UniFi – UDM/USG: Güvenlik Duvarı Kurallarına Giriş

Güvenlik Duvarı Kuralları

UniFi – UDM/USG: Güvenlik Duvarı Kurallarına Giriş

UniFi Dream Machine (UDM) ve UniFi Security Gateway (USG) modelleri, yöneticilere ağın güvenliğini sağlamaya yardımcı olan güvenlik duvarı kuralları oluşturma ve yönetme yeteneği de dahil olmak üzere UniFi ağlarını yönetmeleri için birçok kullanışlı özellik sunar. Bu kılavuz, UniFi Network uygulamasında güvenlik duvarı kurallarının nasıl yapılandırılacağını açıklayacak ve güvenlik duvarı ayarlarını yönetmek için bazı öneriler sunacaktır.

Güvenlik duvarı kurallarının Kural Dizini numarasına göre işlendiğini unutmamak önemlidir  . Daha düşük bir sayı (listenin başında), kuralın diğer kurallardan önce veya sonra işlendiği anlamına gelir. Yeni bir kural oluştururken, onu önceden tanımlanmış kurallardan önce veya sonra uygulamayı seçebilirsiniz. Belirli trafiğin engellenmesi/izin verilmesi gerekip gerekmediğine karar verirken kural sırası çok önemlidir. Belirli bir trafiğe izin veren bir kural, aynı trafiği bırakan başka bir kuralın ardından eklenirse (daha yüksek kural dizin numarası), trafik yine engellenir ve kuralın hiçbir etkisi olmaz.

Önceden Tanımlanmış WAN, LAN ve Misafir Güvenlik Duvarı Kuralları

  UDM/USG’deki önceden tanımlanmış güvenlik duvarı kuralları, Yeni Web Kullanıcı Arayüzü’nün Ayarlar > İnternet Güvenliği > Güvenlik Duvarı bölümünde  listelenmiştir   .

NOT: Klasik Web Kullanıcı Arayüzü kullanırken bunun yerine  Ayarlar > Yönlendirme ve Güvenlik Duvarı > Güvenlik Duvarı bölümüne gidin  

Kurallar, uygulandıkları ağ türüne göre gruplandırılır. Aşağıdaki ağ türleri kullanılır:

• WANWAN ağı için geçerli olan IPv4 güvenlik duvarı kurallarını içerir.
• LANLAN (Kurumsal) ağı için geçerli olan IPv4 güvenlik duvarı kurallarını içerir.
• Guest Konuk ağı için geçerli olan IPv4 güvenlik duvarı kurallarını içerir.
• WAN v6 WAN ağı için geçerli olan IPv6 güvenlik duvarı kurallarını içerir.
• LAN v6 LAN (Kurumsal) ağı için geçerli olan IPv6 güvenlik duvarı kurallarını içerir.
• Guest v6 Konuk ağı için geçerli olan IPv6 güvenlik duvarı kurallarını içerir.

 Ağ türünün yanı sıra, güvenlik duvarı kuralları bir yön için de geçerlidir. Aşağıdaki yönler kullanılır:

• Local UDM/USG’nin kendisine yönelik trafik için geçerlidir.
• In Arayüze (giriş) giren ve diğer ağlara yönelik trafik için geçerlidir.
• Out Bu ağ için hedeflenen arabirimden (çıkış) çıkan trafiğe uygulanır.

Örneğin, LAN In altında yapılandırılan güvenlik duvarı kuralları , diğer ağlara yönelik LAN (Kurumsal) ağından gelen trafiğe uygulanacaktır. LAN Local altında yapılandırılan güvenlik duvarı kuralları , UDM/USG’nin kendisine yönelik LAN (Kurumsal) ağından gelen trafiğe uygulanacaktır.

Yön veya ağ türüne ek olarak, güvenlik duvarı kuralları bir durumu da kullanabilir:

• new Gelen paketler yeni bir bağlantıdan.
• established Gelen paketler zaten var olan bir bağlantıyla ilişkilendirilir.
• related Gelen paketler yenidir , ancak zaten var olan bir bağlantıyla ilişkilidir .
• invalid Gelen paketler diğer durumların hiçbiriyle eşleşmiyor.

Örneğin, önceden tanımlanmış WAN Yerel ve WAN In güvenlik duvarı kuralları, İnternet’ten yapılan dış bağlantı girişimlerinin UDM/USG’ye ve arkasındaki LAN ağına erişememesini sağlar. Ancak, UDM/USG ve LAN ağı İnternet üzerindeki hedeflere ulaşabilir ve dönüş trafiğinin geri dönmesine izin verilir. Önceden tanımlanmış WAN Yerel ve WAN In güvenlik duvarı kuralları şunlardır:

Kural Dizini: 3001 
Etkin: Evet 
Açıklama: kurulmuş/ilgili oturumlara izin ver (yukarıdaki durumlara bakın) 
Eylem: 
Protokolü Kabul Et : Tüm 
Türler: WAN Girişi ve WAN Yerel

Kural Dizini: 3002 
Etkin: Evet 
Açıklama: geçersiz durumu bırak (yukarıdaki durumlara bakın) 
Eylem: Bırakma 
Protokolü: Tüm 
Tür: WAN Girişi ve WAN Yerel

