Aula 4 - FGT 7.2 - Entendendo Firewall Policies - Teoria e pratica (Parte 1)

fala pessoal sejam bem vindos de volta ao meu canal eu sou o Vinícius fiorotto e na aula de hoje nós vamos falar sobre políticas de Fire dentro do nosso português nessa aula a gente vai ver alguns componentes das nossas políticas de Fire os principais componentes que ela precisa para ser utilizada para ser configurado uma política de Fire e no futuro nós vamos continuar vendo sobre Security profile que nós vamos adicionar dentro da política de Fire Então ainda não é nessa aula que nós vamos ver sobre o Web Filter show control e outros recursos que também vão ir dentro da política de Fire nós vamos ter um capítulo para explicar melhor cada um desses itens mas hoje a gente vai integrar ali o que que é uma interface de origem uma interface de destino um IP de origem usuário internet service né então a gente vai ver todas esses cenários para nossa política de fardo funcionar e a gente vai ter uma parte dois falando ali um pouquinho também sobre outros tipos de políticas e trombou em cima dessas políticas de Fire espero que vocês gostem da aula de hoje já para vocês deixar aquele like no vídeo compartilhar com colega de vocês que também tá estudando para o forp gate e também pedir para você se inscreverem no canal a gente viu aqui que 52% das pessoas que assistem as aulas não estão inscritas no canal e você a sua inscrição vai me ajudar Ali vai me motivar a continuar gravando esse conteúdo para vocês né dá um trabalhão danado mas eu espero que eu possa ajudar muita gente que não consiga pagar por um treinamento oficial por ser muito caro Então se inscreve aí para me dar aquela força tá bom para a gente definir o que quer a política de Fire a gente tem que saber que sempre que uma comunicação passa pelo forte gage Então vem a origem bate no Forte Gate vai para outro destino qualquer tráfico que passe por esse forte Gate deve estar associado a uma política de Fire e essa política de Fire é um conjunto de instruções que ela vai controlar o fluxo e o tráfego através do português essas instruções determinam para onde vai esse tráfico como ele é tratado Se é permitido passar pelo forte ou não tão em resumo as políticas de files são um conjunto de regras que especificam Qual o tráfego é permitido pelo forte Gate e o que o Ford Gate deve fazer quando esse tráfico correspondente bate em uma política tá para a gente começar falando sempre que a gente cria uma política de Fire no nosso forte Gate a gente vai definir qual é a interface de origem Qual é a interface de destino Qual é a rede de origem Qual é a rede de destino qual que vai ser ali as datas e horários que essa regra vai poder ser aplicada né tipo de serviço ação você vai permitir ou bloquear aquilo se vai ter Nat ou não nós temos duas formas de trabalhar com Nati Isso vai ser assunto da nossa próxima aula né na verdade faz o Polo se vai ser dividido em duas então a próxima é a continuação de firepoxi e após nós começamos falar sobre Networks translator se essa política vai ter Security E como que esses logs vão ser determinado dentro da nossa política vejam que o nosso Fire padrão ele tem uma política implicida então ele tem um denay um bloqueio e implícito ali qualquer coisa que não tenha algo liberando acima dela ela vai ser a bloqueada por essa política então nós de segurança a gente segue um formato de 0 trusted né Então nada confiável e nós vamos liberando conforme a necessidade do ambiente né então é geralmente nós de Network Security temos que pensar em liberação muito específica quanto mais específica melhor porque tem empresas que eu já fiz auditoria que elas deixa tudo liberado então qualquer origem para qualquer destino tudo liberado e isso ocasiona de um de uma falha de segurança para o ambiente né então para que que eu teria um Fire se tá tudo liberado então a gente sempre pensa num cenário de política mais explícita possível né mas até ali o parâmetro mais específico possível para sim é fazer uma política de Fire Qual é o IP de origem Qual é o IP destino