Καλωσορίσατε τους αναγνώστες στο τρίτο άρθρο της σειράς άρθρων UserGate Getting Started, το οποίο μιλάει για τη λύση NGFW από την εταιρεία . Στο τελευταίο άρθρο, περιγράφηκε η διαδικασία εγκατάστασης τείχους προστασίας και έγινε η αρχική του διαμόρφωση. Προς το παρόν, θα ρίξουμε μια πιο προσεκτική ματιά στη δημιουργία κανόνων σε ενότητες όπως το Τείχος προστασίας, το NAT και η δρομολόγηση και το εύρος ζώνης.
Η ιδεολογία των κανόνων UserGate είναι ότι οι κανόνες εκτελούνται από πάνω προς τα κάτω, μέχρι τον πρώτο που λειτουργεί. Με βάση τα παραπάνω, προκύπτει ότι οι ειδικότεροι κανόνες θα πρέπει να είναι υψηλότεροι από τους γενικότερους κανόνες. Πρέπει όμως να σημειωθεί ότι εφόσον οι κανόνες ελέγχονται με τη σειρά, όσον αφορά την απόδοση είναι καλύτερο να δημιουργηθούν γενικοί κανόνες. Οι συνθήκες κατά τη δημιουργία οποιουδήποτε κανόνα εφαρμόζονται σύμφωνα με τη λογική "AND". Εάν είναι απαραίτητο να χρησιμοποιήσετε τη λογική "OR", αυτό επιτυγχάνεται με τη δημιουργία αρκετών κανόνων. Επομένως, αυτό που περιγράφεται σε αυτό το άρθρο ισχύει για άλλες πολιτικές του UserGate.
Τείχος προστασίας
Μετά την εγκατάσταση του UserGate, υπάρχει ήδη μια απλή πολιτική στην ενότητα «Τείχος προστασίας». Οι δύο πρώτοι κανόνες απαγορεύουν την κυκλοφορία σε botnet. Τα παρακάτω είναι παραδείγματα κανόνων πρόσβασης από διάφορες ζώνες. Ο τελευταίος κανόνας ονομάζεται πάντα "Αποκλεισμός όλων" και επισημαίνεται με ένα σύμβολο λουκέτου (σημαίνει ότι ο κανόνας δεν μπορεί να διαγραφεί, να τροποποιηθεί, να μετακινηθεί, να απενεργοποιηθεί, μπορείτε να ενεργοποιήσετε μόνο την επιλογή καταγραφής για αυτόν). Έτσι, λόγω αυτού του κανόνα, όλη η κυκλοφορία που δεν επιτρέπεται ρητά θα αποκλειστεί από τον τελευταίο κανόνα. Εάν θέλετε να επιτρέψετε όλη την επισκεψιμότητα μέσω του UserGate (αν και αυτό δεν συνιστάται ανεπιφύλακτα), μπορείτε πάντα να δημιουργήσετε τον προτελευταίο κανόνα "Να επιτρέπονται όλα".
Κατά την επεξεργασία ή τη δημιουργία ενός κανόνα τείχους προστασίας, το πρώτο Γενική καρτέλα, πρέπει να εκτελέσετε τα ακόλουθα βήματα σε αυτό:
-
Χρησιμοποιήστε το πλαίσιο ελέγχου "Ενεργοποίηση" για να ενεργοποιήσετε ή να απενεργοποιήσετε τον κανόνα.
-
εισάγετε το όνομα του κανόνα.
-
ορίστε μια περιγραφή του κανόνα.
-
επιλέξτε από δύο ενέργειες:
-
Απόρριψη - μπλοκάρει την κυκλοφορία (όταν έχει οριστεί αυτή η συνθήκη, είναι δυνατό να αποσταλεί μη προσβάσιμος κεντρικός υπολογιστής ICMP, απλά πρέπει να ορίσετε το κατάλληλο πλαίσιο ελέγχου).
-
Allow—επιτρέπει την κυκλοφορία.
-
-
Στοιχείο σεναρίου - σας επιτρέπει να επιλέξετε ένα σενάριο, το οποίο αποτελεί πρόσθετη προϋπόθεση για την ενεργοποίηση του κανόνα. Αυτός είναι ο τρόπος με τον οποίο το UserGate υλοποιεί την έννοια του SOAR (Security Orchestration, Automation and Response).
