Criação de regras de firewall (Entrada)

Um regra de entrada se resume basicamente em publicar um serviço ativo em um servidor na rede interna para que seja acessado por clientes externos pela Internet.

Ex.: Servidor WEB, Servidor Email, Servidor FTP, Terminal Service

Obs.: Vamos pegar como exemplo o Terminal Service.

 

Como o acesso vem de fora da rede é necessário criarmos regra de NAT e também regra de Filtragem.

  • O que é o Nat de entrada ?

O NAT é uma técnica de redirecionamento de portas. Normalmente uma empresa possui apenas um ip dedicado na wan e vários ip's internos. Para publicar serviços de diferentes servidores internos para serem acessados pela internet é necessário utilizar NAT para redirecionar cada porta/serviço para o devido Servidor.

 

Origem Destino ( Sonicwall) Servidor Porta
Internet 200.200.200.1 192.168.1.230 3389

 

 Para iniciar a criação de regras é necessario criar primeiramente um objeto relacionado ao serviço, para isso vamos no seguinte caminho: "Network > Services".

 

Caminho_services.png

 

Nessa tela podemos visualizar duas divisões: Service Groups e Services

Services: Serviço isolado Ex.: Terminal Service port 3389.

Service Groups: Grupo de serviços agrupados podendo serem utilizados posteriormente nas regras de Filtragem. Ex.: "Navegar" com os services: HTTP(80), HTTPS(443)

Segue imagem:

Objetos_nos_services.png

 

No exemplo iremos criar um service para o TS que é vinculado a porta: 3389

Para isso na aba Services clique em "Add..."

Irá aparecer uma janela com as seguintes opções:

---------

Name: Um nome para seu serviço

Protocol: O tipo do protocolo a qual o serviço se encaixa- Ex: TCP/UDP

Port Range: Coloque a porta/portas que o serviço usa.

Sub Type:

---------

Segue imagem:

Add_Service.png

Nesse caso o objeto já existe por padrão no Sonicwall e pode ser encontrado pelo nome de: "Terminal Sevices", caso queria criar outro serviço com outras portas siga o mesmo passo.

 

Clique em "Add" para adicionar o serviço.

 

Com o Objeto já criado podemos partir para o ponto de criação das regras de NAT.

 

Para isso vá ao seguinte caminho: "Network >  NAT Policies"

Obs.: Sempre utilize como forma de visualização o "Custom Policies", pois esta é a forma de visualizar regras que foram criadas manualmente.

 

Segue imagem:

Custom_policies_ts.png

 

Para criar uma regra de NAT Clique em "Add.."

Os seguintes campos irão aparecer:

 

NAT Policy Settings

 

Original Source: De onde a requisição vem  
Translated Source: Original ( Não terá mudança)  
Original Destination: Para onde  a conexão é direcionada (IP da wan)  
Translated Destination: Redirecionamento para o servidor  
Original Service: Serviço requisitado (TS no caso)  
Translated Service: Nenhuma modificação de porta  
Inbound Interface: Qualquer interface de entrada  
Outbound Interface: Qualquer interface de saída

 

Segue a imagem abaixo em como a configuração é feita dentro do Sonicwall:

Criar_regra_nat.png

Clique em "Add" para adicionar a regra.

 

Após criar a regra de redirecionamento é necessário criar uma regra de Filtragem de Fora para Dentro.

 

Para isso é necessário na aba a sua esquerda ir em "Firewall > Acess Rules" como mostra a imagem a seguir:

Acess Rules.png

 

Existem três métodos de visualizar as regras, são eles:

 

All Rules: Mostra todas as regras do firewall de uma maneira não muito amigável.

Matrix: Mostra uma forma de selecionar as regras pelo conceito de matriz.

Drop-down Boxes: Uma forma mais prática lhe dando a oportunidade de escolher as zonas em: "From Zone" e "To Zone", vamos usar essa.

 

No caso desse tutorial nós iremos fazer a conexão da zona Wan (externa) para a zona Lan (interna) como veremos na imagem a seguir:

Drop-box_entrada.png

Clique em "OK".

Agora iremos criar uma regra de entrada permitindo o serviço de TS entrar em nossa rede.

Para isso clique em "Add.." como mostra a imagem abaixo.

Acess_Rules_entrada.png

Irá abrir uma janela com os seguintes campos:

 

Action: Allow  Deny  Discard 
From Zone:  Origem - zona WAN
To Zone:  Destino - zona LAN
Service:  Terminal Service - Objeto criado
Source:    Any - Qualquer lugar da WAN
Destination:    X1 -  Irá passar apenas pelo Link da X1
Users Allowed:    Usuários liberados
Schedule:    Selecionar o tempo que a regra está ativa
Comment:   Comentário sobre a regra

Nesse exemplo nós colocamos o Destination como X1, isso é  importante para não ocorrer um consumo de banda de todos os links. Você também pode colocar "Wan Interface IP" para selecionar todas Wan's, porém, não é recomendado.
Segue imagem abaixo:

Criando_regra_terminal_service.png

 

Clique em "Add" para adicionar a  regra.

 

Com as configurações descritas acima conseguimos acessar externamente o serviço Terminal Service.

 

Tem mais dúvidas? Envie uma solicitação

Comentários