Welkom lesers by die derde artikel in die UserGate Getting Started-reeks artikels, wat praat oor die NGFW-oplossing van die maatskappy . Die vorige artikel het die proses van die installering van 'n firewall beskryf en die aanvanklike konfigurasie daarvan uitgevoer. Nou sal ons nader kyk na die skep van reëls in afdelings soos "Firewall", "NAT and Routing" en "Bandwidth".
Die ideologie van UserGate-reëls is dat die reëls van bo na onder uitgevoer word, tot by die eerste een wat werk. Op grond van bogenoemde volg dit dat meer spesifieke reëls hoër moet wees as meer algemene reëls. Maar daar moet kennis geneem word dat aangesien die reëls in orde nagegaan word, dit beter is om algemene reëls te skep wat prestasie betref. Voorwaardes wanneer enige reël geskep word, word volgens “EN”-logika toegepas. As dit nodig is om "OF" logika te gebruik, word dit bereik deur verskeie reëls te skep. Wat dus in hierdie artikel beskryf word, is van toepassing op ander UserGate-beleide.
Firewall
Nadat u UserGate geïnstalleer het, is daar reeds 'n eenvoudige beleid in die "Firewall"-afdeling. Die eerste twee reëls weier verkeer na botnets. Die volgende is voorbeelde van toegangsreëls uit verskeie sones. Die laaste reël word altyd "Blokkeer alles" genoem en is gemerk met 'n hangslot-simbool (dit beteken dat die reël nie uitgevee, gewysig, geskuif of gedeaktiveer kan word nie, jy kan slegs die aantekenopsie daarvoor aktiveer). Dus, as gevolg van hierdie reël, sal alle verkeer wat nie uitdruklik toegelaat word nie deur die laaste reël geblokkeer word. As jy alle verkeer deur UserGate wil toelaat (alhoewel dit sterk nie aanbeveel word nie), kan jy altyd die voorlaaste "Laat almal toe"-reël skep.
Wanneer jy 'n firewall-reël wysig of skep, is die eerste Algemene oortjie, moet jy die volgende stappe daarop uitvoer:
-
Gebruik die "Aan"-merkblokkie om die reël te aktiveer of te deaktiveer.
-
voer die naam van die reël in.
-
stel 'n beskrywing van die reël.
-
kies uit twee aksies:
-
Weier - blokkeer verkeer (wanneer hierdie toestand ingestel is, is dit moontlik om ICMP-gasheer onbereikbaar te stuur, jy hoef net die toepaslike merkblokkie te stel).
-
Laat toe—laat verkeer toe.
-
-
Scenario-item - laat jou toe om 'n scenario te kies, wat 'n bykomende voorwaarde is vir die reël om te aktiveer. Dit is hoe UserGate die SOAR-konsep (Security Orchestration, Automation and Response) implementeer.
-
Aantekening—log inligting oor verkeer wanneer 'n reël geaktiveer word. Moontlike opsies:
-
Teken die begin van die sessie aan. In hierdie geval sal slegs inligting oor die begin van die sessie (die eerste pakkie) in die verkeerslogboek aangeteken word. Dit is die aanbevole aantekenopsie.
-
Teken elke pakkie aan. In hierdie geval sal inligting oor elke versendte netwerkpakkie aangeteken word. Vir hierdie modus word dit aanbeveel om die aantekenlimiet te aktiveer om hoë toestellading te voorkom.
-
-
Pas die reël toe op:
-
Alle pakkette
-
na gefragmenteerde pakkies
-
na ongefragmenteerde pakkies
-
-
Wanneer jy 'n nuwe reël skep, kan jy 'n ligging in die beleid kies.
die volgende "Bron" oortjie. Hier dui ons die bron van die verkeer aan; dit kan die sone wees waaruit die verkeer kom, of jy kan 'n lys of 'n spesifieke IP-adres (Geoip) spesifiseer. In byna alle reëls wat in 'n toestel gestel kan word, kan 'n voorwerp vanaf 'n reël geskep word, byvoorbeeld, sonder om na die "Sones"-afdeling te gaan, kan jy die "Skep en voeg 'n nuwe voorwerp by"-knoppie gebruik om die sone te skep ons benodig. Die "Omkeer"-merkblokkie word ook dikwels teëgekom; dit verander die aksie in die reëltoestand na die teenoorgestelde, wat soortgelyk is aan die logiese aksie van ontkenning. Bestemming-oortjie soortgelyk aan die bronoortjie, net in plaas van die verkeersbron stel ons die verkeersbestemming in. Gebruikers-oortjie — op hierdie plek kan jy 'n lys van gebruikers of groepe byvoeg waarvoor hierdie reël van toepassing is. Diens-oortjie - kies die tipe diens uit die reeds vooraf gedefinieerde een of jy kan jou eie instel. Toepassingsoortjie — hier word spesifieke toepassings of groepe toepassings gekies. EN Tyd-oortjie dui die tyd aan wanneer hierdie reël aktief is.
Vanaf die laaste les het ons 'n reël vir toegang tot die internet vanaf die "Trust"-sone, nou sal ek wys, as 'n voorbeeld, hoe om 'n ontkenningsreël vir ICMP-verkeer van die "Trust"-sone na die "Onvertroude" sone te skep.
Skep eers 'n reël deur op die "Voeg"-knoppie te klik. In die venster wat oopmaak, op die algemene oortjie, vul die naam in (Verbied ICMP van vertrou na ongetroud), merk die "Aan" merkblokkie, kies die aksie om te blokkeer en, die belangrikste, kies die korrekte ligging vir hierdie reël. Volgens my beleid moet hierdie reël bo die "Laat vertroude tot onbetroubare" reël geleë wees:
Op die "Bron"-oortjie is daar twee opsies vir my taak:
-
Kies die "Trusted"-sone
-
Kies alle sones behalwe "Trusted" en merk die "Omkeer"-merkblokkie
Die "Bestemming"-oortjie is soortgelyk aan die "Bron"-oortjie gekonfigureer.
