Вітаю чытачоў у трэцім артыкуле цыкла артыкулаў UserGate Getting Started, дзе расказваецца аб NGFW рашэнні ад кампаніі . У мінулым артыкуле быў апісаны працэс усталёўкі міжсеткавага экрана і была праведзена яго першапачатковая настройка. Цяпер жа мы больш падрабязна разгледзім стварэнне правіл у раздзелах, такіх як "Міжсеткавы экран", "NAT і маршрутызацыя" і "Прапускная здольнасць".
Ідэалогія працы правіл UserGate, такая што правілы выконваюцца зверху ўніз, да першага які спрацаваў. Зыходзячы з вышэйапісанага вынікае, што больш спецыфічныя правілы павінны быць вышэйшыя за агульныя правілы. Але варта заўважыць, бо правілы правяраюцца па парадку, то ў плане прадукцыйнасці лепш ствараць агульныя правілы. Умовы пры стварэнні любога правіла прымяняюцца згодна з логікай "І". Калі неабходна выкарыстоўваць логіку "АБО", то гэта дасягаецца шляхам стварэння некалькіх правіл. Так што апісанае ў дадзеным артыкуле дастасавальна і да іншых палітыкаў UserGate.
міжсеткавы экран
Пасля ўстаноўкі UserGate у раздзеле "Міжсеткавы экран" ужо ёсць простая палітыка. Першыя два правілы забараняюць трафік для бот-сетак. Далей ідуць прыклады правіл доступу з розных зон. Апошняе правіла заўсёды называецца "Блакіраваць усё" і пазначана сімвалам замка (ён азначае, што правіла нельга выдаліць, змяніць, перамясціць, адключыць, для яго можна толькі ўключыць опцыю часопісавання). Такім чынам з-за гэтага правіла ўвесь відавочна не дазволены трафік будзе блакавацца апошнім правілам. Калі трэба дазволіць увесь трафік праз UserGate (хоць гэта настойліва не рэкамендуецца), заўсёды можна стварыць перадапошняе правіла "Дазволіць усё".
Пры рэдагаванні ці стварэнні правілы для міжсеткавага экрана першая ўкладка "Агульныя", на ёй трэба выканаць наступныя дзеянні:
-
Чэкбоксам "Вкл" уключыць або выключыць правіла.
-
увесці назву правілы.
-
задаць апісанне правіла.
-
абраць з двух дзеянняў:
-
Забараніць - блакуе трафік (пры заданні дадзенай умовы ёсць магчымасць пасылаць ICMP host unreachable, трэба ўсяго толькі ўсталяваць адпаведны чекбокс).
-
Дазволіць - дазваляе трафік.
-
-
Пункт сцэнар - дазваляе абраць сцэнар, які з'яўляецца дадатковай умовай для спрацоўвання правіла. Так кампанія UserGate рэалізуе канцэпцыю SOAR (Security Orchestration, Automation and Response).
-
Журналіраванне - запісаць у часопіс інфармацыю аб трафіку пры спрацоўванні правіла. Магчымыя варыянты:
-
Журналіраваць пачатак сесіі. У гэтым выпадку ў часопіс трафіку будзе запісвацца толькі інфармацыя аб пачатку сесіі (першы пакет). Гэта рэкамендуемы варыянт часопісавання.
-
Журналіраваць кожны пакет. У гэтым выпадку будзе запісвацца інфармацыя аб кожным перадаваным сеткавым пакеце. Для гэтага рэжыму рэкамендуецца ўключаць ліміт часопісавання для прадухілення высокай загрузкі прылады.
-
-
Ужыць правіла да:
-
Усім пакетам
-
да фрагментаваным пакетам
-
да нефрагментаваных пакетаў
-
-
Пры стварэнні новага правіла можна абраць месца ў палітыцы.