-
Καταγραφή—καταγραφή πληροφοριών σχετικά με την κυκλοφορία όταν ενεργοποιείται ένας κανόνας. Πιθανές επιλογές:
-
Καταγράψτε την έναρξη της συνεδρίας. Σε αυτήν την περίπτωση, μόνο οι πληροφορίες σχετικά με την έναρξη της συνεδρίας (το πρώτο πακέτο) θα καταγράφονται στο αρχείο καταγραφής κίνησης. Αυτή είναι η προτεινόμενη επιλογή καταγραφής.
-
Καταγραφή κάθε πακέτου. Σε αυτήν την περίπτωση, θα καταγράφονται πληροφορίες για κάθε μεταδιδόμενο πακέτο δικτύου. Για αυτήν τη λειτουργία, συνιστάται να ενεργοποιήσετε το όριο καταγραφής για να αποτρέψετε το υψηλό φορτίο της συσκευής.
-
-
Εφαρμόστε τον κανόνα σε:
-
Όλα τα πακέτα
-
σε κατακερματισμένα πακέτα
-
σε μη κατακερματισμένα πακέτα
-
-
Όταν δημιουργείτε έναν νέο κανόνα, μπορείτε να επιλέξετε μια τοποθεσία στην πολιτική.
η επόμενη Καρτέλα "Πηγή".. Εδώ υποδεικνύουμε την πηγή της κίνησης· αυτή μπορεί να είναι η ζώνη από την οποία προέρχεται η κίνηση ή μπορείτε να καθορίσετε μια λίστα ή μια συγκεκριμένη διεύθυνση IP (Geoip). Σχεδόν σε όλους τους κανόνες που μπορούν να οριστούν σε μια συσκευή, ένα αντικείμενο μπορεί να δημιουργηθεί από έναν κανόνα, για παράδειγμα, χωρίς να μεταβείτε στην ενότητα "Ζώνες", μπορείτε να χρησιμοποιήσετε το κουμπί "Δημιουργία και προσθήκη νέου αντικειμένου" για να δημιουργήσετε τη ζώνη χρειαζόμαστε. Το πλαίσιο ελέγχου «Αντιστροφή» συναντάται επίσης συχνά· αλλάζει την ενέργεια στη συνθήκη κανόνα στην αντίθετη, η οποία είναι παρόμοια με τη λογική ενέργεια της άρνησης. Καρτέλα προορισμού παρόμοια με την καρτέλα πηγή, μόνο αντί για την πηγή επισκεψιμότητας ορίζουμε τον προορισμό επισκεψιμότητας. Καρτέλα Χρήστες — σε αυτό το μέρος μπορείτε να προσθέσετε μια λίστα χρηστών ή ομάδων για τις οποίες ισχύει αυτός ο κανόνας. Καρτέλα Service — επιλέξτε τον τύπο υπηρεσίας από τον ήδη προκαθορισμένο ή μπορείτε να ορίσετε τον δικό σας. Καρτέλα Εφαρμογή — εδώ επιλέγονται συγκεκριμένες εφαρμογές ή ομάδες εφαρμογών. ΚΑΙ Καρτέλα ώρας υποδεικνύουν την ώρα που είναι ενεργός αυτός ο κανόνας.
Από το τελευταίο μάθημα έχουμε έναν κανόνα για την πρόσβαση στο Διαδίκτυο από τη ζώνη "Trust", τώρα θα δείξω, ως παράδειγμα, πώς να δημιουργήσετε έναν κανόνα άρνησης για την κυκλοφορία ICMP από τη ζώνη "Trust" στη ζώνη "Untrusted".
Αρχικά, δημιουργήστε έναν κανόνα κάνοντας κλικ στο κουμπί "Προσθήκη". Στο παράθυρο που ανοίγει, στη γενική καρτέλα, συμπληρώστε το όνομα (Απαγόρευση του ICMP από αξιόπιστο σε μη αξιόπιστο), επιλέξτε το πλαίσιο ελέγχου "Ενεργό", επιλέξτε την ενέργεια που θέλετε να αποκλείσετε και, το πιο σημαντικό, επιλέξτε τη σωστή θέση για αυτόν τον κανόνα. Σύμφωνα με την πολιτική μου, αυτός ο κανόνας θα πρέπει να βρίσκεται πάνω από τον κανόνα "Να επιτρέπεται το αξιόπιστο σε μη αξιόπιστο":
Στην καρτέλα "Πηγή", υπάρχουν δύο επιλογές για την εργασία μου:
-
Επιλέγοντας τη ζώνη "Αξιόπιστη".
