Biorąc pod uwagę przejrzyste menu i rozsądną liczbę opcji na każdej ze stron, użytkownicy z pewnością poradzą sobie z techniczną stroną konfiguracji urządzenia, ale należy pamiętać, że jednak minimum znajomości działania sieci i firewalli jest wskazane, choćby ze względu na znajomość protokołów i portów. Gdyby jednak się okazało, że zrozumienie zastosowania jakiś opcji komuś sprawia kłopot, może skorzystać z dostępnego przycisku pomocy umieszczonego w górnej części okna.

Kolejnym elementem konfiguracji, którym trzeba się zająć, są ustawienia interfejsów sieciowych. Domyślnie przy kreatorze konfiguracji ustawiane są sieci WAN i LAN, gdzie od strony Internetu domyślnie włączona jest opcja statycznej adresacji, a w razie konieczności można skorzystać z DHCP. Natomiast od strony sieci LAN producent zdefiniował własną sieć z włączonym serwerem DHCP. Także przy odrobinie szczęścia, podłączając interfejsy bez dodatkowych konfiguracji, uzyska się dostęp do Internetu. Nie nastąpi tu blokada ruchu, gdyż domyślnie te porty mają na urządzeniu status zaufanych.

Zobacz również:

• Dane w centrum świata
• Palo Alto wzywa pilnie użytkowników jej zapór sieciowych, aby jak najszybciej zaktualizowali zarządzające nimi oprogramowanie

Obszar menu, jakim jest Network, dzięki dostępnym opcjom pozwala skonfigurować SonicWALL TZ400 jako zaawansowany router obsługujący wiele sieci z wydajnym i bezpiecznym firewallem.

KONFIGURACJA SIECI

Początkowa konfiguracja interfejsów sieciowych 1GbE pozwala podłączyć jedną sieć WAN oraz sześć końcó-wek LAN znajdujących się w tej samej sieci dzięki scaleniu interfejsów w jedną Zonę. Oczywiście, interfejsy te można dowolnie grupować lub pozostawić każdy osobno do obsługi indywidualnej sieci. Bez problemu można wtedy przypisać sześć odrębnych segmentów o zupełnie innej adresacji, a do tego skonfigurować serwer DHCP do obsług i wszystkich podsieci. Warto również wspomnieć, że opcje dynamicznej adresacji mają możliwość zapisywania do pamięci Flash bieżącej konfiguracji włącznie z dzierżawami, więc w przypadku restartu lub utraty zasilania te informacje nie zostają utracone, co może się przydać, gdy komuś jednak zależy, aby nie zmieniać adresu IP.

Liczba dostępnych opcji ustawień związanych z konfiguracją sieci świadczy o tym, że SonicWALL TZ400, mimo iż jest skierowany do ochrony sieci niewielkich przedsiębiorstw, oferuje zaawansowane możliwości pracy w sieciach firmowych oraz ochrony infrastruktury.

Można choćby wspomnieć o obsłudze stref bezpieczeństwa, jakimi są segmenty WAN, LAN, DMZ czy obszar związany z obsługą protokołów VPN. W każdej ze zdefiniowanych stref udaje się osobno włączać lub wyłą-czać poszczególne opcje ochrony. Do możliwości trzeba dopisać również polisy NAT, ustawienia Failover oraz Load Balancingu dla portów, opcję uruchomienia Web Proxy czy zaawansowane ustawienia routingu. Do-datkowo w obszarze sieci definiuje się obiekty i serwisy z portami, które później wykorzystuje się w konfiguracji polis bezpieczeństwa. W analizie ruchu i pracy sieci pomoże opcja ustawienia mirroringu portów, co polega na kierowaniu tych samych pakietów na dodatkowy port.

W niektórych środowiskach IT zarządzaniem zajmuje się więcej niż jedna osoba, a dostęp użytkowników do sieci niejednokrotnie również wymaga zabezpieczenia na poziomie autoryzacji. SonicWALL TZ400 oprócz utrzymywa-nia lokalnej bazy użytkowników i grup pozwala na wykorzystanie serwera Radius i LDAP oraz Active Directory, przy czym mogą to być mieszane ustawienia autoryzacji (np: LDAP + Local users). Panel zarządzania użytkownikami pozwala również utworzyć konto ze statusem gościa, gdzie producent celowo przewidział takie parametry, które występują zwykle przy wykorzystywaniu dostępu sieciowego przez osoby z zewnątrz. Można wówczas włączyć wygasanie konta, konieczność wcześniejszej aktywacji konta lub ustawić limity transferu.

