Escolar Documentos
Profissional Documentos
Cultura Documentos
Management)
Administrao
1. O acesso ao UTM deve ser cuidadosamente monitorado e protegido. Isto pode ser feito
mudando o padro configuraes de administrao gosto:
O Administrador de Senhas
O porto usado para acessar Appliance
O Protocolos de Acesso (Utilize protocolos seguros, como SSH e HTTPS)
2. Crie vrios perfis de administrador para os administradores para fins especiais, como o
Administrador VPN, Administrador de Segurana, Administrador de Auditoria, etc. Cada
administrador deve ser atribudo apenas as permisses necessrias de acordo com o seu
papel na organizao.
3. recomendvel desabilitar o acesso administrativo ao UTM de todas as regies, exceto a
zona LAN interna ou zona de gesto. Mesmo a partir de LAN ou zona de gesto, utilize
protocolos seguros, como HTTPS e SSH para GUI e Acesso CLI.
4. Certifique-se periodicamente para verses de firmware e atualizar Cyberoam para o
firmware mais recente disponvel.
5. Leve backup regular do UTM. Alm disso, certifique-se de fazer um backup antes que
quaisquer alteraes devem ser feitas na configurao do aparelho.
6. Teste suas regras e polticas de firewall regularmente.
7. realizar auditorias internas para verificar a sade do aparelho.
8. ativar o login de segurana em termos de:
> Ativando a complexidade de senha para o administrador.
> Restringir o nmero de logon tenta evitar ataques de fora bruta.
Firewall
1. Criar regra de firewall para DNS Endereo IP se desktops so configurados com um
endereo IP de DNS pblico.
2. Criar regra de firewall para permitir o trfego necessrio e crtico em cada zona, porque,
por padro, o trfego total em cada zona abandonado pelo UTM, com exceo de LAN
para o trfego da WAN. Esta ser aplicvel tanto em modo bridge e gateway. Por
exemplo, se o servidor de correio colocado na zona DMZ, ento o UTM no permitir o
acesso do servidor de correio da zona de LAN e WAN. Para acessar aplicaes especficas
em execuo no servidor de email, criar regra de firewall necessrio de cada zona. o Criar
regra de firewall para dar acesso mundo externo para o servidor Mail.
3. Criar regra de firewall para permitir o acesso de aplicativos em execuo no DMZ como,
por padro, o trfego inteiro de LAN para DMZ descartado.
4. Se o UTM configurado no modo Bridge e servidor DHCP est em execuo na zona de
WAN do UTM, em seguida, criar regras de firewall para permitir que pacotes a partir do
servidor DHCP para LAN para locao de endereos IP no desktop.
5. Se MX IP est vinculado porta WAN do UTM, criar NAT e regras de host virtuais para
mapear o endereo IP privado do servidor de email com o IP MX.
6. Redes Se a zona LAN tem Roteados, em seguida, criar rotas estticas no UTM para
encaminhar solicitaes de e para as redes roteadas ao longo a Internet.
7. O UTM est configurado para vrios fornecedores de servios Internet, ou seja, vrios
gateways ento:
Para melhorar a velocidade de navegao e reduzir a latncia, criar uma regra de firewall
para encaminhar os pedidos de endereos IP de DNS atravs de um gateway especfico.
Para exemplo, se o endereo IP de DNS de ISP1 e pedido DNS vai de ISP2 ento latncia
vai aumentar e tempo necessrio para resolver o site nome tambm vai aumentar. Se o
acesso a determinada aplicao como VPN aplicao, SAP ou aplicao ERP permitida a
partir do endereo IP especfico, criar regra de firewall para rotear o pedido de aplicao de
apenas o endereo IP especfico.
Criar uma poltica de NAT para vincular o endereo IP Mail Server com MX IP. Isto ir
estabelecer conexo, bem como reduzir as chances de retorno de Problema de seleo MX.
8. recomendvel ignorar DoS triagem para servidores de grande intensidade do trfego,
como VOIP e FTP Para evitar a queda de trfego legtimo.
9. Polticas Disable NAT para WAN para LAN regra para Mail Server para evitar tornando-se
uma retransmisso aberta.
Autenticao
1. Se o UTM integrado com um ou mais servidores de autenticao externa, certifique-se
de que os servidores forem selecionados para a autenticao e firewall esto em ordem de
preferncia.
2. Em caso de integrao AD com Single Sign On ativado, criar usurios clientless para
servidores como servidor VOIP, os dispositivos multifunes, etc. Cujo manual de
autenticao no vivel.
3. Depois de importar grupos da AD, modificar a ordem dos grupos de acordo com a
preferncia. Qualquer usurio, que uma parte de vrios grupos, ser mapeado para o
primeiro grupo correspondente no UTM.
IPS
1. Crie o costume polticas IPS com assinaturas relevantes para diminuir a latncia de
pacotes e melhorar o desempenho.
2. Recomenda-se a aplicar a poltica de IPS em WAN para regras de firewall de rede local
para servidores hospedados na rede para proteg-los contra ataques conhecidos e ataques
desconhecidos.
3. IPS poltica no recomendado para LAN para WAN trfego, a menos que seja usado
para controlar aplicativos usando assinaturas personalizadas.
VPN
1. Criar VPN para regras de firewall LAN para permitir Threat gratuito Tunnelling, ou seja,
proteger a rede de trfego malicioso atravs do tnel VPN. Nestas regras, poltica NAT deve
ser desativada para permitir o acesso aos recursos internos.
2. Para segurana adicional, utilize CHAP e MSCHAP do aperto de mo Protocolos para PPTP
acesso remoto VPN.
3. Se a conectividade VPN deve ser configurado entre a sede e vrias filiais, criar um Hub
and Spoke configurao VPN, ou seja, criar tneis virtuais de cada filial diretamente para a
Sede.
Antivirus
1. Para a digitalizao de trfego HTTP e HTTPS, configurar o modo de digitalizao como
"Tempo Real" ao invs de "Batch". O modo de verificao Tempo real permite verificao de
vrus de arquivos assim que seu download iniciado enquanto o modo de digitalizao em
lote aguarda para download do arquivo completo antes da digitalizao.
2. Configure o UTM para no permitir o acesso a sites HTTPS com certificados invlidos.
Anti Spam
1. Configure o UTM para "Aceitar" e-mails de grandes dimenses Para evitar a queda de emails que podem ser teis.
2. Habilite Spam Digest para permitir que os usurios finais para gerenciar e-mails em
quarentena por si mesmos.
3. Configure o UTM para verificar Reputao IP de remetentes de todos os e-mails para
melhorar o desempenho do Antispam.
QoS
1. Criar polticas de QoS apropriados para aplicaes de misso crtica.
2. Atribuir maior prioridade ao trfego em tempo real, como VOIP e menor prioridade para
volumosos protocolos como FTP ou transferncia de arquivos P2P para uma melhor gesto
largura de banda.