-
Επιλέγοντας όλες τις ζώνες εκτός από το "Trusted" και επιλέγοντας το πλαίσιο ελέγχου "Invert".
Η καρτέλα "Προορισμός" έχει διαμορφωθεί παρόμοια με την καρτέλα "Πηγή".
Στη συνέχεια, πηγαίνουμε στην καρτέλα "Υπηρεσία", καθώς το UserGate έχει μια προκαθορισμένη υπηρεσία για την κυκλοφορία ICMP, στη συνέχεια κάνοντας κλικ στο κουμπί "Προσθήκη", επιλέγουμε από την προτεινόμενη λίστα μια υπηρεσία που ονομάζεται "Any ICMP":
Ίσως αυτό σκόπευαν οι δημιουργοί του UserGate, αλλά κατάφερα να δημιουργήσω αρκετούς εντελώς πανομοιότυπους κανόνες. Αν και μόνο ο πρώτος κανόνας από τη λίστα θα εκτελεστεί, νομίζω ότι η δυνατότητα δημιουργίας κανόνων διαφορετικής λειτουργικότητας με το ίδιο όνομα μπορεί να προκαλέσει σύγχυση όταν εργάζονται πολλοί διαχειριστές συσκευών.
NAT και δρομολόγηση
Κατά τη δημιουργία κανόνων NAT, βλέπουμε πολλές παρόμοιες καρτέλες όπως για το τείχος προστασίας. Στην καρτέλα "Γενικά", εμφανίστηκε το πεδίο "Τύπος" και σας επιτρέπει να επιλέξετε για ποιο λόγο θα είναι υπεύθυνος αυτός ο κανόνας:
-
NAT - Μετάφραση Διεύθυνσης Δικτύου.
-
DNAT - Ανακατευθύνει την κυκλοφορία στην καθορισμένη διεύθυνση IP.
-
Προώθηση θύρας - Ανακατευθύνει την κυκλοφορία σε μια καθορισμένη διεύθυνση IP, αλλά σας επιτρέπει να αλλάξετε τον αριθμό θύρας της δημοσιευμένης υπηρεσίας
-
Δρομολόγηση βάσει πολιτικής - Επιτρέπει τη δρομολόγηση πακέτων IP με βάση προηγμένες πληροφορίες, όπως υπηρεσίες, διευθύνσεις MAC ή διακομιστές (διευθύνσεις IP).
-
Αντιστοίχιση δικτύου - Σας επιτρέπει να αντικαταστήσετε τις διευθύνσεις IP προέλευσης ή προορισμού ενός δικτύου με άλλο δίκτυο.
Αφού επιλέξετε τον κατάλληλο τύπο κανόνα, οι ρυθμίσεις για αυτόν θα είναι διαθέσιμες.
Στο πεδίο SNAT IP (εξωτερική διεύθυνση), υποδεικνύουμε ρητά τη διεύθυνση IP στην οποία θα αντικατασταθεί η διεύθυνση πηγής. Αυτό το πεδίο απαιτείται εάν υπάρχουν πολλές διευθύνσεις IP που έχουν εκχωρηθεί στις διεπαφές της ζώνης προορισμού. Εάν αφήσετε αυτό το πεδίο κενό, το σύστημα θα χρησιμοποιήσει μια τυχαία διεύθυνση από τη λίστα των διαθέσιμων διευθύνσεων IP που έχουν εκχωρηθεί στις διεπαφές της ζώνης προορισμού. Το UserGate συνιστά τον καθορισμό του SNAT IP για τη βελτίωση της απόδοσης του τείχους προστασίας.
