Tervitan lugejaid UserGate Getting Started artiklisarja kolmanda artikliga, mis räägib ettevõtte NGFW lahendusest . Viimases artiklis kirjeldati tulemüüri installimise protsessi ja tehti selle esialgne konfiguratsioon. Praegu vaatame lähemalt reeglite loomist sellistes jaotistes nagu tulemüür, NAT ja marsruutimine ning ribalaius.
UserGate'i reeglite ideoloogia, et reeglid täidetakse ülalt alla, kuni esimeseni, mis töötab. Eeltoodust lähtuvalt järeldub, et konkreetsemad reeglid peaksid olema kõrgemad kui üldisemad reeglid. Kuid tuleb märkida, et kuna reegleid kontrollitakse järjekorras, on jõudluse mõttes parem luua üldreeglid. Mis tahes reegli loomisel rakendatakse tingimusi vastavalt “JA” loogikale. Kui on vaja kasutada loogikat “OR”, siis see saavutatakse mitme reegli loomisega. Seega kehtib selles artiklis kirjeldatu ka muude UserGate'i poliitikate kohta.
Tulemüür
Pärast UserGate'i installimist on jaotises "Tulemüür" juba olemas lihtne poliitika. Esimesed kaks reeglit keelavad botnettide liikluse. Järgnevalt on toodud erinevate tsoonide juurdepääsureeglite näited. Viimast reeglit nimetatakse alati “Blokeeri kõik” ja see on tähistatud lukusümboliga (see tähendab, et reeglit ei saa kustutada, muuta, teisaldada, keelata, selle saab lubada ainult logimisvaliku puhul). Seega blokeeritakse selle reegli tõttu kogu selgesõnaliselt keelatud liiklus viimase reegliga. Kui soovite lubada kogu liiklust UserGate'i kaudu (kuigi see pole tungivalt soovitatav), saate alati luua eelviimase reegli "Luba kõik".
Tulemüürireegli redigeerimisel või loomisel esimene Üldine vahekaart, peate tegema järgmist:
-
Märkeruut "Sees" lubab või keela reegli.
-
sisestage reegli nimi.
-
määrake reegli kirjeldus.
-
valige kahe toimingu hulgast:
-
Keela - blokeerib liikluse (selle tingimuse määramisel on võimalik saata ICMP-host kättesaamatuks, peate lihtsalt määrama vastava märkeruudu).
-
Luba – lubab liiklust.
-
-
Stsenaariumiüksus – võimaldab valida stsenaariumi, mis on reegli käivitumise lisatingimus. Nii rakendab UserGate SOAR-i (Security Orchestration, Automation and Response) kontseptsiooni.
-
Logimine – logige liiklusteave reegli käivitamisel. Võimalikud valikud:
-
Logige seansi algus. Sel juhul kirjutatakse liikluslogi ainult info seansi alguse kohta (esimene pakett). See on soovitatav logimisvalik.
-
Logige iga pakett. Sel juhul salvestatakse teave iga edastatud võrgupaketi kohta. Selle režiimi puhul on seadme suure koormuse vältimiseks soovitatav lubada logimislimiit.
-
-
Rakenda reeglit:
-
Kõik paketid
-
killustatud pakettidele
-
killustamata pakenditele
-
-
Uue reegli loomisel saate valida poliitikas koha.
järgmine Vahekaart Allikas. Siin märgime liikluse allika, see võib olla tsoon, kust liiklus tuleb, või saate määrata loendi või konkreetse IP-aadressi (Geoip). Peaaegu kõigis seadmes seadistatavates reeglites saab reeglist objekti luua, näiteks ilma jaotisesse “Tsoonid” minemata saab tsooni loomiseks kasutada nuppu “Loo ja lisa uus objekt”. me vajame. Tavaline on ka märkeruut "Invert", see pöörab reegli tingimuses toimingu vastupidiseks, mis on sarnane loogilise tegevuse eitusega. Sihtkoha vahekaart Sarnaselt allika vahekaardile, kuid liikluse allika asemel määrame liikluse sihtkoha. Vahekaart Kasutajad - selles kohas saate lisada kasutajate või rühmade loendi, mille jaoks see reegel kehtib. Vahekaart Teenus - valige teenuse tüüp juba eelmääratletud hulgast või saate ise määrata. Rakenduse vahekaart - siin valitakse konkreetsed rakendused või rakenduste rühmad. JA Vahekaart Aeg määrake aeg, mil see reegel on aktiivne.
Alates viimasest õppetunnist on meil reegel Interneti-juurdepääsuks tsoonist "Usaldusväärne", nüüd näitan näitena, kuidas luua keelamisreegel ICMP-liikluse jaoks tsoonist "Usaldusväärne" tsooni "Ebausaldusväärne".
Kõigepealt looge reegel, klõpsates nuppu "Lisa". Sisestage avanevas aknas vahekaardil Üldine nimi (Piira ICMP-d usaldusväärsest ebausaldusväärseks), märkige ruut "Sees", valige keelamistoiming ja, mis kõige tähtsam, valige õigesti selle reegli asukoht. Minu poliitika kohaselt tuleks see reegel paigutada reegli „Luba usaldusväärne ebausaldusväärsele” kohale:
Minu ülesande vahekaardil „Allikas” on kaks võimalust.
