Приветствам читателите на третата статия от поредицата статии на UserGate Getting Started, която говори за решението NGFW от компанията . В последната статия беше описан процесът на инсталиране на защитна стена и беше направена първоначалната й конфигурация. Засега ще разгледаме по-подробно създаването на правила в раздели като защитна стена, NAT и маршрутизиране и честотна лента.
Идеологията на правилата на UserGate, така че правилата се изпълняват отгоре надолу, до първото, което работи. Въз основа на горното следва, че по-специфичните правила трябва да са по-високи от по-общите правила. Но трябва да се отбележи, тъй като правилата се проверяват по ред, по-добре е по отношение на производителността да се създадат общи правила. При създаване на всяко правило, условията се прилагат според логиката „И“. Ако е необходимо да се използва логиката „ИЛИ“, тогава това се постига чрез създаване на няколко правила. Така че описаното в тази статия се отнася и за други политики на UserGate.
Защитна стена
След инсталирането на UserGate вече има проста политика в секцията „Защитна стена“. Първите две правила забраняват трафика за ботнет мрежи. Следват примери за правила за достъп от различни зони. Последното правило винаги се нарича „Блокирай всички“ и е маркирано със символ за заключване (това означава, че правилото не може да бъде изтрито, модифицирано, преместено, дезактивирано, то може да бъде активирано само за опцията за регистриране). По този начин, поради това правило, целият изрично непозволен трафик ще бъде блокиран от последното правило. Ако искате да разрешите целия трафик през UserGate (въпреки че това силно не се препоръчва), винаги можете да създадете предпоследното правило „Разрешаване на всички“.
Когато редактирате или създавате правило за защитна стена, първото Общи раздел, трябва да направите следното:
-
Квадратчето за отметка „Включено“ активира или деактивира правилото.
-
въведете името на правилото.
-
задайте описанието на правилото.
-
изберете от две действия:
-
Отказ - блокира трафика (при задаване на това условие е възможно да изпратите ICMP хост недостъпен, просто трябва да поставите съответната отметка).
-
Allow - позволява трафик.
-
-
Елемент сценарий - позволява ви да изберете сценарий, което е допълнително условие за задействане на правилото. Ето как UserGate прилага концепцията за SOAR (Оркестрация, автоматизация и реакция на сигурността).
-
Регистриране — запишете информация за трафика в регистрационния файл, когато правилото се задейства. Възможни опции:
-
Регистрирайте началото на сесията. В този случай в дневника на трафика ще бъде записана само информация за началото на сесията (първият пакет). Това е препоръчителната опция за регистриране.
-
Регистрирайте всеки пакет. В този случай информацията за всеки предаван мрежов пакет ще бъде записана. За този режим се препоръчва да активирате лимита за регистриране, за да предотвратите голямо натоварване на устройството.
-
-
Прилагане на правило към:
-
Всички пакети
-
към фрагментирани пакети
-
към нефрагментирани пакети
-
-
Когато създавате ново правило, можете да изберете място в правилото.
До Раздел Източник. Тук посочваме източника на трафик, това може да е зоната, от която идва трафикът, или можете да посочите списък или конкретен ip-адрес (Geoip). В почти всички правила, които могат да бъдат зададени в устройството, обект може да бъде създаден от правило, например, без да отивате в секцията „Зони“, можете да използвате бутона „Създаване и добавяне на нов обект“, за да създадете зоната Имаме нужда от. Квадратчето за отметка „Инвертиране“ също се среща често, то обръща действието в условието на правилото, което е подобно на отрицанието на логическото действие. Раздел Дестинация подобно на раздела източник, но вместо източника на трафик задаваме местоназначението на трафика. Раздел Потребители - на това място можете да добавите списък с потребители или групи, за които важи това правило. Раздел Сервиз - изберете вида на услугата от вече зададената или можете да зададете своя собствена. Раздел Приложение - тук се избират конкретни приложения или групи от приложения. И Раздел Час посочете времето, когато това правило е активно.
От последния урок имаме правило за достъп до интернет от зоната „Доверие“, сега ще покажа като пример как да създадете правило за отказ за ICMP трафик от зоната „Доверие“ към зоната „Недоверен“.
Първо създайте правило, като щракнете върху бутона „Добавяне“. В прозореца, който се отваря, в общия раздел, попълнете името (Ограничаване на ICMP от надеждни до ненадеждни), поставете отметка в квадратчето „Включено“, изберете действието за деактивиране и най-важното изберете правилното местоположение за това правило. Според моята политика това правило трябва да се постави над правилото „Разрешаване на надеждни към ненадеждни“:
В раздела „Източник“ за моята задача има две опции:
-
Като изберете зоната „Доверена“.
