Настройка межсетевого экрана от Cisco, Fortinet и Huawei

Logo
Настройка межсетевого экрана от Cisco, Fortinet и Huawei
Последнее время нас все чаще спрашивают с чего должна начинаться  настройка межсетевого экрана нового поколения. Обладатели нового NGFW не всегда понимают, как нужно активировать или настроить опции, чтобы устройство обеспечивало защиту корпоративной сети.

В данной публикации мы рассмотрим пошаговую инструкцию (HOWTO) для настройки и запуска межсетевого экрана на примере оборудования трёх производителей: Cisco, Huawei, Fortinet.

Ниже приведены основные шаги и скриншоты настроек оборудования со следующими операционными системами:
  • Cisco ASA: Firepower Threat Defense Software 6.2 + Firepower Device Manager
  • Fortinet Fortigate: FortiOS 6.0
  • Huawei USG: Software V500
 _1. Cisco_Dashboard_small.png
 _1. Fortigate_Dashboard_small.png  _1. Huawei_Dashboard_small.png

Часть настроек может быть опциональной исходя из решаемых межсетевым экраном задач. Устройства настраиваются на третьем уровне сетевой модели OSI в режиме маршрутизатора. Возможен режим работы на втором уровне – transparent, но это детально будет рассмотрено в других обзорах.

Группируем настройки по типу, решаемым задачам - и приступим!

Администрирование

1. Задать пароль для административной учётной записи.
2. Ограничить доступ к интерфейсам управления по IP-адресам.
3. Активировать защищённые протоколы управления SSH и HTTPS. Отключить небезопасные TELNET и HTTP.
 _2. Cisco_Admin_small.png  _2. Fortigate_Admin_small.png  _2. Huawei_Admin_small.png

4. Изменить настройки или отключить параметры/функционал по умолчанию, такие как DHCP сервер, SNMP community и т.п.
5. Загрузить/активировать необходимые лицензии/подписки на функционал.
 _3. Cisco_License_small.png  _3. Fortigate_License_small.png  _3. Huawei_License_small.png

Для чего нужно настроить в первую очередь параметры администрирования и какими будут последствия, если этого не сделать?
  • Административные учётные записи и пароли по умолчанию либо пустые, либо общеизвестные, либо доступные из документации. Если их не поменять, то злоумышленники без труда получат доступ к управлению устройством.
  • Ограничить доступ нужно только IP-адресами рабочих станций администраторов для того, чтобы пользователи, и тем более злоумышленники, не смогли бы провести атаку на подбор пароля.
  • Защищённые протоколы управления исключают возможность перехвата пароля, передаваемого в открытом виде, например, по сети Интернет.
  • Неизменённые настройки по умолчанию могут быть использованы для получения данных о структуре локальной сети или даже компрометации устройства.

Маршрутизация

1. Задать IP-адресацию интерфейсов. Как минимум, двух: для подключения к сети интернет (WAN) и для локальной сети (LAN). Опционально: настроить DHCP сервер.
 _4. Cisco_Interface_small.png  _4. Fortigate_Interface_small.png  _4. Huawei_Interface_small.png

2. Настроить маршрутизацию. Как минимум: маршрут по умолчанию. Опционально: с использованием протоколов динамической маршрутизации (в крупных сетях).
 _5. Cisco_Route_small.png  _5. Fortigate_Route_small.png  _5. Huawei_Route_small.png

3. Обновить версию операционной системы до последней, актуальной и рекомендованной производителем. ПО доступно на сайте при наличии сервисного контракта.
 _6. Cisco_Firmware_small.png  _6. Fortigate_Firmware_small.png  _6. Huawei_Firmware_small.png

4. Опционально: настроить работу двух устройств в режиме HA (high availability) пары (собрать кластер). На Cisco возможность собрать кластер под управлением Firepower Device Manager появляется на сегодняшний день только при наличии Firepower Management Center (FMC).
_7. Fortigate_HA_small.png     _7. Huawei_HA_small.png

Если не сделать: при ненастроенной или настроенной с ошибками маршрутизации не будет связанности между сетями, а также не будет доступа к сети Интернет.
Неактуальная версия прошивки может содержать уязвимости и быть нестабильной в работе.

Режим работы в кластере позволит повысить уровень доступности сервисов

Firewall

1. Настроить подключение ресурсов локальной сети к сети Интернет с использованием динамической трансляции адресов (SNAT)
 _8. Cisco_SNAT_small.png _8. Fortigate_SNAT_small.png   _8. Huawei_SNAT_small.png

2. Настроить доступ из сети Интернет к ресурсам локальной сети с использованием статической трансляции сетевых адресов и портов (DNAT).
 _9. Cisco_DNAT_small.png  _9. Fortigate_DNAT_small.png
 _9. Huawei_DNAT_small.png

3. Настроить доступы между сегментами локальной сети на сетевом уровне.
 _10. Cisco_Firewall_rule_small.png  _10. Fortigate_Firewall_Rule_small.png  _10. Huawei_Firewall_Rule_small.png

Для чего это нужно: правило по умолчанию запрещает прохождение любого трафика, без задания правил фильтрации не будет доступа как между локальными сетями, так и сетью Интернет.


