Applicazione delle policy

L’applicazione delle policy definite può essere fatta a livello di cartella, ma anche a livello di singolo dispositivo.

Cliccando sull’elemento al quale si desidera applicare la regola, nella parte destra della finestra principale è possibile visualizzare la sezione Firewall.

La sezione Firewall permette di aggiungere le policy e di definire il comportamento di default che dovrà essere intrapreso sul transito del pacchetto Ethernet qualora nessuna delle policy della lista risultasse verificata.

L’azione di default per un dominio è impostata a “Allow” e, di conseguenza, il pacchetto (il cui contenuto NON verifica nessuna delle regole specificate) transita.

Questa scelta impone che per definire le policy si ragioni in logica negativa, stabilendo quali sono i pacchetti da bloccare e costruendo quindi delle policy con azioni di “Deny”.

Alternativamente si può ragionare in logica positiva impostando a “Deny” l’azione di default e costruendo policy con azione “Allow” in modo da stabilire quali sono i pacchetti che devono transitare (piuttosto che quelli da bloccare come nel caso precedente).

Le policy applicate ad una data cartella sono ereditate dalle cartelle e dai dispositivi in essa contenuti. La sezione “Firewall” permette di cambiare questo comportamento impedendo l’ereditarietà delle regole e potendo quindi cambiare l’azione di default.

Se la catena dell’ereditarietà non è interrotta (casella di selezione NON marcata) l’azione di Default è quella specificata dal “padre” che è a sua volta soggetto alla medesima regola, sulla base dello stato della casella di selezione.

Per l’applicazione di una regola ad un elemento, selezionare la cartella o l’oggetto a cui si desidera applicare la regola, evidenziare la sezione “Firewall” a destra e cliccare sul tasto “Add”.

Nella finestra che appare, mostrata nella figura seguente, si può scegliere la policy da utilizzare tra quelle importate o create che risultano disponibili e condizionarla eventualmente ad un utente o gruppo. Questo permette l’applicazione ad uno specifico dispositivo delle policy condizionate all’utente connesso.

Da ultimo si specifica l’azione da compiere nel caso in cui il pacchetto valutato corrisponda alle regole della policy.

Suggerimento

Per ciascun dispositivo o cartella selezionata, l’area Firewall rappresenta sempre un riassunto di tutte le policy applicate sia ereditate sia esplicite.

Esempio 1: filtro di protocollo

Lo scopo dell’esempio è quello d’importare una policy predefinita ed applicarla a un dispositivo a prescindere dall’utente e dall’indirizzo IP di questo dispositivo.

Selezionare l’icona di Dominio e cliccare sul tasto “Import policy”. Selezionare per esempio dalla lista la policy “Omron PLC with CX-Programmer”.

Una volta importata la policy, cliccare quindi sul dispositivo al quale si desidera applicare la policy.

Si vuole che nella connessione VPN con la sottorete collegata a questo specifico dispositivo, sia ammesso solo l’utilizzo del protocollo Omron per la programmazione del PLC che si suppone collegato al dispositivo. Nella finestra di associazione della policy (Associate policy) si selezionerà quindi l’azione “Allow”.

Assumendo che l’azione di default per il Dominio sia stata lasciata ad “Allow” sarà ora necessario selezionare la casella di selezione che slega il dispositivo in questione dalla catena ereditaria.

Tutti i pacchetti in transito che sono verificati dalla policy sono lasciati passare, quelli che non sono verificati saranno soggetti all’azione di Default che è stata impostata su “Deny” e quindi verranno bloccati.

Esempio 2: aggiunta del filtro di IP

Con riferimento all’esempio precedente si vuole ulteriormente restringere il traffico dei pacchetti aggiungendo una limitazione di IP stabilendo quindi che solo il traffico per un certo IP è ammesso. Consideriamo per esempio l’IP 10.60.0.60 a cui si suppone quindi corrispondere il PLC connesso.

Il modo più semplice per realizzare questo filtro è quello di editare la policy importata.

Selezionare quindi la policy “OMRON PLC with CX Programmer” e sul lato destro cliccare il tasto “Add” per aggiungere la regola di filtro dell’IP.

Poiché è stata modificata la policy, la modifica sarà immediatamente attiva in tutti i punti in cui la policy è stata applicata.

Esempio 3: aggiunta del filtro di utente o gruppo

Con riferimento ai due esempi precedenti, si desidera ora fare in modo che il filtro per protocollo e per IP precedentemente applicato sia attivo solo per gli utenti appartenenti a un certo gruppo.

Il filtro utenti è un’opzione relativa all’associazione della policy.

Selezionare quindi il dispositivo al quale è stata applicata la policy nell’esempio 1. Visualizzare l’area “Firewall” nella parte destra della finestra e selezionare la policy relativa al protocollo; cliccare “Edit” per accedere alle opzioni di associazione. Dalla drop box “Group/User” selezionare quindi il gruppo o l’utente interessato.

image1

Il risultato definitivo è che tutti e solo gli utenti del Gruppo selezionato potranno accedere al dispositivo all’indirizzo IP scelto e in questa connessione potranno utilizzare solo il protocollo specificato.