Exemplos de Configuração de Controle de Acesso do Gateway Omada

Knowledgebase
Configuration Guide
06-13-2024

Sumário

Introdução

Requisitos

Referência de Parâmetros

ACL do Gateway no Modo Controlador

ACL de Gateway em Modo Autônomo

Cenário I: Isolamento de Rede (Bidirecional)

Modo Controlador

Modo Autônomo

Cenário II: Acesso à VLAN de Gerenciamento (Unidirecional)

Modo Controlador

Modo Autônomo

Cenário III: Restringir o acesso do usuário VPN a recursos locais específicos

Modo Controlador

Modo Autônomo

Cenário IV: Somente acesso à Internet

Modo Controlador

Modo Autônomo

Conclusão

QA

 

Introdução

As Listas de Controle de Acesso (ACLs) controlam o tráfego entre redes, dispositivos e serviços, permitindo ou negando-o com base em critérios definidos. As ACLs podem ser usadas para aprimorar a segurança da rede, aplicar políticas de acesso e isolar recursos dentro da rede.

 

Este guia demonstra vários cenários comuns de implementação de ACLs em gateways Omada, tanto no modo Controlador quanto no modo Autônomo. Esses exemplos incluem isolamento de rede, proteção da rede de gerenciamento, restrições de acesso VPN e políticas de acesso somente à Internet. Ao seguir esses cenários, os administradores podem entender melhor como as ACLs podem ser usadas para proteger e gerenciar o tráfego em seu ambiente de rede.

Requisitos

  • Gateway Omada
  • Controlador Omada

 

Referência de Parâmetros

ACL do Gateway no Modo Controlador:

Página de configurações de ACL do Gateway do Controlador.

 

Descrição:Insira uma descrição para identificar a ACL.

Status:Clique na caixa de seleção para ativar a ACL.

Direção: Selecione o fluxo de tráfego ao qual a regra ACL será aplicada.

Política: Selecione a ação a ser tomada quando um pacote corresponder à regra.

Negar: Descartar o pacote correspondente.

Permitir:Encaminhar o pacote correspondente.

Protocolos: Selecione um ou mais tipos de protocolo aos quais a regra se aplica na lista suspensa. O padrão é Todos, indicando que pacotes de todos os protocolos serão considerados. Com TCP, UDP ou ambos selecionados, você pode definir o endereço IP e o número da porta de um pacote como critérios de filtragem de pacotes na regra.

Log: Quando ativado, o sistema pode coletar o log efetivo de entradas da ACL. Para usar esta função, configure primeiro a função de registro remoto.

Regra:

1) Fonte: Selecione os critérios de origem na lista suspensa para comparar com um pacote.

Rede:Selecione a rede que você criou. Se nenhuma rede tiver sido criada, você pode selecionar a rede padrão (LAN) ou acessar Configuração de Rede > Configurações de Rede > LAN para criar uma.

! Rede: Selecione uma rede que você criou e as configurações não serão aplicadas a essa rede.

Grupo de IP:Selecione o Grupo de IP que você criou. Se nenhum Grupo de IP tiver sido criado, clique em + Criar nesta página ou acesse Configuração de Rede > Perfil > Grupos para criar um. O sistema verificará se o endereço IP de origem do pacote pertence ao Grupo de IP.

! Grupo de IP: Selecione um Grupo de IP que você criou e as configurações não serão aplicadas a esse Grupo de IP.

2) Destino: Selecione os critérios de destino na lista suspensa para comparar com um pacote.

Rede:Selecione a rede que você criou. Se nenhuma rede tiver sido criada, você pode selecionar a rede padrão (LAN) ou acessar Configuração de Rede > Configurações de Rede > LAN para criar uma.

! Rede: Selecione uma rede que você criou e as configurações não serão aplicadas a essa rede.

Grupo de IP: Selecione o Grupo de IP que você criou. Se nenhum Grupo de IP tiver sido criado, clique em + Criar nesta página ou acesse Configuração de Rede > Perfil > Grupos para criar um. O sistema verificará se o endereço IP de origem do pacote está no Grupo de IP.

! Grupo de IPs: Selecione um Grupo de IPs que você criou e as configurações não serão aplicadas a esse Grupo de IPs.

Página de Gerenciamento do Gateway: Esta opção permitirá/bloqueará todos os pacotes enviados da origem especificada para o endereço IP da interface WAN e LAN do gateway.

