PANEL_addRuleDlg
Para adicionar regras de acesso ao dispositivo de segurança Dell SonicWALL, execute as seguintes etapas:
1. Clique em Adicionar na parte inferior da tabela Regras de acesso. A janela Adicionar regra é exibida.
Na guia Geral, selecione Permitir | Negar | Descartar na lista Ação para permitir ou bloquear o tráfego IP.
3. Selecione de/para zonas nos menus De zona e Para Zona.
4. Selecione o serviço ou o grupo de serviços afetados pela regra de acesso na lista Serviço. O serviço Padrão engloba todos os serviços IP.
Se o serviço não estiver listado, você deve definir o serviço na janela Adicionar serviço. Selecione Criar novo serviço ou Criar novo grupo para exibir a janela Adicionar serviço ou Adicionar grupo de serviços.
5. Selecione a origem do tráfego afetado pela regra de acesso na lista Origem. Selecionar Criar nova rede exibe a janela Adicionar objeto de endereço.
6. Se você quiser definir os endereços IP de origem que são afetados pela regra de acesso, como restringir o acesso de certos usuários à Internet, digite os endereços IP iniciais da faixa de endereços no campo Início da faixa de endereços e o endereço IP final no campo Fim da faixa de endereços. Para incluir todos os endereços IP, digite * no campo Início da faixa de endereços.
7. Selecione o destino do tráfego afetado pela regra de acesso na lista Origem. Selecionar Criar nova rede exibirá a janela Adicionar objeto de endereço.
8. No menu Usuários permitidos, adicione o usuário ou o grupo de usuários afetados pela regra de acesso.
9. Selecione um cronograma no menu Cronograma. O cronograma padrão está Sempre ativo.
10. Insira os comentários para ajudar a identificar a regra de acesso no campo Comentários.
11. Por padrão, a caixa de seleção Permitir pacotes fragmentados está habilitada. Os pacotes de IP grandes são frequentemente divididos em fragmentos antes de serem roteados através da Internet e depois reagrupados no host de destino. Um motivo para desabilitar esta configuração está relacionado com o fato de ser possível explorar a fragmentação de IP em ataques de negação de serviço (DoS).
12. Clique na guia Avançado.
Se desejar que a regra de acesso termine após um período de inatividade do TCP, defina o tempo, em minutos, no campo Tempo limite de inatividade da conexão TCP (minutos). O valor padrão é de 5 minutos.
14. Se desejar que a regra de acesso termine após um período de inatividade do UDP, defina o tempo, em minutos, no campo Tempo limite de inatividade da conexão UDP (minutos). O valor padrão é de 30 minutos.
15. Especifique o número de conexões permitidas como uma porcentagem do número máximo de conexões permitidas pelo dispositivo de segurança Dell SonicWALL no campo Número de conexões permitidas (% de conexões máximas). Consulte Visão geral do limite de conexão para obter mais informações sobre o limite de conexão.
16. Selecione Criar uma regra reflexiva se desejar criar uma regra de acesso correspondente a esta na direção oposta: da zona de destino ou do objeto de endereço para a zona de origem ou o objeto de endereço.
17. Clique na guia QoS se desejar aplicar o gerenciamento da Qualidade de Serviço DSCP ou 802.1p ao tráfego regido por esta regra.
Em Configurações de marcação DSCP, selecione Ação de marcação DSCP. Você poderá selecionar Nenhum, Preservar, Explícito ou Mapear. A opção Preservar é o padrão.
– Nenhum: os valores DSCP em pacotes são redefinidos para 0.
– Preservar: os valores DSCP em pacotes permanecerão inalterados.
– Explícito: defina o valor DSCP para o valor que selecionar no campo Valor DSCP explícito. Este é um valor numérico entre 0 e 63. Alguns dos valores padrão são:
: •: 0 – Melhor esforço/Padrão (padrão)
: •: 8 – Classe 1
: •: 10 – Classe 1, Ouro (AF11)
: •: 12 – Classe 1, Prata (AF12)
: •: 14 – Classe 1, Bronze (AF13)
: •: 16 – Classe 2
: •: 18 – Classe 2, Ouro (AF21)
: •: 20 – Classe 2, Prata (AF22)
: •: 22 – Classe 2, Bronze (AF23)
: •: 24 – Classe 3
: •: 26 – Classe 3, Ouro (AF31)
: •: 27 – Classe 3, Prata (AF32)
: •: 30 – Classe 3, Bronze (AF33)
: •: 32 – Classe 4
: •: 34 – Classe 4, Ouro (AF41)
: •: 36 – Classe 4, Prata (AF42)
: •: 38 – Classe 4, Bronze (AF43)
: •: 40 – Encaminhamento expresso
: •: 46 – Encaminhamento rápido (EF)
: •: 48 – Controle
: •: 56 – Controle
– Mapear: as configurações de mapeamento QoS na página Firewall > Mapeamento QoS serão usadas. Se você selecionar Mapear, poderá selecionar Permitir que a marcação 802.1p substitua os valores DSCP.
19. Em Configurações da marcação 802.1p, selecione Ação da marcação 802.1p. Você poderá selecionar Nenhum, Preservar, Explícito ou Mapear. Nenhum é o padrão.
