ProHoster > Blog > administration > 3. UserGate Kom godt i gang. Netværkspolitikker

3. UserGate Kom godt i gang. Netværkspolitikker

3. UserGate Kom godt i gang. Netværkspolitikker

Jeg byder læserne velkommen til den tredje artikel i UserGate Getting Started artikelserien, som fortæller om NGFW-løsningen fra virksomheden UserGate. I den sidste artikel blev processen med at installere en firewall beskrevet, og dens indledende konfiguration blev foretaget. Indtil videre vil vi se nærmere på oprettelse af regler i sektioner som Firewall, NAT og Routing og Båndbredde.

Ideologien bag UserGate reglerne, sådan at reglerne udføres fra top til bund, indtil den første der virker. På baggrund af ovenstående følger det, at mere specifikke regler bør være højere end mere generelle regler. Men det skal bemærkes, da reglerne er kontrolleret i rækkefølge, er det bedre med hensyn til ydeevne at oprette generelle regler. Når du opretter en regel, anvendes betingelserne i henhold til "AND"-logikken. Hvis det er nødvendigt at bruge logikken "ELLER", så opnås dette ved at oprette flere regler. Så det, der er beskrevet i denne artikel, gælder også for andre UserGate-politikker.

Firewall

Efter installation af UserGate er der allerede en simpel politik i afsnittet "Firewall". De to første regler forbyder trafik til botnets. Følgende er eksempler på adgangsregler fra forskellige zoner. Den sidste regel kaldes altid "Bloker alle" og er markeret med et låsesymbol (det betyder, at reglen ikke kan slettes, ændres, flyttes, deaktiveres, den kan kun aktiveres for logningsmuligheden). På grund af denne regel vil al eksplicit ikke tilladt trafik blive blokeret af den sidste regel. Hvis du vil tillade al trafik gennem UserGate (selvom dette på det kraftigste frarådes), kan du altid oprette den næstsidste regel "Tillad alle".

3. UserGate Kom godt i gang. Netværkspolitikker

Når du redigerer eller opretter en firewall-regel, skal den første Generelt faneblad, skal du gøre følgende: 

  • Afkrydsningsfeltet "Til" aktiverer eller deaktiverer reglen.

  • indtast navnet på reglen.

  • angive beskrivelsen af ​​reglen.

  • vælg mellem to handlinger:

    • Afvis - blokerer trafik (når du indstiller denne betingelse, er det muligt at sende ICMP-vært utilgængelig, du skal blot sætte det relevante afkrydsningsfelt).

    • Tillad - tillader trafik.

  • Scenarieelement - giver dig mulighed for at vælge et scenarie, som er en yderligere betingelse for, at reglen kan udløses. Sådan implementerer UserGate konceptet SOAR (Security Orchestration, Automation and Response).

  • Logning — logoplysninger om trafik, når en regel udløses. Mulige muligheder:

    • Log begyndelsen af ​​sessionen. I dette tilfælde vil kun information om begyndelsen af ​​sessionen (den første pakke) blive skrevet til trafikloggen. Dette er den anbefalede logningsmulighed.

    • Log hver pakke. I dette tilfælde vil oplysninger om hver transmitteret netværkspakke blive optaget. For denne tilstand anbefales det at aktivere logningsgrænsen for at forhindre høj enhedsbelastning.

  • Anvend reglen på:

    • Alle pakker

    • til fragmenterede pakker

    • til ufragmenterede pakker

  • Når du opretter en ny regel, kan du vælge en plads i politikken.

den næste Kilde fanen. Her angiver vi kilden til trafik, det kan være den zone, som trafikken kommer fra, eller du kan angive en liste eller en specifik ip-adresse (Geoip). I næsten alle regler, der kan indstilles i enheden, kan et objekt oprettes ud fra en regel, for eksempel uden at gå til sektionen "Zoner", kan du bruge knappen "Opret og tilføj et nyt objekt" til at oprette zonen vi behøver. Afkrydsningsfeltet "Inverter" er også almindeligt, det vender handlingen i regelbetingelsen, som ligner den logiske handlingsnegation. Fanen Destination ligner kildefanen, men i stedet for trafikkilden sætter vi trafikdestinationen. Fanen Brugere - på dette sted kan du tilføje en liste over brugere eller grupper, som denne regel gælder for. Fanen Service - vælg typen af ​​tjeneste fra den allerede foruddefinerede, eller du kan indstille din egen. Applikationsfane - Her vælges specifikke applikationer eller grupper af applikationer. OG Tidsfanen angiv det tidspunkt, hvor denne regel er aktiv. 

Siden sidste lektion har vi en regel for adgang til internettet fra "Trust"-zonen, nu vil jeg vise som et eksempel, hvordan man opretter en afvisningsregel for ICMP-trafik fra "Trust"-zonen til "Untrusted"-zonen.

Først skal du oprette en regel ved at klikke på knappen "Tilføj". I vinduet, der åbnes, på den generelle fane, skal du udfylde navnet (Begræns ICMP fra betroet til ikke-tillid), marker afkrydsningsfeltet "Til", vælg deaktiveringshandlingen og, vigtigst af alt, vælg korrekt placeringen af ​​denne regel. I henhold til min politik skal denne regel placeres over reglen "Tillad betroede til upålidelige":

3. UserGate Kom godt i gang. Netværkspolitikker

På fanen "Kilde" for min opgave er der to muligheder:

  • Ved at vælge zonen "Trusted".

