web-dev-qa-db-ja.com

オブジェクトのアドレス指定ではなく、ファイアウォールゾーンを使用する必要がありますか?

私はファイアウォールアドレスオブジェクトとアドレスグループに感謝します - 彼らは私に名前を住所のグループに与えることによって管理を単純化します。

しかし、私はどのようなファイアウォールゾーン(LAN、WAN、DMZなど)をアドレスグループの上でどのようにしているのかわかりません。私はすべてのファイアウォールがそれらを持っていることを知っているので、良い理由がなければなりません。しかし、ルールを述べることで、LANゾーンからWAN ZONEへのすべてのトラフィックには、LANアドレスグループからWANアドレスグループに適用されますか。アドレスグループを言及してみてください。

1
SRobertJames

ファイアウォールゾーンは何が起こっているのかを文書化するのを助けます。標準グループには標準の制限があります。この規則の障害を識別するのははるかに簡単です。

Allow port 80 from NET to LAN _

これを持っているときは明確ではありません

Allow port 80 from 0.0.0.0/0 to 192.0.2.0/16 _

通常、ゾーンはアドレス制限の有無にかかわらずインタフェースまたはVLANに割り当てられます。厳密なルールセットでは、間違ったゾーン内のマシンが正しく実行されることを拒否することがあります。

1
BillThor

各ファイアウォールゾーンは、指定されたセキュリティ要件に対応しています。ネットワークブロックのグループは、同じ指定されたセキュリティ要件に対応し得る。ファイアウォールゾーンは、ネットワークブロックまたはオブジェクトのグループを収容することができる。ファイアウォールはネットワークセキュリティデバイスで、ゾーンを使用してネットワークを区切ります。

LANとWANファイアウォールゾーン名ではありません。信頼と信頼と信頼のための、ファイアウォールゾーン名またはネットワークセキュリティ用語)。

1
marsteel

アドレスグループは伝統的に連続的なIPアドレスです。

第二に、LANセグメントは必ずしもIPアドレスによって定義されていませんが、物理ポートに指定を割り当てるデバイスがあります。したがって、ポート1に着信するすべてのものはDMZから、ポート2はLANからのもので、ポート3はインターネットです(スナップギアSG530はこのように構成されている私の頭の上から考えられる最初のデバイスです。 )。

0
Mark Henderson