ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > 3. UserGate Pagsugod. Mga Patakaran sa Network

3. UserGate Pagsugod. Mga Patakaran sa Network

3. UserGate Pagsugod. Mga Patakaran sa Network

Malipayon nga mga magbabasa sa ikatulo nga artikulo sa UserGate Pagsugod nga serye sa mga artikulo, nga naghisgot bahin sa solusyon sa NGFW gikan sa kompanya UserGate. Gihulagway sa miaging artikulo ang proseso sa pag-instalar sa firewall ug gihimo ang inisyal nga pag-configure niini. Karon atong tan-awon pag-ayo ang paghimo sa mga lagda sa mga seksyon sama sa "Firewall", "NAT ug Routing" ug "Bandwidth".

Ang ideolohiya sa mga lagda sa UserGate mao nga ang mga lagda gipatuman gikan sa taas hangtod sa ubos, hangtod sa una nga nagtrabaho. Base sa ibabaw, kini nagsunod nga ang mas espesipikong mga lagda kinahanglan nga mas taas kay sa mas kinatibuk-ang mga lagda. Apan kinahanglan nga matikdan nga tungod kay ang mga lagda gisusi sa han-ay, sa mga termino sa pasundayag mas maayo ang paghimo sa kinatibuk-ang mga lagda. Ang mga kondisyon sa paghimo og bisan unsang lagda gipadapat sumala sa "UG" nga lohika. Kung gikinahanglan ang paggamit sa "OR" nga lohika, kini makab-ot pinaagi sa paghimo og daghang mga lagda. Mao nga kung unsa ang gihulagway sa kini nga artikulo magamit sa ubang mga palisiya sa UserGate.

Firewall

Human ma-install ang UserGate, aduna nay usa ka yano nga palisiya sa seksyon nga "Firewall". Ang unang duha ka mga lagda naglimud sa trapiko sa mga botnet. Ang mosunud mao ang mga pananglitan sa mga lagda sa pag-access gikan sa lainlaing mga zone. Ang katapusan nga lagda kanunay nga gitawag nga "I-block ang tanan" ug gimarkahan sa usa ka simbolo sa padlock (nagpasabot nga ang lagda dili mapapas, mabag-o, mabalhin, ma-disable, mahimo ra nimo ma-enable ang opsyon sa pag-log alang niini). Busa, tungod niini nga lagda, ang tanang trapiko nga dili tin-aw nga gitugot mababagan sa kataposang lagda. Kung gusto nimo tugutan ang tanan nga trapiko pinaagi sa UserGate (bisan kung kini kusgan nga dili girekomenda), mahimo nimo kanunay paghimo ang penultimate nga "Allow all" nga lagda.

3. UserGate Pagsugod. Mga Patakaran sa Network

Kung mag-edit o maghimo usa ka lagda sa firewall, ang una Kinatibuk-ang tab, kinahanglan nimong buhaton ang mosunod nga mga lakang niini: 

  • Gamita ang checkbox nga "On" aron ma-enable o ma-disable ang lagda.

  • isulod ang ngalan sa lagda.

  • pagbutang ug deskripsyon sa lagda.

  • pagpili gikan sa duha ka aksyon:

    • Deny - gibabagan ang trapiko (kung nabutang kini nga kondisyon, posible nga ipadala ang host sa ICMP nga dili maabot, kinahanglan nimo nga ibutang ang angay nga checkbox).

    • Allowβ€”nagtugot sa trapiko.

  • Scenario item - nagtugot kanimo sa pagpili sa usa ka senaryo, nga usa ka dugang nga kondisyon alang sa lagda nga ma-trigger. Ingon niini kung giunsa pagpatuman sa UserGate ang SOAR (Security Orchestration, Automation and Response) nga konsepto.

  • Pag-log-log sa impormasyon mahitungod sa trapiko sa diha nga ang usa ka lagda ma-trigger. Posible nga mga kapilian:

    • Log sa pagsugod sa sesyon. Sa kini nga kaso, ang kasayuran lamang bahin sa pagsugod sa sesyon (ang una nga pakete) ang irekord sa log sa trapiko. Kini ang girekomenda nga kapilian sa pag-log.

    • Pag-log sa matag pakete. Sa kini nga kaso, ang kasayuran bahin sa matag gipadala nga pakete sa network irekord. Alang sa kini nga mode, girekomenda nga mahimo ang limitasyon sa pag-log aron mapugngan ang taas nga karga sa aparato.

  • Ibutang ang lagda sa:

    • Tanan nga pakete

    • sa tipik nga mga pakete

    • ngadto sa unfragmented packets

  • Sa paghimo ug bag-ong lagda, makapili ka ug lokasyon sa polisiya.

