GRANDSTREAM GCC601X(W) One Networking Solution Firewall

MANUAL DE USUARIO

GCC601X(W) Firewall
Nesta guía, presentaremos os parámetros de configuración do módulo de firewall GCC601X(W).

REMATADOVIEW

O rematouview A páxina ofrece aos usuarios unha visión global do módulo de firewall GCC e tamén das ameazas e estatísticas de seguridade.view páxina contén:

• Servizo de firewall: mostra o servizo de firewall e o estado do paquete coas datas de vixencia e caducidade.
• Rexistro de seguridade superior: mostra os rexistros principais de cada categoría, o usuario pode seleccionar a categoría na lista despregable ou facer clic na icona da frecha para ser redirixido á páxina do rexistro de seguridade para obter máis detalles.
• Estatísticas de protección: mostra varias estatísticas de proteccións, hai unha opción para borrar todas as estatísticas facendo clic na icona de configuración.
• Principais aplicacións filtradas: mostra as principais aplicacións que se filtraron co número de conta.
• Virus Files: mostra o escaneado files e atopou virus files tamén, para activar/desactivar o anti-malware, os usuarios poden facer clic na icona de configuración.
• Nivel de ameaza: mostra o nivel de ameaza de crítico a menor con código de cores.
• Tipo de ameaza: mostra os tipos de ameaza co código de cores e o número de repetición, os usuarios poden pasar o cursor do rato sobre a cor para mostrar o nome e a aparición do número.
• Ameaza principal: mostra as principais ameazas con tipo e conta.

Os usuarios poden detectar facilmente as notificacións e ameazas máis importantes.

 

Os usuarios poden facer clic na icona da frecha debaixo do Rexistro de seguranza superior para ser redirixidos á sección Rexistro de seguranza ou pasar o rato sobre a icona da engrenaxe en Estatísticas de protección para borrar as estatísticas ou en Virus. files para desactivar o anti-malware. En Nivel de ameaza e Tipo de ameaza, os usuarios tamén poden pasar o rato sobre os gráficos para mostrar máis detalles. Consulte as figuras anteriores.

POLÍTICA DE FIREWALL

Política de normas

A política de regras permite definir como o dispositivo GCC xestionará o tráfico entrante. Isto faise por WAN, VLAN e VPN.

• Política de entrada: define a decisión que tomará o dispositivo GCC para o tráfico iniciado desde a WAN ou VLAN. As opcións dispoñibles son Aceptar, Rexeitar e Soltar.
• Enmascaramento de IP: habilite o enmascaramento de IP. Isto enmascarará o enderezo IP dos servidores internos.
• MSS Clamping: habilitar esta opción permitirá negociar o MSS (Tamaño máximo de segmento) durante a negociación da sesión TCP
• Rexistro de caída/rexeitamento do tráfico: activando esta opción xerarase un rexistro de todo o tráfico que foi eliminado ou rexeitado.
• Límite de rexistro de tráfico de soltar/rexeitar: especifique o número de rexistros por segundo, minuto, hora ou día. O intervalo é 1 ~ 99999999, se está baleiro, non hai límite.

Regras de entrada

O GCC601X(W) permite filtrar o tráfico entrante ao grupo de redes ou ao porto WAN e aplica regras como:

• Aceptar: para permitir que o tráfico pase.
• Denegar: enviarase unha resposta ao lado remoto indicando que o paquete é rexeitado.
• Soltar: o paquete retirarase sen previo aviso ao lado remoto.

 

 

Regras de reenvío

GCC601X(W) ofrece a posibilidade de permitir o tráfico entre diferentes grupos e interfaces (WAN/VLAN/VPN).
Para engadir unha regra de reenvío, navegue ata Módulo de firewall → Política de firewall → Regras de reenvío e, a continuación, prema no botón "Engadir" para engadir unha nova regra de reenvío ou prema na icona "Editar" para editar unha regra.

NAT avanzado

NAT ou tradución de enderezos de rede, como o nome indica, é unha tradución ou asignación de enderezos privados ou internos a enderezos IP públicos ou viceversa, e o GCC601X(W) admite ambos.

