Ubiquiti har släppt Early Access-uppdateringen för UniFi Network 9.0.92, med Zonbaserad brandvägg (ZBF), vilket förenklar administratörens nätverkssäkerhetshantering.
Ubiquiti har lanserat sin UniFi Network 9.0.92 Early Access-uppdatering och introducerar Zonbaserad brandvägg (ZBF). Denna betydande uppgradering ger administratörer en förenklad men kraftfull verktygsuppsättning för att hantera nätverkssäkerhet. Den här uppdateringen gäller gateways och molngateways, som vi har implementerat på Cloud Gateway Ultra genom Dream Machine Pro Max.
Denna innovation fokuserar på att gruppera gränssnitt, såsom VLAN, WAN och VPN, i logiska zoner, vilket möjliggör mer intuitiv policyskapande, bättre segmentering och ökad säkerhet.
Huvudfunktioner och fördelar
Förenklad policyhantering
Dagarna med konfigurationer per gränssnitt som kan bli svårhanterliga i komplexa nätverk är förbi. Den nya Zonmatris erbjuder en tydlig visuell representation av trafikflödet mellan zoner, vilket gör det möjligt för administratörer att snabbt bedöma och ändra säkerhetspolicyer. Detta intuitiva tillvägagångssätt gör policyhantering mer tillgänglig, även för mindre erfarna nätverksadministratörer.
Förbättrad nätverkssegmentering
UniFis ZBF introducerar fördefinierade zoner, inklusive Intern, Extern, DMZ, VPN och Hotspot, var och en skräddarsydd för vanliga säkerhetsbehov. Dessa zoner säkerställer granulär kontroll över trafikflöden, vilket gör att administratörer kan tillämpa specifika regler på olika nätverkselement. Denna design hjälper till att isolera IoT-enheter, säkra känsliga dataservrar eller hantera gästtrafik utan att riskera det interna nätverket.
Anpassade policyer för flexibilitet
Medan fördefinierade regler effektiviserar konfigurationen, tillåter den anpassade policyfunktionen administratörer att skräddarsy säkerhetsinställningar för unika organisationskrav. Oavsett om du blockerar ett specifikt protokoll, skapar undantag för betrodda enheter eller prioriterar trafiktyper, säkerställer flexibiliteten i anpassade policyer att ZBF kan anpassa sig till även de mest komplexa nätverksmiljöerna.
Synlighet och kontroll
ZBF inkluderar inbyggda regler för att skydda kritiskt flöde, såsom DHCP- och DNS-trafik till gatewayen, vilket säkerställer att viktiga tjänster inte av misstag avbryts. Förbättrade loggningsmöjligheter genom syslog ger detaljerade insikter om trafikmönster och potentiella hot. Dessutom kan administratörer enkelt ändra ordning på regler för att återspegla ändrade prioriteringar eller krav, vilket förbättrar tillsyn och anpassningsförmåga.
Praktiska tillämpningar av (ZBF)
ZBF-ramverket är utformat för att minska komplexiteten samtidigt som det stärker säkerheten, vilket gör det till ett värdefullt tillägg för organisationer av alla storlekar.
Säkra IoT -nätverk
IoT-enheter har ofta begränsad inbyggd säkerhet, vilket gör dem sårbara för attacker. Med ZBF kan administratörer placera alla IoT-enheter i en dedikerad zon och skapa policyer som:
- Blockera IoT-enheter från att komma åt känsliga interna nätverk.
- Tillåt IoT-enheter att endast kommunicera med specifika externa tjänster eller resurser.
Isolera gästtrafik
Gästanvändare kan begränsas till en dedikerad zon som endast tillåter internetåtkomst, vilket hindrar dem från att interagera med interna enheter eller känslig data.
Balansering av intern och extern trafik
Fördefinierade "internt till externt"-policyer erbjuder ett balanserat tillvägagångssätt som ger säker internetåtkomst till interna användare samtidigt som robusta skyddsåtgärder mot potentiella hot bibehålls.
Avancerade anpassningar
Organisationer kan skapa ytterligare zoner för specialiserade behov, såsom segregering av utvecklarmiljöer, testlabb eller fjärranslutna VPN-användare, vilket säkerställer finkornig kontroll över kommunikation mellan zoner.
Överväganden för implementering
Medan ZBF förenklar brandväggshanteringen, är noggrann planering viktigt för att undvika oavsiktliga konsekvenser. Administratörer bör:
- Förstå zonbeteende: Att flytta nätverk mellan zoner eller blockera trafik till gatewayen (kritiskt för tjänster som DHCP och DNS) kan störa verksamheten om den inte hanteras noggrant.
- Granska trafikflöden: Innan du implementerar ZBF, granska aktuella trafikmönster för att säkerställa att viktiga kommunikationsvägar bevaras.
- Testregler: Gradvis testning av nya regler hjälper till att förhindra omfattande störningar, särskilt i större miljöer med blandade förtroendenivåer.
- Utnyttja loggning: Använd loggningsfunktioner för att övervaka effekterna av ändringar och identifiera områden för förfining.
ZBF konfiguration Exempelvis
UniFis zonbaserade brandvägg (ZBF) är ett viktigt steg för att förenkla och förbättra nätverkssäkerheten. Att byta från traditionella konfigurationer per gränssnitt till ett zonbaserat tillvägagångssätt gör det möjligt för administratörer att fokusera på avsiktliga säkerhetsresultat snarare än att brottas med komplexa inställningar. Dess intuitiva design och robusta anpassningsalternativ gör den idealisk för småskaliga och företagsinstallationer.
