Accogliu i lettori à u terzu articulu in a serie d'articuli UserGate Getting Started, chì parla di a suluzione NGFW da a cumpagnia. . In l'ultimu articulu, u prucessu di stallà un firewall hè statu descrittu è a so cunfigurazione iniziale hè stata fatta. Per avà, avemu da piglià un ochju più vicinu à a creazione di regule in sezzioni cum'è Firewall, NAT è Routing, è Bandwidth.
L'ideulugia di e regule UserGate, cusì chì e regule sò eseguite da cima à fondu, finu à u primu chì travaglia. Basatu nantu à ciò chì sopra, seguita chì e regule più specifiche deve esse più altu ch'è e regule più generale. Ma deve esse nutatu, postu chì e regule sò verificate in ordine, hè megliu in termini di rendiment per creà regule generale. Quandu creanu ogni regula, e cundizioni sò appiicati secondu a logica "AND". Se hè necessariu di utilizà a logica "OR", allora questu hè ottenutu da creà parechje regule. Allora ciò chì hè descrittu in questu articulu s'applica ancu à altre pulitiche UserGate.
Firewall
Dopu à stallà UserGate, ci hè digià una pulitica sèmplice in a rùbbrica "Firewall". I primi dui reguli pruibiscenu u trafficu per botnets. I seguenti sò esempi di reguli d'accessu da diverse zoni. L'ultima regula hè sempre chjamata "Block all" è hè marcatu cù un simbulu di serratura (significa chì a regula ùn pò esse sguassata, mudificata, spustata, disattivata, pò esse attivata solu per l'opzione di logging). Cusì, per via di sta regula, tuttu u trafficu esplicitamente micca permessu serà bluccatu da l'ultima regula. Se vulete permettà tuttu u trafficu attraversu UserGate (ancu se questu hè fortemente scuraghjatu), pudete sempre creà a penultima regula "Permette tuttu".
Quandu editate o creanu una regula di firewall, u primu Tabulazione generale, avete bisognu di fà i seguenti:
-
Checkbox "On" attivate o disattivà a regula.
-
entre u nome di a regula.
-
stabilisce a descrizzione di a regula.
-
sceglie trà dui azzioni:
-
Deny - blucca u trafficu (quandu stabilisce sta cundizione, hè pussibule di mandà l'ospite ICMP inaccessibile, basta à stabilisce a casella di spunta adattata).
-
Permette - permette u trafficu.
-
-
Elementu di Scenariu - permette di selezziunà un scenariu, chì hè una cundizione supplementu per a regula per u focu. Hè cusì chì UserGate implementa u cuncettu di SOAR (Orchestrazione di Securità, Automatizazione è Risposta).
-
Logging - scrivite infurmazione nantu à u trafficu à u logu quandu a regula hè attivata. Opzioni pussibuli:
-
Registrate u principiu di a sessione. In questu casu, solu l'infurmazione nantu à u principiu di a sessione (u primu pacchettu) serà scritta à u logu di trafficu. Questa hè l'opzione di registrazione cunsigliata.
-
Registra ogni pacchettu. In questu casu, l'infurmazioni nantu à ogni pacchettu di rete trasmessi seranu registrati. Per questu modu, hè cunsigliatu per attivà u limitu di logging per impedisce a carica alta di u dispusitivu.
-
-
Applica a regula à:
-
Tutti i pacchetti
-
à i pacchetti frammentati
-
à pacchetti unframmentati
-
-
Quandu crea una nova regula, pudete sceglie un locu in a pulitica.
U prossimu Tabulazione Fonte. Quì avemu indicatu a fonte di u trafficu, pò esse a zona da quale vene u trafficu, o pudete specificà una lista o un indirizzu IP specificu (Geoip). In quasi tutte e regule chì ponu esse stabilite in u dispusitivu, un ughjettu pò esse creatu da una regula, per esempiu, senza andà in a sezione "Zone", pudete aduprà u buttone "Crea è aghjunghje un novu ughjettu" per creà a zona. avemu bisognu. A casella "Invertite" hè ancu spessu trovata, inverte l'azzione in a cundizione di a regula, chì hè simile à a negazione di l'azzione logica. Tabulazione di destinazione simile à a tabulazione fonte, ma invece di a fonte di u trafficu, avemu stabilitu u destinazione di u trafficu. Tabulazione Users - in questu locu pudete aghjunghje una lista d'utilizatori o gruppi per i quali sta regula s'applica. Service Tab - selezziunate u tipu di serviziu da quellu chì hè digià predefinitu o pudete stabilisce u vostru propiu. Tabulazione di l'applicazione - Applicazioni specifiche o gruppi di applicazioni sò selezziunati quì. È Tabulazione di u tempu specificà u tempu quandu sta regula hè attiva.
Dapoi l'ultima lezziò, avemu una regula per accede à Internet da a zona "Trust", ora vi mustraraghju cum'è un esempiu cumu per creà una regula di denegazione per u trafficu ICMP da a zona "Trust" à a zona "Untrusted".
Prima, crea una regula clicchendu nant'à u buttone "Add". In a finestra chì si apre, in a tabulazione generale, inserite u nome (Restrict ICMP from trusted to untrusted), verificate a casella di spunta "On", selezziunate l'azzione di disattivazione, è più impurtante, sceglite u locu currettu per sta regula. Sicondu a mo pulitica, sta regula deve esse piazzata sopra à a regula "Permette fiducia à untrusted":
In a tabulazione "Source" per u mo compitu, ci sò duie opzioni:
-
Selezziunendu a zona "Fiducia".