• SNAT: NAT fonte refírese á asignación dos enderezos IP dos clientes (enderezos privados ou internos) a un público.
• DNAT: Destination NAT é o proceso inverso de SNAT onde os paquetes serán redirixidos a un enderezo interno específico.

A páxina Firewall Advanced NAT ofrece a posibilidade de configurar a configuración para o NAT de orixe e destino. Vaia ata Módulo de firewall → Política de firewall → NAT avanzado.

SNAT

Para engadir un SNAT fai clic no botón "Engadir" para engadir un novo SNAT ou fai clic na icona "Editar" para editar un creado previamente. Consulte as figuras e a táboa a continuación:

Consulte a seguinte táboa cando cree ou edite unha entrada SNAT:

DNAT
Para engadir un DNAT fai clic no botón "Engadir" para engadir un novo DNAT ou fai clic na icona "Editar" para editar un creado previamente. Consulte as figuras e a táboa a continuación:

Consulte a seguinte táboa cando cree ou edite unha entrada DNAT:

Configuración global

Recarga de conexión de descarga

Cando se activa esta opción e se realizan os cambios na configuración do firewall, finalizaranse as conexións existentes que foran permitidas polas regras do firewall anteriores.

Se as novas regras do firewall non permiten unha conexión establecida previamente, finalizarase e non se poderá volver conectar. Con esta opción desactivada, as conexións existentes poden continuar ata que esgoten o tempo de espera, aínda que as novas regras non permitan establecer esta conexión.

DEFENSA DE SEGURIDADE

Defensa DoS
Configuración básica - Defensa de seguridade
O ataque de denegación de servizo é un ataque que ten como obxectivo facer que os recursos da rede non estean dispoñibles para os usuarios lexítimos inundando a máquina de destino con tantas solicitudes que provocan a sobrecarga do sistema ou mesmo a falla ou o peche.

 

 

Excepción IP

Nesta páxina, os usuarios poden engadir enderezos IP ou intervalos de IP para excluír da exploración de Defensa DoS. Para engadir un enderezo IP ou un intervalo de IP á lista, faga clic no botón "Engadir" como se mostra a continuación:

Especifique un nome e, a continuación, active o estado e especifique o enderezo IP ou o intervalo de IP.

 

 

Defensa de suplantación

A sección de defensa contra o spoofing ofrece varias contramedidas ás diversas técnicas de spoofing. Para protexer a túa rede contra a falsificación, activa as seguintes medidas para eliminar o risco de que o teu tráfico sexa interceptado e falsificado. Os dispositivos GCC601X(W) ofrecen medidas para contrarrestar a suplantación da información ARP, así como da información IP.

ARP Spoofing Defense

• Bloquear respostas ARP con enderezos MAC de orixe inconsistentes: o dispositivo GCC verificará o enderezo MAC de destino dun paquete específico e, cando o dispositivo reciba a resposta, verificará o enderezo MAC de orixe e asegurarase de que coincidan. En caso contrario, o dispositivo GCC non reenviará o paquete.
• Bloquear respostas ARP con enderezos MAC de destino inconsistentes: o GCC601X(W) verificará o enderezo MAC de orixe cando se reciba a resposta. O dispositivo verificará o enderezo MAC de destino e asegurarase de que coincidan.
• En caso contrario, o dispositivo non reenviará o paquete.
• Rexeitar VRRP MAC na táboa ARP: o GCC601X(W) rexeitará incluíndo calquera enderezo MAC virtual xerado na táboa ARP.

ANTI-MALWARE

Nesta sección, os usuarios poden activar o antimalware e actualizar a información da súa biblioteca de sinaturas.

Configuración

Para activar Anti-malware, vaia ao módulo Firewall → Anti-Malware → Configuración.
Anti-malware: activa/desactiva para activar/desactivar o anti-malware.

Nota:
Para filtrar HTTP URL, active o "Proxy SSL".

Defensa de suplantación

ARP Spoofing Defense

Bloquear respostas ARP con enderezos MAC de orixe inconsistentes: o dispositivo GCC verificará o enderezo MAC de destino dun paquete específico e, cando o dispositivo reciba a resposta, verificará o enderezo MAC de orixe e asegurarase de que coincidan. En caso contrario, o dispositivo GCC non reenviará o paquete.

