Ubiquiti 发布了 UniFi 网络 9.0.92 的抢先体验更新,其中包括 基于区域的防火墙 (ZBF),简化管理员网络安全管理。
Ubiquiti 已推出其 UniFi 网络 9.0.92 早期访问更新,推出了 基于区域的防火墙 (ZBF)。 此次重大升级为管理员提供了一套简化但功能强大的网络安全管理工具。此次更新涉及网关和云网关,我们已通过 Cloud Gateway Ultra 部署了这些网关和云网关。 梦想机器 Pro Max.
这项创新专注于将 VLAN、WAN 和 VPN 等接口分组到逻辑区域中,从而实现更直观的策略创建、更好的细分和更高的安全性。
主要特点和优点
简化策略管理
在复杂的网络中,每个接口的配置可能变得难以处理,这种日子已经一去不复返了。新的 区域矩阵 提供区域间流量的清晰可视化表示,使管理员能够快速评估和修改安全策略。这种直观的方法使策略管理更容易进行,即使对于经验不足的网络管理员也是如此。
增强网络分段
UniFi 的 ZBF 引入了预定义区域,包括内部、外部、DMZ、VPN 和热点,每个区域都针对常见的安全需求量身定制。这些区域可确保对流量进行精细控制,允许管理员将特定规则应用于不同的网络元素。这种设计有助于隔离物联网设备、保护敏感数据服务器或管理访客流量,而不会危及内部网络。
灵活的定制策略
虽然预定义规则简化了设置,但自定义策略功能允许管理员根据独特的组织要求定制安全设置。无论是阻止特定协议、为受信任的设备创建例外,还是对流量类型进行优先级排序,自定义策略的灵活性都可以确保 ZBF 能够适应最复杂的网络环境。
可见性和控制
ZBF 包含内置规则,用于保护关键流量(例如网关的 DHCP 和 DNS 流量),确保基本服务不会意外中断。通过 syslog 增强的日志记录功能可提供有关流量模式和潜在威胁的详细信息。此外,管理员可以轻松重新排序规则以反映不断变化的优先级或要求,从而提高监督和适应性。
(ZBF)的实际应用
ZBF 框架旨在降低复杂性同时增强安全性,使其成为各种规模的组织的宝贵补充。
保护物联网网络
物联网设备通常内置的安全性有限,因此容易受到攻击。借助 ZBF,管理员可以将所有物联网设备放置在专用区域中,并制定以下策略:
- 阻止物联网设备访问敏感的内部网络。
- 允许物联网设备仅与特定的外部服务或资源通信。
隔离访客流量
可以将访客用户限制在仅允许互联网访问的专用区域,从而防止他们与内部设备或敏感数据交互。
平衡内部和外部流量
预定义的“内部到外部”策略提供了一种平衡的方法,既可以向内部用户授予安全的互联网访问权,又可以对潜在威胁保持强有力的保障。
高级定制
组织可以根据特殊需求创建额外的区域,例如隔离开发人员环境、测试实验室或远程 VPN 用户,确保对区域间通信进行细粒度的控制。
部署注意事项
虽然 ZBF 简化了防火墙管理,但仔细规划对于避免意外后果至关重要。管理员应该:
- 了解区域行为:如果不仔细管理,在区域之间移动网络或阻止到网关的流量(对于 DHCP 和 DNS 等服务至关重要)可能会扰乱操作。
- 审计流量:在实施 ZBF 之前,请检查当前的流量模式以确保保留必要的通信路径。
- 测试规则:逐步测试新规则有助于防止大规模破坏,特别是在具有混合信任级别的较大环境中。
- 利用日志记录:使用日志功能来监控变化的影响并确定需要改进的领域。
ZBF 配置 例如:
UniFi 的基于区域的防火墙 (ZBF) 是简化和增强网络安全的重要一步。从传统的每个接口配置转变为基于区域的方法,使管理员能够专注于预期的安全结果,而不是费力处理复杂的设置。其直观的设计和强大的自定义选项使其成为小规模和企业部署的理想选择。
为了说明其实际实施,下面是如何设置新 访客/IoT 区 在最新更新中使用 UniFi 的 ZBF。目标是隔离访客和 IoT 设备,确保它们能够控制对外部资源的访问,而不会危及内部安全。
EA 版本更新
按照以下步骤更新到 EA Release Network 9.0.92。
-
- 在MyCAD中点击 软件更新 设置 > 控制平面 > 更新 在 UniFi 控制器中。
- 点击 检查更新或更新 并安装最新的 EA 版本。
- 启用 抢先体验 如果尚未启用,则在同一菜单中。
接下来,按照以下步骤启用基于区域的防火墙(ZBF)。
- 在MyCAD中点击 软件更新 设置 > 防火墙和安全.