se tem um horário específico para usar essa política se não tem qual tipo de serviço na camada o porta 80 http ou 443 https por exemplo tá então a gente vai sempre partir dessa premissa do sempre mais específico possível para política de Fire a nossa política de Fire ela consiste um conjunto de regras que controla o fluxo de tráfego através do Forte Gate E para isso nós usamos alguns objetos na nossas políticas de Fire Quais são esses objetos nós podemos utilizar interface ou zona a gente vai falar dos dois já já podemos utilizar objetos de endereço podemos utilizar usuários podemos utilizar serviços de internet podemos utilizar definições de serviços né então nossos nossas portas da camada 4 podemos utilizar as nossas nossos calendários podemos utilizar regras de Nati e também podemos utilizar o nosso forte Gate também pode ter alguns tipos específicos de políticas nós podemos ter firew Police que as políticas mais comuns ali que nós vemos dentro do nosso forte Gate podendo ser elas para ipv4 ou ipv6 podemos ser políticas de Fire virtual ou área de Pair podendo ser para ipv4 ou ipv6 nós temos políticas de proxy pólice nós temos políticas de multi cast Police nós temos políticas local em pólice nós temos políticas de Deo S de night service podendo ser para ipv4 ou ipv6 e nós temos também políticas de Traffic Shape Nem todas essas políticas esses formatos de políticas nós vamos abordar aqui dentro do C4 então por exemplo proxy pólise multicastólice nós não vamos abordar aqui para virtual nós vamos abordar mais à frente quando nós falamos de Ford Gate como roda 2 tá E aí também funciona nele na camada três ali um modo Nat mas nós vamos falar mais isso quando falar dele em modo transparente mais para frente Traffic Shape nós vamos abordar do spolice vamos abordar tá quando a gente for falar lá no fazer um mais para frente no futuro um treinamento de INSS a gente fala dos outros formatos de Police que Gate consegue fazer o que que é imprescindível para uma política de Fire acontecer bom nome isso se a gente colocar na interface gráfica é obrigatório para o nome mas a gente pode tirar vou mostrar para vocês interface de origem interface de destino Qual é o IP de origem e o usuário ou internet service a gente vai ver qual é o destino ali podendo ser também IP ou fdniso ou internet Services E também o serviços todos eles que estão em amarelos são obrigatório colocar na minha file Pony os demais são opcionais nós vamos ver sobre todos esses parâmetros aí bom pessoal antes da gente abrir como eu falei para vocês eu vou usar sempre um cenário que eles dá licenciado né porque senão muitas coisas a gente não vai conseguir abordar no curso sem o licenciamento devido então no nosso cenário nós vamos utilizar uma máquina ali Linux onde essa máquina Linux está dentro da rede 1000/24 ela tem o ip. 10 e o nosso forte Gate é o gate dessa rede com IP 1001. 254 fora isso a minha parte 1 do meu forte Gate essa aqui é a minha parte 3 tá a minha parte 1 vai estar dentro da rede 10.

20010. 1 e nós vamos ter ali o gate sendo o ponto 254 dessa rede que é o meu ISP na internet service provar um aqui tá então isso aqui vai ser o nosso topologia a minha parte 2 vai estar dentro da rede 10. 200 dois zero barra 24 onde eu vou ter o ponto 1 e o 254 ali vai ser o meu isp2 então assim a gente vai ter dois links para internet tá vejam que aqui é rfc 1918 para ipv4 porém pense que isso seria o nosso Ipê público Tá ali tá dentro da do de Ipês privados né o grupo de privado da da rede 10 mas pense que seria nossos Ipês públicos pro nosso cenário que aqui é só o nosso desenho pro nosso ambiente Tá então vamos lá para o nosso Ford Gate após logar aqui no nosso Fire nós vamos vir em pólice e objetos e vamos vir em Fire Police vindo em Fire Police vejam que o meu fortgate ele só tem aqui a política de DNA implícito né então no nosso ambiente nós temos aqui a nossa máquina Linux essa nossa máquina Lenoxx quer sair pra internet podendo ser pelo isp1 ou pelo isp2 eu preciso ter regra de Fire fazendo essa liberação de saída para internet