Bloquear respostas ARP con enderezos MAC de destino inconsistentes: o GCC601X(W) verificará o enderezo MAC de orixe cando se reciba a resposta. O dispositivo verificará o enderezo MAC de destino e asegurarase de que coincidan.

En caso contrario, o dispositivo non reenviará o paquete.
Rexeitar VRRP MAC na táboa ARP: o GCC601X(W) rexeitará incluíndo calquera enderezo MAC virtual xerado na táboa ARP.

ANTI-MALWARE

Nesta sección, os usuarios poden activar o antimalware e actualizar a información da súa biblioteca de sinaturas.

Configuración

Para activar Anti-malware, vaia ao módulo Firewall → Anti-Malware → Configuración.
Anti-malware: activa/desactiva para activar/desactivar o anti-malware.

Profundidade de inspección do paquete de datos: Comprobe o contido do paquete de cada tráfico segundo a configuración. Canto máis profunda sexa a profundidade, maior será a taxa de detección e maior será o consumo de CPU. Hai 3 niveis de profundidade baixa, media e alta.

Escaneo comprimido Files: admite a dixitalización de comprimidos files

Ao Enribaview páxina, os usuarios poden consultar as estatísticas e ter unha sobreview. Ademais, é posible desactivar o anti-malware directamente desde esta páxina facendo clic na icona de configuración como se mostra a continuación:

Tamén é posible consultar o rexistro de seguridade para obter máis detalles

Biblioteca de firmas de virus
Nesta páxina, os usuarios poden actualizar manualmente a información da biblioteca de sinaturas antimalware, actualizar diariamente ou crear unha programación, consulte a seguinte figura:

Nota:
Por defecto, actualízase nun momento aleatorio (00:00-6:00) todos os días.

PREVENCIÓN DE INTRUSIÓNS

O sistema de prevención de intrusos (IPS) e o sistema de detección de intrusos (IDS) son mecanismos de seguridade que supervisan o tráfico da rede para detectar actividades sospeitosas e intentos de acceso non autorizados. IDS identifica posibles ameazas de seguridade analizando paquetes e rexistros de rede, mentres que IPS prevén activamente estas ameazas bloqueando ou mitigando o tráfico malicioso en tempo real. Xuntos, IPS e IDS proporcionan un enfoque en capas para a seguridade da rede, axudando a protexer contra ataques cibernéticos e protexer a información confidencial. Unha botnet é unha rede de ordenadores comprometidos infectados con malware e controlados por un actor malicioso, normalmente usado para realizar ciberataques a gran escala ou actividades ilícitas.

IDS/IPS

Configuración básica: IDS/IPS
Nesta pestana, os usuarios poden seleccionar o modo IDS/IPS, o Nivel de protección de seguridade.

Modo IDS/IPS:

• Notificar: detecta o tráfico e só avisa aos usuarios sen bloquealo, isto é igual a IDS (Intrusion Detection System).
• Notificar e bloquear: detecta ou bloquea o tráfico e notifica sobre o problema de seguridade, isto é igual a IPS (Sistema de prevención de intrusións).
• Sen acción: non hai notificacións nin prevención, IDS/IPS está desactivado neste caso.

Nivel de protección de seguridade: seleccione un nivel de protección (Baixo, Medio, Alto, Extremadamente alto e Personalizado). Distintos niveis de protección corresponden a diferentes niveis de protección. Os usuarios poden personalizar o tipo de protección. Canto maior sexa o nivel de protección, máis regras de protección e Custom permitirá aos usuarios seleccionar o que detectará IDS/IPS.