-
Valides tsooni "Usaldusväärne".
-
Valides kõik tsoonid, välja arvatud "Usaldusväärne" ja märkides linnukese "Inverteeri".
Vahekaart Sihtkoht on konfigureeritud sarnaselt vahekaardile Allikas.
Järgmisena minge vahekaardile "Teenus", kuna UserGate'il on ICMP-liikluse jaoks eelmääratletud teenus, siis klõpsates nuppu "Lisa", valime pakutud loendist teenuse nimega "Iga ICMP":
Võib-olla oli see UserGate'i loojate kavatsus, kuid mul õnnestus luua mitu täiesti identset reeglit. Kuigi loendist käivitatakse ainult esimene reegel, arvan, et võimalus luua sama nimega reegleid, mis on funktsionaalsuselt erinevad, võib tekitada segadust, kui töötab mitu seadme administraatorit.
NAT ja marsruutimine
NAT-reeglite loomisel näeme mitut sarnast vahekaarti, nagu tulemüüri puhul. Väli "Tüüp" ilmus vahekaardile "Üldine", mis võimaldab teil valida, mille eest see reegel vastutab:
-
NAT – võrguaadressi tõlkimine.
-
DNAT – suunab liikluse ümber määratud IP-aadressile.
-
Pordi suunamine – suunab liikluse ümber määratud IP-aadressile, kuid võimaldab muuta avaldatud teenuse pordi numbrit
-
Poliitikapõhine marsruutimine – võimaldab marsruutida IP-pakette laiendatud teabe, näiteks teenuste, MAC-aadresside või serverite (IP-aadresside) põhjal.
-
Võrgu kaardistamine – võimaldab asendada ühe võrgu lähte- või sihtkoha IP-aadressid teise võrguga.
Pärast sobiva reegli tüübi valimist on selle sätted saadaval.
Väljal SNAT IP (väline aadress) määrame selgesõnaliselt IP-aadressi, millega lähteaadress asendatakse. See väli on kohustuslik, kui sihttsoonis on liidestele määratud mitu IP-aadressi. Kui jätate selle välja tühjaks, kasutab süsteem sihttsooni liidestele määratud saadaolevate IP-aadresside loendist juhuslikku aadressi. UserGate soovitab tulemüüri jõudluse parandamiseks määrata SNAT IP.
Näiteks avaldan "DMZ" tsoonis asuva Windowsi serveri SSH-teenuse, kasutades "pordi edastamise" reeglit. Selleks klõpsake nuppu "Lisa" ja täitke vahekaart "Üldine", määrake reegli nimi "SSH to Windows" ja tüüp "Port forwarding":
Valige vahekaardil "Allikas" tsoon "Ebausaldusväärne" ja minge vahekaardile "Pordi edastamine". Siin peame määrama protokolli "TCP" (saadaval on neli võimalust - TCP, UDP, SMTP, SMTPS). Algne sihtport 9922 — pordi number, kuhu kasutajad päringud saadavad (porte: 2200, 8001, 4369, 9000-9100 ei saa kasutada). Uus sihtport (22) on pordi number, kuhu suunatakse kasutaja päringud sisemisele avaldatud serverile.
Vahekaardil "DNAT" määrake kohtvõrgus oleva arvuti IP-aadress, mis on avaldatud Internetis (192.168.3.2). Ja saate valikuliselt lubada SNAT-i, siis muudab UserGate välisvõrgu pakettide lähteaadressi oma IP-aadressiks.
Pärast kõiki seadistusi saadakse reegel, mis võimaldab juurdepääsu tsoonist "Ebausaldusväärne" SSH-protokolli kaudu serverile IP-aadressiga 192.168.3.2, kasutades ühenduse loomisel välist UserGate'i aadressi.
Läbilaskevõime
See jaotis määratleb ribalaiuse juhtimise reeglid. Neid saab kasutada teatud kasutajate, hostide, teenuste ja rakenduste kanali piiramiseks.
Reegli loomisel määravad vahekaartidel olevad tingimused liikluse, millele piiranguid rakendatakse. Ribalaiuse saab valida pakutud hulgast või määrata ise. Ribalaiuse loomisel saate määrata DSCP liikluse prioriseerimise sildi. Näide DSCP-siltide rakendamisest: määrates reeglis stsenaariumi, mille puhul seda reeglit rakendatakse, saab see reegel neid silte automaatselt muuta. Veel üks näide skripti toimimisest: reegel töötab kasutaja jaoks ainult siis, kui tuvastatakse torrent või liikluse hulk ületab määratud limiidi. Ülejäänud vahelehed täidetakse samamoodi nagu teistes poliitikates, lähtudes liikluse tüübist, millele reeglit rakendada.
Järeldus
Selles artiklis käsitlesin reeglite loomist jaotistes Tulemüür, NAT ja marsruutimine ning Bandwidth. Ja kohe artikli alguses kirjeldas ta UserGate'i poliitikate loomise reegleid, samuti reegli loomise tingimuste põhimõtet.
Olge kursis meie kanalite uudistega (, , , )!
Allikas: www.habr.com