Blog

Het opzetten van een Hillstone NGFW E-Serie. Een blog van RobertG

U heeft uw Hillstone E-Serie geleverd gekregen. En hoe nu verder?

 

Beste Lezers,

 

Om mijn blogs voor de wat meer technische lezer interessant te houden, neem ik jullie deze keer mee in het opzetten van een Hillstone NGFW E1700 en wel vanaf het moment waarop deze uit de doos gehaald wordt. Er zijn verschillende redenen waarom ik gekozen heb voor een E1700. Eén daarvan is het feit dat de E-serie het instapmodel is. De E-serie is de NGFW die we kennen vanuit de Gartner definitie.

 

Hillstone Networks heeft ook de Hillstone T-serie intelligent NGFW. Dit is de grote broer van de E-serie die bovendien de intelligence module bevat. Hierover informeer ik u graag in een volgende blog. Wanneer ik hier een functionaliteit van de E-serie beschrijf, is deze ook beschikbaar binnen de T-serie.

 

Uit de kast en doos.

Wanneer een E-serie in gebruik wordt genomen kan deze op twee manieren van een configuratie worden voorzien. Men kan ervoor kiezen om deze direct, via de con poort, via de CLI(Command Line Interface) te configureren door gebruik te maken van de bijgeleverde console kabel. Het is echter ook mogelijk om deze via de web-based GUI(Graphic User Interface) te configureren. De web-based GUI is beschikbaar over ethernet poort 0/0, door hier een straight/cross kabel in te stoppen en een vast IP adres te zetten in de 192.168.1.x/24 range. De Hillstone zelf heeft bij een defaultconfiguratie het ip 192.168.1.1(zie onderstaand figuur; het inlog scherm). Deze informatie, inclusief username en wachtwoord, zijn terug te vinden in de bijgeleverde documentatie. 

 

 

Voordat men start met het instellen van de Hillstone, is het verstandig om te bepalen of men alleen IPv4 of dual-stack wil draaien. Wanneer er voor IPv4-only gekozen wordt zal de Hillstone alle ruimte die normaal voor IPv6 gebruikt wordt, maximaal voor IPv4 gebruiken. Hierdoor zijn er bepaalde limieten die onder IPv4-only iets hoger liggen. Deze zouden uiteraard lager zijn wanneer er voor dual stack gekozen wordt. Mocht er in de toekomst toch besloten worden om dual stack te draaien, dan kan dit alleen met een firmware upgrade. De configuratie zal niet veranderen, het is puur een verandering van firmware.

 

Instellen monitor poort

Om te beginnen gaan we kijken naar het instellen van een monitor poort. Dit, omdat deze vaak handig is als men een Proof of Concept wil draaien of als er andere redenen zijn waarom men de interne infrastructuur/IP space nog niet wil aanpassen. Het instellen van een monitor poort is niet heel ingewikkeld. Er moet echter wel rekening gehouden worden met het feit dat deze onderdeel moet zijn van een Zone en welke Tap Configuratie (Lan adressen) er gekozen wordt. Zie  onderstaand figuur met betrekking tot de instellingen.

 

De Tap Configuratie maakt het mogelijk om een filtering toe te passen op de adressen die gescand zullen worden(figuur x). Ook hier wordt een Zone geselecteerd. Binnen een Zone worden de verschillende IDS (Intrusion Detection system)/IPS (Intrusion Prefention System) services ingesteld. Deze instellingen kunnen verschillen tussen aan/uit, maar ook “Log only” of “reset" behoren tot de mogelijkheden.

 

Binnen de Zone Configuration, in het tabblad “Threat Protection” (zie onderstaand figuur), worden de verschillende IDS/IPS services ingesteld. Hierbij kan het bijvoorbeeld gaan om het profiel dat gebruikt dient te worden bij de Antivirus en/of het Intrusion Prevention System. Hier zijn ook de overige settings van de Attack Defense, Perimeter Traffic Filtering of het URL filter te vinden.

 

 

Deze services kunnen allemaal, per Zone, een andere configuratie krijgen. Zo zou men bijvoorbeeld voor de Client-zone de URL filtering aan kunnen zetten en deze voor de DMZ servers weer uit. Voor het gemak gaan we er even vanuit dat dit ook logisch is om te doen. Er zijn natuurlijk genoeg redenen te verzinnen om het wel aan te laten. Ik probeer u hiermee echter duidelijk te maken, dat er veel mogelijkheden zijn doordat deze instellingen op zone-niveau aan te passen zijn. Wanneer alle variabelen (ethernet poort, Zone, adressen) duidelijk zijn, kan men deze settings opgeven onder de specifieke ethernet interface. Op de overige tabbladen hoeven geen instellingen aangepast te worden.

 

Tot zover hebben we nu voor het eerst een monitor poort ingesteld en deze gekoppeld aan de verschillende IDS/IPS services die de Hillstone ter beschikking heeft. Op de eerste drie tabbladen (“Dashboard”, “iCenter” en “Monitor”) worden de verschillende statistieken/meldingen weergegeven die over de ontvangen data berekend/gevonden zijn.

 

Wanneer er voor deze opstelling gekozen wordt, kan de Hillstone natuurlijk niets blokkeren en enkel meldingen geven van wat hij ziet. Op deze manier krijgt u inzicht in het verschil tussen uw huidige firewall en de dreigingen die de Hillstone detecteert.

 

Het ombouwen van de Hillstone naar een IPS is iets dat ik graag in een latere blog met jullie bespreek.

 

Tot de volgende!