1 - Módulo Firewall

O módulo de Firewall é responsável por atuar analisando todo o tráfego que atravessa a rede interna, a fim de prevenir que os dados fiquem seguros e barrando conteúdos potencialmente perigosos. Esse bloqueio é realizado através das políticas de segurança implementadas e gerenciadas pelas regras. Os dados só passam pelo firewall se atenderem a todas as medidas de segurança estipuladas pelo administrador.

As políticas de segurança podem variar de acordo com cada regra de negócio e nível de serviços. Por padrão o módulo vem parametrizado como uma série de regras pré-definidas para que possam ser melhor entendidas.

O módulo tem como característica, gerenciamento de tráfego oriundo da internet para rede interna e vice-versa, permissão de tráfego entre as interfaces de rede, tradução de endereços e portas, filtros de segurança como verificação de pacotes inválidos, varredura de portas e spoofing.

Nesta etapa possibilitamos que os ativos da rede interna tenham seus IPs traduzidos de privados (rede 192.168.100.0/24) para públicos, de modo que sejam conhecidos e aceitos na Internet.

Esse item, portanto, é essencial para garantir o acesso à Internet aos equipamentos da rede interna para a internet.

Acessar o menu Segurança > Firewall > Configuração > Conexões e no ícone editar, ativar a FLAG Masquerade para as interfaces externas (wan1 e wan2).

Após Salvar e Aplicar, automaticamente os equipamentos que estiverem no perímetro da rede interna, já terão conectividade com a internet através da porta 80 e 443.

Por padrão, os acessos da rede interna para a internet são bloqueados, exceto os acessos que foram definidos no momento do wizard.

Além das portas 80 e 443 estarem liberadas, no momento do wizard foi provisionado regras também para comunicação nas portas de email, bancos, etc.

As regras ficam visíveis no menu Segurança > Firewall > Listagem de regras > Encaminhamentos.

Caso seja necessário criar uma regra de liberação para um acesso da LAN, basta acessar o menu Segurança > Regras de Firewall > LAN > Encaminhamentos de origem.

Para uma organização melhor e gerenciamento das regras, sempre criar um grupo e após, associar a regra ao novo grupo.

Para criar o grupo, clique no botão Adicionar, (canto superior direito).

Com o novo grupo criado, clique em NOVA REGRA.

Na tela de criação de regra, são duas etapas. A primeira etapa é a aba Geral, onde é possível colocar uma descrição, definir a ação, que pode ser:

• Aceitar: Aplicado nas regras para liberar o tráfego.
• Rejeitar: Aplicado nas regras para informar que o tráfego está bloqueado, geralmente utilizado nas regras na zona LAN.
• Descartar: Aplicado nas regras para ignorar determinado tráfego, geralmente aplicado em regras da zona WAN.
• Log: Aplicado nas regras para gerar log do tráfego.

Em nosso exemplo, a ação será aceitar, clique em continuar.

Na aba Filtros, segue o fluxo sendo ORIGEM no primeiro bloco e no segundo bloco, sendo DESTINO.

No exemplo acima, estamos criando uma regra de liberação para o endereço IP de origem 192.168.100.2, em todos os protocolos IP, em destino a qualquer endereço de destino (sendo 0/0).

No módulo de Firewall, é possível permitir que conexões provenientes da Internet acessem serviços dentro da rede local de uma forma simples e sem configuração adicional para quem faz o acesso.

Essa publicação pode ser realizada na aba, Segurança > Regras de firewall > Global > NATs de destino.

Clicando no botão ADICIONAR será exibida a tela com os campos para criação de um novo grupo de regras.

Com o grupo criado, basta clicar em Nova regra.

Um ponto muito importante na aba Geral, é que como se trata de um acesso que vai ser redirecionado para um equipamento na rede interna, precisamos habilitar a flag para a criação automática de regra de encaminhamento de destino e novamente será necessário criar um novo grupo, pode ser utilizado o mesmo nome do grupo.

Ao clicar em continuar, vamos agora definir os filtros da conexão.

Em nosso exemplo, estaremos encaminhando todos os pacotes que bater na zona da WAN, (interface WAN1 e interface WAN2) na porta 80, sejam encaminhados para o nosso servidor web interno com o endereço IP 192.168.100.10 na mesma porta 80.

Ao clicar em Salvar / Aplicar, o acesso já estará disponível para acesso a partir da internet.

ATENÇÃO:
Ao criar regras de publicação para a Internet, sem nenhum tipo de filtro de origem, acessos remoto, como WTS e VNC, e a bancos de dados, cria um ponto de vulnerabilidade de alto risco de exploração para as publicações, por mais que as aplicações tenham sistemas de autenticação. A maneira recomendada seria a utilização do serviço VPN.