Για παράδειγμα, θα δημοσιεύσω μια υπηρεσία SSH σε διακομιστή Windows που βρίσκεται στη ζώνη "DMZ" χρησιμοποιώντας τον κανόνα "port forwarding". Για να το κάνετε αυτό, κάντε κλικ στο κουμπί "Προσθήκη" και συμπληρώστε την καρτέλα "Γενικά", καθορίστε το όνομα του κανόνα "SSH σε Windows" και τον τύπο "Προώθηση θύρας":
Στην καρτέλα "Πηγή", επιλέξτε τη ζώνη "Μη αξιόπιστη" και μεταβείτε στην καρτέλα "Προώθηση θύρας". Εδώ πρέπει να καθορίσουμε το πρωτόκολλο "TCP" (διατίθενται τέσσερις επιλογές - TCP, UDP, SMTP, SMTPS). Η αρχική θύρα προορισμού είναι 9922 - ο αριθμός θύρας στην οποία οι χρήστες στέλνουν αιτήματα (δεν μπορούν να χρησιμοποιηθούν οι θύρες: 2200, 8001, 4369, 9000-9100). Νέα θύρα προορισμού (22) - ο αριθμός θύρας στην οποία θα προωθηθούν οι αιτήσεις χρήστη στον εσωτερικό δημοσιευμένο διακομιστή.
Στην καρτέλα "DNAT", ορίστε τη διεύθυνση IP του υπολογιστή στο τοπικό δίκτυο, η οποία δημοσιεύεται στο Διαδίκτυο (192.168.3.2). Και προαιρετικά, μπορείτε να ενεργοποιήσετε το SNAT και, στη συνέχεια, το UserGate θα αλλάξει τη διεύθυνση πηγής σε πακέτα από το εξωτερικό δίκτυο στη διεύθυνση IP του.
Μετά από όλες τις ρυθμίσεις, λαμβάνετε έναν κανόνα που σας επιτρέπει να αποκτήσετε πρόσβαση από τη ζώνη "Μη αξιόπιστη" σε διακομιστή με διεύθυνση IP 192.168.3.2 μέσω SSH, χρησιμοποιώντας την εξωτερική διεύθυνση UserGate κατά τη σύνδεση.
Εύρος ζώνης
Αυτή η ενότητα καθορίζει κανόνες για τη διαχείριση του εύρους ζώνης. Μπορούν να χρησιμοποιηθούν για τον περιορισμό του καναλιού ορισμένων χρηστών, κεντρικών υπολογιστών, υπηρεσιών, εφαρμογών.
Κατά τη δημιουργία ενός κανόνα, οι συνθήκες στις καρτέλες καθορίζουν την επισκεψιμότητα στην οποία ισχύουν οι περιορισμοί. Μπορείτε να επιλέξετε το εύρος ζώνης από αυτά που προσφέρονται ή να ορίσετε το δικό σας. Κατά τη δημιουργία εύρους ζώνης, μπορείτε να καθορίσετε μια ετικέτα προτεραιότητας κυκλοφορίας DSCP. Ένα παράδειγμα για το πότε εφαρμόζονται ετικέτες DSCP: καθορίζοντας σε έναν κανόνα το σενάριο στο οποίο εφαρμόζεται αυτός ο κανόνας, τότε αυτός ο κανόνας μπορεί να αλλάξει αυτόματα αυτές τις ετικέτες. Ένα άλλο παράδειγμα του τρόπου λειτουργίας του σεναρίου: ο κανόνας θα λειτουργεί για τον χρήστη μόνο όταν ανιχνευτεί ένα torrent ή όταν η κυκλοφορία υπερβαίνει ένα καθορισμένο όριο. Συμπληρώνουμε τις υπόλοιπες καρτέλες με τον ίδιο τρόπο όπως σε άλλες πολιτικές, με βάση τον τύπο επισκεψιμότητας στον οποίο θα πρέπει να εφαρμόζεται ο κανόνας.
Συμπέρασμα
Σε αυτό το άρθρο, εξέτασα τη δημιουργία κανόνων στις ενότητες "Firewall", "NAT and Routing" και "Bandwidth". Και στην αρχή του άρθρου, περιέγραψα τους κανόνες για τη δημιουργία πολιτικών UserGate, καθώς και την αρχή λειτουργίας των συνθηκών κατά τη δημιουργία ενός κανόνα.
Μείνετε συντονισμένοι για ενημερώσεις στα κανάλια μας (, , , )!
Πηγή: www.habr.com