- 启用 基于区域的防火墙.
- 使用配置区域并设置流量策略 区域矩阵.
区域配置示例
首先创建一个新区域。首先,查看默认区域,然后单击 创建区域 选项。
单击“创建区域”将进入配置屏幕以设置新区域。在本例中,我们将其命名为 访客/IoT 区。在将 VLAN 与此新区域关联之前,务必确保已创建或预先存在 VLAN。在我们的示例中,我们使用 VLAN 30. 创建新区域时,与此 VLAN 或网络绑定的任何预先存在的规则可能会被暂停或删除。
设置区域后,点击左上角的返回按钮返回主页。您需要三条防火墙规则来创建一个隔离的访客/物联网网络,该网络仅允许互联网访问,同时阻止本地设备通信。
首先,点击管理。或者,您可以过滤到访客/IoT 区域行并选择内部列中的第一个选项。这还将在界面上显示与此区域相关的任何相关规则。
规则1: 阻止 IoT/访客访问内部区域。
规则2: 允许 IoT/Guest 通过外部区域访问互联网:
Rule3:允许 IoT/Guest 通过网关区域与网关进行 DHCP 和 DNS 通信。
测试规则
创建规则后,我们就可以进行测试了。对于此测试,我们将使用连接到标有 VLAN 24.04.1 的 VNET 网络的 Ubuntu 服务器 30 VM。VM 将从 UDM-SE 获取 DHCP,以确认网络配置和区域规则是否按预期运行。
从命令开始, ip a 显示 Ubuntu VM 已成功从 VLAN 10.30.50.113 上的 (10.30.0.0/18) 网络获取 (30) 的 DHCP 租约。第一个测试验证与网关的通信,我们成功 ping 通主 UDM 网关 (192.168.1.1)。
接下来,我们确保无法访问内部网络上的任何设备。尝试 ping 位于 (192.168.1.32) 的域控制器失败,尝试 ping 位于 (192.168.1.202) 的托管交换机时也失败。作为进一步的测试,我们尝试与托管交换机建立 SSH 连接,但也失败了。这证实了隔离规则对 Guest/IoT 区域按预期工作。
最后,通过 ping Google 来测试虚拟机是否具有外部可达性,验证 Guest/IoT 网络是否可以访问互联网,同时与内部网络保持隔离。
Nmap测试
在下一个测试中,我们使用以下方式安装 Nmap sudo apt 安装 nmap 然后执行命令 命令 nmap -sP 192.168.1.0/24 扫描默认网络范围。Nmap 是一种网络扫描工具,可让您发现网络上的设备并确定哪些端口已打开。此测试通过确认 192.168.1.0/24 范围内的任何设备都无法从隔离网络访问来检查 Guest/IoT 网络是否与内部网络正确隔离。
它只能看到我们的网关(192.168.1.1)和蜜罐(192.168.1.2),而无法看到默认网络中的其他 28 个设备。
总结
UniFi 的全新区域防火墙提供了一种直观、高效的网络安全和分段方法。对于各种规模的网络,它都是一项宝贵资产,包括 StorageReview 等实验室,专业人员可以利用其功能。通过简化隔离区域的创建并实现强大的流量控制和安全的 VPN 策略,而无需传统的复杂性,此工具使管理员能够设计可扩展、安全的环境,以支持高级测试、开发和日常运营。
Ubiquiti公司 (附属链接)
参与 StorageReview
电子报 | YouTube | 播客 iTunes/Spotify | Instagram | Twitter | TikTok | RSS订阅