Наступны укладка "Крыніца". Тут мы паказваем крыніцу трафіку гэта можа быць зона, з якой паступае трафік, альбо можна пазначыць спіс або канкрэтны ip-адрас (Geoip). Практычна ва ўсіх правілах, якія можна задаць у прыладзе аб'ект можна стварыць з правіла, напрыклад не пераходзячы ў раздзел "Зоны" можна кнопкай "Стварыць і дадаць новы аб'ект" стварыць патрэбную нам зону. Таксама часта сустракаецца чэкбокс "Інвертаваць", ён мяняе ва ўмове правіла дзеянне на супрацьлеглае, што аналагічна лагічнаму дзеянню адмаўленне. Укладка «Прызначэнне» падобная на ўкладку крыніца, толькі замест крыніцы трафіку задаём прызначэнне трафіку. Укладка «Карыстальнікі» - У гэтым месцы можна дадаць спіс карыстальнікаў або груп, для якіх прымяняецца дадзенае правіла. Укладка «Сэрвіс» — выбіраемы тып сэрвісу з ужо наканаванага ці можна задаць свой уласны. Укладка «Дадатак» - Тут выбіраюцца канкрэтныя прыкладанні, альбо групы прыкладанняў. І ўкладка «Час» паказваем час, калі дадзенае правіла актыўна.
З мінулага ўрока ў нас ёсць правіла для выхаду ў інтэрнэт з зоны "Trust", зараз я пакажу ў якасці прыкладу як стварыць забараняльнае правіла для ICMP трафіку з зоны "Trust" у зону "Untrusted".
Для пачатку ствараем правіла націснуўшы на кнопку "Дадаць". У якое адкрылася акне на ўкладцы агульныя запаўняем назву (Забарона ICMP з trusted у untrusted), усталёўваны галачку ў чекбокс "Вкл", выбіраемы дзеянне забараніць і самае галоўнае правільна выбіраемы месца размяшчэння дадзенага правіла. У адпаведнасці з маёй палітыкай, гэтае правіла павінна размяшчацца вышэй правілы “Allow trusted to untrusted”:
На ўкладцы "Крыніца" для маёй задачы магчыма два варыянты:
-
Выбраўшы зону "Trusted"
-
Выбраўшы ўсе зоны акрамя "Trusted" і паставіўшы галачку ў чэкбоксе "Інвертаваць"
Укладка "Прызначэнне" наладжваецца аналагічна ўкладцы "Крыніца".
Далей пераходзім на ўкладку "Сэрвіс", бо ў UserGate ёсць наканаваны сэрвіс для ICMP трафіку, то мы, націскаючы кнопку "Дадаць" выбіраем з прапанаванага спісу сэрвіс з назвай "Any ICMP":
Магчыма, так і задумвалася стваральнікамі UserGate, але ў мяне атрымлівалася ствараць некалькі цалкам аднолькавых правіл. Хоць і будзе выконвацца толькі першае правіла са спісу, але магчымасць стварыць розныя па функцыянале правілы з аднолькавай назвай думаю могуць выклікаць блытаніну пры працы некалькіх адміністратараў прылады.
NAT і маршрутызацыя
Пры стварэнні правіл NAT мы бачым некалькі падобных укладак, як і для міжсеткавага экрана. На ўкладцы "Агульныя" з'явілася поле "Тып", яно дазваляе абраць за што будзе адказваць дадзенае правіла:
-
NAT - Пераўтварэнне сеткавых адрасоў.
-
DNAT - Перанакіроўвае трафік на ўказаны IP-адрас.
-
Порт-форвардынг — Перанакіроўвае трафік на ўказаны IP-адрас, але дазваляе змяняць нумар порта публікуемага сэрвісу
-
Policy-based routing - Дазваляе маршрутызаваць IP-пакеты на аснове пашыранай інфармацыі, напрыклад, сэрвісаў, MAC-адрасоў або сервераў (IP-адрасоў).
-
Network mapping - Дазваляе зрабіць замену IP-адрасоў крыніцы або прызначэння адной сеткі на іншую сетку.
