Управление политиками межсетевого экрана FortiGate — руководство
Политики межсетевого экрана FortiGate — это правила, определяющие, как обрабатывается трафик по критериям источника, назначения, пользователя, сервиса и расписания. Политики оцениваются сверху вниз; применяется первое совпавшее правило, а при отсутствии совпадений срабатывает неявный запрет.
Что такое политика межсетевого экрана и как она работает?
Политика межсетевого экрана — это правило, которое разрешает или блокирует трафик от заданного источника к заданному назначению. FortiGate сопоставляет каждую новую сессию сверху вниз со списком политик и применяет действие первого совпавшего правила.
В FortiOS политика оценивается по первому пакету сессии. При совпадении сессия закрепляется за этим правилом, и последующие пакеты следуют ему. Поэтому порядок напрямую определяет результат безопасности.
Политики можно задавать по парам интерфейсов (например, LAN в WAN) или через плоскую таблицу политик, предпочтительную в FortiOS 7.x. Логика одинакова: конкретные правила сверху, общие — снизу.
Перед созданием политик должна быть завершена базовая настройка; см. наше руководство по установке и первичной настройке FortiGate.
Компоненты политики
Компоненты политики состоят из входящего/исходящего интерфейса, адресов источника и назначения, сервиса, расписания, действия (accept/deny), NAT и применяемых профилей безопасности.
Каждый компонент сужает критерий совпадения или определяет поведение. При действии accept могут включиться NAT, журналирование и профили безопасности; при deny трафик отбрасывается.
| Компонент | Функция |
|---|---|
| Входящий/исходящий интерфейс | Определяет, между какими интерфейсами идёт трафик |
| Источник / назначение | Объекты адреса/пользователя источника и назначения |
| Сервис | Разрешённый протокол/порт (например, HTTPS, DNS) |
| Расписание | Временной интервал действия правила |
| Действие | accept или deny |
| NAT | Трансляция адреса источника (обычно включена на выходе) |
| Профили безопасности | Антивирус, IPS, веб-фильтрация и т. д. |
Чтобы привязать профили безопасности к политике, см. наше руководство по профилям безопасности UTM; для политик удалённого доступа — нашу статью о настройке VPN.
Управление объектами адресов и сервисов
Управление объектами — это определение IP/подсетей, FQDN и географических адресов, а также пользовательских сервисов как многоразовых объектов; группы упрощают их.
В разделе Policy & Objects > Addresses создавайте объекты адреса на основе подсети, диапазона IP, FQDN или гео. Объединение повторяющихся назначений в группу адресов позволяет управлять одним правилом вместо десятков.
Определяйте объекты Service для пользовательских приложений и формируйте группы сервисов. Хорошо названные объекты значительно повышают читаемость политик при аудите и устранении неполадок.
- Создавайте объекты адреса на основе подсети/диапазона/FQDN/гео.
- Объединяйте повторяющиеся адреса в группы.
- Определяйте пользовательские сервисы для нестандартных портов.
- Именуйте объекты по согласованной схеме.
- Регулярно очищайте неиспользуемые объекты.
Порядок, сопоставление и implicit deny
Порядок — сердце безопасности FortiGate: правила просматриваются сверху вниз, применяется первое совпадение, а при отсутствии совпадений невидимый implicit deny блокирует трафик.
Размещайте более конкретные правила (узкий адрес/сервис) вверху списка, а более общие — внизу. Неверный порядок может привести к тому, что строгие правила под широким allow никогда не сработают.
Используйте инструмент policy lookup и таблицу сессий, чтобы увидеть, на какое правило попадает сессия. Включение журналирования для правила implicit deny делает заблокированный трафик видимым и упрощает отладку.
Чтобы управлять влиянием множества правил на производительность, см. наше руководство по оптимизации производительности и лучшим практикам.
Лучшие практики управления политиками
Лучшие практики включают наименьшие привилегии, осмысленные имена, регулярный аудит правил, очистку неиспользуемых правил и документирование изменений.
Ограничивайте каждое правило только необходимыми источником, назначением и сервисом; избегайте правил any-any-allow. Добавляйте комментарии к правилам и соблюдайте дисциплину журналирования изменений.
Периодически проверяйте неиспользуемые или конфликтующие правила; счётчики использования политик FortiOS показывают, какие правила никогда не совпадают. Такая очистка улучшает и безопасность, и производительность.
Для центральной видимости и аудита изменений читайте нашу статью о журналировании и мониторинге с FortiAnalyzer, а для общей архитектуры — наше руководство о том, что такое FortiGate.
Часто задаваемые вопросы
В каком порядке оцениваются политики FortiGate?
Политики оцениваются сверху вниз. Сессия подчиняется действию первого совпавшего правила; последующие правила для этой сессии не проверяются.
Что такое implicit deny?
Это невидимое правило по умолчанию в конце списка политик, блокирующее весь трафик, не совпавший ни с одним правилом. При включённом журналировании заблокированный трафик становится видимым.
В чём польза группы адресов?
Она объединяет повторяющиеся назначения под одной группой, позволяя управлять одним правилом вместо десятков; изменения в одном месте снижают риск ошибок.
Настраивается ли NAT внутри политики?
Да, в большинстве сценариев source NAT включается в политике через опцию NAT. Для более сложных случаев используются IP-пулы или central NAT.
Как увидеть неиспользуемые правила?
Счётчики использования политик (hit count) и данные о последнем использовании в FortiOS выявляют никогда не совпадающие правила. Их можно проверить и безопасно удалить.
Как безопасно вносить изменения в политики?
Сначала сделайте резервную копию, комментируйте правила, проверяйте влияние через policy lookup и по возможности применяйте изменения в окне обслуживания.
Заключение
Управление политиками FortiGate создаёт одновременно безопасный и управляемый набор правил за счёт правильного порядка, чистой структуры объектов и наименьших привилегий. Регулярный аудит и журналирование не дают политикам деградировать со временем.
Для аудита гигиены политик и переконфигурирования свяжитесь с командой безопасности Sora Yazılım.