مرحبًا بالقراء في المقالة الثالثة ضمن سلسلة مقالات UserGate Getting Started، والتي تتحدث عن حل NGFW من الشركة . وصفت المقالة السابقة عملية تثبيت جدار الحماية وأجرت تكوينه الأولي. سنلقي الآن نظرة فاحصة على إنشاء القواعد في أقسام مثل "جدار الحماية" و"NAT and Routing" و"Bandwidth".
تتمثل أيديولوجية قواعد UserGate في أن القواعد يتم تنفيذها من الأعلى إلى الأسفل، حتى أول قاعدة تعمل. وبناءً على ما سبق، يترتب على ذلك أن القواعد الأكثر تحديدًا يجب أن تكون أعلى من القواعد الأكثر عمومية. ولكن تجدر الإشارة إلى أنه بما أن القواعد يتم فحصها بالترتيب، فمن الأفضل إنشاء قواعد عامة من حيث الأداء. يتم تطبيق الشروط عند إنشاء أي قاعدة وفقًا للمنطق "AND". إذا كان من الضروري استخدام منطق "OR"، يتم تحقيق ذلك عن طريق إنشاء عدة قواعد. لذا فإن ما هو موضح في هذه المقالة ينطبق على سياسات UserGate الأخرى.
جدار الحماية
بعد تثبيت برنامج UserGate، توجد بالفعل سياسة بسيطة في قسم "جدار الحماية". تمنع القاعدتان الأوليتان حركة المرور إلى شبكات الروبوت. فيما يلي أمثلة لقواعد الوصول من مناطق مختلفة. تسمى القاعدة الأخيرة دائمًا "حظر الكل" ويتم تمييزها برمز القفل (وهذا يعني أنه لا يمكن حذف القاعدة أو تعديلها أو نقلها أو تعطيلها، ويمكنك فقط تمكين خيار التسجيل لها). وبالتالي، بسبب هذه القاعدة، سيتم حظر كل حركة المرور غير المسموح بها صراحةً بواسطة القاعدة الأخيرة. إذا كنت تريد السماح لجميع حركة المرور من خلال UserGate (على الرغم من أن هذا غير مستحسن بشدة)، فيمكنك دائمًا إنشاء قاعدة "السماح للجميع" قبل الأخيرة.
عند تحرير أو إنشاء قاعدة جدار الحماية، الأول علامة التبويب العامة، عليك القيام بالخطوات التالية عليه:
استخدم مربع الاختيار "تشغيل" لتمكين القاعدة أو تعطيلها.
أدخل اسم القاعدة.
تعيين وصف للقاعدة.
اختر من بين إجراءين:
الرفض - يحظر حركة المرور (عند تعيين هذا الشرط، من الممكن إرسال مضيف ICMP غير قابل للوصول، ما عليك سوى تعيين مربع الاختيار المناسب).
السماح — يسمح بحركة المرور.
عنصر السيناريو - يسمح لك بتحديد سيناريو، وهو شرط إضافي لتشغيل القاعدة. هذه هي الطريقة التي يطبق بها UserGate مفهوم SOAR (التنسيق الأمني والأتمتة والاستجابة).
التسجيل—تسجيل معلومات حول حركة المرور عند تشغيل القاعدة. الخيارات الممكنة:
تسجيل بداية الجلسة. في هذه الحالة، سيتم تسجيل المعلومات المتعلقة ببداية الجلسة (الحزمة الأولى) فقط في سجل حركة المرور. هذا هو خيار التسجيل الموصى به.
سجل كل حزمة. في هذه الحالة، سيتم تسجيل معلومات حول كل حزمة شبكة مرسلة. بالنسبة لهذا الوضع، يوصى بتمكين حد التسجيل لمنع التحميل العالي على الجهاز.
تطبيق القاعدة على:
جميع الحزم
إلى الحزم المجزأة
إلى الحزم غير المجزأة
عند إنشاء قاعدة جديدة، يمكنك تحديد موقع في السياسة.