Ang sunod Tab nga "Source".. Dinhi among gipakita ang gigikanan sa trapiko; mahimo kini nga lugar diin gikan ang trapiko, o mahimo nimong itakda ang usa ka lista o usa ka piho nga IP address (Geoip). Sa hapit tanan nga mga lagda nga mahimong itakda sa usa ka aparato, ang usa ka butang mahimo’g gikan sa usa ka lagda, pananglitan, nga wala moadto sa seksyon nga "Mga Zone", mahimo nimong gamiton ang buton nga "Paghimo ug pagdugang usa ka bag-ong butang" aron mahimo ang sona. atong gikinahanglan. Ang checkbox nga "Invert" kanunay usab nga masugatan; kini nagbag-o sa aksyon sa kondisyon sa lagda ngadto sa kaatbang, nga susama sa lohikal nga aksyon sa negation. Tab nga Destinasyon susama sa tab nga gigikanan, imbes nga gigikanan sa trapiko ang among gitakda ang destinasyon sa trapiko. Tab sa mga tiggamit β€” sa niini nga dapit mahimo nimong idugang ang usa ka lista sa mga tiggamit o mga grupo diin kini nga lagda magamit. Tab sa serbisyo β€” pilia ang tipo sa serbisyo gikan sa natakda nang daan o mahimo nimong itakda ang imong kaugalingon. Tab sa Aplikasyon β€” dinhi gipili ang piho nga mga aplikasyon o grupo sa mga aplikasyon. UG Tab sa oras ipakita ang oras kung kanus-a kini nga lagda aktibo. 

Sukad sa katapusan nga leksyon, kita adunay usa ka lagda alang sa pag-access sa Internet gikan sa "Pagsalig" zone, karon akong ipakita, ingon nga usa ka panig-ingnan, sa unsa nga paagi sa paghimo sa usa ka deny lagda alang sa ICMP trapiko gikan sa "Pagsalig" zone ngadto sa "Untrusted" zone. .

Una, paghimo og usa ka lagda pinaagi sa pag-klik sa "Add" button. Sa bintana nga nagbukas, sa kinatibuk-ang tab, isulat ang ngalan (I-ban ang ICMP gikan sa kasaligan hangtod sa dili kasaligan), susiha ang checkbox nga "Sa", pilia ang aksyon nga babagan ug, labing hinungdanon, pilia ang husto nga lokasyon alang niini nga lagda. Sumala sa akong palisiya, kini nga lagda kinahanglan nga nahimutang sa ibabaw sa "Allow trusted to untrusted" rule:

3. UserGate Pagsugod. Mga Patakaran sa Network

Sa tab nga "Source", adunay duha ka kapilian alang sa akong buluhaton:

  • Pagpili sa "Gisaligan" nga sona

  • Pagpili sa tanan nga mga zone gawas sa "Gisaligan" ug susihon ang checkbox nga "Invert".

3. UserGate Pagsugod. Mga Patakaran sa Network3. UserGate Pagsugod. Mga Patakaran sa Network

Ang tab nga "Destinasyon" gi-configure parehas sa tab nga "Source".

Sunod, moadto kami sa tab nga "Serbisyo", tungod kay ang UserGate adunay gitakda nga serbisyo alang sa trapiko sa ICMP, dayon pinaagi sa pag-klik sa "Add" nga buton, gipili namon gikan sa gisugyot nga lista ang usa ka serbisyo nga gitawag nga "Bisan unsang ICMP":

3. UserGate Pagsugod. Mga Patakaran sa Network

Tingali mao kini ang gituyo sa mga tiglalang sa UserGate, apan nakahimo ako sa paghimo og daghang hingpit nga managsama nga mga lagda. Bisan kung ang una nga lagda lamang gikan sa lista ang ipatuman, sa akong hunahuna ang abilidad sa paghimo og mga lagda nga lainlain ang pagpaandar nga adunay parehas nga ngalan mahimong hinungdan sa kalibog kung daghang mga administrador sa aparato ang nagtrabaho.

NAT ug routing

Sa paghimo sa mga lagda sa NAT, nakita namon ang daghang parehas nga mga tab sama sa alang sa firewall. Sa tab nga "General", ang field nga "Type" nagpakita; kini nagtugot kanimo sa pagpili kung unsa ang responsable niini nga lagda:

  • NAT - Paghubad sa Address sa Network.

  • DNAT - Gi-redirect ang trapiko sa piho nga IP address.

  • Pagpasa sa pantalan - Gi-redirect ang trapiko sa usa ka piho nga IP address, apan gitugotan ka nga usbon ang numero sa pantalan sa gipatik nga serbisyo

  • Pagruta nga gibase sa polisiya - Gitugotan ang mga IP packet nga madala base sa advanced nga impormasyon, sama sa mga serbisyo, MAC address, o server (IP addresses).