Configurações avançadas:

Intervalo de tempo: Crie o intervalo de tempo ou selecione um intervalo de tempo existente para que a regra da ACL entre em vigor.

Bidirecional: Na direção LAN-LAN, clique na caixa de seleção para permitir que o gateway crie outra ACL simétrica com o nome “xxx_reverse”, onde “xxx” é o nome da ACL atual. As duas ACLs têm como alvo pacotes com direções opostas.

Tipo de estado: Determine o tipo de regra ACL com estado. Recomenda-se usar o tipo Automático padrão.

Automático (Correspondência de Estado: Novo/Estabelecido/Relacionado):Corresponde aos estados de conexão novo, estabelecido e relacionado.

Manual: Se selecionado, você pode especificar manualmente os estados de conexão a serem correspondidos.

Correspondência de Estado Novo:Corresponde às conexões do estado inicial. Por exemplo, um pacote SYN chega em uma conexão TCP ou o roteador recebe tráfego apenas em uma direção.

Estado de Correspondência Estabelecido:Corresponde às conexões que foram estabelecidas. Em outras palavras, o firewall detectou a comunicação bidirecional desta conexão.

Correspondência de Estado Relacionado:Corresponde às subconexões associadas a uma conexão principal, como uma conexão a um canal de dados FTP.

Estado de Correspondência Inválido:Corresponder às conexões que não se comportam como esperado.

Para ver a definição de todos os parâmetros, clique na central de ajuda no canto superior direito da tela de criação da ACL e expanda Parâmetros.

 

Parâmetros da ACL do Gateway do Controlador.

 

ACL do Gateway no Modo Autônomo:

Página de configurações de ACL do Gateway em Modo Autônomo.

 

 

Política: Selecione se deseja bloquear ou permitir que os pacotes que correspondem à regra acessem a rede.

Tipo de IP: Especifique o tipo de IP ao qual a regra será aplicada: IPv4 ou IPv6.

Direção: Selecione o sentido de tráfego efetivo para a regra.

  • TODOS: Combine o tráfego em qualquer direção.
  • LAN->WAN: Direcionar o tráfego da LAN para a WAN.
  • LAN->LAN: Correspondência de tráfego de LAN para LAN.
  • [WAN] ENTRADA: Corresponder ao tráfego que chega via [WAN].

Tipo de origem/destino: Selecione o tipo de origem/destino da regra criada.

Grupo IP/IPv6: A regra se aplica a grupos IP/IPv6 específicos. Com esta opção selecionada, escolha o grupo IP/IPv6. Se desejar criar ou personalizar grupos IP/IPv6, acesse Preferências > Grupo IP ou Preferências > Grupo IPv6. O grupo IP/IPv6 selecionado contém clientes com e sem fio com os endereços IP/IPv6 correspondentes.

Rede: Esta regra aplica-se a redes LAN específicas. Com esta opção selecionada, escolha a rede. Se desejar criar ou personalizar redes, acesse Rede > LAN. A Rede LAN selecionada contém todos os clientes da rede cabeada e os SSIDs que pertencem a esta Rede LAN.

Origem/Destino:

Selecione o Grupo IP/IPv6: Na lista suspensa, selecione um grupo IP/IPv6 para especificar o intervalo de endereços de origem/destino para a regra. O grupo IP/IPv6 aqui mencionado pode ser criado em Preferências > Grupo IP ou Preferências > Grupo IPv6.

Selecione a rede: Na lista suspensa, selecione uma rede LAN para especificar o intervalo de redes LAN de origem/destino para a regra. A rede LAN referenciada aqui pode ser criada em Rede > LAN.

Período de vigência: Selecione o período de vigência da regra. O período de vigência aqui mencionado pode ser definido na página Preferências > Intervalo de tempo.

Estados: Determine o tipo de regra ACL com estado. Recomenda-se usar o tipo Automático padrão.

Novo: Corresponde às conexões do estado inicial. Por exemplo, um pacote SYN chega em uma conexão TCP ou o roteador recebe tráfego apenas em uma direção.

Estabelecida: Corresponde às conexões que foram estabelecidas. Em outras palavras, o firewall detectou a comunicação bidirecional desta conexão.

Relacionado: Corresponde às subconexões associadas a uma conexão principal, como uma conexão a um canal de dados FTP.

Inválido: Identifique as conexões que não se comportam como esperado.