Ayrıca her ağ türü için varsayılan bir güvenlik duvarı kuralı olduğunu unutmayın. WAN In ve WAN Local durumunda , varsayılan eylem bırakmadır. Varsayılan kural, Ağ uygulamasında gösterilmez. Farklı güvenlik duvarı kuralları ve uygulandıkları ağ türleri için aşağıdaki listeye bakın:

WAN Ağı

• WAN LocalWAN ağında UDM/USG’nin kendisine yönelik IPv4 trafiği için geçerlidir (varsayılan düşüş).
• WAN InWAN’a giren (giriş), diğer ağlara yönelik (varsayılan düşüş) IPv4 trafiği için geçerlidir.
• WAN OutWAN’da (çıkış) bulunan ve diğer ağlara yönelik IPv4 trafiği için geçerlidir (varsayılan kabul).
• WAN v6 LocalWAN ağında UDM/USG’nin kendisine yönelik IPv6 trafiği için geçerlidir (varsayılan düşüş).
• WAN v6 InWAN’a giren (giriş), diğer ağlara yönelik (varsayılan düşüş) IPv6 trafiği için geçerlidir.
• WAN v6 OutWAN’da (çıkış) bulunan ve diğer ağlara yönelik IPv6 trafiği için geçerlidir (varsayılan kabul).

LAN Ağı

• LAN LocalLAN ağında UDM/USG’nin kendisine yönelik IPv4 trafiği için geçerlidir (varsayılan kabul).
• LAN InLAN’a giren (giriş), diğer ağlara yönelik IPv4 trafiği için geçerlidir (varsayılan kabul).
• LAN OutBu ağ için hedeflenen LAN (çıkış) bulunan IPv4 trafiği için geçerlidir (varsayılan kabul).
• LAN v6 LocalLAN ağında UDM/USG’nin kendisine yönelik IPv6 trafiği için geçerlidir (varsayılan kabul).
• LAN v6 InLAN’a giren (giriş), diğer ağlara yönelik (varsayılan kabul) IPv6 trafiği için geçerlidir.
• LAN v6 OutBu ağ için hedeflenen LAN (çıkış) bulunan IPv6 trafiği için geçerlidir (varsayılan kabul).

Misafir ağı

• Guest LocalKonuk ağında UDM/USG’nin kendisine yönelik IPv4 trafiği için geçerlidir (varsayılan düşüş). DNS ve DHCP gibi belirli hizmetlere izin verir.
• Guest InKonuk ağına (giriş) giren ve diğer ağlara yönelik IPv4 trafiği için geçerlidir (varsayılan kabul). Trafiği diğer LAN (Kurumsal) ağlara bırakır.
• Guest OutBu ağ için hedeflenen (varsayılan kabul edilen) Konuk ağı (çıkış) bulunan IPv4 trafiği için geçerlidir.
• Guest v6 LocalKonuk ağında UDM/USG’nin kendisine yönelik IPv6 trafiği için geçerlidir (varsayılan düşüş). DNS ve DHCP gibi belirli hizmetlere izin verir.
• Guest v6 InKonuk ağına (giriş) giren ve diğer ağlara yönelik IPv6 trafiği için geçerlidir (varsayılan kabul). Trafiği diğer LAN (Kurumsal) ağlara bırakır.
• Guest v6 OutBu ağ için hedeflenen (varsayılan kabul edilen) Konuk ağı (çıkış) bulunan IPv6 trafiği için geçerlidir.

Otomatik Olarak Oluşturulan Güvenlik Duvarı Kuralları

Önceden tanımlanmış güvenlik duvarı kurallarının yanı sıra, UDM/USG, belirli özellikleri yapılandırırken gerekli kuralları da otomatik olarak ekleyecektir. Örneğin, bir L2TP VPN sunucusu eklerken, WAN Yerel güvenlik duvarı üzerinden izin verilmesi gereken gerekli bağlantı noktaları otomatik olarak eklenir.   Ayarlar > Ağlar > Yerel Ağlar  bölümünden Misafir ağı eklerken   , Konuk ve Misafir v6 kuralları da otomatik olarak eklenecektir. Misafir ağına uygulanan kurallar, konukların bir DHCP adresi alabilmelerini ve kimlik doğrulama için Misafir Portalına ulaşabilmelerini sağlayacaktır.

Özel Güvenlik Duvarı Kurallarını Yapılandırma

Aşağıdaki adımlar izlenerek diğer özel kurallar eklenebilir. Aşağıdaki örnek, UDM/USG’nin ping yoluyla erişilebilir olmasını sağlayan WAN ağına bir ICMP güvenlik duvarı kuralı ekler.

Yeni veya Klasik Web Kullanıcı Arayüzü’nü kullanarak özel bir güvenlik duvarı kuralı eklemek için aşağıdaki adımları izleyin:

Tür: WAN Yerel 
Açıklama: ICMPv4 
Etkin: İşaretli 
Kural Uygulandı: Önceden Tanımlanmış Kurallardan Önce 
Eylem: 
IPv4 Protokolünü Kabul Et : ICMP 
IPv4 ICMP Tür Adı: Yankı İsteği 
Bunun dışındaki tüm protokolleri eşleştir: İşaretlenmemiş 
Kaynak: İsteğe Bağlı 
Hedef: İsteğe Bağlı 
Gelişmiş: İsteğe Bağlı

İlgili Makaleler

UniFi – UDM/USG Güvenlik Duvarı: WAN Arabiriminde ICMP Nasıl Etkinleştirilir

Ağa Giriş – Ağ Güvenlik Duvarı Güvenliği