BEZPIECZEŃSTWO NA PIERWSZYM MIEJSCU

Podstawę działania urządzenia Dell SonicWALL TZ400 stanowią funkcje bezpieczeństwa i monitorowania pracy sieci – elementy mające najwięcej opcji konfiguracyjnych, co pozwala na elastyczne dostosowanie parametrów pracy do specyfiki środowiska.

Funkcje wbudowanego firewalla opierają się na tworzeniu reguł dostępu przy wykorzystaniu zdefiniowanych wcześniej obiektów. Urządzenie ma kilkadziesiąt wstępnie określonych polis, co w pierwszym momencie może sprawić, że administrator się pogubi, ale prostota konstrukcji tej listy pozwala na szybkie zrozumienie. Konfiguracja również jest dość prosta i polega na określeniu źródła i adresu docelowego objętych regułą. Do tego dochodzi rodzaj serwisu, portu oraz użytkownicy, którzy podlegają ochronie lub są z niej wykluczeni. Można włączyć dodatkowe logowanie i monitorowanie ruchu spełniającego warunki reguły. Zaawansowane ustawienia kreatora reguł pozwalają również na określenie ograniczeń dla realizacji połączeń w ramach reguły.

Kolejnym elementem ustawień zapory są funkcje kont ról i aplikacji (App Control), które umożliwiają tworzenie zaawansowanych zasad sterowania obsługą aplikacji korzystających z sieci bez względu na kierunek ruchu. War to wspomnieć, że system SonicOS zastosowany w urządzeniach SonicWALL pozwala na dy-namiczne tworzenie polityk „w locie” dla niektórych aplikacji, wykorzystując bieżące monitorowanie ruchu. Najwyższy poziom bezpieczeństwa kontroli aplikacji zapewniają używanie i bieżąca subskrypcja aktualnych sygnatur dla konkretnych działań podejmowanych przez aplikacje. Dzięki zaawansowanej funkcji App Control udaje się zezwolić na realizację części funkcji aplikacji internetowych, np. zalogowanie na Facebooku i kliknięcie polubienia, ale bez możliwości komentowania postów.

Warto wspomnieć, że poziom zaawansowania ustawień zapory w urządzeniu Dell SonicWALL TZ400 pozwala na definiowanie obiektów w zakresie restrykcji poczty elektronicznej oraz ograniczenia dostępnego transferu. Oprócz tego administrator znajdzie ustawienia ochrony przed atakami SYN Flood, opcje QoS i ustawienia kontroli protokołu SSL.

Kolejnym istotnym elementem ochrony świadczonej przez Dell SonicWALL TZ400 jest zaawansowana inspekcja pakietów SSL w czasie rzeczywistym (DPI SSL). Polega ona na deszyfrowaniu pakietów opartych na SSL, ich skanowaniu pod kątem bezpieczeństwa, a następnie ponownym szyfrowaniu i wysyłaniu do miejsca przeznaczenia. DPI SSL zapewnia dodatkowe bezpieczeństwo w zakresie kontroli aplikacji oraz ochrony przed wyciekiem danych. W celu zwiększenia poziomu ochrony inspekcję pakietów można zintegrować z usługami ochrony antywirusowej, AntiSpyware, IPS oraz filtrowaniem zawartości czy Application Firewall.

Konfiguracja zaawansowanej inspekcji pakietów SSL obejmuje dwie opcje uruchomienia. Pierwszą z nich jest Client DPI-SSL – jest ona używana do kontroli ruchu szyfrowanego, gdy lokalni klienci realizują połączenia z zasobami sieci WAN.

Natomiast druga, o nazwie Server DPI-SSL, jest wykorzystywana, gdy zdalni klienci łączą się z poziomu sieci WAN do zasobów sieci LAN. Model SonicWALL TZ400 w trybie zaawansowanej inspekcji pakietów jest w stanie obsłużyć do 90 000 jednoczesnych połączeń, a w całej serii urządzeń tylko najniższa wersja SOHO domyślnie nie wykorzystuje tej funkcji i do analizy ruchu szyfrowanego wymaga dodatkowej licencji.