Vervolgens gaan ons na die "Diens"-oortjie, aangesien UserGate 'n voorafbepaalde diens vir ICMP-verkeer het, en deur op die "Voeg"-knoppie te klik, kies ons 'n diens genaamd "Enige ICMP" uit die voorgestelde lys:
Miskien is dit wat die skeppers van UserGate bedoel het, maar ek kon verskeie heeltemal identiese reëls skep. Alhoewel slegs die eerste reël uit die lys uitgevoer sal word, dink ek dat die vermoë om reëls van verskillende funksionaliteit met dieselfde naam te skep, verwarring kan veroorsaak wanneer verskeie toesteladministrateurs werk.
NAT en roetering
Wanneer ons NAT-reëls skep, sien ons verskeie soortgelyke oortjies as vir die firewall. Op die "Algemeen"-oortjie het die "Tipe"-veld verskyn; dit laat jou toe om te kies waarvoor hierdie reël verantwoordelik sal wees:
-
NAT - Netwerkadresvertaling.
-
DNAT - Herlei verkeer na die gespesifiseerde IP-adres.
-
Poortstuur - Herlei verkeer na 'n gespesifiseerde IP-adres, maar laat jou toe om die poortnommer van die gepubliseerde diens te verander
-
Beleidsgebaseerde roetering – Laat toe dat IP-pakkies herlei word op grond van gevorderde inligting, soos dienste, MAC-adresse of bedieners (IP-adresse).
-
Netwerkkartering - Laat jou toe om die bron- of bestemmings-IP-adresse van een netwerk met 'n ander netwerk te vervang.
Nadat u die toepaslike reëltipe gekies het, sal instellings daarvoor beskikbaar wees.
In die SNAT IP-veld (eksterne adres) dui ons uitdruklik die IP-adres aan waarna die bronadres vervang sal word. Hierdie veld word vereis as daar verskeie IP-adresse is wat aan die koppelvlakke van die bestemmingsone toegeken is. As jy hierdie veld leeg laat, sal die stelsel 'n ewekansige adres gebruik uit die lys beskikbare IP-adresse wat aan die bestemmingsone-koppelvlakke toegeken is. UserGate beveel aan om SNAT IP te spesifiseer om die brandmuurwerkverrigting te verbeter.
As 'n voorbeeld sal ek 'n SSH-diens publiseer op 'n Windows-bediener wat in die "DMZ"-sone geleë is met behulp van die "port forwarding"-reël. Om dit te doen, klik op die "Voeg by" knoppie en vul die "Algemeen" oortjie in, spesifiseer die naam van die reël "SSH na Windows" en die tipe "Port forwarding":
Op die "Bron"-oortjie, kies die "Onvertroude" sone en gaan na die "Port Forwarding"-oortjie. Hier moet ons die "TCP" protokol spesifiseer (vier opsies is beskikbaar - TCP, UDP, SMTP, SMTPS). Die oorspronklike bestemmingspoort is 9922 - die poortnommer waarheen gebruikers versoeke stuur (poorte kan nie gebruik word nie: 2200, 8001, 4369, 9000-9100). Nuwe bestemmingspoort (22) - die poortnommer waarheen gebruikerversoeke na die interne gepubliseerde bediener gestuur sal word.
Stel op die "DNAT"-oortjie die IP-adres van die rekenaar op die plaaslike netwerk, wat op die internet gepubliseer word (192.168.3.2). En opsioneel kan jy SNAT aktiveer, dan sal UserGate die bronadres in pakkies van die eksterne netwerk na sy IP-adres verander.
Na al die instellings kry jy 'n reël wat jou toelaat om toegang te verkry vanaf die "Onvertroude" sone tot 'n bediener met IP-adres 192.168.3.2 via SSH, deur die eksterne UserGate-adres te gebruik wanneer jy koppel.
deurset
Hierdie afdeling spesifiseer reëls vir die bestuur van bandwydte. Hulle kan gebruik word om die kanaal van sekere gebruikers, gashere, dienste, toepassings te beperk.
Wanneer 'n reël geskep word, bepaal die voorwaardes op die oortjies die verkeer waarop beperkings van toepassing is. Jy kan die bandwydte kies uit dié wat aangebied word, of jou eie stel. Wanneer u bandwydte skep, kan u 'n DSCP-verkeerprioritiseringsetiket spesifiseer. 'n Voorbeeld van wanneer DSCP-etikette toegepas word: deur die scenario waarin hierdie reël toegepas word in 'n reël te spesifiseer, kan hierdie reël outomaties hierdie etikette verander. Nog 'n voorbeeld van hoe die script werk: die reël sal slegs vir die gebruiker werk wanneer 'n torrent opgespoor word of die hoeveelheid verkeer 'n gespesifiseerde limiet oorskry. Ons vul die oorblywende oortjies in op dieselfde manier as in ander beleide, gebaseer op die tipe verkeer waarop die reël toegepas moet word.
Gevolgtrekking
In hierdie artikel het ek gekyk na die skep van reëls in die afdelings "Firewall", "NAT and Routing" en "Bandwidth". En heel aan die begin van die artikel het ek die reëls beskryf vir die skep van UserGate-beleide, sowel as die beginsel van werking van die voorwaardes wanneer 'n reël geskep word.
Bly ingeskakel vir opdaterings in ons kanale (, , , )!
Bron: will.com