به خوانندگان به مقاله سوم از سری مقالات UserGate Getting Started که در مورد راه حل NGFW شرکت صحبت می کند، خوش آمدید. . مقاله قبلی مراحل نصب فایروال و پیکربندی اولیه آن را شرح داد. اکنون نگاهی دقیق تر به ایجاد قوانین در بخش هایی مانند "فایروال"، "NAT و مسیریابی" و "پهنای باند" خواهیم داشت.
ایدئولوژی قوانین UserGate این است که قوانین از بالا به پایین تا اولین موردی که کار می کند اجرا می شود. با توجه به موارد فوق، نتیجه می شود که قوانین خاص تر باید بالاتر از قوانین عمومی تر باشد. اما باید توجه داشت که از آنجایی که قوانین به ترتیب بررسی می شوند، از نظر عملکرد بهتر است قوانین کلی ایجاد شود. شرایط هنگام ایجاد هر قانون مطابق با منطق "AND" اعمال می شود. در صورت لزوم استفاده از منطق "OR"، این امر با ایجاد چندین قانون به دست می آید. بنابراین آنچه در این مقاله توضیح داده شده است در مورد سایر سیاست های UserGate نیز صدق می کند.
دیواره آتش
پس از نصب UserGate، از قبل یک سیاست ساده در بخش "Firewall" وجود دارد. دو قانون اول ترافیک به بات نت ها را رد می کند. در زیر نمونه هایی از قوانین دسترسی از مناطق مختلف آورده شده است. آخرین قانون همیشه "مسدود کردن همه" نامیده می شود و با نماد قفل مشخص می شود (یعنی این قانون قابل حذف، تغییر، جابجایی، غیرفعال شدن نیست، فقط می توانید گزینه ورود به سیستم را برای آن فعال کنید). بنابراین، به دلیل این قانون، تمام ترافیکی که صراحتاً مجاز نیست، توسط آخرین قانون مسدود می شود. اگر میخواهید همه ترافیک را از طریق UserGate مجاز کنید (اگرچه اکیداً توصیه نمیشود)، همیشه میتوانید قانون ماقبل آخر «Allow all» را ایجاد کنید.
هنگام ویرایش یا ایجاد یک قانون فایروال، اولین برگه عمومی، باید مراحل زیر را روی آن انجام دهید:
-
برای فعال یا غیرفعال کردن این قانون از کادر انتخاب «روشن» استفاده کنید.
-
نام قانون را وارد کنید
-
شرحی از قانون تنظیم کنید
-
از بین دو عمل انتخاب کنید:
-
Deny - ترافیک را مسدود می کند (وقتی این شرط تنظیم شود، امکان ارسال هاست ICMP غیرقابل دسترسی وجود دارد، فقط باید چک باکس مناسب را تنظیم کنید).
-
Allow—به ترافیک اجازه می دهد.
-
-
مورد سناریو - به شما امکان می دهد یک سناریو را انتخاب کنید، که یک شرط اضافی برای راه اندازی قانون است. اینگونه است که UserGate مفهوم SOAR (ارکستراسیون امنیتی، اتوماسیون و پاسخ) را پیاده سازی می کند.
-
ورود به سیستم - اطلاعات مربوط به ترافیک را هنگام اجرای یک قانون ثبت کنید. گزینه های ممکن:
-
شروع جلسه را ثبت کنید. در این صورت فقط اطلاعات مربوط به شروع جلسه (اولین بسته) در گزارش ترافیک ثبت می شود. این گزینه ورود به سیستم توصیه شده است.
-
ثبت هر بسته در این صورت اطلاعات مربوط به هر بسته شبکه ارسالی ثبت می شود. برای این حالت، توصیه می شود برای جلوگیری از بار بالای دستگاه، محدودیت ورود به سیستم را فعال کنید.
-
-
قانون را در موارد زیر اعمال کنید:
-
همه بسته ها
-
به بسته های تکه تکه شده
-
به بسته های تکه تکه نشده
-
-
هنگام ایجاد یک قانون جدید، می توانید مکانی را در خط مشی انتخاب کنید.
