3. UserGate Početak rada. Mrežne politike

Pozdravljam čitaoce u trećem članku u seriji članaka UserGate Getting Started, koji govori o NGFW rješenju kompanije UserGate. U prošlom članku je opisan proces instaliranja firewall-a i napravljena njegova početna konfiguracija. Za sada ćemo detaljnije pogledati kreiranje pravila u odjeljcima kao što su Firewall, NAT i Routing i Bandwidth.

Ideologija UserGate pravila, takva da se pravila izvršavaju od vrha do dna, do prvog koji radi. Na osnovu gore navedenog, proizilazi da bi specifičnija pravila trebala biti viša od opštijih pravila. Ali treba napomenuti, pošto se pravila provjeravaju po redu, bolje je u smislu performansi kreirati opća pravila. Prilikom kreiranja bilo kojeg pravila, uvjeti se primjenjuju prema logici „I“. Ako je potrebno koristiti logiku "ILI", onda se to postiže kreiranjem nekoliko pravila. Dakle, ono što je opisano u ovom članku se odnosi i na druge UserGate politike.

Firewall

Nakon instaliranja UserGate-a, već postoji jednostavna politika u odjeljku “Firewall”. Prva dva pravila zabranjuju promet za botnete. Slijede primjeri pravila pristupa iz različitih zona. Posljednje pravilo se uvijek zove “Blokiraj sve” i označeno je simbolom katanca (to znači da se pravilo ne može brisati, mijenjati, premještati, onemogućiti, može se omogućiti samo za opciju evidentiranja). Tako će zbog ovog pravila sav eksplicitno nedozvoljen saobraćaj biti blokiran posljednjim pravilom. Ako želite da dozvolite sav promet preko UserGate-a (iako se to ne preporučuje), uvijek možete kreirati pretposljednje pravilo “Dozvoli sve”.

Kada uređujete ili kreirate pravilo zaštitnog zida, prvo General tab, potrebno je da uradite sledeće: 

• Potvrdni okvir "Uključeno" omogućite ili onemogućite pravilo.

• unesite naziv pravila.

• postavite opis pravila.

• birajte između dvije akcije:

  • Deny - blokira promet (prilikom postavljanja ovog uvjeta moguće je poslati ICMP host nedostupan, samo trebate postaviti odgovarajući checkbox).

  • Dozvoli - dozvoljava saobraćaj.

• Stavka scenarija - omogućava vam da odaberete scenario, što je dodatni uslov za pokretanje pravila. Ovako UserGate implementira koncept SOAR-a (sigurnosna orkestracija, automatizacija i odgovor).

• Evidentiranje — zabilježite informacije o prometu kada se pokrene pravilo. Moguće opcije:

  • Zabilježite početak sesije. U tom slučaju, samo informacija o početku sesije (prvi paket) će biti upisana u prometni dnevnik. Ovo je preporučena opcija evidentiranja.

  • Zabilježite svaki paket. U tom slučaju će se snimiti informacije o svakom odaslanom mrežnom paketu. Za ovaj način rada, preporučuje se da omogućite ograničenje evidentiranja kako biste spriječili veliko opterećenje uređaja.

• Primijeni pravilo na:

  • Svi paketi

  • na fragmentirane pakete

  • na nefragmentirane pakete

• Kada kreirate novo pravilo, možete odabrati mjesto u politici.

Sledeće Kartica Izvor. Ovdje naznačavamo izvor prometa, to može biti zona iz koje promet dolazi, ili možete odrediti listu ili određenu ip-adresu (Geoip). U gotovo svim pravilima koja se mogu postaviti na uređaju, objekt se može kreirati iz pravila, na primjer, bez odlaska u odjeljak "Zone", možete koristiti gumb "Kreiraj i dodaj novi objekt" za kreiranje zone trebamo. Potvrdni okvir “Invert” se također često nalazi, on preokreće radnju u stanju pravila, što je slično negaciji logičke akcije. Odredište Tab slično kartici izvora, ali umjesto izvora prometa postavljamo odredište prometa. Kartica Korisnici - na ovom mjestu možete dodati listu korisnika ili grupa za koje se ovo pravilo primjenjuje. Servis kartica - odaberite vrstu usluge od već unaprijed definirane ili možete postaviti svoju. Kartica aplikacije - ovdje su odabrane određene aplikacije ili grupe aplikacija. I Vremenska kartica navedite vrijeme kada je ovo pravilo aktivno. 

Od prošle lekcije imamo pravilo za pristup Internetu iz zone “Trust”, sada ću kao primjer pokazati kako kreirati pravilo zabrane za ICMP promet iz “Trust” zone u zonu “Untrusted”.

Prvo kreirajte pravilo klikom na dugme „Dodaj“. U prozoru koji se otvori, na kartici općenito, unesite naziv (Ograniči ICMP od pouzdanog na nepouzdani), potvrdite okvir za potvrdu "Uključeno", odaberite radnju onemogućavanja i, što je najvažnije, ispravno odaberite lokaciju ovog pravila. Prema mojoj politici, ovo pravilo bi trebalo biti postavljeno iznad pravila "Dozvoli od povjerenja do nepouzdanog":

Na kartici "Izvor" za moj zadatak postoje dvije opcije:

• Odabirom zone “Pouzdano”.

