3. UserGate Lehen urratsak. Sare-politikak

Ongietorria ematen diet irakurleei UserGate Getting Started artikulu saileko hirugarren artikuluari, konpainiaren NGFW irtenbideari buruz hitz egiten duena. UserGate. Azken artikuluan suebaki bat instalatzeko prozesua deskribatu zen eta hasierako konfigurazioa egin zen. Oraingoz, arretaz aztertuko dugu arauak sortzea suebakia, NAT eta bideratzea eta banda zabalera bezalako ataletan.

UserGate arauen ideologia, hala nola, arauak goitik behera exekutatzen dira, funtzionatzen duen lehenengora arte. Aurrekoan oinarrituta, arau zehatzagoak arau orokorragoak baino altuagoak izan behar direla ondorioztatzen da. Baina kontuan izan behar da, arauak ordenan egiaztatzen direnez, errendimendu aldetik hobe dela arau orokorrak sortzea. Edozein arau sortzean, baldintzak "ETA" logikaren arabera aplikatzen dira. "OR" logika erabiltzea beharrezkoa bada, hainbat arau sortuz lortzen da. Beraz, artikulu honetan deskribatzen dena beste UserGate politika batzuei ere aplikatzen zaie.

Firewall

UserGate instalatu ondoren, dagoeneko politika sinple bat dago "Suebakia" atalean. Lehenengo bi arauek botnetentzako trafikoa debekatzen dute. Jarraian zona ezberdinetako sarbide-arauen adibideak dira. Azken arauari "Blokeatu guztiak" deitzen zaio beti eta blokeoaren ikur batekin markatzen da (esan nahi du araua ezin dela ezabatu, aldatu, mugitu, desgaitu, erregistro aukerarako soilik gaitu daitekeela). Beraz, arau hori dela eta, esplizituki onartzen ez den trafiko guztiak blokeatuko ditu azken arauak. UserGate bidez trafiko guztia baimendu nahi baduzu (nahiz eta gomendagarria izan), beti sor dezakezu azkenaurreko araua "Baimendu guztiak".

Suebaki-araua editatzean edo sortzean, lehenengoa Fitxa orokorra, honako hau egin behar duzu: 

• "Aktibatuta" kontrol-laukia gaitu edo desgaitu araua.

• sartu arauaren izena.

• ezarri arauaren deskribapena.

• aukeratu bi ekintzaren artean:

  • Ukatu - trafikoa blokeatzen du (baldintza hau ezartzean, posible da ICMP ostalaria eskuraezina bidaltzea, kontrol-lauki egokia ezarri besterik ez duzu behar).

  • Baimendu - trafikoa baimentzen du.

• Eszenarioaren elementua - eszenatoki bat hautatzeko aukera ematen du, hau da, araua su egiteko baldintza gehigarria. Horrela inplementatzen du UserGate-k SOAR (Segurtasun Orkestrazioa, Automatizazioa eta Erantzuna) kontzeptua.

• Erregistroa — idatzi trafikoari buruzko informazioa erregistroan araua abiarazten denean. Aukera posibleak:

  • Saioaren hasiera erregistratu. Kasu honetan, saioaren hasierari buruzko informazioa (lehen paketea) soilik idatziko da trafiko-erregistroan. Hau da erregistratzeko aukera gomendatua.

  • Erregistratu pakete bakoitza. Kasu honetan, transmititutako sare-pakete bakoitzari buruzko informazioa grabatuko da. Modu honetarako, erregistro-muga gaitzea gomendatzen da gailuaren karga handia saihesteko.

• Aplikatu araua:

  • Pakete guztiak

  • zatitutako paketeetara

  • zatitu gabeko paketeetara

• Arau berri bat sortzean, gidalerroan leku bat hauta dezakezu.