-
Като изберете всички зони с изключение на „Доверени“ и поставите отметка в квадратчето „Инвертиране“.
Разделът Дестинация е конфигуриран подобно на раздела Източник.
След това отидете в раздела „Услуга“, тъй като UserGate има предварително дефинирана услуга за ICMP трафик, след това, като щракнете върху бутона „Добавяне“, избираме услуга с името „Всеки ICMP“ от предложения списък:
Може би това беше намерението на създателите на UserGate, но успях да създам няколко напълно идентични правила. Въпреки че ще бъде изпълнено само първото правило от списъка, мисля, че възможността за създаване на правила с едно и също име, които са различни по функционалност, може да предизвика объркване, когато работят няколко администратора на устройства.
NAT и маршрутизиране
Когато създаваме NAT правила, виждаме няколко подобни раздела, както при защитната стена. Полето „Тип“ се появи в раздела „Общи“, което ви позволява да изберете за какво ще отговаря това правило:
-
NAT - Превод на мрежови адреси.
-
DNAT - Пренасочва трафика към посочения IP адрес.
-
Пренасочване на порт – пренасочва трафика към посочения IP адрес, но ви позволява да промените номера на порта на публикуваната услуга
-
Базирано на правила маршрутизиране - Позволява ви да маршрутизирате IP пакети въз основа на разширена информация, като услуги, MAC адреси или сървъри (IP адреси).
-
Мрежово картографиране - Позволява ви да замените IP адресите на източника или местоназначението на една мрежа с друга мрежа.
След като изберете подходящия тип правило, настройките за него ще бъдат достъпни.
В полето SNAT IP (външен адрес) ние изрично посочваме IP адреса, на който ще бъде заменен адресът на източника. Това поле е задължително, ако има множество IP адреси, присвоени на интерфейси в целевата зона. Ако оставите това поле празно, системата ще използва произволен адрес от списъка с налични IP адреси, присвоени на интерфейсите на целевата зона. UserGate препоръчва да посочите SNAT IP за подобряване на производителността на защитната стена.
Например, ще публикувам SSH услугата на Windows сървър, намиращ се в зоната „DMZ“, като използвам правилото „port-forwarding“. За да направите това, щракнете върху бутона „Добавяне“ и попълнете раздела „Общи“, посочете името на правилото „SSH към Windows“ и типа „Пренасочване на порт“:
В раздела „Източник“ изберете зоната „Недоверен“ и отидете на раздела „Пренасочване на портове“. Тук трябва да посочим протокола “TCP” (възможни са четири опции - TCP, UDP, SMTP, SMTPS). Оригинален дестинационен порт 9922 — номер на порт, към който потребителите изпращат заявки (портове: 2200, 8001, 4369, 9000-9100 не могат да се използват). Новият порт на местоназначение (22) е номерът на порта, към който ще се препращат потребителски заявки към вътрешния публикуван сървър.
В раздела „DNAT“ задайте ip-адреса на компютъра в локалната мрежа, който е публикуван в Интернет (192.168.3.2). И по желание можете да активирате SNAT, тогава UserGate ще промени адреса на източника в пакети от външната мрежа на свой собствен IP адрес.
След всички настройки се получава правило, което позволява достъп от зоната „Недоверен“ до сървъра с ip-адрес 192.168.3.2 чрез SSH протокол, като се използва външният адрес на UserGate при свързване.
капацитет
Този раздел определя правилата за контрол на честотната лента. Те могат да се използват за ограничаване на канала на определени потребители, хостове, услуги, приложения.
Когато създавате правило, условията в разделите определят трафика, към който се прилагат ограниченията. Ширината на честотната лента може да бъде избрана от предложените или да зададете своя собствена. Когато създавате честотна лента, можете да посочите етикет за приоритизиране на DSCP трафик. Пример за това, когато се прилагат DSCP етикети: като укажете в правило сценария, в който това правило се прилага, тогава това правило може автоматично да промени тези етикети. Друг пример за това как работи скриптът: правилото ще работи за потребителя само когато бъде открит торент или обемът на трафика надвишава зададения лимит. Останалите раздели се попълват по същия начин, както при другите правила, в зависимост от типа трафик, към който трябва да се приложи правилото.
Заключение
В тази статия разгледах създаването на правила в секциите Firewall, NAT и Routing и Bandwidth. И в самото начало на статията той описа правилата за създаване на политики на UserGate, както и принципа на условията при създаване на правило.
Очаквайте актуализации в нашите канали (, , , )!
Източник: www.habr.com