• Odabirom svih zona osim “Pouzdanih” i štikliranjem u polju za potvrdu “Invert”.

Kartica Odredište je konfigurisana slično kartici Izvor.

Zatim idite na karticu „Usluga“, pošto UserGate ima unapred definisanu uslugu za ICMP saobraćaj, a zatim klikom na dugme „Dodaj“ sa predložene liste biramo uslugu pod nazivom „Bilo koji ICMP“:

Možda je to bila namjera kreatora UserGate-a, ali sam uspio napraviti nekoliko potpuno identičnih pravila. Iako će se izvršiti samo prvo pravilo sa liste, mislim da mogućnost kreiranja pravila sa istim imenom koja se razlikuju po funkcionalnosti može izazvati zabunu kada radi nekoliko administratora uređaja.

NAT i rutiranje

Prilikom kreiranja NAT pravila, vidimo nekoliko sličnih kartica, kao za firewall. Polje "Vrsta" pojavilo se na kartici "Općenito" i omogućava vam da odaberete za šta će ovo pravilo biti odgovorno:

• NAT - Prijevod mrežnih adresa.

• DNAT - Preusmjerava promet na navedenu IP adresu.

• Prosljeđivanje porta - Preusmjerava promet na navedenu IP adresu, ali vam omogućava promjenu broja porta objavljene usluge

• Rutiranje zasnovano na pravilima – Omogućava vam da usmjerite IP pakete na osnovu proširenih informacija, kao što su usluge, MAC adrese ili serveri (IP adrese).

• Mrežno mapiranje - Omogućava vam da zamijenite izvornu ili odredišnu IP adresu jedne mreže drugom mrežom.

Nakon odabira odgovarajućeg tipa pravila, postavke za njega će biti dostupne.

U polju SNAT IP (eksterna adresa) eksplicitno navodimo IP adresu na koju će izvorna adresa biti zamijenjena. Ovo polje je obavezno ako postoji više IP adresa dodijeljenih sučeljima u odredišnoj zoni. Ako ovo polje ostavite praznim, sistem će koristiti nasumične adrese sa liste dostupnih IP adresa dodeljenih interfejsima odredišne ​​zone. UserGate preporučuje specificiranje SNAT IP adrese za poboljšanje performansi zaštitnog zida.

Na primjer, objavit ću SSH uslugu Windows servera koji se nalazi u zoni “DMZ” koristeći pravilo “prosljeđivanje portova”. Da biste to učinili, kliknite na dugme "Dodaj" i popunite karticu "Općenito", navedite naziv pravila "SSH to Windows" i upišite "Prosljeđivanje porta":

Na kartici "Izvor" odaberite zonu "Nepouzdano" i idite na karticu "Prosljeđivanje porta". Ovdje moramo navesti protokol “TCP” (dostupne su četiri opcije - TCP, UDP, SMTP, SMTPS). Originalni odredišni port 9922 — broj porta na koji korisnici šalju zahtjeve (portovi: 2200, 8001, 4369, 9000-9100 se ne mogu koristiti). Novi odredišni port (22) je broj porta na koji će biti proslijeđeni korisnički zahtjevi prema internom objavljenom serveru.

Na kartici “DNAT” postavite ip-adresu računara na lokalnoj mreži koja je objavljena na Internetu (192.168.3.2). I opciono možete omogućiti SNAT, tada će UserGate promijeniti izvornu adresu u paketima sa vanjske mreže u svoju vlastitu IP adresu.

Nakon svih podešavanja dobija se pravilo koje dozvoljava pristup iz zone „Nepouzdano“ serveru sa ip-adresom 192.168.3.2 preko SSH protokola, koristeći pri povezivanju eksternu UserGate adresu.

Propusnost

Ovaj odjeljak definira pravila za kontrolu propusnosti. Mogu se koristiti za ograničavanje kanala određenih korisnika, hostova, servisa, aplikacija.

Prilikom kreiranja pravila, uvjeti na karticama određuju promet na koji se primjenjuju ograničenja. Širina pojasa se može odabrati između predloženih ili postaviti vlastiti. Kada kreirate propusni opseg, možete odrediti oznaku prioriteta DSCP prometa. Primjer kada se primjenjuju DSCP oznake: specificiranjem u pravilu scenarija u kojem se ovo pravilo primjenjuje, onda ovo pravilo može automatski promijeniti ove oznake. Još jedan primjer kako skripta funkcionira: pravilo će raditi za korisnika samo kada se otkrije torrent ili kada količina prometa premašuje navedeno ograničenje. Preostale kartice se popunjavaju na isti način kao i u drugim polisama, na osnovu vrste saobraćaja na koji se pravilo treba primeniti.

zaključak

U ovom članku pokrio sam kreiranje pravila u odjeljcima Firewall, NAT i Routing i Bandwidth. I na samom početku članka opisao je pravila za kreiranje UserGate politika, kao i princip uslova pri kreiranju pravila. 

Pratite novosti na našim kanalima (telegram, Facebook, VK, TS Solution Blog)!

izvor: www.habr.com