ホーム Enterprise UniFi Network 9.0.92 早期アクセス: ゾーンベース ファイアウォールの実用化
Enterpriseネットワーキング

UniFi Network 9.0.92 早期アクセス: ゾーンベース ファイアウォールの実用化

by ディラン・ドハティ
によって書かれた ディラン・ドハティ

UbiquitiはUniFi Network 9.0.92の早期アクセスアップデートをリリースしました。 ゾーンベースのファイアウォール(ZBF)管理者のネットワーク セキュリティ管理を簡素化します。

UbiquitiはUniFi Network 9.0.92早期アクセスアップデートを開始し、 ゾーンベース ファイアウォール (ZBF)。 この重要なアップグレードにより、管理者はネットワークセキュリティを管理するためのシンプルかつ強力なツールセットを利用できるようになります。このアップデートは、Cloud Gateway Ultraに導入されたゲートウェイとクラウドゲートウェイに関するものです。 ドリームマシン プロマックス.

このイノベーションは、VLAN、WAN、VPN などのインターフェースを論理ゾーンにグループ化することに重点を置いており、より直感的なポリシー作成、より優れたセグメンテーション、強化されたセキュリティを実現します。

主な特長と利点

簡素化されたポリシー管理

複雑なネットワークで扱いにくくなる可能性のあるインターフェースごとの設定の時代は終わりました。新しい ゾーンマトリックス ゾーン間のトラフィック フローを明確に視覚的に表現し、管理者がセキュリティ ポリシーを迅速に評価および変更できるようにします。この直感的なアプローチにより、経験の浅いネットワーク管理者でもポリシー管理が容易になります。

強化されたネットワークセグメンテーション

UniFi の ZBF は、内部、外部、DMZ、VPN、ホットスポットなどの定義済みゾーンを導入し、それぞれが一般的なセキュリティ ニーズに合わせて調整されています。これらのゾーンにより、トラフィック フローをきめ細かく制御できるため、管理者はさまざまなネットワーク要素に特定のルールを適用できます。この設計により、IoT デバイスを分離したり、機密データ サーバーを保護したり、内部ネットワークを危険にさらすことなくゲスト トラフィックを管理したりすることができます。

柔軟性のためのカスタムポリシー

定義済みのルールによってセットアップが効率化される一方で、カスタム ポリシー機能により管理者はセキュリティ設定を組織の固有の要件に合わせてカスタマイズできます。特定のプロトコルをブロックする場合でも、信頼できるデバイスに例外を作成する場合でも、トラフィックの種類を優先する場合でも、カスタム ポリシーの柔軟性により、ZBF は最も複雑なネットワーク環境にも適応できます。

可視性と制御

ZBF には、ゲートウェイへの DHCP や DNS トラフィックなどの重要なフローを保護するためのルールが組み込まれており、重要なサービスが誤って中断されることがないようにしています。Syslog によるログ機能が強化され、トラフィック パターンや潜在的な脅威に関する詳細な情報が得られます。さらに、管理者はルールを簡単に並べ替えて優先順位や要件の変更を反映できるため、監視と適応性が向上します。

(ZBF) の実用的応用

ZBF フレームワークは、複雑さを軽減しながらセキュリティを強化するように設計されており、あらゆる規模の組織にとって価値のある追加機能となります。

IoTネットワークの保護

IoT デバイスには、組み込みのセキュリティが限られていることが多く、攻撃に対して脆弱です。ZBF を使用すると、管理者はすべての IoT デバイスを専用ゾーンに配置し、次のようなポリシーを作成できます。

  • IoT デバイスによる機密性の高い内部ネットワークへのアクセスをブロックします。
  • IoT デバイスが特定の外部サービスまたはリソースとのみ通信できるようにします。

ゲストトラフィックの分離

ゲスト ユーザーをインターネット アクセスのみを許可する専用ゾーンに制限し、内部デバイスや機密データとのやり取りを防ぐことができます。

内部トラフィックと外部トラフィックのバランスをとる

事前定義された「内部から外部」ポリシーはバランスの取れたアプローチを提供し、潜在的な脅威に対する強力な保護を維持しながら、内部ユーザーに安全なインターネット アクセスを許可します。

高度なカスタマイズ

組織は、開発者環境、テスト ラボ、リモート VPN ユーザーの分離など、特殊なニーズに合わせて追加のゾーンを作成し、ゾーン間通信をきめ細かく制御できます。

展開に関する考慮事項

ZBF はファイアウォールの管理を簡素化しますが、予期しない結果を避けるためには慎重な計画が不可欠です。管理者は次のことを行う必要があります。

  • ゾーンの動作を理解する: ゾーン間でネットワークを移動したり、ゲートウェイへのトラフィックをブロックしたりすると (DHCP や DNS などのサービスにとって重要)、慎重に管理しないと操作が中断される可能性があります。
  • トラフィックフローの監査ZBF を実装する前に、現在のトラフィック パターンを確認して、重要な通信パスが保持されていることを確認します。
  • テストルール新しいルールを段階的にテストすると、特に信頼レベルが混在する大規模な環境では、広範囲にわたる混乱を防ぐのに役立ちます。
  • ログ記録を活用する: ログ機能を使用して変更の影響を監視し、改善すべき領域を特定します。

ジブラルタル  

UniFi のゾーンベース ファイアウォール (ZBF) は、ネットワーク セキュリティの簡素化と強化に向けた重要なステップです。従来のインターフェイスごとの構成からゾーンベースのアプローチに移行することで、管理者は複雑な設定に悩まされることなく、意図的なセキュリティ成果に集中できます。直感的な設計と堅牢なカスタマイズ オプションにより、小規模およびエンタープライズの導入に最適です。