-
Selezziunate tutte e zoni eccettu "Fiducia" è ticchendu a casella "Invertite".
A tabulazione di destinazione hè cunfigurata in modu simile à a tabulazione Source.
Dopu, andate à a tabulazione "Serviziu", postu chì UserGate hà un serviziu predefinitu per u trafficu ICMP, dopu clicchendu u buttone "Add", selezziunate un serviziu cù u nome "Qualunque ICMP" da a lista pruposta:
Forsi questu era l'intenzione di i creatori di UserGate, ma aghju sappiutu di creà parechje regule completamente identiche. Ancu s'è solu a prima regula da a lista serà eseguita, pensu chì a capacità di creà regule cù u stessu nome chì sò diffirenti in funziunalità pò causà cunfusione quandu parechji amministratori di u dispositivu travaglianu.
NAT è routing
Quandu creanu regule NAT, vedemu parechje tabulazioni simili, cum'è per u firewall. U campu "Tipu" apparsu nantu à a tabulazione "Generale", vi permette di sceglie ciò chì sta regula serà rispunsevule:
-
NAT - Traduzzione di l'indirizzu di a rete.
-
DNAT - Redirige u trafficu à l'indirizzu IP specificatu.
-
Port forwarding - Redirige u trafficu à l'indirizzu IP specificatu, ma permette di cambià u numeru di portu di u serviziu publicatu
-
Routing basatu nantu à a pulitica - Permette di indirizzà i pacchetti IP basati nantu à l'infurmazioni allargate, cum'è servizii, indirizzi MAC, o servitori (indirizzi IP).
-
Mappatura di a rete - Permette di rimpiazzà l'indirizzi IP fonte o destinazione di una rete cù una altra rete.
Dopu avè sceltu u tipu di regula adattatu, i paràmetri per questu seranu dispunibili.
In u campu SNAT IP (indirizzu esternu), spieghemu esplicitamente l'indirizzu IP à quale l'indirizzu fonte serà rimpiazzatu. Stu campu hè necessariu s'ellu ci sò parechje indirizzi IP assignati à interfacce in a zona di destinazione. Se lasciate stu campu in biancu, u sistema utilizerà un indirizzu aleatoriu da a lista di l'indirizzi IP dispunibuli assignati à l'interfaccia di a zona di destinazione. UserGate consiglia di specificà SNAT IP per migliurà u rendiment di u firewall.
Per esempiu, publicheraghju u serviziu SSH di un servitore Windows situatu in a zona "DMZ" cù a regula di "port-forwarding". Per fà questu, cliccate nantu à u buttone "Aggiungi" è compie a tabulazione "Generale", specificate u nome di a regula "SSH à Windows" è u tipu "Port forwarding":
Nantu à a tabulazione "Source", selezziunate a zona "Untrusted" è andate à a tabulazione "Port forwarding". Quì avemu da specificà u protocolu "TCP" (quattru opzioni sò dispunibili - TCP, UDP, SMTP, SMTPS). Port di destinazione originale 9922 - numeru di portu à quale l'utilizatori mandanu dumande (porti: 2200, 8001, 4369, 9000-9100 ùn ponu micca esse usatu). U novu portu di destinazione (22) hè u numeru di portu à quale l'utilizatori dumandanu à u servitore publicatu internu seranu trasmessi.
In a tabulazione "DNAT", stabilisce l'indirizzu ip di l'urdinatore nantu à a reta lucale, chì hè publicatu in Internet (192.168.3.2). È pudete optà per attivà SNAT, allora UserGate cambierà l'indirizzu fonte in pacchetti da a reta esterna à u so propiu indirizzu IP.
Dopu à tutti i paràmetri, una regula hè ottenuta chì permette l'accessu da a zona "Untrusted" à u servitore cù l'indirizzu ip 192.168.3.2 via u protokollu SSH, utilizendu l'indirizzu UserGate esternu quandu cunnette.
Banda larga
Questa sezione definisce e regule per u cuntrollu di larghezza di banda. Puderanu esse aduprati per limità u canali di certi utilizatori, ospiti, servizii, applicazioni.
Quandu crea una regula, e cundizioni nantu à e tabulazioni determinanu u trafficu à quale e restrizioni sò applicate. A larghezza di banda pò esse sceltu da i pruposti, o stabilisce u vostru propiu. Quandu crea una larghezza di banda, pudete specificà una etichetta di priorità di trafficu DSCP. Un esempiu di quandu l'etichette DSCP sò applicate: specificendu in una regula u scenariu in quale sta regula hè applicata, allora sta regula pò cambià automaticamente sti etichette. Un altru esempiu di cumu funziona u script: a regula hà da travaglià per l'utilizatore solu quandu un torrent hè rilevatu o a quantità di trafficu supera u limitu specificatu. I tabulazioni rimanenti sò chjappi in u listessu modu cum'è in altre pulitiche, basatu nantu à u tipu di trafficu à quale a regula deve esse applicata.
cunchiusioni
In questu articulu, aghju cupertu a creazione di regule in e sezioni Firewall, NAT è Routing, è Bandwidth. È à u principiu di l'articulu, hà descrittu e regule per a creazione di pulitiche UserGate, è ancu u principiu di e cundizioni quandu creanu una regula.
State sintonizzati per l'aghjurnamenti in i nostri canali (, , , )!
Source: www.habr.com