Oxucuları, şirkətin NGFW həllindən bəhs edən UserGate Getting Started məqalələr silsiləsindəki üçüncü məqaləyə xoş gəlmisiniz. . Əvvəlki məqalədə firewall quraşdırma prosesi təsvir edilmiş və onun ilkin konfiqurasiyası həyata keçirilmişdir. İndi biz “Firewall”, “NAT və Routing” və “Bandwidth” kimi bölmələrdə qaydaların yaradılmasına daha yaxından nəzər salacağıq.
UserGate qaydalarının ideologiyası ondan ibarətdir ki, qaydalar yuxarıdan aşağıya doğru, birinci işləyənə qədər icra olunur. Yuxarıda göstərilənlərə əsasən, daha konkret qaydalar daha ümumi qaydalardan daha yüksək olmalıdır. Amma qeyd etmək lazımdır ki, qaydalar ardıcıllıqla yoxlanıldığı üçün performans baxımından ümumi qaydalar yaratmaq daha yaxşıdır. Hər hansı bir qayda yaradılarkən şərtlər “AND” məntiqinə əsasən tətbiq edilir. Əgər “OR” məntiqindən istifadə etmək lazımdırsa, buna bir neçə qayda yaratmaqla nail olunur. Beləliklə, bu məqalədə təsvir olunanlar digər UserGate siyasətlərinə aiddir.
Firewall
UserGate-i quraşdırdıqdan sonra “Firewall” bölməsində artıq sadə siyasət mövcuddur. İlk iki qayda botnetlərə trafiki rədd edir. Aşağıda müxtəlif zonalardan giriş qaydalarına dair nümunələr verilmişdir. Sonuncu qayda həmişə "Hamısını blokla" adlanır və asma kilid simvolu ilə qeyd olunur (bu o deməkdir ki, qayda silinə, dəyişdirilə, köçürülə, söndürülə bilməz, yalnız bunun üçün giriş seçimini aktivləşdirə bilərsiniz). Beləliklə, bu qaydaya görə, açıq şəkildə icazə verilməyən bütün trafik sonuncu qayda ilə bloklanacaq. UserGate vasitəsilə bütün trafikə icazə vermək istəyirsinizsə (baxmayaraq ki, bu qətiyyən tövsiyə edilmir), siz həmişə sondan əvvəlki “Hamısına icazə ver” qaydasını yarada bilərsiniz.
Firewall qaydasını redaktə edərkən və ya yaratarkən, birincisi Ümumi tab, bunun üzərində aşağıdakı addımları yerinə yetirməlisiniz:
-
Qaydanı aktivləşdirmək və ya söndürmək üçün “Aktiv” qutusundan istifadə edin.
-
qaydanın adını daxil edin.
-
qaydanın təsvirini təyin edin.
-
iki hərəkətdən birini seçin:
-
İnkar et - trafiki bloklayır (bu şərt qoyulduqda, ICMP hostunu əlçatmaz göndərmək mümkündür, sadəcə müvafiq onay qutusunu qoymaq lazımdır).
-
Allow - trafikə icazə verir.
-
-
Ssenari elementi - tetiklenecek qayda üçün əlavə şərt olan ssenarini seçməyə imkan verir. UserGate SOAR (Security Orchestration, Automation and Response) konsepsiyasını belə həyata keçirir.
-
Qeydiyyat - qayda işə salındıqda trafik haqqında məlumatı qeyd edin. Mümkün variantlar:
-
Sessiyanın başlanğıcını qeyd edin. Bu halda trafik jurnalında yalnız sessiyanın başlanğıcı haqqında məlumat (birinci paket) qeyd olunacaq. Bu tövsiyə olunan giriş seçimidir.
-
Hər paketi qeyd edin. Bu halda, ötürülən hər bir şəbəkə paketi haqqında məlumat qeyd olunacaq. Bu rejim üçün cihazın yüksək yüklənməsinin qarşısını almaq üçün giriş limitini aktivləşdirmək tövsiyə olunur.
-
-
Qaydanı tətbiq edin:
-
Bütün paketlər
-
parçalanmış paketlərə
-
parçalanmamış paketlərə
-
-
Yeni qayda yaradarkən siyasətdə yer seçə bilərsiniz.