Tamén é posible seleccionar un nivel de protección de seguridade personalizado e, a continuación, seleccionar da lista as ameazas específicas. Consulte a seguinte figura:

Para comprobar as notificacións e as accións realizadas, no rexistro de seguranza, seleccione IDS/IPS na lista despregable como se mostra a continuación:

Excepción IP
Os enderezos IP desta lista non serán detectados por IDS/IPS. Para engadir un enderezo IP á lista, faga clic no botón "Engadir" como se mostra a continuación:

Introduza un nome, active o estado e, a continuación, seleccione o tipo (Fonte ou Destino) dos enderezos IP. Para engadir un enderezo IP faga clic na icona "+" e para eliminar un enderezo IP faga clic na icona "-", como se mostra a continuación:

botnet
Configuración básica: botnet
Nesta páxina, os usuarios poden configurar os axustes básicos para supervisar a IP da botnet de saída e o nome de dominio da botnet e hai tres opcións:
Monitor: xéranse alarmas pero non se bloquean.
Bloquear: supervisa e bloquea os enderezos IP/nomes de dominio de saída que acceden ás botnets.
Sen acción: non se detecta o enderezo IP/nome de dominio da botnet de saída.

Excepción de IP/nome de dominio
Os enderezos IP desta lista non se detectarán para as redes bot. Para engadir un enderezo IP á lista, faga clic no botón "Engadir" como se mostra a continuación:
Introduza un nome e, a continuación, active o estado. Para engadir un enderezo IP/nome de dominio prema na icona “+” e para eliminar un enderezo IP/nome de dominio prema na icona “–” como se mostra a continuación:

Biblioteca de firmas - Botnet
Nesta páxina, os usuarios poden actualizar manualmente a información da biblioteca de sinaturas IDS/IPS e Botnet, actualizar diariamente ou crear unha programación, consulte a seguinte figura:

Nota:
Por defecto, actualízase nun momento aleatorio (00:00-6:00) todos os días.

CONTROL DE CONTIDO

A función Control de contido ofrece aos usuarios a posibilidade de filtrar (permitir ou bloquear) o tráfico baseado en DNS, URL, palabras clave e aplicación.

Filtrado DNS

Para filtrar o tráfico baseado en DNS, vaia ao módulo Firewall → Control de contido → Filtrado DNS. Fai clic no botón "Engadir" para engadir un novo filtrado DNS como se mostra a continuación:

A continuación, introduza o nome do filtro DNS, habilite o estado e seleccione a acción (Permitir ou Bloquear) xa que para DNS filtrado, hai dúas opcións:

Coincidencia simple: o nome de dominio admite a coincidencia de nomes de dominio en varios niveis.
Comodín: pódense introducir palabras clave e comodín *, o comodín * só se pode engadir antes ou despois da palabra clave introducida. Por example: *.imaxe, noticias*, *noticias*. O * no medio trátase como un carácter normal.

Para comprobar o DNS filtrado, os usuarios poden atopalo en Overview páxina ou no rexistro de seguranza como se mostra a continuación:

Web Filtrado
Configuración básica - Web Filtrado
Na páxina, os usuarios poden activar/desactivar o global web filtrado, entón os usuarios poden activar ou desactivar web URL filtrado, URL filtrado de categorías e filtrado de palabras clave de forma independente e para filtrar HTTP URLs, active o "Proxy SSL".

URL Filtrado
URL o filtrado permite aos usuarios filtrar URL enderezos usando unha coincidencia simple (nome de dominio ou enderezo IP) ou usando un comodín (por exemplo, *example*).
Para crear un URL filtrado, navegue ata Módulo Firewall → Filtrado de contido → Web Páxina de filtrado → URL Filtrar e, a continuación, prema no botón "Engadir" como se mostra a continuación:

Especifique un nome e, a continuación, active o estado, seleccione a acción (Permitir, Bloquear) e, finalmente, especifique o URL ben usando un nome de dominio simple, enderezo IP (coincidencia simple) ou usando un comodín. Consulte a seguinte figura:

URL Filtrado de categorías
Os usuarios tamén teñen a opción de non só filtrar por dominio/enderezo IP específico ou comodín, senón tamén por categorías, por exemplo.ample Ataques e Ameazas, Adultos, etc.
Para bloquear ou permitir toda a categoría, fai clic na primeira opción da fila e selecciona Todo Permitir ou Todo Bloquear. Tamén é posible bloquear/permitir por subcategorías como se mostra a continuación:

Filtrado de palabras clave
O filtrado de palabras clave permite aos usuarios filtrar mediante unha expresión regular ou un comodín (por exemplo, *example*).
Para crear un filtrado de palabras clave, vaia a Módulo Firewall → Filtrado de contido → Web Páxina de filtrado → Pestana Filtrado de palabras clave e, a continuación, faga clic no botón "Engadir" como se mostra a continuación:

Especifique un nome e, a continuación, active o estado, seleccione a acción (Permitir, Bloquear) e, finalmente, especifique o contido filtrado mediante unha expresión regular ou un comodín. Consulte a seguinte figura:

Cando o filtrado de palabras clave está activado e a acción está configurada como Bloquear. Se os usuarios tentan acceder por exemploamp"YouTube" no navegador, pediráselles unha alerta de firewall como se mostra a continuación:

Examparchivo de keywords_filtering no navegador
Para obter máis detalles sobre a alerta, os usuarios poden navegar ata o módulo Firewall → Rexistro de seguranza.

URL Biblioteca de sinaturas
Nesta páxina, os usuarios poden actualizar Web Para filtrar manualmente a información da biblioteca de sinaturas, actualizar diariamente ou crear unha programación, consulte a seguinte figura:

Nota:
Por defecto, actualízase nun momento aleatorio (00:00-6:00) todos os días.

Filtrado de aplicacións
Configuración básica - Filtrado de aplicacións
Na páxina, os usuarios poden activar/desactivar o filtrado global de aplicacións, despois os usuarios poden activar ou desactivar por categorías de aplicacións.
Vaia ao módulo Firewall → Control de contido → Filtrado de aplicacións e, na pestana de configuración básica, active o Filtrado de aplicacións de forma global, tamén é posible activar o Recoñecemento da IA ​​para unha mellor clasificación.

Nota:
cando o Recoñecemento da IA ​​está activado, utilizaranse algoritmos de aprendizaxe profunda da IA ​​para optimizar a precisión e fiabilidade da clasificación das aplicacións, o que pode consumir máis recursos de memoria e CPU.

Regras de filtrado de aplicacións

Na pestana Regras de filtrado de aplicacións, os usuarios poden Permitir/Bloquear por categoría de aplicacións como se mostra a continuación:

Anular as regras de filtrado
Se se selecciona unha categoría de aplicación, os usuarios aínda terán a opción de anular a regra xeral (categoría de aplicación) coa función de anular as regras de filtrado.
Por example, se a categoría da aplicación Navegadores está definida como Bloquear, entón podemos engadir unha regra de filtrado de anulación para permitir Opera Mini, deste xeito bloquearase toda a categoría da aplicación do navegador excepto Opera Mini.
Para crear unha regra de filtrado anulada, faga clic no botón "Engadir" como se mostra a continuación:

 

A continuación, especifique un nome e active o estado, configure a acción en Permitir ou Bloquear e, finalmente, seleccione da lista as aplicacións que se permitirán ou bloquearán. Consulte a seguinte figura:

Biblioteca de sinaturas: filtrado de aplicacións
Nesta páxina, os usuarios poden actualizar manualmente a información da biblioteca de sinaturas de Filtrado de aplicacións, actualizar diariamente ou crear unha programación; consulte a seguinte figura:

Nota:
Por defecto, actualízase nun momento aleatorio (00:00-6:00) todos os días.

PROXY SSL

Un proxy SSL é un servidor que usa o cifrado SSL para protexer a transferencia de datos entre un cliente e un servidor. Funciona de forma transparente, cifrando e descifrando datos sen ser detectado. Principalmente, garante a entrega segura de información confidencial a través de Internet.
Cando o proxy SSL está activado, o GCC601x(w) actuará como servidor proxy SSL para os clientes conectados.

Configuración básica: proxy SSL

Activando funcións como SSL Proxy, Web O filtrado ou antimalware axuda a detectar certos tipos de ataques websitios, como ataques de inxección de SQL e scripts entre sitios (XSS). Estes ataques intentan danar ou roubar información websitios.