– Nenhum: não é adicionada marcação 802.1p aos pacotes.
– Preservar: os valores 802.1p em pacotes permanecerão inalterados.
– Explícito: defina o valor 802.1p para o valor que selecionar no campo Valor 802.1p explícito. Este é um valor numérico entre 0 e 7. Os valores padrão são:
: •: 0 – Melhor esforço (padrão)
: •: 1 – Segundo plano
: •: 2 – Reposição
: •: 3 – Esforço excelente
: •: 4 – Carga controlada
: •: 5 – Vídeo (latência < 100 ms)
: •: 6 – Voz (latência < 10 ms)
: •: 7 – Controle de rede
– Mapear: as configurações de mapeamento QoS na página Firewall > Mapeamento QoS serão usadas.
20. Clique em OK para adicionar a regra.
Dica Embora possam ser criadas regras de acesso personalizadas que permitam o tráfego IP de ingresso, o dispositivo de segurança Dell SonicWALL não desabilita a proteção contra ataques de DoS, como os ataques de inundação SYN e ping da morte.
Para exibir a janela Editar regra (inclui as mesmas configurações que a janela Adicionar regra), clique no ícone Editar.
Para excluir uma regra de acesso individual, clique no ícone Excluir. Para excluir todas as regras de acesso selecionadas, clique no botão Excluir.
Habilitar e desabilitar uma regra de acesso
Para habilitar ou desabilitar uma regra de acesso, clique na caixa de seleção Habilitar.
Restaurar regras de acesso às configurações de zona padrão
Para remover todas as regras de acesso configuradas de usuários finais de uma zona, clique no botão Padrão. Isto irá restaurar as regras de acesso da zona selecionada às regras de acesso padrão inicialmente configuradas no dispositivo de segurança de rede Dell SonicWALL.
Exibir estatísticas de tráfego de regra de acesso
Mova o ponteiro do mouse sobre o ícone Gráfico para exibir as seguintes estatísticas de tráfego de recepção (Rx) e transmissão (Tx) de regras de acesso:
• Bytes de recepção
• Pacotes de recepção
• Bytes de transmissão
• Pacotes de transmissão
Visão geral do limite de conexão
O recurso de limite de conexão destina-se a oferecer uma camada adicional de segurança e controle quando combinado com recursos do SonicOS, como cookies SYN e Intrusion Prevention Services (IPS). O limite de conexão fornece um meio de estrangulamento de conexões através do firewall usando regras de acesso como um classificador e declarando a porcentagem máxima de cache de conexão disponível total que pode ser alocada a essa classe de tráfego.
Junto com o IPS, isso pode ser usado para reduzir a disseminação de uma determinada classe de malware, como exemplificado por Sasser, Blaster e Nimda. Esses worms se propagam iniciando conexões a endereços aleatórios a altas taxas atípicas. Por exemplo, cada host infectado pelo Nimda tenta 300 a 400 conexões por segundo, o Blaster envia 850 pacotes por segundo e o Sasser consegue realizar 5120 tentativas por segundo. O tráfego de rede típico e não malicioso geralmente não se compara a nenhum desses números, especialmente quando nos deparamos com tráfego confiável -> não confiável (por exemplo, LAN->WAN). Atividades maliciosas deste tipo podem consumir todos os recursos de cache disponíveis em segundos, principalmente em dispositivos menores.
A tabela seguinte descreve o tamanho do cache de conexão dos dispositivos de segurança de rede Dell SonicWALL executando o SonicOS com serviços de segurança UTM habilitados ou desabilitados (os números estão sujeitos a alteração):
| |||||
Além da atenuação da propagação de worms e vírus, o limite de conexão pode ser usado para melhorar outros tipos de problemas de consumo de recursos do cache de conexão, como aqueles causados por hosts internos inflexíveis que executam software ponto a ponto (assumindo que o IPS está configurado para permitir esses serviços) ou hosts internos ou externos que usam geradores de pacotes ou ferramentas de verificação.
Finalmente, o limite de conexão pode ser usado para proteger servidores publicamente disponíveis (como servidores da Web) limitando o número de conexões legítimas de entrada permitidas para o servidor (ou seja, para proteger o servidor contra o efeito slashdot). Isso é diferente da proteção contra inundação SYN que tenta detectar e prevenir conexões TCP parcialmente abertas ou falsificadas. Isto será mais adequado para o tráfego não confiável, mas pode ser aplicado a qualquer tráfego de zona, conforme necessário.
O limite de conexão é aplicado ao definir uma porcentagem de conexões totais máximas permitidas que poderão ser alocadas a um determinado tipo de tráfego. Os valores acima mostram a configuração LAN -> WAN padrão, em que todos os recursos disponíveis podem ser alocados ao tráfego LAN->WAN (qualquer origem, qualquer destino, qualquer serviço).
É possível construir regras mais específicas, por exemplo, para limitar a porcentagem de conexões que podem ser consumidas por um determinado tipo de tráfego (por exemplo, tráfego FTP para qualquer destino na WAN) ou dar prioridade ao tráfego importante (por exemplo, tráfego HTTPS para um servidor crítico), atribuindo uma permissão de 100% a essa classe de tráfego e limitando o tráfego geral para uma porcentagem menor (o valor mínimo permitido é de 1%).