certo então Primeira coisa eu vou vir com o meu e aqui ele vai me dar as opções de criar minha política de fi vejam que tudo que está em amarelo é obrigatório colocar na minha política de Fire os que não estão em amarelo não é obrigatório tá então por padrão é tudo aquilo que eu falei para vocês né colocar um nome eu tenho que colocar com a interface de origem com a interface de destino Qual é o IP né ou o internet service dela base ou usuário de origem né veja aqui que eu tenho o address o usuário ou internet serve se dera base Qual é o destino podendo ser adworks também internet ser dera base Qual que é o esqueleto vejam que ele tem aqui um pouco padrão que é esse alway sempre né a gente vai falar sobre ele e nós também temos aqui o serviços né que eu vou colocar na minha política Esses são obrigatórios se eu vou se vai ser uma política de aceitar ou de negar um bloqueio ou uma liberação né se vai ter Nati nessa política Qual os tipos de protocolos nós vamos falar sobre tudo isso se aquilo de prova a gente vai ver em um outro momento porque a gente vai ter um capítulozinho aqui na nossa de vídeos para cada um desses Security Pro files aqui né e os formatos de log como que eu vou armazenar o log dessa Police aqui tá então primeira coisa veja que o nome é obrigatório na minha política aqui dentro do meu forte Gate na interface gráfica quando eu vou fazer uma política de Fire via cli ele não me obriga a colocar um nome nessa política então se eu vim aqui na minha cli e colocar o comando config firefoice Edite qual pode ser que eu quero editar no meu caso no meu cenário eu não tenho nenhuma política né só o DNA implícito Então eu só tenho aquela política ali de DNA em cristo eu vou colocar aqui edition para ser minha primeira política aqui eu poderia configurar toda a minha apólice colocando o comando 7 fazendo minhas entradas igual eu faço ali na interface gráfica porém o nome esse item aqui ó name ele não é obrigatório na cli Por que que ele é na interface gráfica que não é na série somente por semântica para poder administração ser muito mais fácil tem um nome ali enxergar essa política tá eu posso tirar essa opção se eu vim aqui insistem feature invisibles e o habilitar aqui ó permitir políticas Sem Nome a Laude Police habilito aplico E aí vejam que lá na minhas políticas de Fire agora quando eu vim Police firew Police a minha política de Fire não obriga mais que eu tenho um nome na política o nome virou opcional se eu faço essa opção tá Então veja que ele tá em branco lembre-se que tudo que tá em branco é opcional os que estão em amarelo é obrigatório tá então eu posso fazer essa alteração caso eu não queira dar nome na minha política de Fire vou falar que o melhor cenário é claro com certeza tem um nome até ficar mais fácil de você procurar aquela política tendo nome para ela tá bom então vou colocar aqui o nome da nossa política como internet vou falar que a interface de origem é a minha parte 3 lembra que eu falei na aula anterior que eu posso colocar nomes nas interfaces para ficar mais fácil administração bom então vamos fazer isso aqui ó vamos vir aqui em Network interface vou ir na minha parte 3 porque ó lembra da nossa topologia a parte 3 tá essa rede aqui com essa máquina Linux ligada parte um o nosso internet service 2 o nosso internet serve se provarder 2 tá então vou vir aqui vou fazer aqui ó na parte 3 vou colocar um Elias né um friendly name o nome mais amigável como lã que vai ser a minha local área Network dentro da minha parte 1 eu vou colocar um friendly name também né um Ilhas nela com o nome de o a um ok e na minha parte 2 eu vou colocar o friendly name nela um nome amigável né no meu ilhas de One dois Então veja que lá na minha apólice fica muito mais tranquilo para eu trabalhar sabendo quem é a origem quem é o destino tem um nome ali na minha política né então se eu der um crime que a minha interface de origem é a minha lã Então vai vir de dentro da minha rede com destino a internet então Vou colocar aqui primeiro para o a1 e depois eu explico como que eu faria