAL om verkeer toe te staan voor geconfigureerde externe gebruikers VPN-netwerken.
- WAN_IN: De vooraf gedefinieerde regels staan alleen vastgesteld / gerelateerd antwoordverkeer toe (bijv. Antwoorden op verkeer geïnitieerd vanuit een intern netwerk).
- WAN_LOCAL: de vooraf gedefinieerde regels staan alleen vastgesteld / gerelateerd verkeer toe dat binnenkomt op de USG zelf.
- WAN_OUT: De vooraf gedefinieerde regel is een verborgen standaardactie van accepteren.