Para ver a definição de todos os parâmetros, pressione ? no canto superior direito da página e veja Parâmetros.

 

Parâmetros da ACL do Gateway em Modo Autônomo.

 

Cenário I: Isolamento de Rede (Bidirecional)

Topografia para este cenário.

 

Neste exemplo, as VLANs 31 (10.0.31.0/24) e 33 (10.0.33.0/24) serão isoladas uma da outra usando regras de ACL LAN-para-LAN. Os dispositivos dentro dessas redes não poderão se comunicar entre as VLANs, enquanto o tráfego para outras redes internas e para a Internet permanecerá inalterado.

 

Como as ACLs do Omada Gateway incluem uma regra de permissão implícita, somente o tráfego que corresponder às regras de negação configuradas será bloqueado. Todo o restante do tráfego continuará sendo encaminhado normalmente.

 

Modo Controlador

SPasso 1. Faça login no controlador e navegue até seu Site > Rede Configuração > Segurança > ACL.

 

Navegue para criar uma ACL.

 

SPasso 2. Em seguida, acesse Gateway ACL e clique em Criar nova regra.

Criar nova regra para a ACL do gateway.

 

Etapa 3. Aqui, uma regra é criada para negar o tráfego da VLAN 31 para a VLAN 33.

Preencha os parâmetros apropriados

Clique em Configurações Avançadas e selecione Bidirecional para criar automaticamente outra regra que troca Origem e Destino

Selecione Criar quando terminar

Preencha os parâmetros para bloquear as VLANs 31 a 33.

 

Regra inversa criada após selecionar Bidirecional.

 

Modo Independente

Passo 1. Faça login no seu roteador, navegue até Firewall e Controle de Acesso e clique em Adicionar.

Navegue até Controle de Acesso para criar uma política.

 

Etapa 2.Preencha os parâmetros.

Aqui, a primeira regra é bloquear a comunicação da VLAN 31 com a VLAN 33.

Clique em OK quando terminar.

 

VLAN para bloquear VLAN 31 a VLAN 33.

 

SPasso 3. Clique em Adicionar novamente e crie a mesma regra, mas com a Origem e o Destino invertidos.

VLAN para bloquear VLAN 33 a VLAN 31.

 

Cenário II: Acesso à VLAN de Gerenciamento (Unidirecional)

Topografia para o cenário 2.

 

Neste exemplo, a VLAN 1 (10.0.0.0/24) está configurada como a VLAN de Gerenciamento. O objetivo é permitir que os dispositivos dentro da VLAN de Gerenciamento acessem recursos nas VLANs 31 (10.0.31.0/24) e 33 (10.0.33.0/24), impedindo que os dispositivos nessas redes iniciem comunicação de volta para a VLAN de Gerenciamento.

 

Essa configuração é comumente usada para permitir que administradores gerenciem dispositivos de rede e sistemas clientes, limitando o acesso não autorizado aos recursos de gerenciamento. Como as ACLs do Omada Gateway incluem uma regra de permissão implícita, somente o tráfego que corresponder às regras de negação configuradas será bloqueado, enquanto todo o restante do tráfego continuará sendo encaminhado normalmente.

 

Modo Controlador

SPasso 1. Faça login no controlador e navegue até seu Site > Rede Configuração > Segurança > ACL.

 

Navegue para criar uma ACL.

 

Passo 2. Em seguida, acesse o Gateway ACL e clique em Criar nova regra.

Criar nova regra para a ACL do gateway.

 

Etapa 3.Preencha os parâmetros.

O exemplo abaixo é uma regra de negação de LAN, restringindo a comunicação entre as VLANs 31 e 33 e a VLAN de gerenciamento.

Clique em Criar quando terminar.

 

Regra unidirecional para restringir a comunicação entre VLANs e a VLAN de gerenciamento.

 

Modo Independente

Passo 1. Faça login no seu roteador, navegue até Firewall e Controle de Acesso e clique em Adicionar.

 

Navegue até Controle de Acesso para criar uma política.

 

Etapa 2.Configure os parâmetros da ACL.

O exemplo abaixo é uma regra de negação de LAN que impede que dispositivos da VLAN 31 se comuniquem com a VLAN de gerenciamento.

Clique em OK quando terminar.

Repita os passos para as outras VLANs.

A VLAN 31 negou a política de comunicação com a VLAN de gerenciamento.