se eu quisesse criar regras para os dois links de Internet ao mesmo tempo nós temos algumas formas e aqui eu sou obrigado a colocar um IP de origem sendo qualquer IP de origem ou um objeto criado e eu vou falar sobre todos os pontos tá então vou colocar aqui qualquer objeto de origem com qualquer objeto de destino né Qualquer IP de destino qualquer IP de origem qualquer impede de destino e qualquer serviço o Nat a gente vai falar nos próximos capítulos sobre Nati mas eu vou deixar habilitado aqui como é saída para internet se eu deixar o note desabilitado para essa saída na internet aqui ó o que que vai acontecer vou colocar aqui internet eu preciso antes de qualquer coisa terrota né então eu tenho que ter uma rota de fogo que já tá criada aqui no nosso ambiente se eu vim aqui em Network static rounds eu já tenho uma rota de fogo para o ão então é a única rota dele foi que eu tenho o meu próximo salto é o 10 200 1 2 5 4 então lembre da nossa topologia onde eu tenho Aqui essa rede eu tenho de uma rota de fogo mandando para esse IP não tenho para porta dois depois a gente faz isso tá E aí eu vou tentar sair através aqui da Internet do meu navegador para internet eu não vou conseguir sair por que que eu não vou conseguir sair porque eu não tenho Network addrest translator habilitado ali como ele vai falar com a internet na hora que chega com a operadora eu ia falar eu vou saber quem é 10-01 pode ser qualquer IP do mundo inteiro né Qualquer máquina pode utilizar essa rede privada então Network addance translator na nossa política vai fazer com que ele saia com o IP público ali da interface Lógico que o meu laboratório Aqui tá todo preparado para mim mostrar para vocês essas comunicações funcionando de fato tá então eu vou habilitar aqui o Nat na minha saída para internet tá se fosse uma rede dentro do meu próprio ambiente não precisaria depois a gente vai falar sobre é roteamento E aí vocês vão entender muito melhor sobre isso tá então agora que eu habilitei o Nat na minha interface vamos atualizar aqui a saída pra internet eu consigo sair para a internet beleza mas depois no próximo Capítulo da nossa série aqui de vídeos falaremos ginástica fique tranquilos então na minha política de file eu falei que eu posso colocar interface de origem lembre que eu falei que podia ser por interface ou por uma zona então o que que seria essa zona né nesse nosso ambiente a gente tem dois links de internet ali então se um link de internet parasse de funcionar se esse link desse problema nós queremos que saísse por este outro link né Então como que eu vou fazer se eu tenho que ter duas regras iguais para sair pelos dois links eu posso fazer de duas formas criar uma outra regra então vim aqui criar agora que a origem a minha rede lá com destino a minha parte One dois e aí essa parte 1 2 tem diversos também recursos aqui e pede origem ou esquerda e tudo mais que nós vamos falar daqui a pouco ou se eu quiser criar o mesmo tempo as mesmas regras para as duas interfaces eu posso trabalhar com zona como que eu trabalho com zona a primeira coisa é vir Network interfaces e vejam que quando eu vou criar a minha zona Então vem aqui em Crate New Zone e eu vou criar minha zona eu não vou conseguir adicionar na minha zona a parte 1 tá vendo que eu tenho alguma dois aqui eu não tenho o au a um mostrando porque não porque existe uma regra usando essa porta e sempre que essa porta está sendo referenciada por políticas de Fire eu não consigo fazer alteração nessas interfaces então o que que eu teria que fazer para conseguir trabalhar com zona eu teria que ir lá excluir todas as regras que aquela porta faz parte então isso às vezes dá muito trabalho quando eu já tenho um ambiente grande né com várias interfaces configuradas mas eu vou falar também que quando a gente for falar de SDU o nsc4 não aborda mais SD One porém eu entendo que por dia a dia de vocês é muito importante vocês aprenderem a se derrubar Então nós vamos ter um capítulo de SD One também assim como fire transparent fire não é mais obrigatório no inss4 na versão 7.

