Bonvenon legantoj al la tria artikolo en la serio de artikoloj UserGate Getting Started, kiu parolas pri la solvo NGFW de la kompanio. . La antaŭa artikolo priskribis la procezon de instalo de fajroŝirmilo kaj plenumis ĝian komencan agordon. Nun ni rigardos pli detale pri kreado de reguloj en sekcioj kiel "Fajromuro", "NAT kaj Vokado" kaj "Bandwidth".
La ideologio de UserGate-reguloj estas, ke la reguloj estas ekzekutitaj de supre ĝis malsupre, ĝis la unua kiu funkcias. Surbaze de ĉi-supra, sekvas, ke pli specifaj reguloj devus esti pli altaj ol pli ĝeneralaj reguloj. Sed oni devas rimarki, ke ĉar la reguloj estas kontrolitaj en ordo, laŭ agado estas pli bone krei ĝeneralajn regulojn. Kondiĉoj dum kreado de ajna regulo estas aplikataj laŭ "KAJ" logiko. Se necesas uzi "OR" logikon, tio estas atingita kreante plurajn regulojn. Do tio, kio estas priskribita en ĉi tiu artikolo, validas por aliaj politikoj de UserGate.
Fajromuro
Post instalo de UserGate, jam estas simpla politiko en la sekcio "Fajromuro". La unuaj du reguloj neas trafikon al botnetoj. La sekvantaroj estas ekzemploj de alirreguloj de diversaj zonoj. La lasta regulo ĉiam nomiĝas "Bloki ĉion" kaj estas markita per pendseruro (ĝi signifas, ke la regulo ne povas esti forigita, modifita, movita, malŝaltita, vi nur povas ebligi la protokolon por ĝi). Tiel, pro ĉi tiu regulo, ĉiu trafiko kiu ne estas eksplicite permesita estos blokita de la lasta regulo. Se vi volas permesi la tutan trafikon per UserGate (kvankam ĉi tio estas forte ne rekomendita), vi ĉiam povas krei la antaŭlastan "Permesi ĉiujn" regulon.
Kiam vi redaktas aŭ kreas regulon de fajroŝirmilo, la unua Ĝenerala langeto, vi devas plenumi la sekvajn paŝojn sur ĝi:
-
Uzu la markobutonon "On" por ebligi aŭ malŝalti la regulon.
-
enigu la nomon de la regulo.
-
starigu priskribon de la regulo.
-
elektu el du agoj:
-
Nei - blokas trafikon (kiam ĉi tiu kondiĉo estas agordita, eblas sendi ICMP-gastiganton neatingebla, vi nur bezonas agordi la taŭgan markobutonon).
-
Permesi—permesas trafikon.
-
-
Scenaro - ebligas al vi elekti scenaron, kio estas plia kondiĉo por ke la regulo estu ekigita. Jen kiel UserGate efektivigas la koncepton SOAR (Security Orchestration, Automation and Response).
-
Registrado - skribu informojn pri trafiko al la protokolo kiam la regulo estas ekigita. Eblaj opcioj:
-
Ensalutu la komencon de la sesio. En ĉi tiu kazo, nur informoj pri la komenco de la sesio (la unua pako) estos registritaj en la trafikprotokolo. Ĉi tiu estas la rekomendita ensaluta opcio.
-
Ensalutu ĉiun paketon. En ĉi tiu kazo, informoj pri ĉiu elsendita retpako estos registrita. Por ĉi tiu reĝimo, oni rekomendas ebligi la registran limon por malhelpi altan ŝarĝon de la aparato.
-
-
Apliku la regulon al:
-
Ĉiuj pakoj
-
al fragmentaj pakoj
-
al nefragmentitaj pakaĵoj
-
-
Kiam vi kreas novan regulon, vi povas elekti lokon en la politiko.
La sekva langeto "Fonto".. Ĉi tie ni indikas la fonton de la trafiko; ĉi tio povas esti la zono de kiu venas la trafiko, aŭ vi povas specifi liston aŭ specifan IP-adreson (Geoip). En preskaŭ ĉiuj reguloj agordeblaj en aparato, objekto povas esti kreita de regulo, ekzemple, sen iri al la sekcio "Zonoj", vi povas uzi la butonon "Krei kaj aldoni novan objekton" por krei la zonon. ni bezonas. La markobutono "Inverti" ankaŭ estas ofte renkontita; ĝi ŝanĝas la agon en la regulkondiĉo al la malo, kio estas simila al la logika ago de negacio. Celotabulo simile al la fonta langeto, nur anstataŭ la trafikfonto ni starigas la trafikcelon. Uzantoj langeto - en ĉi tiu loko vi povas aldoni liston de uzantoj aŭ grupoj por kiuj ĉi tiu regulo aplikas. Servo langeto — elektu la specon de servo el la jam antaŭdifinita aŭ vi povas agordi vian propran. Aplikaĵo Tab — ĉi tie estas elektitaj specifaj aplikoj aŭ grupoj de aplikaĵoj. KAJ Tempo langeto specifu la tempon kiam ĉi tiu regulo estas aktiva.
De la lasta leciono ni havas regulon por aliri la Interreton de la "Fido" zono, nun mi montros, ekzemple, kiel krei rifuzi regulon por ICMP trafiko de la "Fido" zono al la "Nefida" zono.
Unue, kreu regulon alklakante la butonon "Aldoni". En la fenestro, kiu malfermiĝas, en la ĝenerala langeto, plenigu la nomon (Malpermesu ICMP de fidinda al nefidinda), marku la markobutonon "On", elektu la agon por bloki kaj, plej grave, elektu la ĝustan lokon por ĉi tiu regulo. Laŭ mia politiko, ĉi tiu regulo devus situi super la "Permesi fidindajn al nefidindaj" regulo:
Sur la langeto "Fonto", estas du opcioj por mia tasko:
-
Elektante la "Fidan" zonon
-
Elektante ĉiujn zonojn krom "Fidinda" kaj kontrolante la markobutonon "Inverti".