実際の実装を説明するために、新しい設定方法の例を以下に示します。 ゲスト/IoTゾーン 最新のアップデートでは、UniFi の ZBF を使用しています。その目的は、ゲストと IoT デバイスを分離し、内部セキュリティを危険にさらすことなく、外部リソースへのアクセスを制御できるようにすることです。

EAリリースのアップデート

EA Release Network 9.0.92 にアップデートするには、以下の手順に従ってください。

    1. に行く 設定 > コントロールプレーン > アップデート UniFi コントローラーで。
    2. クリック アップデートの確認またはアップデート 最新のEAバージョンをインストールしてください。
    3. 有効にする アーリーアクセス まだ有効になっていない場合は、同じメニューで有効にします。


次に、以下の手順に従ってゾーンベース ファイアウォール (ZBF) を有効にします。

  1. に行く 設定 > ファイアウォールとセキュリティ.
  2. 有効にする ゾーンベースのファイアウォール.
  3. ゾーンを構成し、トラフィックポリシーを設定するには、 ゾーンマトリックス.

ゾーン構成の例

まず、新しいゾーンを作成します。まず、デフォルトのゾーンを表示し、 ゾーンを作成 オプションを選択します。

「ゾーンの作成」をクリックすると、新しいゾーンを設定するための設定画面が表示されます。この例では、ゾーン名を次のようにしました。 ゲスト/IoTゾーンこの新しいゾーンに関連付ける前に、VLANが作成されているか、すでに存在しているかを確認することが重要です。この例では、 VLAN 30新しいゾーンを作成すると、この VLAN またはネットワークに関連付けられている既存のルールが一時停止または削除される可能性があります。

ゾーンを設定したら、左上隅の戻るボタンをクリックしてメイン ページに戻ります。ローカル デバイスの通信をブロックしながらインターネット アクセスのみを許可する、分離されたゲスト/IoT ネットワークを作成するには、3 つのファイアウォール ルールが必要です。

まず、「管理」をクリックします。または、「ゲスト/IoT ゾーン」行にフィルターし、「内部」列の最初のオプションを選択することもできます。これにより、このゾーンに関連付けられている関連ルールもインターフェイスに表示されます。

ルール1: IoT/ゲストによる内部ゾーンへのアクセスをブロックします。

ルール2: IoT/ゲストが外部ゾーン経由でインターネットにアクセスできるようにします。

Rule3: IoT/ゲストがゲートウェイ ゾーン経由で DHCP および DNS のゲートウェイと通信できるようにします。

テストルール

ルールが作成されたら、テストに進むことができます。このテストでは、VLAN 24.04.1 でタグ付けされた VNET ネットワークに接続された Ubuntu サーバー 30 VM を使用します。VM は UDM-SE から DHCP を取得し、ネットワーク構成とゾーン ルールが期待どおりに機能していることを確認します。

コマンドから始めます、 ip a Ubuntu VM が VLAN 10.30.50.113 上の (10.30.0.0/18) ネットワークから (30) の DHCP リースを正常に取得したことを示しています。最初のテストではゲートウェイとの通信を確認し、メインの UDM ゲートウェイ (192.168.1.1) への ping が正常に実行されました。

次に、内部ネットワーク上のどのデバイスにもアクセスできないようにブロックされていることを確認します。ドメイン コントローラ (192.168.1.32) への ping は失敗し、マネージド スイッチ (192.168.1.202) への ping も失敗します。さらにテストとして、マネージド スイッチへの SSH 接続を試みましたが、これも失敗しました。これにより、分離ルールがゲスト/IoT ゾーンに対して期待どおりに機能していることが確認されます。

最後に、Google に ping を送信して VM が外部に到達できるかどうかをテストし、ゲスト/IoT ネットワークが内部ネットワークから分離されたままインターネットにアクセスできることを確認します。

Nmap テスト

次のテストでは、Nmapをインストールしました。 須藤 apt インストール nmap 続いてコマンド sudo nmap -sP 192.168.1.0/24 デフォルトのネットワーク範囲をスキャンします。Nmap は、ネットワーク上のデバイスを検出し、どのポートが開いているかを確認できるネットワーク スキャン ツールです。このテストでは、192.168.1.0/24 範囲内のどのデバイスも分離されたネットワークからアクセスできないことを確認することで、ゲスト/IoT ネットワークが内部ネットワークから適切に分離されているかどうかを確認します。
ゲートウェイ (192.168.1.1) とハニーポット (192.168.1.2) のみが表示され、デフォルト ネットワークに存在する他の 28 台のデバイスは表示されません。

まとめ:

UniFi の新しいゾーンベース ファイアウォールは、ネットワーク セキュリティとセグメンテーションに対する直感的で効率的なアプローチを提供します。これは、専門家がその機能を活用できる StorageReview などのラボを含む、あらゆる規模のネットワークにとって貴重な資産です。このツールは、分離されたゾーンの作成を簡素化し、従来の複雑さを排除して堅牢なトラフィック制御と安全な VPN ポリシーを可能にすることで、管理者が高度なテスト、開発、および日常業務をサポートするスケーラブルで安全な環境を設計できるようにします。

ユビキタス (アフィリエイトリンク)

StorageReview と連携する

ニュースレター | YouTube |ポッドキャスト iTunes/Spotifyは | Instagram | Twitter | TikTok | RSSフィード

Cisco ネットワーキング、IP セキュリティ、NAC ソリューションの専門知識を持つ K-12 ネットワーク管理者。ネットワークおよびセキュリティ製品のテストとレビューを行う UniFi 愛好家およびホーム ラボ担当者。

著作権 © 1998-2024 Flying Pig Ventures, LLC オハイオ州シンシナティ。無断転載を禁じます。