Növbəti Mənbə nişanı. Burada trafikin mənbəyini göstəririk; bu, trafikin gəldiyi zona ola bilər və ya siyahı və ya müəyyən bir IP ünvanı (Geoip) təyin edə bilərsiniz. Bir cihazda təyin edilə bilən demək olar ki, bütün qaydalarda obyekt bir qaydadan yaradıla bilər, məsələn, "Zonlar" bölməsinə getmədən, zona yaratmaq üçün "Yeni obyekt yarat və əlavə et" düyməsini istifadə edə bilərsiniz. ehtiyacımız var. “Tərsinə çevir” qutusuna da tez-tez rast gəlinir, o, qayda vəziyyətindəki hərəkəti inkarın məntiqi hərəkətinə bənzəyən tərsinə dəyişir. Təyinat Tab mənbə nişanına bənzər, yalnız trafik mənbəyi əvəzinə biz trafik təyinatını təyin edirik. İstifadəçilər nişanı — bu yerə siz bu qaydanın tətbiq olunduğu istifadəçilərin və ya qrupların siyahısını əlavə edə bilərsiniz. Xidmət nişanı — əvvəlcədən təyin edilmiş xidmət növlərindən birini seçin və ya özünüz təyin edə bilərsiniz. Tətbiq nişanı — burada xüsusi proqramlar və ya proqramlar qrupları seçilir. VƏ Vaxt nişanı bu qaydanın aktiv olduğu vaxtı göstərin.
Son dərsdən bəri "Güvən" zonasından İnternetə daxil olmaq üçün bir qaydamız var, indi nümunə olaraq "Güvən" zonasından "Güvənsiz" zonaya ICMP trafiki üçün inkar qaydasını necə yaratmağı göstərəcəyəm. .
Əvvəlcə "Əlavə et" düyməsini sıxaraq bir qayda yaradın. Açılan pəncərədə, ümumi nişanda adı doldurun (ICMP-ni etibarlıdan etibarsıza qadağan et), "Aktiv" qutusunu işarələyin, bloklanacaq hərəkəti seçin və ən əsası bu qayda üçün düzgün yeri seçin. Siyasətimə görə, bu qayda “Etibarlılara etibarsızlara icazə ver” qaydasının üstündə yerləşməlidir:
"Mənbə" sekmesinde tapşırığım üçün iki seçim var:
-
“Güvənli” zonanın seçilməsi
-
“Güvənli” istisna olmaqla, bütün zonaların seçilməsi və “İnvert” qutusunun yoxlanılması
"Təyinat" nişanı "Mənbə" nişanı ilə eyni şəkildə konfiqurasiya edilmişdir.
Sonra, "Xidmət" sekmesine keçirik, çünki UserGate-də ICMP trafiki üçün əvvəlcədən təyin edilmiş bir xidmət var, sonra "Əlavə et" düyməsini klikləməklə, təklif olunan siyahıdan "Hər hansı ICMP" adlı bir xidmət seçirik:
Bəlkə də UserGate yaradıcılarının nəzərdə tutduğu budur, amma mən bir neçə tamamilə eyni qayda yarada bildim. Siyahıdan yalnız birinci qayda icra edilsə də, məncə, bir neçə cihaz administratoru işləyərkən eyni adlı müxtəlif funksionallıq qaydaları yaratmaq imkanı çaşqınlıq yarada bilər.
NAT və marşrutlaşdırma
NAT qaydaları yaradarkən, biz firewall üçün olduğu kimi bir neçə oxşar tab görürük. "Ümumi" sekmesinde "Növ" sahəsi göründü, bu qaydanın nəyə cavabdeh olacağını seçməyə imkan verir:
-
NAT - Şəbəkə Ünvanının Tərcüməsi.
-
DNAT - Trafiki göstərilən IP ünvanına yönləndirir.
-
Port yönləndirmə - Trafiki müəyyən edilmiş IP ünvanına yönləndirir, lakin dərc edilmiş xidmətin port nömrəsini dəyişməyə imkan verir
-
Siyasət əsaslı marşrutlaşdırma - xidmətlər, MAC ünvanları və ya serverlər (IP ünvanları) kimi qabaqcıl məlumat əsasında IP paketlərinin yönləndirilməsinə imkan verir.
