Эта статья показывает пример базы правил брандмауэра WAN.
В этом разделе показываются и объясняются настройки образца базы правил для брандмауэра WAN. Настройки Время, Отслеживание и Включено не показаны. Все эти правила позволяют делать трафик в обоих направлениях.
|
# (номер правила) |
Имя |
Источник |
Назначение |
Приложение/Категория |
Сервис/Порт |
Действие |
|---|---|---|---|---|---|---|
|
1 |
Разрешить удаленный доступ к IT |
Группа IT |
Системная группа всех сайтов |
Любое |
Любое |
Разрешить |
|
2 |
Удаленный доступ к AWS Transit |
Системная группа всех VPN пользователей |
Сайт AWS Transit Gateway |
Любое |
Любое |
Разрешить |
|
Исключение 2 |
Исключение: Удаленный доступ к AWS Transit |
Группа Finance Temps |
Сайт AWS Transit Gateway |
Любое |
Любое |
Н/Д |
|
3 |
Корпоративный WAN |
Системная группа всех сайтов |
Сайт HQ |
Сервисы резервного копирования, Voip Video |
Любое |
Разрешить |
|
4 |
Доступ к финансам |
Финансовая группа |
Хост сервера финансов |
Любое |
HTTP, HTTPS, SMTP |
Разрешить |
|
5 |
Доступ к маркетингу |
Маркетинговая группа |
Подсеть сегмента маркетинга HQ\LAN |
Любое |
HTTP, HTTPS, SMTP, FTP, TFTP |
Разрешить |
-
Правило 1 - Разрешает трафик от участников группы IT к системной группе Все сайты (включает все сайты на счете).
-
Правило 2 - Разрешает трафик от системной группы Все VPN пользователи (включает всех Пользователи SDP на счете) к сайту AWS Transit Gateway.
-
Исключение правила 2 - Игнорирует действие "Разрешить" для пользователей в группе Finance Temps к сайту AWS Transit Gateway. Эти пользователи заблокированы и не могут получить доступ к этому сайту.
-
Правило 3 - Разрешает трафик от системной группы Все сайты к сайту HQ. Разрешенный трафик включает пользовательское приложение Сервисы резервного копирования и категорию по умолчанию Voip Video.
-
Правило 4 - Разрешает и регистрирует трафик от пользовательской группы Финансы к хосту Финансовый сервер на сайте HQ. Для этих соединений разрешены только сервисы HTTP, HTTPS и SMTP. Действие Отслеживание установлено на Событие, и каждое соединение генерирует событие.
-
Правило 5 - Разрешить трафик из пользовательская Группа к подсети Сегмент Маркетинга для сети в Сайт HQ. Только сервисы HTTP, HTTPS, SMTP, FTP и TFTP разрешено для этих соединений.
0 комментариев
Войдите в службу, чтобы оставить комментарий.