Hurrengoa Iturria fitxa. Hemen trafikoaren iturria adierazten dugu, trafikoa datorren zona izan daiteke, edo zerrenda bat edo ip-helbide zehatz bat (Geoip) zehaztu dezakezu. Gailuan ezar daitezkeen ia arau guztietan, objektu bat sor daiteke arau batetik, adibidez, "Zonak" atalera joan gabe, "Sortu eta gehitu objektu berri bat" botoia erabil dezakezu zona sortzeko. behar dugu. "Inbertitu" kontrol-laukia ere aurkitu ohi da, arauaren egoeran ekintza alderantzikatzen du, ekintza logikoaren ezeztapenaren antzekoa dena. Helmuga fitxa iturburu fitxaren antzekoa, baina trafikoaren iturburuaren ordez, trafikoaren helmuga ezartzen dugu. Erabiltzaileak fitxa - Leku honetan arau hau aplikatzen zaien erabiltzaile edo taldeen zerrenda gehi dezakezu. Zerbitzuaren fitxa - hautatu aurrez zehaztutako zerbitzu motatik edo zurea ezar dezakezu. Aplikazioaren fitxa - Aplikazio edo aplikazio talde zehatzak hautatzen dira hemen. ETA Denbora fitxa arau hau aktibo dagoen unea zehaztu. 

Azken ikasgaitik, "Konfiantza" eremutik Internetera sartzeko arau bat dugu, orain adibide gisa erakutsiko dut nola sortu ICMP trafikorako ukatze-arau bat "Konfiantza" eremutik "Konfiantzarik gabeko" eremura.

Lehenik eta behin, sortu arau bat "Gehitu" botoian klik eginez. Irekitzen den leihoan, fitxa orokorrean, bete izena (Mugatu ICMP fidagarritik fidagarri izatera), markatu "Aktibatuta" kontrol-laukia, hautatu desgaitu ekintza eta, batez ere, aukeratu arau honen kokapen zuzena. Nire gidalerroen arabera, arau hau "Baimendu fidagarriak ez fidagarriak" arauaren gainean jarri behar dira:

Nire zereginaren "Iturria" fitxan, bi aukera daude:

• "Konfiantzazko" eremua hautatuz

• Zona guztiak hautatuz "Fidagarria" izan ezik eta "Inbertitu" kontrol-laukia markatuz

Helmuga fitxa Iturburua fitxaren antzera konfiguratuta dago.

Ondoren, joan "Zerbitzua" fitxara, UserGate-k ICMP trafikorako aurredefinitutako zerbitzu bat duenez gero, "Gehitu" botoian klik eginez, "Edozein ICMP" izena duen zerbitzu bat hautatuko dugu proposatutako zerrendatik:

Agian hori izan zen UserGate-ren sortzaileen asmoa, baina hainbat arau guztiz berdinak sortzea lortu nuen. Zerrendako lehen araua bakarrik exekutatuko den arren, funtzionalitatez desberdinak diren izen bereko arauak sortzeko gaitasunak nahasmena sor dezakeela uste dut hainbat gailu administratzaile lan egiten dutenean.

NAT eta bideratzea

NAT arauak sortzean, antzeko hainbat fitxa ikusten ditugu, suebakiarena bezala. "Mota" eremua "Orokorra" fitxan agertu zen, arau honek zer ardura duen aukeratzeko aukera ematen du:

• NAT - Sareko Helbideen Itzulpena.

• DNAT - Zehaztutako IP helbidera birbideratzen du trafikoa.

• Portuak birbidaltzea: trafikoa zehaztutako IP helbidera birbideratzen du, baina argitaratutako zerbitzuaren ataka-zenbakia aldatzeko aukera ematen du

• Politikan oinarritutako bideratzea - ​​Informazio hedatuan oinarrituta IP paketeak bideratzeko aukera ematen du, hala nola zerbitzuak, MAC helbideak edo zerbitzariak (IP helbideak).