VPN


1. Настроить подключение удалённых площадок друг с другом (Site to Site).
 _11. Cisco_IPSEC_small.png  _11. Fortigate_IPSEC_small.png  _11. Huawei_IPSEC_small.png

2. Настроить удалённый доступ (Remote Access).
 _12 Cisco SSL_VPN_small.png  _12. Fortigate_SSL_VPN_small.png  _12. Huawei_SSL_VPN_small.png

3. Опционально: настроить двухфакторную аутентификацию для доступа к VPN (2FA).

Для чего нужно: все современные NGFW позволяют организовать связь между разнесёнными площадками поверх любых сетей, в том числе Интернет. Также можно настроить защищённый доступ к ресурсам компании из любого места сети Интернет как IPSEC, L2TP, так и SSL VPN. Двухфакторная аутентификация (FortiToken, Cisco DUO) позволяет более эффективно защитить удалённый доступ к локальной сети.


Контентная фильтрация

1. Подключить устройство к облачным сервисам обновлений. Обновить базы данных средств защиты.
 _13. Cisco_Update_Content_small.png  _13. Fortigate_Update_Content_small.png  _13. Huawei_Update_Content_small.png

2. Настроить профили антивируса, URL-фильтрации, предотвращения вторжений, защиты DNS и т. п. Более детально будет рассмотрено в тематических обзорах. Пример для URL фильтрации:
 _14. Cisco_URL_Filter_small.png  _14. Fortigate_URL_filter_small.png  _14. Huawei_URL_Filter_small.png

3. Активировать функционал инспекции SSL-трафика для поиска вредоносного трафика внутри шифрованных туннелей.
 _15. Cisco_SSL_Inspection_small.png  _15. Fortigate_SSL_Inspect_small.png  _15. Huawei_SSL_Inspect.png

4. Привязать профили защиты и SSL-инспекции к трафику внутри правил Firewall
 _16. Cisco_FirewallInspect.png  _16. Fortigate_FirewallInspect.png  _16. Huawei_FirewallInspect.png

Что будет если не сделать: существует множество уязвимостей протоколов уровня приложений, которые невозможно обнаружить на сетевом уровне. Расширенные средства позволяют проанализировать уровни 5-7 на предмет наличия вредоносного трафика. Более того, на сегодняшний день более половины трафика является шифрованными по технологии SSL, что не позволяет провести анализ трафика без дешифрации.


Аутентификация


1. Подключить устройство к Microsoft AD.
 _17. Cisco_LDAP.png  _17. Fortigate_LDAP.png  _17. Huawei_LDAP.png

2. Опционально: подключить устройство к серверу аутентификации/авторизации (Cisco ISE, FortiAuthenticator, Huawei Agile Controller)
3. Опционально: настроить получение данных от смежных систем (SSO)

Что это даёт: с настройками по умолчанию доступ к ресурсам сети Интернет ограничивается на основе IP-адресов. Существует возможность настройки доступа на основе аутентификационных данных, полученных из Microsoft AD. Появляется возможность расширенного протоколирования событий на основе данных пользователей из службы каталогов. Подключение к выделенным серверам аутентификации/авторизации (ААА) позволяет гибко настроить политики доступа в организации. Смежные системы могут предоставить данные для доступа через технологию единого входа (Single sign on).


Мониторинг

1. Настроить экспорт событий системных журналов на выделенные сервера (Syslog) как стандартные, так и специализированные. Возможно использование SIEM.
 _18. Cisco_Syslog.png  _18. Fortigate_Syslog.png  _18. Huawei_SYSLOG.png

2. Настроить регулярное автоматическое архивирование конфигураций оборудования.
 _19. Cisco_Backup.png  _19. Fortigate_Backup.png  _19. Huawei_BACKUP.png

3. Настроить экспорт трафика по протоколам NetFlow/SFlow на серверы мониторинга.
4. Подключить устройство к серверам мониторинга с использованием протоколов SNMP
_20. Cisco SNMP.png
  _20. Fortigate_SNMP.png   _20. Huawei_SNMP.png

Если не сделать:
  • не будет возможности оперативно расследовать инциденты ИБ
  • не будет возможности мониторинга состояния программно-аппаратной части устройств, что может повлечь сложности в поиске и устранении неисправностей

Регулярное архивирование конфигураций позволяет отслеживать все внесённые изменения.

Вам может пригодиться: Импортозамещение межсетевых экранов

Задать вопрос автору статьи
Евгений
Евгений
эксперт по сетевым решениям
Количество — до 3 файлов, размером — не более 5 МБ
Нажимая на кнопку, вы даете согласие на обработку персональных данных. Пользовательское соглашение