Firewall_advRuleOptions

Configurações de firewall > Avançado

Para configurar as opções avançadas de regras de acesso, selecione Configurações de firewall > Avançado em Firewall.

A página Configurações de firewall > Avançado contém os seguintes grupos de opções de configuração do firewall:

• Prevenção de detecção

• Portas dinâmicas

• Pacotes roteados de origem

• Conexões

• Opções do serviço de regras de acesso

• Imposição de soma de verificação de IP e UDP

• Configurações avançadas de IPv6

Prevenção de detecção

• Habilitar modo furtivo – por padrão, o dispositivo de segurança responde a solicitações de conexões de entrada como "bloqueadas" ou "abertas". Se você habilitar o modo furtivo, o dispositivo de segurança não responde a solicitações de conexões de entrada bloqueadas. O modo furtivo torna seu dispositivo de segurança essencialmente invisível para hackers.

• Tornar ID de IP aleatório – selecione Tornar ID de IP aleatório para impedir que os hackers usem várias ferramentas de detecção para detectar a presença de um dispositivo de segurança. Os pacotes de IP recebem IDs de IP aleatórios, dificultando aos hackers a identificação do dispositivo de segurança.

• Reduzir TTL de IP para tráfego encaminhado – TTL (Time-to-live-Vida útil) é um valor em um pacote de IP que informa um roteador de rede se o pacote esteve ou não demasiado tempo na rede e se deve ou não ser descartado. Selecione esta opção para reduzir o valor de TTL para pacotes que foram encaminhados e que, por conseguinte, já estiveram na rede durante algum tempo.

– Nunca gerar pacotes ICMP de tempo excedido – o dispositivo Dell SonicWALL gera pacotes de tempo excedido para reportar quando ele tiver descartado um pacote, pois o respectivo valor de TTL diminuiu para zero. Selecione esta opção se você não quiser que o dispositivo Dell SonicWALL gere estes pacotes de relatórios.

Portas dinâmicas

• Habilitar transformações FTP para porta(s) TCP em objetos de serviço – o FTP opera nas portas TCP 20 e 21, sendo que a 21 é a porta de controle e a 20 é a porta de dados. Porém, ao usar portas não padrão (por exemplo, 2020, 2121), o Dell SonicWALL descarta os pacotes por padrão, uma vez que não é capaz de identificá-los como tráfego FTP. A opção Habilitar transformações FTP para porta(s) TCP em objetos de serviço permite que você selecione um objeto de serviço para especificar uma porta de controle personalizada para o tráfego FTP.

Para ilustrar como este recurso funciona, tenha em consideração o exemplo a seguir de um servidor FTP por detrás da escuta do Dell SonicWALL na porta 2121:

a. Na página Rede > Objetos de endereços, crie um Objeto de endereço para o endereço IP privado do servidor FTP com os seguintes valores:

: •: Nome: Servidor FTP privado

: •: Zona: LAN

: •: Tipo: Host

: •: Endereço IP: 192.168.168.2

b. Na página Rede > Serviços, crie um serviço personalizado para o servidor FTP com os seguintes valores:

: •: Nome: Controle de porta personalizada FTP

: •: Protocolo: TCP(6)

: •: Intervalo de portas: 2121 - 2121

c. Na página Rede > Políticas de NAT, crie a seguinte política de NAT na página Configurações de firewall > Avançado e crie a seguinte regra de acesso

d. Por último, na página Configurações de firewall > Avançado, para a opção Habilitar transformações FTP para porta(s) TCP em objetos de serviço, selecione o objeto de serviço Controle de porta personalizada FTP.

As opções a seguir também são configuradas na seção Portas dinâmicas da página Configurações de firewall > Avançado:

• Habilitar suporte para Oracle (SQLNet) - selecione se você tiver aplicativos Oracle em sua rede.

• Habilitar transformações RTSP – selecione esta opção para suportar o fornecimento sob demanda de dados em tempo real, como áudio e vídeo. O RTSP (protocolo de fluxo em tempo real) é um protocolo ao nível de aplicativos que controla o fornecimento de dados com propriedades em tempo real.

Pacotes roteados de origem

Descartar pacotes roteados de origem – (Habilitado por padrão). Desmarque essa caixa de seleção se você estiver testando o tráfego entre dois hosts específicos e estiver usando roteamento de origem.

Conexões

A seção Conexões permite ajustar o desempenho do dispositivo para dar prioridade a um desempenho ideal ou suportar um maior número de conexões simultâneas que são inspecionadas por serviços de firewall. Não há nenhuma alteração no nível de proteção de segurança fornecido por uma das configurações de conexões DPI abaixo. Estão disponíveis as seguintes opções de conexão:

• Máximo de conexões SPI (serviços DPI desabilitados) – essa opção não fornece proteção de serviços de segurança de DPI da Dell SonicWALL e otimiza o firewall para o número máximo de conexões com apenas uma inspeção de pacotes estável habilitada.

• Máximo de conexões DPI (serviços DPI habilitados) – esta é a configuração padrão e recomendada para a maioria das implantações Dell SonicWALL.

• Conexões DPI (serviços DPI habilitados com otimização de desempenho adicional) – essa opção destina-se a implantações críticas de desempenho. Esta opção negocia o número de conexões máximas de DPI para um melhor resultado de inspeção de DPI de firewall.

Note Quando a configuração Conexões for alterada, o dispositivo de segurança Dell SonicWALL deve ser reiniciado para que a alteração seja implementada.

O número máximo de conexões depende também de se o App Flow está habilitado ou não e de se está configurado um coletor externo ou não, bem como das capacidades físicas do modelo específico do dispositivo de segurança Dell SonicWALL. Se passar o mouse sobre o ícone do ponto de interrogação junto do cabeçalho Conexões, é exibida uma tabela pop-up com o número máximo de conexões do seu dispositivo de segurança Dell SonicWALL específico para as várias trocas de configuração. A entrada para sua configuração atual é indicada na tabela, conforme mostrado no exemplo abaixo.

Opções do serviço de regras de acesso

Forçar conexões de dados FTP de entrada e saída a utilizar a porta padrão 20 – a configuração padrão permite conexões de FTP da porta 20, mas remapeia tráfego de saída para uma porta como 1024. Se esta caixa de seleção estiver marcada, qualquer conexão de dados FTP por meio do dispositivo de segurança deverá ser proveniente da porta 20 ou a conexão será descartada. O evento é então registrado como um evento de log no dispositivo de segurança.

Aplicar regras de firewall para o tráfego intra-LAN para a/da mesma interface – aplica regras de firewall recebido em uma interface LAN e que se destina à mesma interface LAN. Em geral, isso só será necessário se estiverem configuradas sub-redes LAN secundárias.

Imposição de soma de verificação de IP e UDP

• Habilitar imposição de soma de verificação de cabeçalhos IP – selecione esta opção para impor somas de verificação de cabeçalhos IP.

• Habilitar imposição de soma de verificação de UDP – selecione esta opção para impor somas de verificação de cabeçalhos IP.

Configurações avançadas de IPv6

• Descartar pacotes do tipo 0 do cabeçalho de roteamento IPv6 – selecione esta opção para prevenir um possível ataque de DoS que explora pacotes do tipo 0 do cabeçalho de roteamento (RH0) de IPv6. Quando esta configuração está habilitada, os pacotes RH0 são descartados, exceto se o destino dos mesmos for o dispositivo de segurança Dell SonicWALL e o valor de segmentos restantes for 0. O campo Segmentos restantes especifica o número de segmentos de rota que restam até chegar ao destino final. Para obter mais informações, consulte http://tools.ietf.org/html/rfc5095