  • Ved at vælge alle zoner undtagen "Trusted" og markere afkrydsningsfeltet "Inverter".

3. UserGate Kom godt i gang. Netværkspolitikker3. UserGate Kom godt i gang. Netværkspolitikker

Fanen Destination er konfigureret på samme måde som fanen Kilde.

Gå derefter til fanen "Service", da UserGate har en foruddefineret tjeneste til ICMP-trafik, så ved at klikke på knappen "Tilføj" vælger vi en tjeneste med navnet "Enhver ICMP" fra den foreslåede liste:

3. UserGate Kom godt i gang. Netværkspolitikker

Måske var dette intentionen fra skaberne af UserGate, men jeg formåede at skabe flere fuldstændig identiske regler. Selvom kun den første regel fra listen vil blive udført, tror jeg, at muligheden for at oprette regler med samme navn, der er forskellige i funktionalitet, kan skabe forvirring, når flere enhedsadministratorer arbejder.

NAT og routing

Når vi opretter NAT-regler, ser vi flere lignende faner, som for firewallen. Feltet "Type" dukkede op på fanen "Generelt", det giver dig mulighed for at vælge, hvad denne regel vil være ansvarlig for:

  • NAT - Network Address Translation.

  • DNAT - Omdirigerer trafik til den angivne IP-adresse.

  • Portvideresendelse - Omdirigerer trafik til den angivne IP-adresse, men giver dig mulighed for at ændre portnummeret på den offentliggjorte tjeneste

  • Politikbaseret routing - Giver dig mulighed for at rute IP-pakker baseret på udvidet information, såsom tjenester, MAC-adresser eller servere (IP-adresser).

  • Netværkskortlægning - Giver dig mulighed for at erstatte kilde- eller destinations-IP-adresserne på et netværk med et andet netværk.

Når du har valgt den relevante regeltype, vil indstillinger for den være tilgængelige.

I feltet SNAT IP (ekstern adresse) angiver vi eksplicit den IP-adresse, som kildeadressen skal erstattes med. Dette felt er påkrævet, hvis der er tildelt flere IP-adresser til grænseflader i destinationszonen. Hvis du lader dette felt stå tomt, vil systemet bruge en tilfældig adresse fra listen over tilgængelige IP-adresser, der er tildelt destinationszonegrænsefladerne. UserGate anbefaler at angive SNAT IP for at forbedre firewallens ydeevne.

For eksempel vil jeg udgive SSH-tjenesten for en Windows-server placeret i "DMZ"-zonen ved hjælp af reglen "port-forwarding". For at gøre dette skal du klikke på knappen "Tilføj" og udfylde fanen "Generelt", angiv navnet på reglen "SSH til Windows" og typen "Port forwarding":

3. UserGate Kom godt i gang. Netværkspolitikker

På fanen "Kilde" skal du vælge zonen "Ubetroet" og gå til fanen "Forsendelse af porte". Her skal vi angive "TCP"-protokollen (fire muligheder er tilgængelige - TCP, UDP, SMTP, SMTPS). Original destinationsport 9922 — portnummer, som brugere sender anmodninger til (porte: 2200, 8001, 4369, 9000-9100 kan ikke bruges). Den nye destinationsport (22) er portnummeret, som brugeranmodninger til den interne publicerede server vil blive videresendt til.

3. UserGate Kom godt i gang. Netværkspolitikker

På fanen "DNAT" skal du indstille ip-adressen på computeren på det lokale netværk, som er offentliggjort på internettet (192.168.3.2). Og du kan eventuelt aktivere SNAT, så vil UserGate ændre kildeadressen i pakker fra det eksterne netværk til sin egen IP-adresse.

3. UserGate Kom godt i gang. Netværkspolitikker

Efter alle indstillingerne opnås en regel, der tillader adgang fra "Untrusted"-zonen til serveren med ip-adressen 192.168.3.2 via SSH-protokollen, ved at bruge den eksterne UserGate-adresse ved tilslutning.

3. UserGate Kom godt i gang. Netværkspolitikker

gennemløb

Dette afsnit definerer reglerne for båndbreddekontrol. De kan bruges til at begrænse kanalen for visse brugere, værter, tjenester, applikationer.

3. UserGate Kom godt i gang. Netværkspolitikker

Når du opretter en regel, bestemmer betingelserne på fanerne den trafik, som begrænsninger anvendes på. Båndbredden kan vælges fra den foreslåede eller indstille din egen. Når du opretter båndbredde, kan du angive en DSCP-trafikprioriteringsetiket. Et eksempel på, hvornår DSCP-etiketter anvendes: ved i en regel at angive scenariet, hvor denne regel anvendes, kan denne regel automatisk ændre disse etiketter. Et andet eksempel på, hvordan scriptet fungerer: reglen vil kun fungere for brugeren, når en torrent er opdaget, eller mængden af ​​trafik overstiger den angivne grænse. De resterende faner udfyldes på samme måde som i andre politikker, baseret på den type trafik, reglen skal anvendes på.

3. UserGate Kom godt i gang. Netværkspolitikker

Konklusion

I denne artikel dækkede jeg oprettelsen af ​​regler i sektionerne Firewall, NAT og Routing og Båndbredde. Og helt i begyndelsen af ​​artiklen beskrev han reglerne for oprettelse af UserGate-politikker samt princippet om betingelserne for oprettelse af en regel. 

Følg med for opdateringer i vores kanaler (TelegramFacebookVKTS Solution Blog)!

Kilde: www.habr.com

Tilføj en kommentar