Observação Não é possível usar assinaturas de IPS como um classificador de limite de conexão. Somente as regras de acesso (por exemplo, objetos de endereços e objetos de serviços) são permitidas.
Exemplos de configuração de regras de acesso
Esta seção fornece exemplos de configuração na adição de regras de acesso a redes:
• Bloquear o acesso à LAN em serviços específicos
• Permitir acesso ao IP primário de WAN a partir da zona de LAN
Esta seção fornece um exemplo de configuração de uma regra de acesso para permitir que dispositivos na DMZ enviem solicitações de ping e recebam respostas de ping a partir de dispositivos na LAN. Por padrão, o seu dispositivo de segurança de rede Dell SonicWALL não permite tráfego iniciado na DMZ para alcançar a LAN. Depois de colocar uma das suas interfaces na zona DMZ, na janela Firewall > Regras de acesso realize as seguintes etapas para configurar uma regra de acesso que permita que dispositivos na DMZ enviem solicitações de ping e recebam respostas de ping a partir de dispositivos na LAN.
1. Clique em Adicionar para abrir a janela Adicionar regra.
2. Selecione o botão de opção Permitir.
3. No menu Serviço, selecione Ping.
4. No menu Origem, selecione Sub-redes DMZ.
5. No menu Destino, selecione Sub-redes LAN.
6. Clique em OK.
Bloquear o acesso à LAN em serviços específicos
Esta seção fornece um exemplo de configuração de uma regra de acesso para bloquear o acesso à LAN em servidores NNTP na Internet durante o horário de expediente.
Realize as seguintes etapas para configurar uma regra de acesso que bloqueia o acesso à LAN em servidores NNTP com base em uma programação:
1. Clique em Adicionar para abrir a janela Adicionar.
2. Selecione Negar nas configurações de Ação.
3. Selecione NNTP no menu Serviço. Se o serviço não estiver listado na lista, você precisa adicioná-lo na janela Adicionar serviço.
4. Selecione Qualquer no menu Origem.
5. Selecione WAN no menu Destino.
6. Selecione o cronograma no menu Cronograma.
7. Introduza quaisquer comentários no campo Comentário.
8. Clique em Adicionar.
Permitir acesso ao IP primário de WAN a partir da zona de LAN
Ao criar uma regra de acesso, é possível permitir o acesso a um endereço IP de gerenciamento em uma zona a partir de outra zona no mesmo firewall. Por exemplo, você pode permitir o gerenciamento HTTP/HTTPS ou ping ao endereço IP da WAN no lado da LAN. Para tal, você deve criar uma regra de acesso para permitir o serviço relevante entre as zonas, fornecendo um ou mais endereços IP de gerenciamento explícitos como destino. Como alternativa, você pode fornecer um grupo de endereços que inclua um ou vários endereços de gerenciamento (tais como IP primário de WAN, Todos os IPs de WAN, Todos os IPs de gerenciamento X1) como o destino. Este tipo de regra permite o gerenciamento HTTP, gerenciamento HTTPS, gerenciamento SSH, ping e serviços SNMP entre zonas.
Observação As regras de acesso só podem ser definidas para gerenciamento entre zonas. O gerenciamento entre zonas é controlado por interface através de configurações na configuração da interface.
Para criar uma regra que permite o acesso ao IP primário de WAN a partir da zona da LAN:
1. Na página Firewall > Regras de acesso, exiba as regras de acesso LAN > WAN.
2. Clique em Adicionar para abrir a janela Adicionar.
3. Selecione Permitir nas configurações de Ação.
4. Selecione um dos seguintes serviços no menu Serviço:
• HTTP
• HTTPS
• Gerenciamento SSH
• Ping
• SNMP
5. Selecione Qualquer no menu Origem.
6. Selecione um grupo de endereços ou objeto de endereços que contenha um ou mais endereços IP de WAN explícitos no menu Destino.
Observação Não selecione um grupo de endereços ou objeto que represente uma sub-rede, como a Sub-rede primária de WAN. Isto permitirá acesso a dispositivos na sub-rede de WAN (já permitido por padrão), mas não aos endereços IP de gerenciamento de WAN.
7. Selecione o usuário ou o grupo para atribuir acesso no menu Usuários permitidos.
8. Selecione o cronograma no menu Cronograma.
9. Introduza quaisquer comentários no campo Comentário.
10. Clique em Adicionar.
Habilitar gerenciamento de largura de banda em uma regra de acesso
O gerenciamento de largura de banda pode ser aplicado no tráfego de ingresso e egresso usando regras de acesso. As regras de acesso com o ícone Funil são configuradas para o gerenciamento de largura de banda.
Dica Não configure o gerenciamento de largura de banda em várias interfaces em uma zona em que a largura de banda garantida configurada da zona é superior à largura de banda disponível da interface associada.
Para obter informações sobre a configuração do gerenciamento de largura de banda, consulte Configurações de firewall > BWM na página 677.