Eu aprecio objetos de endereço de firewall e grupos de endereços - eles simplificam o gerenciamento, permitindo que eu dê um nome a um grupo de endereços.
Mas eu não entendo o que as zonas de firewall (LAN, WAN, DMZ, etc.) fazem por mim em grupos de endereços. Eu sei que todos os firewalls os têm, então deve haver uma boa razão. Mas o que ganho afirmando uma regra se aplica a todo o tráfego da LAN Zone para a WAN Zone, que vem do Grupo de Endereços da LAN para o Grupo de Endereços da WAN? Por que não mencionar apenas os grupos de endereços?
As zonas de firewall ajudam a documentar o que está acontecendo. Os grupos padrão possuem restrições padrão. É muito fácil identificar a falha nesta regra.
Allow port 80 from NET to LAN
Não está claro quando você tem isso
Allow port 80 from 0.0.0.0/0 to 192.0.2.0/16
Normalmente, as zonas serão atribuídas a interfaces ou vlans com ou sem restrições de endereço. Com regras apertadas, as máquinas na zona errada podem se recusar a funcionar corretamente.
Cada zona de firewall corresponde a um requisito de segurança especificado. Um grupo de blocos de rede pode corresponder ao mesmo requisito de segurança especificado. Uma zona de firewall pode acomodar um grupo de blocos ou objetos de rede. O firewall é um dispositivo de segurança de rede, ele usa zonas para separar a rede.
LAN e WAN não são nomes de zonas de firewall. Confiança e desconfiança são nomes de zonas de firewall ou termos de segurança de rede.
Os grupos de endereços são tradicionalmente endereços IP sequenciais, digamos 192.168.0.0./24, mas sua LAN pode incluir 192.168.0.0/24 e 10.1.1.0/24 e nem todos os firewalls permitirão a junção entre eles em um único grupo
Em segundo lugar, os segmentos de rede local nem sempre são definidos pelo endereço IP, mas há dispositivos que atribuem designações a portas físicas. Então, tudo o que é de entrada na Porta 1 é da DMZ, e a Porta 2 é da LAN, e a Porta 3 é a Internet (Um Snapgear SG530 é o primeiro dispositivo que consigo pensar que está configurado assim ).