 

Lista de Controle de Acesso em página independente.

 

Cenário III: Restringir o acesso do usuário VPN a recursos locais específicos

 

Topografia para o cenário 3.

 

As conexões VPN permitem que usuários e locais remotos acessem com segurança recursos localizados em outra rede. No entanto, em muitas implementações, os dispositivos conectados à VPN devem ter permissão para acessar apenas os recursos necessários, sendo o acesso restrito a sistemas sensíveis, como equipamentos de vigilância, dispositivos de gerenciamento ou outras infraestruturas críticas.

 

Neste exemplo, uma VPN Site-to-Site é estabelecida entre dois Gateways Omada. Um dispositivo na rede remota (10.0.33.0/24) terá permissão para acessar a VLAN 31 (10.0.31.0/24) e recursos autorizados na VLAN 1, como o NAS (10.0.1.6). No entanto, o acesso ao NVR (10.0.1.10) será restrito por meio de regras de ACL. Essa abordagem permite a conectividade normal da VPN, protegendo recursos locais selecionados contra acessos desnecessários.

 

O exemplo a seguir também será mostrado por meio do roteador que hospeda as VLANs 1 e 31 na topologia acima.

 

Nota: Se o Omada Gateway estiver configurado como um servidor VPN (PPTP, L2TP, OpenVPN ou WireGuard), crie um grupo de IPs usando o pool de endereços VPN atribuído aos clientes remotos. Esse grupo de IPs pode ser usado como origem ou destino ao criar regras de ACL para controlar o acesso entre clientes VPN e recursos da rede local.

 

Modo Controlador

Etapa 1.Antes de criar a regra ACL, precisamos criar grupos de IP para especificar o host ao qual precisamos restringir o acesso e outro grupo de IP para a sub-rede local remota da VPN.

Faça login no controlador, acesse o Site e navegue até Rede Configuração > Perfil > Grupos

 

Navegue para criar o grupo de IP.

 

Etapa 2.Clique em Criar Novo Grupo e preencha os parâmetros.

Aqui, os parâmetros especificados são para o NVR.

Clique em Aplicar e repita os mesmos passos para a sub-rede remota no site remoto.

 

Clique em Criar Novo Grupo para criar os grupos de IP.

 

Grupo IP para o NVR.

 

Grupo IP para a sub-rede remota.

 

Etapa 3.Em seguida, acesse Rede Configuração > Segurança > e clique em ACL.

 

Navegue até a página da ACL.

 

Etapa 4.Em seguida, acesse o Gateway ACL e clique em Criar nova regra.

Criar nova regra para a ACL do gateway.

 

Etapa 5.Preencha os parâmetros.

Para Direção, certifique-se de que a direção da ACL corresponda à interface WAN na qual o túnel VPN está estabelecido.

Neste exemplo, o túnel reside na WAN/LAN3, portanto, a opção selecionada é [WAN/LAN 3] IN.

Clique em Criar quando terminar.

 

Preencha os parâmetros da ACL do Gateway para bloquear a VPN para o NVR.

 

Modo Autônomo

Etapa 1:Crie um grupo de IP para o NVR e as sub-redes remotas.

Os grupos de IP são necessários porque as ACLs do gateway fazem referência a grupos de IP em vez de endereços IP individuais.

Faça login no seu roteador e navegue até Preferências > Grupo de IP > Endereço IP e clique em Adicionar.

 

Topografia para este cenário.

 

Etapa 2.Preencha os parâmetros.

O endereço IP do NVR está especificado abaixo.

Clique em OK após concluir e repita os mesmos passos para o esquema de IP da sub-rede remota.

 

Endereço IP do NVR.

 

Esquema IP de sub-rede remota.

 

Passo 3.Em seguida, navegue até Grupo de IP > clique em Adicionar > e preencha os parâmetros.

Clique em OK quando terminar.

Faça isso duas vezes, uma para o NVR e outra para a sub-rede remota.

 

Grupo IP para o NVR.

 

Grupo IP para a sub-rede remota.

 

Etapa 4.Por fim, crie a regra de negação.

Acesse Firewall > Controle de Acesso > e clique em Adicionar.

 

Clique em adicionar para criar a regra de negação.

 

Etapa 5.Preencha os parâmetros para a regra de negação.

Aqui, certifique-se de que a porta WAN correta esteja selecionada para a WAN IN Direction da política.