-
Şəbəkə xəritəsi - bir şəbəkənin mənbə və ya təyinat IP ünvanlarını digər şəbəkə ilə əvəz etməyə imkan verir.
Müvafiq qayda növünü seçdikdən sonra onun üçün parametrlər mövcud olacaq.
SNAT IP (xarici ünvan) sahəsində mənbə ünvanının dəyişdiriləcəyi IP ünvanını açıq şəkildə göstəririk. Təyinat zonasının interfeyslərinə təyin edilmiş bir neçə IP ünvanı varsa, bu sahə tələb olunur. Bu sahəni boş qoysanız, sistem təyinat zonası interfeyslərinə təyin edilmiş mövcud IP ünvanları siyahısından təsadüfi bir ünvandan istifadə edəcək. UserGate, firewall performansını yaxşılaşdırmaq üçün SNAT IP-ni göstərməyi tövsiyə edir.
Nümunə olaraq, mən “port yönləndirmə” qaydasından istifadə edərək “DMZ” zonasında yerləşən Windows serverində SSH xidmətini dərc edəcəyəm. Bunu etmək üçün "Əlavə et" düyməsini basın və "Ümumi" sekmesini doldurun, "Windows-a SSH" qaydasının adını və "Port yönləndirmə" növünü göstərin:
"Mənbə" sekmesinde "Etibarsız" zonanı seçin və "Port Yönləndirmə" sekmesine keçin. Burada "TCP" protokolunu göstərməliyik (dörd seçim mövcuddur - TCP, UDP, SMTP, SMTPS). Orijinal təyinat portu 9922-dir - istifadəçilərin sorğu göndərdiyi port nömrəsi (portlardan istifadə edilə bilməz: 2200, 8001, 4369, 9000-9100). Yeni təyinat portu (22) - istifadəçinin daxili dərc edilmiş serverə sorğularının yönləndiriləcəyi port nömrəsi.
"DNAT" sekmesinde, İnternetdə dərc olunan yerli şəbəkədəki kompüterin IP ünvanını təyin edin (192.168.3.2). Və isteğe bağlı olaraq SNAT-ı aktivləşdirə bilərsiniz, sonra UserGate paketlərdəki mənbə ünvanını xarici şəbəkədən onun IP ünvanına dəyişəcək.
Bütün parametrlərdən sonra qoşulma zamanı xarici UserGate ünvanından istifadə edərək SSH vasitəsilə 192.168.3.2 IP ünvanı olan serverə “Etibarsız” zonadan giriş əldə etməyə imkan verən qayda alırsınız.
Ötürmə qabiliyyəti
Bu bölmə bant genişliyini idarə etmək üçün qaydaları müəyyən edir. Onlar müəyyən istifadəçilərin, hostların, xidmətlərin, proqramların kanalını məhdudlaşdırmaq üçün istifadə edilə bilər.
Qayda yaratarkən, nişanlardakı şərtlər məhdudiyyətlərin tətbiq olunduğu trafiki müəyyənləşdirir. Siz təklif olunanlardan bant genişliyini seçə və ya özünüz təyin edə bilərsiniz. Bant genişliyi yaratarkən, siz DSCP trafik prioritet etiketini təyin edə bilərsiniz. DSCP etiketlərinin nə vaxt tətbiq edildiyinə bir nümunə: bir qaydada bu qaydanın tətbiq olunduğu ssenarini göstərməklə, bu qayda avtomatik olaraq bu etiketləri dəyişə bilər. Skriptin necə işlədiyinə dair başqa bir nümunə: qayda istifadəçi üçün yalnız torrent aşkar edildikdə və ya trafikin miqdarı müəyyən edilmiş limiti keçdikdə işləyəcək. Qalan tabları qaydanın tətbiq edilməli olduğu trafik növünə əsasən digər siyasətlərdə olduğu kimi doldururuq.
Nəticə
Bu yazıda “Firewall”, “NAT və Routing” və “Bandwidth” bölmələrində qaydaların yaradılmasına baxdım. Və məqalənin ən əvvəlində UserGate siyasətlərinin yaradılması qaydalarını, həmçinin qayda yaratarkən şərtlərin işləmə prinsipini təsvir etdim.
Yeniliklərdən xəbərdar olmaq üçün kanallarımızı izləyin (, , , )!
Mənbə: www.habr.com