UniFI Firewall Explained

A tűzfalak olyan hálózati biztonsági rendszerek, amelyek figyelik, nyomon követik és szabályozzák a hálózati forgalmat. Általában a bejövő, kimenő és helyi (azaz magának a tűzfalnak szánt) forgalomra vonatkoznak. A legkorábbi tűzfalak úgynevezett Stateless tűzfalak, amik az OSI 2. 3. és 4. rétegének információ alapján szűrik a csomagokat, például a forrás és cél címek vagy port számok alapján.
A Stateful tűzfal nyomon követi a kapcsolatok állapotát a forrás-cél IP , port és a kapcsolatjelzők alapján. Valójában csak a TCP kapcsolatok állapotát tudja követni, mert a TCP használ jelzőket (flag) a csomag fejlécekben. Nézzünk meg példának egy TCP alapú kommunikációt. (3-way handshake diagram) A kliens gép megnyit egy weboldalt. Amikor a tűzfal látja a kliens kezdeti csomagját, rögzíti a forrás-cél IP címeket, portszámokat és a TCP SYN jelzőt. Amikor a kiszolgáló válaszol SYN-ACK üzenettel, a tűzfal megkeresi az állapot táblázatában, hogy van-e egyező bejegyzés a kapcsolathoz. Mivel már rögzítette a SYN-t a klienstől, így a csomag edélyezett lesz. Ha a tűzfal RST vagy FIN-ACK csomagot lát, megjelöli a kapcsolat állapotát törlésre, és az ehhez kapcsolódó minden jövőbeni csomag elutasításra kerül. Az UDP folyamatok esetében nyomon követi a forrás-cél IP-címeket és portokat, és időtúllépési értéket társít az utolsó csomag alapján, hogy eltávolíthassa az elavult munkamentet az állapot táblából. Az UDM/USG a fejlettebb Stateful tűzfalat használja.

Az UniFi tűzfalszabályok a hálózat típusa alapján vannak csoportosítva, melyekre vonatkoznak:

Internet : az internetes hálózatra vonatkozó IPv4 tűzfalszabályok
LAN : a helyi hálózatra vonatkozó IPv4 tűzfalszabályok
Guest: a vendég hálózatra vonatkozó IPv4 tűzfalszabályok
Internet v6 : az internetes hálózatra vonatkozó IPv6 tűzfalszabályok
LAN v6 : a helyi hálózatra vonatkozó IPv6 tűzfalszabályok
Guest v6 : a vendég hálózatra vonatkozó IPv6 tűzfalszabályok

A hálózat típusán kívül a tűzfalszabályok irányra is vonatkoznak:
Local : magának az UDM/USG-nek szánt forgalomra vonatkozik (pl. DNS, DHCP)
In : az interfészre érkező, majd a routeren áthaladó forgalom
Out : olyan forgalom, amely már áthaladt a routeren és elhagyja a interfészt

A tűzfalszabályok az irány és a hálózat típusa mellett egy állapothoz is köthetőek:
New : új kapcsolatot kérő csomag, például http kérés (SYN csomag, amely egy TCP adatfolyamot indít)
Established : egy meglévő kapcsolat részét képező csomag (a válaszként érkezett SYNACK csomag)
Related : a csomag amelyik új kapcsolatot kér, de egy már meglévő kapcsolat része. Például az FTP a 21-es portot használja a kapcsolat létrehozásához, de az adatok átvitele egy másik porton történik.
Invalid : az a csomag, amely nem része egyetlen kapcsolatnak sem a connection tracking táblában.

A tűzfalszabályokat célszerű mindig a lehető legközelebb elhelyezni a forgalom forrásához. Jellemzően arra az interfészre kell alkalmazni a szabályokat amelyre a forgalom érkezik, mert a csomagokat meg szeretnénk állítani, mielőtt áthaladnának a tűzfalon, és routolva lennének.

Néhány példa a forgalom irányára:
Egy internet felől érkező forgalom: Internet In --> routing --> LAN Out
Egy weboldal felkeresése a helyi hálózatból: LAN In --> routing --> Internet Out
Két helyi hálózat közötti forgalom: LAN In --> routing --> LAN Out

[ Szerkesztve ]