Firewall_serviceObjView
O SonicOS Enhanced suporta um suporte de protocolo IP expandido para permitir que os usuários criem serviços e regras de acesso com base nesses protocolos. Consulte Protocolos suportados para uma listagem completa de protocolos IP suportados.
Os serviços são usados pelo dispositivo de segurança Dell SonicWALL para configurar regras de acesso de rede para permitir ou negar o tráfego para a rede. O dispositivo de segurança Dell SonicWALL inclui Serviços padrão. Os Serviços Padrão são serviços predefinidos que não são editáveis. E você também pode criar Serviços personalizados para configurar os serviços de firewall para atenderem aos seus requisitos de negócios específicos.
Visão geral de serviços padrão
A visualização Serviços padrão exibe os serviços padrão do dispositivo de segurança Dell SonicWALL na tabela Serviços e na tabela Grupos de serviços. A tabela Grupos de serviços exibe clusters de vários serviços padrão como um objeto de serviço único. Você não pode excluir ou editar esses serviços predefinidos. A tabela Serviços exibe os seguintes atributos dos serviços:
• Nome – o nome do serviço.
• Protocolo – o protocolo do serviço.
• Início de porta – o número de porta inicial do serviço.
• Fim de porta – o número de porta final do serviço.
• Configurar – exibe os ícones indisponíveis Editar e Excluir (os serviços padrão não podem ser editados ou excluídos, você precisará adicionar um novo serviço para que os ícones Editar e Excluir fiquem disponíveis).
Os serviços que se aplicam a aplicativos comuns são agrupados como Grupos de serviços padrão. Esses grupos não podem ser alterados ou excluídos. Se clicar em + à esquerda da entrada de Grupos de serviços padrão, serão exibidos todos os serviços padrão individuais incluídos no grupo. Por exemplo, a entrada DNS (Serviço de Nome) tem dois serviços rotulados como DNS (Serviço de Nome) TCP para a porta 53 e DNS (Serviço de Nome) UDP para a porta 53. Essas várias entradas com o mesmo nome são agrupadas e tratadas como um único serviço. Os grupos de serviços padrão não podem ser editados ou excluídos.
Lista de tarefas de configuração de serviços personalizados
A lista a seguir fornece as tarefas de configuração para Serviços personalizados:
• Adicionar serviços personalizados
• Editar serviços personalizados
• Excluir serviços personalizados
• Adicionar grupos de serviços personalizados
• Editar grupos de serviços personalizados
• Excluir grupos de serviços personalizados
Os seguintes protocolos IP estão disponíveis para serviços personalizados:
• ICMP (1) – (Protocolo de mensagens de controle da Internet) Um protocolo TCP/IP usado para enviar mensagens de erro e controle.
• IGMP (2) – (Protocolo de gerenciamento de grupos da Internet) O protocolo que controla o gerenciamento de grupos de difusão seletiva em uma rede TCP/IP.
• TCP (6) – (Protocolo de controle de transmissão) A parte TCP de TCP/IP. O TCP é um protocolo de transporte em TCP/IP. O TCP garante que uma mensagem é enviada com precisão e na sua totalidade.
• UDP (17) – (Protocolo de datagramas de usuário) Um protocolo no conjunto de protocolos TCP/IP que é usado em vez de TCP quando não é necessária uma entrega confiável.
• GRE (47) – (Encapsulamento de roteamento genérico) Um protocolo de encapsulamento usado para encapsular uma ampla variedade de tipos de pacotes de protocolo dentro de túneis IP, criando um link ponto a ponto virtual para firewalls ou dispositivos de roteamento através de uma interligação de redes IP.
• ESP (50) – (Carga de segurança encapsulada) Um método de encapsulamento de um datagrama IP dentro de outro datagrama usado como um método flexível de transporte de dados por IPsec.
• AH (51) – (Cabeçalho de autenticação) Um protocolo de segurança que oferece serviços opcionais antirretransmissão e autenticação de dados. O AH está embutido nos dados a serem protegidos (um datagrama IP completo).
