Kembali
Tahap Keselamatan Zon
Memahami hierarki kepercayaan dalam rangkaian untuk memastikan aliran trafik dikawal dengan polisi keselamatan yang tepat dan konsisten mengikut zon yang ditetapkan.
Konsep Zon Keselamatan
- OPNsense menggunakan Zon Keselamatan untuk mengumpulkan antaramuka mengikut tahap kepercayaan yang sama.
- Zon lazim digunakan: Trust (Dalam), Untrust (Luar/Internet), DMZ, dan Guest.
- Memudahkan pengurusan polisi berpusat tanpa perlu membina peraturan berulang bagi setiap antaramuka fizikal.
Kawalan Trafik & Merit
- Setiap zon rangkaian diberikan nilai merit atau Tahap Keselamatan yang berbeza (skala 0 hingga 100).
- Tembok api menetapkan peraturan berdasarkan zon untuk memastikan trafik luaran tidak menceroboh zon dalaman secara haram.
- Melaksanakan prinsip Defense in Depth secara sistematik dalam infrastruktur rangkaian.
Dasar Default Berdasarkan Tahap
| Arah Lalu Lintas | Tahap Keselamatan | Dasar Default | Contoh Aliran |
|---|---|---|---|
| Tinggi ke Rendah | 100 → 0 | Dibenarkan | LAN ke WAN (Internet) |
| Tinggi ke Sederhana | 100 → 50 | Dibenarkan | LAN ke DMZ |
| Rendah ke Tinggi | 0 → 100 | Disekat | WAN ke LAN |
| Sederhana ke Tinggi | 50 → 100 | Disekat | DMZ ke LAN |
| Sama Tahap | 100 → 100 | Dibenarkan | Antara Antaramuka LAN |
Rajah: Visualisasi Aliran Trafik Antara Zon Keselamatan Berdasarkan Tahap Kepercayaan
Ringkasan Isi Penting
- Zon utama: LAN (Tinggi), DMZ (Sederhana), WAN (Rendah).
- Peraturan firewall dicipta automatik berdasarkan perbezaan tahap zon.
- Sentiasa dokumentasikan setiap zon untuk memudahkan audit keselamatan.
- Pemantauan log sangat penting bagi trafik yang disekat secara default.
- Gunakan prinsip Least Privilege semasa menetapkan pengecualian pada zon.