بعد برگه "منبع".. در اینجا منبع ترافیک را نشان می دهیم؛ این می تواند منطقه ای باشد که ترافیک از آن می آید، یا می توانید یک لیست یا یک آدرس IP خاص (Geoip) را مشخص کنید. تقریباً در تمام قوانینی که می توان در یک دستگاه تنظیم کرد، می توان یک شی را از روی یک قانون ایجاد کرد، به عنوان مثال، بدون رفتن به بخش Zones، می توانید از دکمه «ایجاد و اضافه کردن یک شی جدید» برای ایجاد منطقه استفاده کنید. نیاز داریم. چک باکس «Invert» نیز اغلب با آن مواجه میشود؛ عمل در شرط قانون را به خلاف آن تغییر میدهد، که شبیه عمل منطقی نفی است. برگه مقصد مشابه تب منبع، فقط به جای منبع ترافیک، مقصد ترافیک را تعیین می کنیم. برگه کاربران — در این مکان می توانید لیستی از کاربران یا گروه هایی که این قانون برای آنها اعمال می شود اضافه کنید. برگه خدمات - نوع سرویس را از سرویس از پیش تعریف شده انتخاب کنید یا می توانید نوع خدمات خود را تنظیم کنید. برگه برنامه - در اینجا برنامه های خاص یا گروه هایی از برنامه ها انتخاب می شوند. و برگه زمان زمان فعال بودن این قانون را نشان می دهد.
از آخرین درس، ما یک قانون برای دسترسی به اینترنت از منطقه "Trust" داریم، اکنون به عنوان مثال نحوه ایجاد یک قانون رد برای ترافیک ICMP از منطقه "Trust" به منطقه "Untrusted" را نشان می دهم. .
ابتدا با کلیک بر روی دکمه "افزودن" یک قانون ایجاد کنید. در پنجره ای که باز می شود، در برگه عمومی، نام را وارد کنید (ممنوع کردن ICMP از قابل اعتماد به غیرقابل اعتماد)، کادر "روشن" را علامت بزنید، عمل مسدود کردن را انتخاب کنید و مهمتر از همه، مکان صحیح این قانون را انتخاب کنید. طبق خطمشی من، این قانون باید بالای قانون «اجازه دادن به اعتماد به غیرقابل اعتماد» قرار گیرد:
در تب "منبع"، دو گزینه برای کار من وجود دارد:
-
انتخاب منطقه "معتمد".
-
انتخاب همه مناطق به جز "Trusted" و علامت زدن کادر "Invert".
برگه "مقصد" به طور مشابه با برگه "منبع" پیکربندی شده است.
در مرحله بعد، به تب "سرویس" می رویم، زیرا UserGate یک سرویس از پیش تعریف شده برای ترافیک ICMP دارد، سپس با کلیک بر روی دکمه "افزودن"، از لیست پیشنهادی سرویسی به نام "Any ICMP" را انتخاب می کنیم:
شاید هدف سازندگان UserGate این باشد، اما من توانستم چندین قانون کاملاً یکسان ایجاد کنم. اگرچه تنها اولین قانون از لیست اجرا می شود، من فکر می کنم توانایی ایجاد قوانین با عملکردهای مختلف با همان نام می تواند باعث سردرگمی در هنگام کار چندین مدیر دستگاه شود.
NAT و مسیریابی
هنگام ایجاد قوانین NAT، چندین تب مشابه برای فایروال می بینیم. در برگه "عمومی"، فیلد "نوع" ظاهر شده است؛ به شما امکان می دهد انتخاب کنید که این قانون مسئول چه چیزی است:
-
NAT - ترجمه آدرس شبکه.
-
DNAT - ترافیک را به آدرس IP مشخص شده هدایت می کند.
-
حمل و نقل پورت - ترافیک را به یک آدرس IP مشخص هدایت می کند، اما به شما امکان می دهد شماره پورت سرویس منتشر شده را تغییر دهید.
-
مسیریابی مبتنی بر خط مشی - به بسته های IP اجازه می دهد بر اساس اطلاعات پیشرفته مانند سرویس ها، آدرس های MAC یا سرورها (آدرس IP) مسیریابی شوند.