Пасля выбару адпаведнага тыпу правіла будуць даступныя наладкі да яго.
У поле SNAT IP (вонкавы адрас) мы відавочна паказваем IP-адрас, на які будзе заменены адрас крыніцы. Дадзенае поле трэба пры наяўнасці некалькіх IP-адрасоў, прызначаных інтэрфейсам зоны прызначэння. Калі пакінуць гэтае поле пустым, то сістэма будзе выкарыстоўваць адвольны адрас са спісу даступных IP-адрасоў, прызначаных інтэрфейсам зоны прызначэння. UserGate рэкамендуе ўказваць SNAT IP для павышэння прадукцыйнасці працы міжсеткавага экрана.
Для прыкладу апублікую SSH сэрвіс сервера Windows, які знаходзіцца ў зоне "DMZ" пры дапамозе правіла "порт-форвардынг". Для гэтага націскаем кнопку "Дадаць" і запаўняем укладку "Агульныя", паказваем назву правіла "SSH to Windows" і тып "Порт-форвардынг":
На ўкладцы "Крыніца" выбіраемы зону "Untrusted" і пераходзім да ўкладкі "Порт-форвардынг". Тут мы павінны пазначыць пратакол “TCP” (даступны чатыры варыянты – TCP, UDP, SMTP, SMTPS). Арыгінальны порт прызначэння 9922 - нумар порта, на які карыстальнікі шлюць запыты (нельга выкарыстоўваць парты: 2200, 8001, 4369, 9000-9100). Новы порт прызначэння (22) — нумар порта, на які будуць перасылацца запыты карыстальнікаў на ўнутраны публікуемы сервер.
На ўкладцы "DNAT" задаём ip-адрас кампутара ў лакальнай сетцы, які публікуецца ў інтэрнэце (192.168.3.2). І апцыянальна можна ўключыць SNAT, тады UserGate будзе змяняць адрас крыніцы ў пакетах з вонкавай сеткі на свой IP-адрас.
Пасля ўсіх налад атрымліваецца правіла, якое дазваляе атрымаць доступ з зоны "Untrusted" да сервера з ip-адрасам 192.168.3.2 па пратаколе SSH, выкарыстаючы пры падлучэнні вонкавы адрас UserGate.
Прапускная здольнасць
У дадзеным раздзеле задаюцца правілы для кіравання прапускной здольнасцю. Яны могуць выкарыстоўвацца для абмежавання канала вызначаных карыстачоў, хастоў, сэрвісаў, прыкладанняў.
Пры стварэнні правілы ўмовамі на ўкладках вызначаем трафік, да якога прымяняюцца абмежаванні. Паласу прапускання можна абраць з прапанаваных, альбо задаць сваю. Пры стварэнні паласы прапускання можна пазначыць пазнаку прыярытэтызацыі трафіку DSCP. Прыклад таго, калі ўжываецца пазнакі DSCP: паказаўшы ў правіле сцэнар, пры якім ужываецца дадзенае правіла, тое дадзенае правіла можа аўтаматычна змяніць гэтыя пазнакі. Яшчэ адзін прыклад працы сцэнара: правіла спрацуе для карыстача толькі калі выяўлены торэнт ці аб'ём трафіку перавысіць зададзены мяжа. Астатнія ўкладкі запаўняем, гэтак жа, як і ў іншых палітыках, зыходзячы з тыпу трафіку, да якога павінна быць ужытае правіла.
Заключэнне
У дадзеным артыкуле я разгледзеў стварэнне правіл у раздзелах "Міжсеткавы экран", "NAT і маршрутызацыя" і "Прапускная здольнасць". І ў самым пачатку артыкула апісаў правілы стварэння палітык UserGate, а таксама прынцып працы ўмоў пры стварэнні правілы.
Сачыце за абнаўленнямі ў нашых каналах (, , , )!
Крыніца: habr.com