في اليوم التالي علامة التبويب "المصدر".. نشير هنا إلى مصدر حركة المرور؛ يمكن أن تكون هذه هي المنطقة التي تأتي منها حركة المرور، أو يمكنك تحديد قائمة أو عنوان IP محدد (Geoip). في جميع القواعد التي يمكن تعيينها في الجهاز تقريبًا، يمكن إنشاء كائن من قاعدة، على سبيل المثال، دون الانتقال إلى قسم "المناطق"، يمكنك استخدام زر "إنشاء وإضافة كائن جديد" لإنشاء المنطقة نحن نحتاج. غالبًا ما يتم أيضًا العثور على مربع الاختيار "عكس"؛ فهو يغير الإجراء في شرط القاعدة إلى العكس، وهو ما يشبه الإجراء المنطقي للنفي. علامة تبويب الوجهة على غرار علامة التبويب المصدر، فقط بدلاً من مصدر حركة المرور نقوم بتعيين وجهة حركة المرور. علامة تبويب المستخدمين — في هذا المكان يمكنك إضافة قائمة بالمستخدمين أو المجموعات التي تنطبق عليها هذه القاعدة. علامة تبويب الخدمة — حدد نوع الخدمة من الخدمة المحددة مسبقًا أو يمكنك تعيين نوع الخدمة الخاصة بك. علامة التبويب التطبيق — هنا يتم تحديد تطبيقات أو مجموعات تطبيقات معينة. و علامة التبويب الوقت تشير إلى الوقت الذي تكون فيه هذه القاعدة نشطة.
منذ الدرس الأخير، أصبح لدينا قاعدة للوصول إلى الإنترنت من منطقة "الثقة"، والآن سأوضح، كمثال، كيفية إنشاء قاعدة رفض لحركة مرور ICMP من منطقة "الثقة" إلى المنطقة "غير الموثوق بها" .
أولاً، قم بإنشاء قاعدة بالنقر فوق الزر "إضافة". في النافذة التي تفتح، في علامة التبويب "عام"، املأ الاسم (تقييد ICMP من الموثوق به إلى غير الموثوق به)، وحدد مربع الاختيار "تشغيل"، وحدد إجراء التعطيل، والأهم من ذلك، اختر الموقع الصحيح لهذه القاعدة. وفقًا لسياستي، يجب وضع هذه القاعدة فوق قاعدة "السماح بالموثوق إلى غير الموثوق به":
في علامة التبويب "المصدر"، هناك خياران لمهمتي:
اختيار المنطقة "الموثوقة".
تحديد جميع المناطق باستثناء "موثوق" وتحديد مربع الاختيار "عكس".
يتم تكوين علامة التبويب "الوجهة" بشكل مشابه لعلامة التبويب "المصدر".
بعد ذلك، ننتقل إلى علامة التبويب "الخدمة"، حيث أن UserGate لديه خدمة محددة مسبقًا لحركة مرور ICMP، ثم بالنقر فوق الزر "إضافة"، نختار من القائمة المقترحة خدمة تسمى "Any ICMP":
ربما كان هذا ما قصده منشئو برنامج UserGate، لكنني تمكنت من إنشاء عدة قواعد متطابقة تمامًا. على الرغم من أنه سيتم تنفيذ القاعدة الأولى فقط من القائمة، أعتقد أن القدرة على إنشاء قواعد لوظائف مختلفة بنفس الاسم يمكن أن تسبب ارتباكًا عندما يعمل العديد من مسؤولي الأجهزة.
NAT والتوجيه
عند إنشاء قواعد NAT، نرى عدة علامات تبويب مشابهة لجدار الحماية. في علامة التبويب "عام"، ظهر حقل "النوع"، وهو يسمح لك بتحديد ما ستكون هذه القاعدة مسؤولة عنه:
NAT - ترجمة عنوان الشبكة.
DNAT - يعيد توجيه حركة المرور إلى عنوان IP المحدد.
إعادة توجيه المنفذ - يعيد توجيه حركة المرور إلى عنوان IP محدد، لكنه يسمح لك بتغيير رقم منفذ الخدمة المنشورة
التوجيه المستند إلى السياسة - يسمح بتوجيه حزم IP بناءً على المعلومات المتقدمة، مثل الخدمات أو عناوين MAC أو الخوادم (عناوين IP).