• EIGRP (88) – (Protocolo de roteamento de gateway interior aprimorado) Versão avançada do IGRP. Fornece propriedades de convergência superiores e eficiência operacional e combina as vantagens de protocolos de estado de link com aquelas dos protocolos de vetor de distância.
• OSPF (89) – (Abrir o caminho mais curto primeiro) Um protocolo de roteamento que determina o melhor caminho para rotear tráfego IP através de uma rede TCP/IP com base na distância entre nós e diversos parâmetros de qualidade. OSPF é um protocolo de gateway interior (IGP) que foi projetado para trabalhar em um sistema autônomo. Também é um protocolo de estado de link que fornece menos tráfego de atualização de roteador para roteador do que o protocolo RIP (protocolo de vetor de distância) que foi projetado para substituir.
• PIMSM (103) – (Modo esparso de difusão seletiva independente de protocolo) Um dos dois modos operacionais PIM (denso e esparso). O modo esparso de PIM tenta restringir a distribuição de dados de modo que um número mínimo de roteadores na rede os receba. Os pacotes são enviados somente se forem explicitamente solicitados no RP (ponto de reunião). No modo esparso, os destinatários são amplamente distribuídos e a suposição é que as redes downstream não usarão necessariamente os datagramas que são enviados para eles. O custo de uso do modo esparso é sua dependência na atualização periódica de mensagens de união explícitas e sua necessidade de RPs.
• L2TP (115) – (Protocolo de encapsulamento de camada 2) Um protocolo que permite que uma sessão PPP seja executada pela Internet. L2TP não inclui criptografia, mas o padrão é usar IPsec para fornecer conexões de rede virtual privada (VPN) de usuários remotos para a LAN corporativa.
Adicionar serviços personalizados para tipos de serviços predefinidos
Você pode adicionar um serviço personalizado para qualquer um dos tipos de serviços predefinidos:
|
Todos os serviços personalizados que você cria estão listados na tabela Serviços. Você pode agrupar serviços personalizados criando um Grupo de serviços personalizados para a imposição de políticas simplificada. Se um protocolo não estiver listado na tabela Serviços padrão, você pode adicioná-lo à tabela Serviços:
1. Clique no botão Adicionar.
3. Selecione o tipo de protocolo IP no menu suspenso Protocolo.
• Para protocolos TCP e UDP, especifique o Intervalo de portas. Você não precisará especificar um Subtipo.
• Nos dispositivos da série NSA da Dell SonicWALL, para protocolos ICMP, IGMP, OSPF e PIMSM, selecione os subtipos no menu suspenso Subtipo.
• Para os protocolos restantes, você não precisará especificar um Intervalo de portas ou um Subtipo.
5. Clique em OK. O serviço aparece na tabela Serviços personalizados.
6. Clique na caixa de seleção Habilitar registro em log para desabilitar ou habilitar o registro das atividades do serviço.
Adicionar serviços de tipo de IP personalizado
Usando somente os tipos de IP predefinidos, se o dispositivo de segurança encontrar tráfego de qualquer outro tipo de protocolo IP, ele será descartado como não reconhecido. No entanto, há uma grande lista em expansão de outros tipos IP registrados, como controlado pela IANA (Internet Assigned Numbers Authority – Autoridade de atribuição de números na Internet): http://www.iana.org/assignments/protocol-numbers, portanto, enquanto a prática rígida de descarte de tráfego de tipo IP menos comum (não reconhecido) é segura, era funcionalmente restritiva.
O SonicOS Enhanced 3.5 e superior, com o suporte para Objetos de serviço de tipo IP personalizado, permite que um administrador construa Objetos de serviço representando qualquer tipo IP, permitindo que regras de acesso do firewall sejam gravadas para reconhecer e controlar tráfego de IPv4 de qualquer tipo.
