Firewall
Il Plus 2 è provvisto anche di firewall SPI completo e basato su regole, configurato separatamente rispetto alle caratterisstiche di NAT del router. Dicendo separatamente intendiamo che non crea automaticamente le regole di firewall corrispondenti alle più semplici funzioni, come il forward di una porta definita nella sezione NAT dell'interfaccia.
L'unico cenno a regole user-friendly riguarda la presenza di alcune note in alcune pagine della sezione NAT, che avvertono che potrebbe essere necessario creare una regola nel firewall. Questo è un altro posto dove i fanatici dell'IT si sentiranno a proprio agio col modo di fare del 2 Plus, ma gli amministratori potrebbero trovarlo fastidioso e/o frustrante. La Figura 9 mostra la pagina Firewall Default Rule, da dove è possibile configurare le opzioni legate al firewall.
Figura 9: Schermata contenente le Regole di Default del Firewall (Cliccate sull'immagine per ingrandirla)
L'opzione LAN to LAN / ZyWall è utilizzata congiuntamente con la caratteristica IP Alias precedentemente discussa, mentre WAN to WAN / ZyWall gestisce il firewall nei tunnel IPsec. WAN to LAN si utilizza quando si ha bisogno di un controllo più preciso dei paccheti in ricezione rispetto l'offerta di firewall NAT di base e Port Forwarding. Infine, le regole LAN to WAN rappresentano ciò a cui la maggior parte dei router si riferisce come Port o Application Filtering.
La Figura 10 mostra la schermata Edit Rule, utilizzata per creare o modificare le regole. Da notare la semplice schedulazione, in fondo alla pagina, basata su giorno e ora. Non sono visibili le altre opzioni per la registrazione e l'invio di allarmi e messaggi ogni qualvolta una regola venga soddisfatta e le azioni da intraprendere in base alle opzioni Permit, Deny e Drop. Naturalmente, se non vedete il servizio che volete dalla lista di default, potete aggiungerlo tramite la tabulazione Service.
Figura 18: Schermata di modifica delle Regole del Firewall (Cliccate sull'immagine per ingrandirla)
La schermata Service, che consente la modifica ai servizi, permette di rinominarli, e di introdurre il gruppo di porte a cui fanno riferimento, così come la scelta del protocollo interessato, tra TCP, UDP, TCP/UDP, ICMP e Custom (introduzione manuale del numero del protocollo). Le tabulazioni delle altre sezioni permettono di disabilitare la protezione contro attacchi DoS sulle interfacce LAN e WAN, impostare i limiti delle sessioni DoS e specificare le azioni da intraprendere quando si raggiunge il limite TCP Maximum Incomplete. La risposta ai ping viene gestita separatamente dalle interfacce LAN e WAN nella sezione Anti-Probing.
Analizzando la Figura 11 si giunge alle opzioni di base del Content Filtering. Da notare la possibilità di specificare un messaggio "bloccato" e ridirezionare l'URL. É anche possibile specificare quali client sono "esentati" dal filtraggio dei contenuti. Queste esenzioni vengono fatte su indirizzo IP e non MAC, quindi è consigliabile assegnare IP statici (o riservarli utilizzando la funzione LAN > Static DHCP) ad ogni client da aggiungere alla lista.
Figura 11: Schermata Filtri dei Contenuti - Generale (Cliccate sull'immagine per ingrandirla).
La schermata Categories, visibile in Figura 12, funziona assieme ad una sottoscrizione opzionale, basata su un sistema di filtraggio OEM di Bluecoat. Col 2 Plus otterrete una sottoscrizione di prova per un mese, attivabile nella pagina Registration.
Figura 12: Schermata Filtro dei Contenuti - Categorie (Cliccate sull'immagine per ingrandirla)
Se le vostre necessità di filtraggio sono semplici, o disponete di un budget limitato, potete utilizzare la tabulazione Customization per creare liste di siti web "Fidati" e "Proibiti", così come utilizzare keyword per filtrare gli indirizzi URL. Abbiamo eseguito qualche controllo sulla validità delle keyword ed effettivamente sono abbastanza intelligenti da bloccare gli indirizzi Ip di un sito proibito. Da notare anche la presenza di una tabulazione Cache, in grado di fornire controllo sul numero di tentativi di accesso a siti "Fidati" e "Proibiti" sono stati registrati nelle ultime ore (1-720); la lista generata è quindi consultabile e cancellabile da questa pagina.