Konfiguracja zapory ogniowej w trybie standardowym na module SCALANCE S623 1. Słownik Użycie terminów interfejs i port: W tym dokumencie używane będą następujące terminy dotyczące portów modułów zabezpieczeń: Interfejs zewnętrzny : External port modułu S623 Interfejs wewnętrzny : Internal port modułu S623 Interfejs DMZ : Port DMZ modułu S623 Termin port będzie używany gdy będziemy skupiać się na porcie danego interfejsu. 2. Wstęp W tym przykładzie dowiesz się w jaki sposób skonfigurować zaporę ogniową w tryb standard mode. Tryb standardowy zawiera predefiniowane zasady ruchu sieciowego. Z tą konfiguracją ruch sieciowy może być tylko zainicjalizowany z interfejsu wewnętrznego; tylko odpowiedź jest dozwolona z interfejsu zewnętrznego. Wizualizacja połączenia:
Internal Network wewnętrzna sieć połączona do interfejsu wewnętrznego modułu zabezpieczeń W tym przypadku do tej sieci podłączony jest komputer klasy PC Security module moduł SCALANCE S zabezpieczający sieć wewnętrzną External Network zewnętrzna sieć połączona do interfejsu zewnętrznego modułu zabezpieczeń W tym przypadku do tej sieci podłączony jest komputer klasy PC z zainstalowanym oprogramowaniem Security Configuration Tool 3. Konfiguracja IP urządzeń klasy PC Na czas testów komputerom przypisano następujące adresy IP: PC Adres IP Maska podsieci PC1 191.0.0.1 255.255.0.0 PC2 191.0.0.2 255.255.0.0 4. Tworzenie nowego projektu w Security Configuration Tool 1. Zainstaluj i uruchom Security Configuration Tool na PC1 2. Wybierz Project -> New z paska menu 3. W oknie które się pojawi utwórz nowego użytkownika podając jego nazwę i hasło. Rola administratora zostanie przydzielona do tego użytkownika automatycznie 4. Potwierdź wprowadzone dane przyciskiem OK.. Rezultat: Nowy projekt został założony, otworzy się nowe okno dialogowe 5. Wybierz następujące opcje: Product type: SCALANCE S Module : S623 Firmware release: V3 6. W polu MAC address wpisz adres MAC w wymaganym formacie Adres MAC jest nadrukowany na przodzie modułu SCALANCE S. 7. W polu IP address(ext.) wpisz zewnętrzny adres IP (191.0.0.200), a w polu Subnet mask(ext.) zewnętrzną maskę podsieci (255.255.0.0) i potwierdź przyciskiem OK..
5. Konfiguracja zapory ogniowej W standardowym trybie, zapora ogniowa może być skonfigurowana za pomocą predefiniowanych zasad. Możesz aktywować te zasady poprzez kliknięcie na nie. 1. Wybierz moduł zabezpieczeń, który właśnie został utworzony 2. Użyj skrótu klawiszowego F4 w celu wywołania okna właściwości lub z paska menu wybierz Edit -> Properties. 3. Wybierz zakładkę Firewall 4. Ustaw zabezpieczenia tak jak poniżej: Rezultat: Ruch sieciowy IP będzie inicjalizowany tylko z sieci wewnętrznej; tylko odpowiedź jest dozwolona z interfejsu zewnętrznego. 5. W dolnej części okna dialogowego znajdują się opcje dotyczące logowania zdarzeń. Powinny one być włączone w celu tworzenia dziennika akcji, 6. Zamknij okno dialogowe klikając OK. 7. Zapisz swój projekt wybierając z paska menu Project -> Save lub korzystając ze skrótu klawiszowego Ctrl + S. 6. Wgrywanie konfiguracji do modułu zabezpieczeń 1. Wybierz moduł zabezpieczeń, do którego chcesz wgrać konfigurację
2. Z paska menu wybierz Transfer -> To module(s) Z listy rozwijalnej Network adapter wybierz kartę sieciową do której podpięty jest moduł zabezpieczeń i naciśnij OK. 3. Jeżeli adres IP się zgadza, naciśnij przycisk Start. Jeżeli wgrywanie konfiguracji zakończyło się sukcesem, moduł SCALANCE S jest automatycznie restartowany i aktywowana jest nowa konfiguracja. W tym momencie SCALANCE S działa produktywnie. Sygnalizowane jest to zmianą koloru lampki Fault na zielony. Uruchomienie konfiguracji zostało zakończone i SCALANCE S chroni teraz sieć wewnętrzną (PC2) zaporą ogniową. 7. Testowanie zapory ogniowej (test ping) W jaki sposób można przetestować skonfigurowaną funkcjonalność? Można to zrobić poprzez komendę ping. Jako alternatywę, możesz również użyć innych programów komunikacyjnych, aby przetestować zaporę ogniową. Uwaga! W systemach Windows, zapora ogniowa może zostać skonfigurowana w taki sposób, że komenda ping jest blokowana. Testowanie faza 1 Przetestujmy teraz funkcję zapory ogniowej, najpierw sprawdźmy dozwolone połączenie inicjalizowane przez sieć wewnętrzą: 1. Na PC2 uruchom wiersz poleceń (W+R, wpisujemy cmd i naciskamy OK. )
2. Wywołaj polecenie Ping z PC2 do PC1 wpisując w wiersz poleceń ping 191.0.0.1 Pozytywna odpowiedź powinna wyglądać tak: Pakiety IP dotarły do PC1, Ping statistics powinno zawierać: Sent = 4 Received = 4 Lost = 0 (0% loss) Dzięki tej konfiguracji, pakiety są przepuszczane z sieci wewnętrznej do sieci zewnętrznej. PC znajdujący się w sieci zewnętrznej odpowiedział na pakiety ping. Dzięki funkcji zapory ogniowej stateful inspection pakiety odpowiedzi pochodzące z sieci zewnętrznej nie są blokowane przez zaporę ogniową i przesyłane są do sieci wewnętrznej. Testowanie faza 2 Sprawdźmy teraz czy zapora ogniowa blokuje połączenia przychodzące z sieci zewnętrznej: 1. Na PC1 uruchom wiersz poleceń (W+R, wpisujemy cmd i naciskamy OK. ) 2. Wywołaj polecenie Ping z PC1 do PC2 wpisując w wiersz poleceń ping 191.0.0.2 Negatywna odpowiedź powinna wyglądać tak: Pakiety IP pochodzące z PC1 są blokowane i nie dochodzą do PC2 zgodnie z regułą, którą ustaliliśmy wcześniej (niedozwolone połączenia z sieci zewnętrznej (PC1) do sieci wewnętrznej (PC2)). Ping statistics powinno zawierać: Sent = 4 Received = 0 Lost = 4 (100% loss)
8. Logowanie ruchu sieciowego zapory ogniowej Na modułach zabezpieczających, lokalny system logowania zdarzeń jest domyślnie włączony. Podczas wypełniania kroków tego poradnika również aktywowaliśmy opcje logowania ważnych wydarzeń ruchu sieciowego. Zapisane wydarzenia mogą zostać wyświetlone w trybie online. 1. Na PC1, zmień tryb pracy Security Configuration Tool na online skrótem klawiszowym Ctrl + D lub wybierając View -> Online z paska menu. 2. Z paska menu wybierz Edit -> Online diagnostics 3. Wybierz zakładkę Packet filter log 4. Naciśnij przycisk Start reading 5. Zatwierdź przyciskiem OK. nowe okno dialogowe Wpisy dziennika zdarzeń zostały wczytane i wyświetlone.