Cando estas funcións están activas, xeran rexistros de alertas baixo Rexistro de seguranza.
Non obstante, cando estas funcións están activadas, os usuarios poden ver avisos sobre certificados cando exploran web. Isto ocorre porque o navegador non recoñece o certificado que se está a usar. Para evitar estes avisos, os usuarios poden instalar o certificado no seu navegador. Se o certificado non é de confianza, é posible que algunhas aplicacións non funcionen correctamente ao acceder a Internet
Para o filtrado HTTPS, os usuarios poden activar o proxy SSL navegando ata Módulo Firewall → Proxy SSL → Configuración básica e, a continuación, activar o proxy SSL, despois de seleccionar o Certificado CA na lista despregable ou facer clic no botón "Engadir" para crear un novo certificado CA. Consulte as figuras e a táboa a continuación:

]

 

Para que o proxy SSL teña efecto, os usuarios poden descargar manualmente o certificado de CA facendo clic na icona de descarga como se mostra a continuación:

Despois, o certificado CA pódese engadir aos dispositivos previstos baixo os certificados de confianza.

 

 

 

Enderezo fonte
Cando non se especifican enderezos de orixe, todas as conexións de saída envíanse automaticamente a través do proxy SSL. Non obstante, ao engadir manualmente novos enderezos de orixe, só os incluídos especificamente serán enviados mediante proxy a través de SSL, garantindo un cifrado selectivo baseado en criterios definidos polo usuario.

 

Lista de exencións de proxy SSL
O proxy SSL implica interceptar e inspeccionar o tráfico cifrado SSL/TLS entre un cliente e un servidor, o que adoita facerse con fins de seguridade e supervisión nas redes corporativas. Non obstante, hai certos escenarios nos que o proxy SSL pode non ser desexable ou práctico para determinados websitios ou dominios.
A lista de exencións permite aos usuarios especificar o seu enderezo IP, dominio, intervalo de IP e web categoría para estar exento de proxy SSL.
Fai clic no botón "Engadir" para engadir unha exención SSL como se mostra a continuación:

Baixo a opción "Contido", os usuarios poden engadir contido facendo clic no botón "+" e eliminalo facendo clic na "icona -" como se mostra a continuación:

REGISTRO DE SEGURIDADE

Rexistro
Nesta páxina, aparecerán os rexistros de seguridade con moitos detalles como a IP de orixe, a interface de orixe, o tipo de ataque, a acción e o tempo. Fai clic no botón "Actualizar" para actualizar a lista e no botón "Exportar" para descargar a lista na máquina local.

Os usuarios tamén teñen a opción de filtrar os rexistros por:

1. Tempo
Nota:
Os rexistros consérvanse por defecto durante 180 días. Cando o espazo no disco alcance o limiar, os rexistros de seguridade borraranse automaticamente.
2. Ataque
Ordenar as entradas do rexistro por:
1. IP de orixe
2. Interface de orixe
3. Tipo de ataque
4. Acción

Para obter máis detalles, faga clic na "icona de exclamación" baixo a columna Detalles como se mostra arriba:
Rexistro de seguridade

 

Cando os usuarios fagan clic no botón "Exportar", un Excel file descargaranse na súa máquina local. Consulte a seguinte figura:

Notificacións por correo electrónico
Na páxina, os usuarios poden seleccionar cales son as ameazas de seguridade das que se lles notificará mediante enderezos de correo electrónico. Seleccione o que quere ser notificado na lista.
Nota:
A configuración de correo electrónico debe configurarse primeiro, fai clic en "Configuración de correo electrónico" para activar e configurar as notificacións de correo electrónico. Consulte a seguinte figura:
E

Especificacións:

• Modelo do produto: GCC601X(W) Firewall
• Soporta: WAN, VLAN, VPN
• Características: Política de regras, Regras de reenvío, NAT avanzado

---

Preguntas frecuentes (FAQ)

P: Como podo borrar as estatísticas de protección?

R: Pasa o rato sobre a icona da engrenaxe en Estatísticas de protección e fai clic para borrar as estatísticas.

Documentos/Recursos

GRANDSTREAM GCC601X(W) One Networking Solution Firewall [pdfManual do usuario GCC601X W, GCC601X W One Networking Solution Firewall, GCC601X W, One Networking Solution Firewall, Networking Solution Firewall, Solution Firewall, Firewall

Referencias

• Manual de usuario