Usare Firewall Access Rules per bloccare traffico in entrata/uscita
03/26/2020 7 People found this article helpful 454,387 Views
Description
Per impostazione predefinita, la Stateful Packet Inspection SonicWall consente tutte le comunicazioni della LAN ad Internet (Allow), e blocca tutto il traffico di rete da Internet alla LAN (Deny).
I seguenti comportamenti sono definiti dall’access rules de default abilitata nell’appliance SonicWall:
Permettere tutte le sessioni provenienti dalla LAN/WLAN e dirette alla WAN o DMZ (tranne quando l'indirizzo WAN IP di destinazione è l'interfaccia WAN del dispositivo SonicWall stessa)
Permettere tutte le sessioni provenienti dalla DMZ alla WAN.
Nega tutte le sessioni provenienti dalla WAN alla DMZ.
Nega tutte le sessioni provenienti dalla WAN e DMZ alla LAN o WLAN.
Le access rules aggiuntive possono essere definite per estendere o sostituire le Access Rules predefinite. Ad esempio, le access rules possono essere create per consentire l'accesso dalla zona LAN all'indirizzo IP WAN primaria o bloccare alcuni tipi di traffico come IRC dalla LAN a WAN, o consentire determinati tipi di traffico, come il protocollo di sincronizzazione database Lotus Notes, da host specifici su Internet per host specifici sulla LAN, o limitare l'uso di alcuni protocolli come Telnet a utenti autorizzati della LAN.
Le Custom Access Rules valutano gli indirizzi IP di origine del traffico di rete, indirizzi IP di destinazione, tipi di protocollo IP, e confrontano queste informazioni con le access rules create sul SonicWall. Le Access Rules hanno la precedenza, e possono ignorare/sovrascrivere la Stateful Packet Inspection del SonicWall. Ad esempio, una regola che blocca il traffico IRC ha la precedenza sull’impostazione predefinita del SonicWall di permettere questo tipo di traffico.
Questo KB elenca i seguenti esempi di configurazione di access rules che devono essere create per bloccare il traffico in entrata e in uscita:
Blocking hosts in the LAN all access to the WAN
Blocking hosts in the LAN access to specific services on the WAN
Blocking IP addresses on the WAN access to the LAN
Resolution
Bloccare agli hosts nella LAN tutti gli accessi alla rete WAN
- Login alla Management Interface del SonicWall
- Andare su Network | Address Objects
- Creare Address Objects o Groups di hosts da bloccare.
NOTA: Fare riferimento How to create Address Objects per ulteriori informazioni sulla creazione di Address Objects.
-
Andare su Firewall | Access Rules
-
Selezionare il pulsante per LAN to WAN per entrare nelle access rules (LAN to WAN)
- Fare clic su Add per aprire la finestra Add Rule
- Selezionare Deny come Action.
- Selezionare Any come Service
- Selezionare come Source l’Address Objects creato in precedenza
- Selezionare Any come Destination
- Fare clic su Add e chiudi.
ATTENZIONE: Verificare che la regola appena creata ha una priorità maggiore rispetto alla regola di default da LAN a WAN.
Blocco host nella LAN di accedere a servizi specifici sulla WAN
Questa sezione fornisce un esempio di configurazione di un’access rule che blocchi l'accesso LAN per i servers NNTP su Internet. Effettuare le seguenti operazioni per configurare una access rule bloccando l'accesso LAN ai servers NNTP.
Bloccare indirizzi IP sulla WAN di accedere alla LAN
Per impostazione predefinita, a tutto il traffico dalla WAN viene negato l'accesso alla rete LAN, DMZ o qualsiasi altra zona. Tuttavia, può essere necessario consentire per alcune specifiche porte l'accesso a un server della LAN o DMZ, creando quindi le access rules necessarie e NAT Policies. Nella maggior parte dei casi, la Source sarebbe stata impostata su Any. In questi casi, in cui una access rule già esiste per consentire il traffico da qualsiasi luogo su Internet per la LAN o DMZ, può essere richiesto per negare il traffico proveniente da indirizzi IP noti (o sospetti) per essere provenienti da una fonte non sicura. Questo è un esempio di una regola di Deny:
Questa sezione fornisce un esempio di configurazione di una access rule bloccando alcuni indirizzi IP sull’accesso da internet alla zona LAN del SonicWall. Effettuare le seguenti operazioni per configurare una access rule bloccando l'accesso alla zona LAN da Internet.
- Login alla Management Interface del SonicWall
- Andare su Network | Address Objects
- Creare Address Objects o Groups di hosts da bloccare.
- Andare su Firewall | Access Rules
- Selezionare il pulsante WAN a LAN per accedere alle access rules (WAN to LAN).
- Fare clic su Add per aprire la finestra Add Rule.
- Selezionare Deny come Action.
- Selezionare Any come Service
- Seleziona come Source l’Address Object o Group creato in precedenza.
- Selezionare Any come Destination
- Fare clic su Add e chiudi
Related Articles
Categories
Was This Article Helpful?
YESNO