Эта статья показывает пример базы правил межсетевого экрана WAN.
Этот раздел показывает и объясняет настройки примера базы правил для межсетевого экрана WAN. Настройки Время, Отслеживание и Включено не показаны. Все эти правила позволяют трафик в обоих направлениях.
|
# (номер правила) |
Имя |
Источник |
Назначение |
Приложение/Категория |
Служба/Порт |
Действие |
|---|---|---|---|---|---|---|
|
1 |
Разрешить удаленный доступ ИТ |
Группа ИТ |
Группа системы Все Сайты |
Любой |
Любой |
Разрешить |
|
2 |
Удаленный доступ к AWS Transit |
Группа системы Все VPN Пользователи |
Сайт AWS Transit Gateway |
Любой |
Любой |
Разрешить |
|
2 исключение |
Исключение: Удаленный доступ к AWS Transit |
Группа временных сотрудников финансов |
Сайт AWS Transit Gateway |
Любой |
Любой |
Н/Д |
|
3 |
Корпоративная WAN |
Группа системы Все Сайты |
Сайт Штаб-квартиры |
Службы резервного копирования, Voip видео |
Любой |
Разрешить |
|
4 |
Доступ к финансам |
Группа финансов |
Хост сервера финансов |
Любой |
HTTP, HTTPS, SMTP |
Разрешить |
|
5 |
Доступ к маркетингу |
Группа маркетинга |
Подсеть сегмента маркетинга HQ\LAN\Marketing |
Любой |
HTTP, HTTPS, SMTP, FTP, TFTP |
Разрешить |
-
Правило 1 - Позволяет трафик от участников группы ИТ к группе системы Все Сайты (включает все сайты в аккаунте).
-
Правило 2 - Позволяет трафик от группы системы Все VPN Пользователи (включает всех пользователей SDP в аккаунте) к сайту AWS Transit Gateway.
-
Исключение правила 2 - Игнорирует действие "Разрешить" для пользователей из группы Временные сотрудники финансов к сайту AWS Transit Gateway. Эти пользователи блокированы и не могут получить доступ к этому сайту.
-
Правило 3 - Позволяет трафик от группы системы Все Сайты к сайту Штаб-квартира. Разрешенный трафик включает пользовательское приложение Службы резервного копирования и категорию по умолчанию Voip видео.
-
Правило 4 - Позволяет и фиксирует трафик от пользовательской группы Финансы к хосту Сервер финансов на сайте Штаб-квартира. Только службы HTTP, HTTPS и SMTP разрешены для этих подключений. Действие Отслеживание установлено на Событие, и каждое подключение генерирует событие.
-
Правило 5 - Позволяет трафик от пользовательской группы Маркетинг к подсети Сегмент маркетинга для сети на сайте Штаб-квартира. Только службы HTTP, HTTPS, SMTP, FTP и TFTP разрешены для этих подключений.
0 комментариев
Войдите в службу, чтобы оставить комментарий.