IBM Cloud Docs
Incluindo funções de firewall no Vyatta 5400 (stateless e stateful)

Incluindo funções de firewall no Vyatta 5400 (stateless e stateful)

Aplicar os conjuntos de regras de firewall a cada interface é um método de firewall para quando você usa dispositivos Brocade 5400 vRouter (Vyatta). Cada interface possui três possíveis instâncias de firewall (Entrada, Saída e Local) e cada instância possui regras que podem ser aplicadas a ela. A ação padrão é Drop, com regras que permitem que tráfego específico seja aplicado de forma da regra 1 a N. Assim que uma correspondência é feita, o firewall aplica a ação específica da regra de correspondência.

Para qualquer uma das instâncias de firewall a seguir, apenas uma pode ser aplicada.

  • IN - O firewall filtra pacotes que entram na interface e atravessam o sistema Brocade. Deve-se permitir que determinados intervalos de IP do SoftLayer tenham acesso ao front-end e ao back-end para gerenciamento (ping, monitoramento e assim por diante).
  • OUT - O firewall filtra pacotes que saem da interface. Esses pacotes podem estar atravessando o sistema Brocade ou sendo originados no sistema.
  • LOCAL - O firewall filtra pacotes que são destinados para o sistema Brocade vRouter por meio da interface do sistema. É necessário estabelecer restrições em portas de acesso que chegam no dispositivo Brocade vRouter por meio de endereços IP externos não restritos.

Siga estas etapas para configurar uma regra de firewall de exemplo a fim de desativar o Internet Control Message Protocol (ICMP) (ping - mensagem de resposta de eco de IPv4) para as suas interfaces do Brocade 5400 vRouter (esta é uma ação sem estado; uma ação stateful é revisada posteriormente):

  1. Digite o comando show configuration no prompt de comandos para ver quais configurações estão definidas. Você vê uma lista de todos os comandos configurados em seu dispositivo (o que pode ser prático ao decidir migrar e desejar ver todas as configurações). Observe o comando set firewall all-ping 'enable', o que indica que o ICMP ainda está ativado para o seu dispositivo.

  2. Digite configure.

  3. Digite set firewall all-ping 'disable'.

  4. Digite commit.

Se agora você tentar executar ping de seu dispositivo Brocade 5400 vRouter, nenhuma resposta será recebida.

Para designar regras de firewall para o tráfego roteado, deve-se aplicá-las às interfaces do Brocade 5400 vRouter ou criar zonas e, em seguida, aplicá-las às zonas.

Para este exemplo, as zonas são criadas para as VLANs que foram usadas até agora.

bond1 = dmz

bond1.2007 = prod (para produção)

bond0.2254 = private (para desenvolvimento)

bond1.1280 = reservado para uso futuro

bond1.1894 = reservado para uso futuro

Criando regras de firewall

Antes que as zonas sejam criadas, é uma boa ideia criar as regras de firewall que devem ser aplicadas às zonas. Criar as regras antes das zonas permite aplicá-las imediatamente, versus criar a zona, criar as regras e ter que voltar para a zona para aplicação da regra.

NOTA: zonas e conjuntos de regras têm uma instrução de ação padrão. Ao usar Políticas de zona, a ação padrão é configurada pela instrução zone-policy e é representada pela regra 10.000. Também é importante lembrar que a ação padrão de um conjunto de regras de firewall é eliminar todo o tráfego.

Os comandos a seguir:

  • Criar uma regra de firewall denominada dmz2private com a ação padrão para descartar qualquer pacote.
  • Ativar a criação de log de tráfego aceito e negado para a regra denominada dmz2private.
  1. Digite configure no prompt de comandos.

  2. Insira os comandos a seguir no prompt:

    • set firewall name dmz2private default-action drop
    • set firewall name dmz2private enable-default-log

    O próximo conjunto de comandos é ativar iptables para permitir que o tráfego para uma sessão estabelecida retorne. Por padrão, iptables não permite isso, que é o motivo pelo qual uma regra explícita é necessária.

    • set firewall name dmz2private rule 1 action accept
    • set firewall name dmz2private rule 1 state established enable
    • set firewall name dmz2private rule 1 state related enable

    O terceiro conjunto de comandos permite que TCP/UDP passe pela porta 22, o padrão para SSH.