  • Network mapping - Nagtugot kanimo sa pag-ilis sa tinubdan o destinasyon nga mga IP address sa usa ka network sa laing network.

Human mapili ang angay nga tipo sa lagda, ang mga setting alang niini magamit.

Sa field sa SNAT IP (external address), klaro namong gipakita ang IP address diin ilisan ang source address. Kini nga field gikinahanglan kung adunay daghang mga IP address nga gi-assign sa mga interface sa destinasyon nga sona. Kon imong biyaan nga walay sulod kining natad, ang sistema mogamit ug random nga adres gikan sa listahan sa anaa nga mga IP adres nga gi-assign sa mga interface sa destinasyon nga sona. Girekomenda sa UserGate ang pagtino sa SNAT IP aron mapaayo ang pasundayag sa firewall.

Isip pananglitan, mag-publish ko og SSH nga serbisyo sa Windows server nga nahimutang sa "DMZ" zone gamit ang "port forwarding" rule. Aron mahimo kini, i-klik ang "Add" button ug pun-a ang tab nga "General", ipiho ang ngalan sa lagda nga "SSH to Windows" ug ang tipo nga "Port forwarding":

3. UserGate Pagsugod. Mga Patakaran sa Network

Sa tab nga "Source", pilia ang "Untrusted" zone ug adto sa tab nga "Port Forwarding". Dinhi kinahanglan naton ipiho ang protocol nga "TCP" (upat ka kapilian ang magamit - TCP, UDP, SMTP, SMTPS). Ang orihinal nga destinasyon nga pantalan mao ang 9922 - ang numero sa pantalan diin ang mga tiggamit nagpadala mga hangyo (mga pantalan dili magamit: 2200, 8001, 4369, 9000-9100). Bag-ong destinasyon nga pantalan (22) - ang numero sa pantalan diin gihangyo sa user sa internal nga gipatik nga server ang ipasa.

3. UserGate Pagsugod. Mga Patakaran sa Network

Sa tab nga "DNAT", ibutang ang IP address sa kompyuter sa lokal nga network, nga gipatik sa Internet (192.168.3.2). Ug mahimo nimong ma-enable ang SNAT, unya ang UserGate mag-usab sa source address sa mga packet gikan sa external network ngadto sa IP address niini.

3. UserGate Pagsugod. Mga Patakaran sa Network

Pagkahuman sa tanan nga mga setting, nakakuha ka usa ka lagda nga nagtugot kanimo nga maka-access gikan sa "Untrusted" zone sa usa ka server nga adunay IP address 192.168.3.2 pinaagi sa SSH, gamit ang eksternal nga adres sa UserGate kung magkonektar.

3. UserGate Pagsugod. Mga Patakaran sa Network

Bandwidth

Kini nga seksyon nagtino sa mga lagda alang sa pagdumala sa bandwidth. Mahimo silang magamit aron limitahan ang channel sa pipila nga mga tiggamit, host, serbisyo, aplikasyon.

3. UserGate Pagsugod. Mga Patakaran sa Network

Kung maghimo usa ka lagda, ang mga kondisyon sa mga tab nagtino sa trapiko kung diin magamit ang mga pagdili. Mahimo nimong pilion ang bandwidth gikan sa mga gitanyag, o itakda ang imong kaugalingon. Sa paghimo og bandwidth, mahimo nimong itakda ang usa ka label sa prioritization sa trapiko sa DSCP. Usa ka pananglitan kung kanus-a gipadapat ang mga label sa DSCP: pinaagi sa pagpiho sa usa ka lagda ang senaryo kung diin kini nga lagda gipadapat, unya kini nga lagda mahimo’g awtomatiko nga usbon kini nga mga label. Laing pananglitan kung giunsa ang paggana sa script: ang lagda magamit lamang sa tiggamit kung adunay usa ka sapa nga nakit-an o ang gidaghanon sa trapiko milapas sa usa ka piho nga limitasyon. Among pun-on ang nahibiling mga tab sa samang paagi sama sa ubang mga polisiya, base sa matang sa trapiko diin ang lagda kinahanglang ipadapat.

3. UserGate Pagsugod. Mga Patakaran sa Network

konklusyon

Niini nga artikulo, akong gitan-aw ang paghimo og mga lagda sa "Firewall", "NAT ug Routing" ug "Bandwidth" nga mga seksyon. Ug sa sinugdanan sa artikulo, akong gihulagway ang mga lagda sa paghimo sa mga palisiya sa UserGate, ingon man ang prinsipyo sa operasyon sa mga kondisyon sa paghimo og usa ka lagda. 

Pagbantay alang sa mga update sa among mga channel (telegramaFacebookVKTS Solution Blog)!

Source: www.habr.com

Idugang sa usa ka comment