Neste roteador, a WAN 1 é utilizada, portanto, [WAN1] IN está selecionado.

Clique em OK quando terminar.

 

Preencha os parâmetros para bloquear a comunicação da sub-rede remota com o NVR.

 

Cenário IV: Somente acesso à Internet

Topografia para este cenário 4.

 

Em alguns ambientes de rede, pode ser desejável fornecer acesso à Internet a um grupo de usuários, impedindo-os de acessar recursos internos da rede. Exemplos comuns incluem redes para visitantes, redes de terceirizados, quiosques públicos e outros dispositivos não confiáveis que não exigem acesso aos sistemas corporativos.

 

Neste exemplo, a VLAN 33 (10.0.33.0/24) será configurada como uma rede somente para a Internet. Os dispositivos dentro da VLAN 33 poderão acessar recursos da Internet, mas a comunicação com dispositivos localizados na VLAN 1 (10.0.0.0/24) será negada por meio de regras de ACL LAN-para-LAN.

Modo Controlador

SPasso 1. Faça login no controlador e navegue até seu Site > Rede Configuração > Segurança > ACL.

 

Navegue para criar uma ACL.

 

Passo 2. Em seguida, acesse o Gateway ACL e clique em Criar nova regra.

Criar nova regra para a ACL do gateway.

 

Etapa 3.Crie uma regra de negação e preencha os parâmetros.

Neste exemplo, a VLAN 33 está impedida de se comunicar com todas as outras VLANs no gateway.

O tipo de destino está configurado como !Rede. O ponto de exclamação “!” indica uma condição lógica “NÃO”, o que significa que a regra se aplica a todas as redes, exceto a rede especificada. Como a VLAN 33 foi selecionada como rede de origem e de destino excluída, o tráfego originado da VLAN 33 e destinado a qualquer outra VLAN será negado.

Clique em Aplicar após concluir.

Regra de negação para VLAN 33.

 

Etapa 4.Em seguida, crie outra regra de negação para a página de gerenciamento do gateway, para que a rede não tenha acesso à interface do usuário do gateway padrão.

Clique em Aplicar após concluir.

 

Negar VLAN 33 ao gateway padrão.

 

Modo Independente

Passo 1. Faça login no seu roteador, navegue até Firewall e Controle de Acesso e clique em Adicionar.

 

Navegue até Controle de Acesso para criar uma política.

 

Etapa 2.Crie uma regra de negação e preencha os parâmetros.

Neste exemplo, a VLAN 33 está impedida de se comunicar com todas as outras VLANs no gateway.

O tipo de destino está configurado como !Rede. O ponto de exclamação “!” indica uma condição lógica “NÃO”, o que significa que a regra se aplica a todas as redes, exceto a rede especificada. Como a VLAN 33 foi selecionada como rede de origem e de destino excluída, o tráfego originado da VLAN 33 e destinado a qualquer outra VLAN será negado.

Clique em OK quando terminar.

 

Regra de negação para VLAN 33.

 

Etapa 3.Em seguida, crie uma regra para bloquear a VLAN 33 a partir do endereço IP do gateway.

Aqui Eu equivale a todos os endereços IP do gateway da interface.

Clique em OK assim que terminar.

 

Regra de negação para a VLAN 33 para endereços IP de gerenciamento do gateway.

 

Conclusão

Ao usar ACLs de gateway, os administradores podem controlar a comunicação entre redes, restringir o acesso a recursos sensíveis e aplicar políticas de segurança em toda a rede. Seja isolando VLANs, protegendo redes de gerenciamento, limitando o acesso à VPN ou fornecendo conectividade somente à Internet, as ACLs oferecem um método flexível de controlar o fluxo de tráfego, mantendo o acesso a recursos autorizados.

Para saber mais sobre cada função e configuração, visite Página Inicial de Suporte para baixar ou consultar o manual do seu produto.

QA

P1: Por que dispositivos na mesma VLAN ainda conseguem se comunicar após a criação de uma ACL de gateway?

A1: As ACLs do gateway inspecionam apenas o tráfego que atravessa o gateway. O tráfego entre dispositivos na mesma VLAN é comutado localmente e não passa pelo gateway. Para restringir a comunicação dentro da mesma VLAN, use ACLs de switch, isolamento de porta ou VLANs separadas.

Por favor, avalie este documento

Documentos relacionados