La langeto "Celo" estas agordita simile al la langeto "Fonto".
Poste, ni iras al la langeto "Servo", ĉar UserGate havas antaŭdifinitan servon por ICMP-trafiko, tiam alklakante la butonon "Aldoni", ni elektas el la proponita listo servon nomatan "Ajna ICMP":
Eble tion celis la kreintoj de UserGate, sed mi povis krei plurajn tute identajn regulojn. Kvankam nur la unua regulo el la listo estos ekzekutita, mi pensas, ke la kapablo krei regulojn de malsama funkcieco kun la sama nomo povas kaŭzi konfuzon kiam pluraj aparato-administrantoj funkcias.
NAT kaj vojigo
Kreante NAT-regulojn, ni vidas plurajn similajn langetojn, kiel por la fajroŝirmilo. La kampo "Tipo" aperis sur la langeto "Ĝenerala", ĝi ebligas al vi elekti, pri kio ĉi tiu regulo respondecos:
-
NAT - Tradukado de Retaj Adresoj.
-
DNAT - Redirektas trafikon al la specifita IP-adreso.
-
Havena plusendado - Redirektas trafikon al specifita IP-adreso, sed permesas vin ŝanĝi la havenan numeron de la publikigita servo
-
Politik-bazita vojigo - Permesas IP-pakaĵetojn esti senditaj surbaze de progresintaj informoj, kiel ekzemple servoj, MAC-adresoj aŭ serviloj (IP-adresoj).
-
Retmapado - Permesas al vi anstataŭigi la fontajn aŭ celajn IP-adresojn de unu reto per alia reto.
Post elekto de la taŭga regulo, agordoj por ĝi estos disponeblaj.
En la kampo SNAT IP (ekstera adreso), ni eksplicite specifas la IP-adreson al kiu la fontadreso estos anstataŭigita. Ĉi tiu kampo estas postulata se ekzistas pluraj IP-adresoj asignitaj al interfacoj en la celzono. Se vi lasas ĉi tiun kampon malplena, la sistemo uzos hazardan adreson el la listo de disponeblaj IP-adresoj asignitaj al la celzonaj interfacoj. UserGate rekomendas specifi SNAT-IP por plibonigi fajroŝirmilon.
Ekzemple, mi publikigos SSH-servon sur Vindoza servilo situanta en la zono "DMZ" uzante la regulon "porten plusendado". Por fari tion, alklaku la butonon "Aldoni" kaj plenigu la langeton "Ĝeneralan", specifu la nomon de la regulo "SSH al Vindozo" kaj la tipon "Porta plusendado":
Sur la langeto "Fonto", elektu la zonon "Nefidinda" kaj iru al la langeto "Porta plusendado". Ĉi tie ni devas specifi la protokolon "TCP" (kvar opcioj estas disponeblaj - TCP, UDP, SMTP, SMTPS). Origina celloka haveno 9922 — havennumero al kiu uzantoj sendas petojn (havenoj: 2200, 8001, 4369, 9000-9100 ne povas esti uzataj). La nova celhaveno (22) estas la havena numero al kiu uzantpetoj al la interna publikigita servilo estos plusenditaj.
Sur la langeto "DNAT", agordu la IP-adreson de la komputilo en la loka reto, kiu estas publikigita en la Interreto (192.168.3.2). Kaj laŭvole vi povas ebligi SNAT, tiam UserGate ŝanĝos la fontadreson en pakaĵoj de la ekstera reto al ĝia IP-adreso.
Post ĉiuj agordoj, vi ricevas regulon, kiu ebligas al vi akiri aliron de la "Nefidinda" zono al servilo kun IP-adreso 192.168.3.2 per SSH, uzante la eksteran UserGate-adreson dum la konekto.
Larĝa de bando
Ĉi tiu sekcio precizigas regulojn por administri bendolarĝon. Ili povas esti uzataj por limigi la kanalon de iuj uzantoj, gastigantoj, servoj, aplikoj.
Dum kreado de regulo, la kondiĉoj sur la langetoj determinas la trafikon al kiu limigoj estas aplikataj. La bendolarĝo povas esti elektita el la proponita, aŭ agordi vian propran. Kreante bendolarĝon, vi povas specifi DSCP-trafikan prioritatetikedon. Ekzemplo de kiam DSCP-etikedoj estas aplikataj: specifante en regulo la scenaron en kiu ĉi tiu regulo estas aplikata, tiam ĉi tiu regulo povas aŭtomate ŝanĝi ĉi tiujn etikedojn. Alia ekzemplo de kiel funkcias la skripto: la regulo funkcios por la uzanto nur kiam torento estas detektita aŭ la kvanto de trafiko superas la specifitan limon. La ceteraj langetoj estas plenigitaj same kiel en aliaj politikoj, surbaze de la speco de trafiko al kiu la regulo devus esti aplikita.
konkludo
En ĉi tiu artikolo, mi rigardis krei regulojn en la sekcioj "Fajroŝirmilo", "NAT kaj Enrutado" kaj "Bandwidth". Kaj komence de la artikolo mi priskribis la regulojn por krei politikojn de UserGate, kaj ankaŭ la principon de funkciado de la kondiĉoj kiam oni kreas regulon.
Restu agordita por ĝisdatigoj en niaj kanaloj (, , , )!
fonto: www.habr.com