-
نقشه برداری شبکه - به شما امکان می دهد آدرس های IP مبدا یا مقصد یک شبکه را با شبکه دیگری جایگزین کنید.
پس از انتخاب نوع قانون مناسب، تنظیمات مربوط به آن در دسترس خواهد بود.
در قسمت SNAT IP (آدرس خارجی) به صراحت آدرس IP را که آدرس منبع جایگزین می شود نشان می دهیم. اگر چندین آدرس IP به رابط های منطقه مقصد اختصاص داده شده باشد، این فیلد ضروری است. اگر این فیلد را خالی بگذارید، سیستم از یک آدرس تصادفی از لیست آدرس های IP موجود اختصاص داده شده به واسط های منطقه مقصد استفاده می کند. UserGate توصیه می کند که IP SNAT را برای بهبود عملکرد فایروال مشخص کنید.
به عنوان مثال، من یک سرویس SSH را در یک سرور ویندوز واقع در منطقه "DMZ" با استفاده از قانون "پورت فوروارد" منتشر خواهم کرد. برای انجام این کار، روی دکمه "افزودن" کلیک کنید و برگه "General" را پر کنید، نام قانون "SSH to Windows" و نوع "Port forwarding" را مشخص کنید:
در برگه "منبع"، منطقه "Untrusted" را انتخاب کنید و به برگه "Port Forwarding" بروید. در اینجا ما باید پروتکل "TCP" را مشخص کنیم (چهار گزینه موجود است - TCP، UDP، SMTP، SMTPS). پورت مقصد اصلی 9922 است - شماره پورتی که کاربران درخواست ها را به آن ارسال می کنند (پورت ها قابل استفاده نیستند: 2200، 8001، 4369، 9000-9100). پورت مقصد جدید (22) - شماره پورتی که درخواست های کاربر به سرور منتشر شده داخلی به آن ارسال می شود.
در برگه "DNAT"، آدرس IP رایانه را در شبکه محلی تنظیم کنید که در اینترنت منتشر شده است (192.168.3.2). و به صورت اختیاری می توانید SNAT را فعال کنید، سپس UserGate آدرس منبع در بسته ها را از شبکه خارجی به آدرس IP آن تغییر می دهد.
پس از تمام تنظیمات، قانونی دریافت می کنید که به شما امکان می دهد هنگام اتصال، با استفاده از آدرس UserGate خارجی، از منطقه "Untrusted" به سروری با آدرس IP 192.168.3.2 از طریق SSH دسترسی پیدا کنید.
توان
این بخش قوانینی را برای مدیریت پهنای باند مشخص می کند. آنها می توانند برای محدود کردن کانال برخی از کاربران، میزبان ها، خدمات، برنامه ها استفاده شوند.
هنگام ایجاد یک قانون، شرایط موجود در برگه ها ترافیکی را که محدودیت اعمال می شود تعیین می کند. شما می توانید پهنای باند را از بین موارد ارائه شده انتخاب کنید، یا پهنای باند خود را تنظیم کنید. هنگام ایجاد پهنای باند، می توانید یک برچسب اولویت بندی ترافیک DSCP را مشخص کنید. مثالی از زمانی که برچسبهای DSCP اعمال میشوند: با مشخص کردن سناریویی که در یک قانون در آن اعمال میشود، این قانون میتواند به طور خودکار این برچسبها را تغییر دهد. مثال دیگری از نحوه کار اسکریپت: این قانون تنها زمانی برای کاربر کار می کند که تورنت شناسایی شود یا میزان ترافیک از حد مشخص شده بیشتر شود. برگههای باقیمانده را مانند سایر خطمشیها، بر اساس نوع ترافیکی که این قانون باید اعمال شود، پر میکنیم.
نتیجه
در این مقاله، من به ایجاد قوانین در بخش های "دیوار آتش"، "NAT و مسیریابی" و "پهنای باند" نگاه کردم. و در همان ابتدای مقاله قوانین ایجاد سیاست های UserGate و همچنین اصل عملکرد شرایط هنگام ایجاد یک قانون را شرح دادم.
کانال های ما را برای به روز رسانی دنبال کنید (, , , )!
منبع: www.habr.com