    • set firewall name dmz2private rule 2 action accept
    • set firewall name dmz2private rule 2 protocol tcp_udp
    • set firewall name dmz2private rule 2 destination port 22

    O conjunto final de comandos permite que TCP/UDP passe pela porta 80, o padrão para HTTP.

    • set firewall name dmz2private rule 3 action accept
    • set firewall name dmz2private rule 3 protocol tcp_udp
    • set firewall name dmz2private rule 3 destination port 80
  3. Digite commit para assegurar que todas as regras sejam aplicadas após a conclusão.

  4. Visualize sua configuração digitando show firewall name dmz2private no prompt de comandos.

A próxima regra de firewall é aplicada à nossa zona do dmz. Essa regra é denominada pública. Insira os comandos a seguir:

  • set firewall name public default-action drop
  • set firewall name public enable-default-log
  • set firewall name public rule 1 action accept
  • set firewall name public rule 1 state established enable
  • set firewall name public rule 1 state related enable

As regras de firewall precisam fluir a saída por meio de prod para dmz. Use o comando a seguir para ajudar a solucionar problemas de fluxo de rede: sudo tcpdump -i any host 10.52.69.202.

Criando zonas

As zonas são a representação lógica de uma interface. Os comandos a seguir:

  • Crie uma zona e uma política denominada dmz com uma ação padrão para eliminar pacotes que são destinados a essa zona.
  • Configurar a política dmz para usar a interface bond1.
  • Configurar a política prod para usar a interface bond1.2007.
  • Crie uma política de zona denominada privada com uma ação padrão para eliminar pacotes que são destinados a essa zona.
  • Configurar a política denominada private para usar a interface bond0.2254.
  1. Insira os comandos a seguir no prompt:

    • configurar
    • set zone policy zone dmz default-action drop
    • set zone-policy zone dmz interface bond1
    • set zone-policy zone prod default-action drop
    • set zone-policy zone prod interface bond1.2007
    • set zone-policy zone private default-action drop
    • set zone-policy zone private interface bond0.2254
  2. Use os comandos a seguir para configurar a política de firewall para as zonas:

    • set zone-policy zone private from dmz firewall name dmz2private
    • set zone-policy zone prod from dmz firewall name dmz2private
    • set zone-policy zone dmz from prod firewall name public4
    • confirmar

Observe que será possível aplicar uma regra de firewall a uma interface específica se você não desejar aplicá-la a uma política de zona. Use os comandos a seguir para aplicar uma regra a uma interface.

  • set interfaces bonding bond1 firewall local name public
  • confirmar

Firewalls stateful

Um firewall stateful mantém uma tabela de fluxos vistos anteriormente, e os pacotes podem ser aceitos ou eliminados de acordo com a relação deles com pacotes anteriores. Geralmente, o uso de firewalls stateful é preferencial quando o tráfego de aplicativos é predominante.

O Brocade 5400 vRouter não rastreia o estado das conexões com a configuração padrão. O firewall é sem estado até que uma das condições a seguir seja atendida:

  • A configuração de um firewall e qualquer regra tem um conjunto de parâmetros de estado
  • Configuração de uma política de estado de firewall
  • A configuração de NAT
  • A ativação do serviço de proxy da web transparente
  • A ativação de uma configuração de balanceamento de carga da WAN

Firewalls stateless

Um firewall sem estado considera cada pacote em isolamento. Os pacotes podem ser aceitos ou eliminados de acordo com apenas os critérios básicos da lista de controle de acesso (ACL), como os campos de origem e de destino nos cabeçalhos IP ou Protocolos de Controle de Transmissão/Protocolo UDP (TCP/UDP). Um Brocade 5400 vRouter sem estado não armazena informações de conexão e não tem nenhum requisito para consultar a relação de cada pacote com fluxos anteriores, os quais consomem pequenas quantidades de memória e tempo de CPU. Portanto, o desempenho de encaminhamento bruto é melhor em um sistema sem estado. O Brocade recomenda manter o roteador stateless para melhor desempenho se você não requerer os recursos específicos para a condição stateful.