För att illustrera den praktiska implementeringen är följande ett exempel på hur man sätter upp en ny Gäst/IoT-zon använder UniFis ZBF i den senaste uppdateringen. Målet var att isolera gäst- och IoT-enheter, och säkerställa att de hade kontrollerad tillgång till externa resurser utan att äventyra den interna säkerheten.
Uppdatering till EA-versionen
Följ stegen nedan för att uppdatera till EA Release Network 9.0.92.
-
- Gå till Inställningar > Kontrollplan > Uppdateringar i UniFi Controller.
- Klicka Sök efter uppdateringar eller uppdatering och installera den senaste EA-versionen.
- Möjliggöra Tidig tillgång i samma meny om det inte redan är aktiverat.
Aktivera sedan Zone-Based Firewall (ZBF) genom att följa stegen nedan.
- Gå till Inställningar > Brandvägg och säkerhet.
- Möjliggöra Zonbaserad brandvägg.
- Konfigurera zoner och ställ in trafikpolicyer med hjälp av Zonmatris.
Exempel på zonkonfiguration
Börja med att skapa en ny zon. Visa först standardzonerna och klicka sedan på Skapa zon alternativ.
Genom att klicka på Skapa zon kommer du till konfigurationsskärmen för att ställa in den nya zonen. För det här exemplet döpte vi det Gäst/IoT-zon. Det är viktigt att se till att ett VLAN skapas eller redan finns innan det associeras med den här nya zonen. I vårt exempel använde vi VLAN 30. Alla redan existerande regler kopplade till detta VLAN eller nätverk kan pausas eller tas bort när den nya zonen skapas.
När du har ställt in zonen går du tillbaka till huvudsidan genom att klicka på bakåtknappen i det övre vänstra hörnet. Du behöver tre brandväggsregler för att skapa ett isolerat gäst-/IoT-nätverk som endast tillåter internetåtkomst samtidigt som det blockerar lokal enhetskommunikation.
Klicka först på Hantera. Alternativt kan du filtrera till raden Gäst/IoT-zon och välja det första alternativet i kolumnen Internt. Detta kommer också att visa alla relaterade regler som är associerade med denna zon på gränssnittet.
Regel 1: Blockera IoT/gäster från att komma åt den interna zonen.
Regel 2: Tillåt IoT/gäster att komma åt Internet via den externa zonen:
Rule3: Tillåt IoT/Gäst att kommunicera med gatewayen för DHCP och DNS via Gateway-zonen.
Testningsregler
När reglerna har skapats kan vi fortsätta med testning. För detta test kommer vi att använda en Ubuntu-server 24.04.1 VM ansluten till ett VNET-nätverk taggat med VLAN 30. Den virtuella datorn hämtar DHCP från UDM-SE för att bekräfta att nätverkskonfigurationen och zonreglerna fungerar som förväntat.
Börjar med kommandot, ip a visar att Ubuntu VM framgångsrikt har hämtat ett DHCP-leasingavtal på (10.30.50.113) från (10.30.0.0/18) nätverket på VLAN 30. Det första testet verifierar kommunikationen med gatewayen, och vi lyckades pinga den huvudsakliga UDM-gatewayen ( 192.168.1.1).
Därefter ser vi till att vi blockeras från att nå några enheter på det interna nätverket. Försöket att pinga en domänkontrollant på (192.168.1.32) misslyckas, och detsamma gäller när vi försöker pinga en hanterad switch på (192.168.1.202). Vi försökte en SSH-anslutning till den hanterade switchen, som också misslyckades, som ett ytterligare test. Detta bekräftar att isoleringsregeln fungerar som förväntat för gäst/IoT-zonen.
Testa slutligen om den virtuella datorn har extern nåbarhet genom att pinga Google och verifiera att gäst-/IoT-nätverket kan komma åt internet medan det förblir isolerat från det interna nätverket.
Nmap-test
I nästa test installerade vi Nmap med hjälp av sudo apt installera nmap följt av kommandot sudo nmap -sP 192.168.1.0/24 för att skanna standardnätverksintervallet. Nmap är ett nätverksskanningsverktyg som låter dig upptäcka enheter i ett nätverk och avgöra vilka portar som är öppna på dem. Det här testet kontrollerar att gäst-/IoT-nätverket är ordentligt isolerat från det interna nätverket genom att bekräfta att inga enheter i 192.168.1.0/24-intervallet är åtkomliga från det isolerade nätverket.
Den ser bara vår gateway (192.168.1.1) och Honey Pot (192.168.1.2) utan insyn i de andra 28 enheterna som finns i standardnätverket.
Slutsats
UniFis nya zonbaserade brandvägg erbjuder ett intuitivt och effektivt tillvägagångssätt för nätverkssäkerhet och segmentering. Det är en värdefull tillgång för nätverk av alla storlekar, inklusive labb som StorageReview, där proffs kan utnyttja dess kapacitet. Genom att förenkla skapandet av isolerade zoner och möjliggöra robust trafikkontroll och säkra VPN-policyer utan de traditionella komplexiteten, ger detta verktyg administratörer möjlighet att designa skalbara, säkra miljöer som stöder avancerad testning, utveckling och daglig drift.
Ubiquiti (affiliate länk)
Engagera dig med StorageReview
Nyhetsbrev | Youtube | Podcast iTunes/Spotify | Instagram | Twitter | TikTok | Rssflöde
