CHECKPOINT

DMZ ו-Security Zones ב-Check Point: הדרך הנקייה לנהל תעבורה 🛡️

4 דק׳ קריאהמכללת נטמי
DMZ ו-Security Zones ב-Check Point: הדרך הנקייה לנהל תעבורה 🛡️

אז מה זה DMZ?

DMZ (ראשי תיבות של Demilitarized Zone) הוא אזור מפורז שבו ממוקמים שרתים שאמורים להיות נגישים דרך האינטרנט — Web Servers, Mail Relays, DNS חיצוני וכו׳. הרעיון פשוט: מבודדים אותם, כדי שאם מישהו יפרוץ אליהם, הוא עדיין לא נמצא בתוך הרשת הפנימית שלכם.

ההנחה הזהב באבטחת מידע: אדם שניגש למשאבים ב-DMZ אינו בהכרח מישהו שאתם סומכים עליו שלא ייגש למידע אחר. לכן הגישה בין ה-DMZ לרשת הפנימית חייבת להיות מוגבלת בקפדנות.

ומה זה Security Zone?

ב-Check Point, כל כרטיס רשת ב-Security Gateway יכול לייצג Zone נפרד — Internal, External, DMZ, Management וכו׳. במקום לכתוב חוקים על כתובות רשת ספציפיות (שמשתנות, ותמיד שוכחים לעדכן), אתם כותבים חוקים על Zones. חוק אחד יגדיר איזה תעבורה רשאית לעבור בין DMZ ל-External, בלי קשר לכמה שרתים יש בפנים.

איך מגדירים Security Zone

  • היכנסו למאפייני ה-Security Gateway → Network Management.
  • בחרו בכרטיס הרשת הרלוונטי ולחצו Edit.
  • במאפייני הכרטיס בחרו Modify.
  • ב-Specify Security Zone בחרו או צרו שם Zone שייצג את הכרטיס (למשל: DMZ_Zone).
  • עכשיו כתבו חוקים חדשים ב-Rule Base תוך שימוש באובייקטי Zone במקום בכתובות.
היופי ב-Zones הוא שהם הופכים את ה-Rule Base למסמך מדיניות קריא: ״Internal → DMZ: HTTP/S בלבד״. גם מנהל שלא מכיר את הרשת יבין תוך שנייה מה מותר ומה אסור.

בקורס Check Point Firewall שלנו לומדים לתכנן ארכיטקטורות עם DMZ, Security Zones, Inline Layers ו-VSX — לא רק לזכור פקודות, אלא לחשוב כמו מהנדס אבטחה בכיר.

רוצים להתמקצע?

הפוסט הזה הוא רק טעימה. הקורס המלא של Check Point Firewall ילמד אתכם הכל מא׳ עד ת׳.