تعيين الشبكة - يتيح لك استبدال عناوين IP المصدر أو الوجهة لإحدى الشبكات بشبكة أخرى.
بعد تحديد نوع القاعدة المناسب، ستكون الإعدادات الخاصة به متاحة.
في حقل SNAT IP (العنوان الخارجي)، نشير بوضوح إلى عنوان IP الذي سيتم استبدال عنوان المصدر به. هذا الحقل مطلوب إذا كان هناك عدة عناوين IP مخصصة لواجهات المنطقة الوجهة. إذا تركت هذا الحقل فارغًا، فسيستخدم النظام عنوانًا عشوائيًا من قائمة عناوين IP المتوفرة المخصصة لواجهات المنطقة الوجهة. يوصي برنامج UserGate بتحديد SNAT IP لتحسين أداء جدار الحماية.
على سبيل المثال، سأقوم بنشر خدمة خادم SSH Windows، الموجود في منطقة "DMZ" باستخدام قاعدة "إعادة توجيه المنفذ". للقيام بذلك، انقر فوق زر "إضافة" واملأ علامة التبويب "عام"، وحدد اسم القاعدة "SSH إلى Windows"و"نوع إعادة توجيه المنافذ":
في علامة التبويب "المصدر"، حدد المنطقة "غير الموثوق بها" وانتقل إلى علامة التبويب "إعادة توجيه المنفذ". هنا يجب علينا تحديد بروتوكول "TCP" (تتوفر أربعة خيارات - TCP، UDP، SMTP، SMTPS). منفذ الوجهة الأصلي هو 9922 - رقم المنفذ الذي يرسل إليه المستخدمون الطلبات (لا يمكن استخدام المنافذ: 2200، 8001، 4369، 9000-9100). منفذ الوجهة الجديد (22) - رقم المنفذ الذي سيتم إعادة توجيه طلبات المستخدم إلى الخادم الداخلي المنشور إليه.
في علامة التبويب "DNAT"، قم بتعيين عنوان IP للكمبيوتر على الشبكة المحلية، والذي يتم نشره على الإنترنت (192.168.3.2). واختياريًا، يمكنك تمكين SNAT، ثم سيقوم UserGate بتغيير عنوان المصدر في الحزم من الشبكة الخارجية إلى عنوان IP الخاص به.
بعد كل الإعدادات، تحصل على قاعدة تسمح لك بالوصول من المنطقة "غير الموثوق بها" إلى خادم بعنوان IP 192.168.3.2 عبر SSH، باستخدام عنوان UserGate الخارجي عند الاتصال.
قدرة
يحدد هذا القسم قواعد إدارة النطاق الترددي. ويمكن استخدامها للحد من قناة بعض المستخدمين والمضيفين والخدمات والتطبيقات.
عند إنشاء قاعدة، تحدد الشروط الموجودة في علامات التبويب حركة المرور التي تنطبق عليها القيود. يمكنك تحديد النطاق الترددي من تلك المعروضة، أو تعيين النطاق الترددي الخاص بك. عند إنشاء النطاق الترددي، يمكنك تحديد تسمية أولوية حركة مرور DSCP. مثال على متى يتم تطبيق تسميات DSCP: من خلال تحديد السيناريو الذي يتم تطبيق هذه القاعدة فيه، يمكن لهذه القاعدة تغيير هذه التسميات تلقائيًا. مثال آخر لكيفية عمل البرنامج النصي: ستعمل القاعدة للمستخدم فقط عند اكتشاف سيل أو تجاوز حجم حركة المرور الحد المحدد. نقوم بملء علامات التبويب المتبقية بنفس الطريقة المتبعة في السياسات الأخرى، بناءً على نوع حركة المرور التي يجب تطبيق القاعدة عليها.
اختتام
في هذه المقالة، نظرت إلى إنشاء القواعد في أقسام "جدار الحماية" و"NAT and Routing" و"Bandwidth". وفي بداية المقال، وصفت قواعد إنشاء سياسات UserGate، وكذلك مبدأ تشغيل الشروط عند إنشاء القاعدة.
ترقبوا التحديثات في قنواتنا (, , , )!
المصدر: www.habr.com
