Vamos adicionar uma política aplicando de “NAT (Network Address Translation)” para serviços diversos. Vamos considerar o exemplo:

Mascaramento do servidor Windows para o serviço WSUS. Com o intuito de permitir o UPDATE automático sem a exigência de autenticação.


 Link com a documentação da MS – Como configurar uma conexão de rede para o MS WSUS

https://technet.microsoft.com/en-us/library/cc708602(v=ws.10).aspx

Para casos específicos definir e configurar antes os objetos que serão utilizados na política.


Abaixo um resumo do que será configurado na regra:



  • [Properties]: NAT: MS-WSUS Servers, Action: Allow; TAG = NAT;
  • [Conditions]: Zona = WAN;
  • [Inspection]: Intrusion Prevention;
  • [Routing]: Habilitar [Nat]; SD-WAN= Performance BB; Traffic Shaping= Very high.

       

Para adicionar uma política de segurança, no menu de ações [], clique na opção “Create Policy”;


IPv4 - Menu de Ações - Create Policy


Configure cada aba de acordo com as definições demonstradas à seguir.

 

Properties


Na aba [Properties], em Name nomeie como: “NAT: MS-WSUS Servers”;

Em Tags inclua “NAT”;

Em Policy Group selecione “Masking (NAT)”;

Você terá chego no resultado ilustrado pela imagem abaixo:


Add Policy – Ex. 4 – Properties


Selecione a próxima aba, [Conditions].


Conditions


Na aba [Conditions], em Network Zone selecione "WAN";

IP Address selecione: “Server Windows AD/LDAP” (Caso seja necessário adicionar um novo objeto, consulte esta página);

Em Service selecione “Services UPDATE MS WSUS” (Caso seja necessário adicionar um novo objeto, consulte esta página);

Você terá chego no resultado ilustrado pela imagem abaixo:


Create Policy – Ex. 4 – Conditions


Selecione a próxima aba, [Inspection].


Inspection


Na aba [Inspection], habilite a caixa de seleção de Intrusion Prevention [e selecione um perfil para efetuar Deep Inspection (Para mais informações, cheque a página);

Você terá chego no resultado ilustrado pela imagem abaixo:


Create Policy – Ex. 4 – Inspection


Selecione a próxima aba, [Routing].


Routing


Na aba [Routing], marcar a caixa de seleção NAT[];

Marcar a caixa de seleção de SD-WAN[] e selecionar a opção “Performance BB”;

Em Traffic Shaping selecione a opção “Very High”;

Você terá chego no resultado ilustrado pela imagem abaixo:


Create Policy – Ex. 4 – Routing


Após ter configurado cada aba de acordo com a definição da política aplicada, clique em [].


Policy Saved Successfully


A tela ilustrada na imagem a seguir será exibida:


Create Policy – Ex. 4 – NAT: MS-WSUS Servers.


Após salvar, para que a política entre em ação será necessário acessar a fila de comandos [e aplicar as alterações efetuadas. Para mais informações a respeito da fila de comandos acesse a página: UTM - Fila de comandos.


Após realizar esses procedimentos a política terá sido configurada com sucesso.


Observar a necessidade de ordenar/reordenar as políticas.

Neste caso não vamos precisar reordenar.

As políticas estão bem definidas, a regra de NAT do servidor Windows AD/LDAP bem específica considerando “Origem/Destino”, inclusive as portas de serviço.

As políticas de acesso e filtros WEB com inspeção e ordenadas de forma que aplicam 1º os bloqueios, depois a permissão.

Dessa maneira “não conflitante” com outras políticas, atendendo as especificações do modelo de políticas apresentadas e as considerações e “Dicas Importantes” mencionadas no capítulo anterior.

Ex.: Objeto endereço “Servidores Wsus” ver lista de endereços na documentação em nota;

Objeto serviços “Service UPDATE MS WSUS”. Ver lista de portas na documentação em nota;

No exemplo 4 definimos uma políticas de redirecionamento para efetuar update sem precisar de autenticação.

  • No labels