Note O serviço genérico Qualquer não manipulará Objetos de serviço do tipo IP personalizado. Em outras palavras, a definição de um objeto de serviço do tipo IP personalizado para o Tipo IP 126 não permitirá que o tráfego de Tipo IP 126 passe pela regra de permissão LAN > WAN.
Exemplo
Suponha que um administrador precisava permitir RSVP (Protocolo de reserva de recursos – Tipo IP 46) e SRP (Protocolo de rádio Spectralink ™ – Tipo IP 119) de todos os clientes na zona de WLAN (sub-redes de WLAN) para um servidor na zona de LAN (por exemplo, 10.50.165.26). O administrador poderia definir Objetos de serviços do tipo IP personalizado para lidar com esses dois serviços:
1. Na página Rede > Serviços, clique no link Acessar objetos de serviço na parte superior direita da página para ir até a seção Serviços.
2. Clique em Adicionar.
4. Selecione Tipo IP personalizado na lista suspensa Protocolo.
5. Insira o número de protocolo para o Tipo IP personalizado. Os intervalos de portas não são definíveis para ou aplicáveis a tipos IP personalizados.
Note Não serão permitidas tentativas para definir um Objeto de serviço do tipo IP personalizado para um tipo IP predefinido e resultarão em uma mensagem de erro.
8. Adicione um Grupo de serviços composto pelos Serviços de tipos IP personalizados.
10. Defina uma Regra de acesso permitindo myServices de Sub-redes de WLAN para o objeto de endereço 10.50.165.26.
Note Selecione suas zonas, seus serviços e objetos de endereços adequadamente. Poderá ser necessário criar uma Regra de acesso para tráfego bidirecional; por exemplo, uma Regra de acesso adicional da LAN > WLAN permitindo myServices de 10.50.165.26 para Sub-redes de WLAN.
O tráfego de protocolo IP 46 e 119 será agora reconhecido e será permitida a passagem de Sub-redes de WLAN para 10.50.165.26.
Editar serviços personalizados
Clique no ícone Editar em Configurar para editar o serviço na janela Editar serviço que inclui as mesmas configurações que a janela Adicionar serviço.
Excluir serviços personalizados
Clique no ícone Excluir para excluir um serviço personalizado individual. Você pode excluir todos os serviços personalizados clicando no botão Excluir.
Adicionar um grupo de serviços personalizados
Você pode adicionar serviços personalizados e, em seguida, criar grupos de serviços, incluindo serviços padrão, para aplicar as mesmas políticas. Por exemplo, você pode permitir o tráfego de SMTP e POP3 somente durante determinadas horas ou determinados dias da semana adicionando os dois serviços como um Grupo de serviço personalizado.
Para criar um Grupo de serviços personalizados, efetue o seguinte:
1. Clique em Adicionar grupo.
3. Selecione serviços individuais da lista na coluna à esquerda. Você também pode selecionar vários serviços pressionando a tecla Ctrl e clicando nos serviços.
4. Clique em -> para adicionar os serviços ao grupo.
5. Para remover serviços do grupo, selecione serviços individuais da lista na coluna à direita. Você também pode selecionar vários serviços pressionando a tecla Ctrl no seu teclado e clicando nos serviços.
6. Clique em < - para remover os serviços.
7. Quando tiver terminado, clique em OK para adicionar o grupo aos Grupos de serviços personalizados.
Clicar na seta à esquerda de um nome de Grupo de serviço personalizado expande a exibição para mostrar todos os serviços personalizados individuais, serviços padrão e grupos de serviços personalizados incluídos na entrada Grupo de serviços personalizados.
Editar grupos de serviços personalizados
Clique no ícone Editar em Configurar para editar o grupo de serviço personalizado na janela Editar serviço Grupo que inclui as mesmas configurações que a janela Adicionar grupo de serviços.
Excluir grupos de serviços personalizados
Clique no ícone Excluir para excluir a entrada de grupo de serviços personalizados individual. Você pode excluir todos os grupos de serviços personalizados clicando no botão Excluir.