2 Mas vamos ter um capítulo aqui também com o nosso Fire transparente mode tá eu quero fazer o mais completo possível para vocês aprenderem de fato mexer com forte Gate não só para prova mas sim para o dia a dia beleza então vamos lá eu posso vir direto na minha rua Um e ver aqui ó onde ela está sendo referenciada então eu posso clicar ver as referências dessa interface e vejam que ela tá referenciada nessa firew Police posso vir aqui e envio para o piters e ver as propriedades dessa dessa configuração dessa política então tem o número da política o status dela Qual é o nome né todas as configurações que nós fizemos ali na política de Fire eu posso ver por aqui eu posso excluindo empólice Fire Police excluir a política eu posso excluir por aqui mesmo vindo aqui em delete tá os dois formatos vão funcionar agora eu consigo criar uma zona One por exemplo né com meus dois links de Internet ao mesmo tempo então vim aqui em Cray New Zone e eu vou colocar aqui os interface member dessa zona então a minha rua Um e a minha One dois são os membros tá vejam que aqui eu posso bloquear ou liberar né a comunicação entre essas duas interfaces né o padrão é deixar bloqueado elas não se conversam entre si Mas elas fazem parte do mesmo membro de interface aí eu vou colocar aqui nome de One vai se chamar a zona o Up que tem meus dois links de um ali meus dois links de internet agora como eu tenho uma apenas uma rota estática só para o A1 como ali eu vou ter dois links dentro da mesma zona eles vão Balancear entre os dois links então eu também tenho que ter saída para internet pela minha One 2 então eu vou criar aqui uma rota default mandando para o 10. 200 2 5 4 que é o Gateway da minha One 2 lembre-se sempre da nossa topologia tá é o gate aqui da minha One dois tá então vai sair pela parte 2 depois a gente vai falar sobre distância administrativa Então por enquanto não vou chegar nesse parâmetro e vejam que lá na minha apólice firew Police eu não vou enxergar mais a interface específica ou eu vou ver sempre com uma zona One que tem aquelas duas interfaces então se eu precisar criar um roteamento por uma interface não por outra aí a gente não vai fazer através de regra tá na regras duas vão tá dentro a gente consegue fazer Através de outros parâmetros para sair por uma interface ou pela outra interface mas aqui pense que a regra que eu tô criando da minha lã para minha Luan tanto faz se eu vou para o A1 ou se eu vou pela One 2 as duas vão ser válidas nessa comunicação então isso me ajuda para não ter que criar uma regra para mim algo a um pro meu link de internet um outra regra como meu link de internet 2 e eu posso ter nesse formato de criar para as duas ao mesmo tempo vocês vão ver que conhece deu isso é muito melhor claro do que aqui nesse formato de zona mas eu tenho que passar para vocês que tem essa possibilidade tá nas origens vamos falar primeiro sobre os nossos adress os a dress eu consigo fazer a configuração deles aqui ó dentro de adress aqui dentro eu criar novos adruss com configurações específicas que eu queira quais são essas configurações eu posso criar através de uma subnet então falar que a nossa rede ali 10 01 0/24 pode fazer algo Então posso criar através de uma Rede Inteira ou se eu colocar o próprio ip da nossa máquina que é o ponto 10/32/32 é a máscara para um único IP Então eu ia falar esse IP pode fazer isso né então posso fazer assim através de subnathe eu posso fazer também através de IPI Range o IP Range vai servir para se eu quiser pegar um Range específico de IP dentro daquela rede fazer uma regra para aquilo por exemplo eu poderia pegar aqui ó do 10 0 1 10 até o 10 0. 11 por exemplo Então tem um Range aqui de dois Ipês ou até o ponto 15 seria um Range aqui para cinco vezes né E aí eu posso criar um adress para pegar se vim de qualquer um desses IPS faça isso regra de Fire Eu posso também criar fqdl o fqdn ele é um formato que vai utilizar o DNS server por exemplo se eu digitar aqui ó fortnite.

com e se eu criar aqui o fqdn fortnite Então eu quero que para esse nome faça isso uma coisa que eu quero mostrar aqui ó que quando eu uso fqdl eu acabei de criar esse fqdl vejam que ele fica aqui com a exclamação o que que é isso quer dizer que o meu DNS ainda não conseguiu resolver esse nome então se vocês criarem um fqdl e ficar com exclamação sempre quer dizer que esse nome não tá conseguindo ser resolvido pelo seu DNS seja ele interno se seu Fire tiver buscando nele ou seja da internet aí você vai ver se o nome tá errado aqui é que como eu acabei de criar ele ainda não buscou mas se eu atualizar isso daqui vocês vão ver que a partir desse momento ele já resolveu o nome então ele já conhece quem é fortnite.