• Sareko mapak - Sare baten iturburuko edo helmugako IP helbideak beste sare batekin ordezkatzeko aukera ematen du.

Arau mota egokia hautatu ondoren, horren ezarpenak erabilgarri egongo dira.

SNAT IP (kanpoko helbidea) eremuan, esplizituki zehazten dugu iturburu-helbidea zein IP helbidea ordeztuko den. Eremu hau beharrezkoa da helmuga eremuan interfazeei hainbat IP helbide esleituta daudenean. Eremu hau hutsik uzten baduzu, sistemak ausazko helbide bat erabiliko du helmuga eremuko interfazeei esleitutako IP helbide erabilgarrien zerrendatik. UserGate-k SNAT IP zehaztea gomendatzen du suebakiaren errendimendua hobetzeko.

Adibidez, "DMZ" eremuan dagoen Windows zerbitzari baten SSH zerbitzua argitaratuko dut "port-forwarding" araua erabiliz. Horretarako, egin klik "Gehitu" botoian eta bete "Orokorra" fitxa, zehaztu arauaren izena "SSH Windows-era" eta "Porta birbidaltzea" mota:

"Iturria" fitxan, hautatu "Konfiantzarik gabeko" eremua eta joan "Portuak birbidaltzea" fitxara. Hemen "TCP" protokoloa zehaztu behar dugu (lau aukera daude eskuragarri - TCP, UDP, SMTP, SMTPS). Jatorrizko helmugako ataka 9922 — erabiltzaileek eskaerak bidaltzen dituzten ataka-zenbakia (portuak: 2200, 8001, 4369, 9000-9100 ezin dira erabili). Helmugako ataka berria (22) argitaratutako barne zerbitzariari erabiltzaileen eskaerak birbidaliko zaizkion ataka-zenbakia da.

"DNAT" fitxan, ezarri ordenagailuaren ip-helbidea sare lokalean, Interneten argitaratzen dena (192.168.3.2). Eta aukeran SNAT gaitu dezakezu, orduan UserGate-k iturburu helbidea paketeetan aldatuko du kanpoko saretik bere IP helbidera.

Ezarpen guztiak egin ondoren, SSH protokoloaren bidez 192.168.3.2 ip helbidea duen zerbitzarirako "Fidagarritasunik gabeko" eremutik sarbidea ahalbidetzen duen arau bat lortzen da, konektatzean kanpoko UserGate helbidea erabiliz.

throughput

Atal honek banda zabalera kontrolatzeko arauak definitzen ditu. Erabiltzaile, ostalari, zerbitzu, aplikazio jakin batzuen kanala mugatzeko erabil daitezke.

Arau bat sortzean, fitxetako baldintzek mugak aplikatzen zaizkien trafikoa zehazten dute. Band-zabalera proposatutakotik hauta daiteke, edo zurea ezarri. Banda-zabalera sortzean, DSCP trafikoa lehenesteko etiketa bat zehaztu dezakezu. DSCP etiketak aplikatzen direnen adibide bat: arau batean arau hori aplikatzen den eszenatokia zehaztuz gero, arau honek automatikoki alda ditzake etiketa horiek. Gidoia funtzionatzen duen beste adibide bat: arauak erabiltzailearentzat soilik funtzionatuko du torrent bat detektatzen denean edo trafiko-kopuruak zehaztutako muga gainditzen duenean. Gainerako fitxak beste politika batzuetan bezala betetzen dira, araua aplikatu behar zaion trafiko motaren arabera.

Ondorioa

Artikulu honetan, Firewall, NAT eta Bideraketa eta Banda-zabalera ataletan arauak sortzea landu dut. Eta artikuluaren hasieran, UserGate politikak sortzeko arauak deskribatu zituen, baita arau bat sortzeko baldintzen printzipioa ere. 

Egon adi gure kanaletako eguneraketak (Telegrama, Facebook, VK, TS Solution Bloga)!

Iturria: www.habr.com