3. UserGate Aloitus. Verkkokäytännöt

Tervetuloa lukijat UserGate Getting Started -artikkelisarjan kolmanteen artikkeliin, joka kertoo yrityksen NGFW-ratkaisusta UserGate. Edellisessä artikkelissa kuvattiin palomuurin asennusprosessi ja suoritettiin sen alkuasetukset. Nyt tarkastellaan tarkemmin sääntöjen luomista osioissa, kuten "Palomuuri", "NAT ja reititys" ja "Kaistanleveys".

UserGate-sääntöjen ideologia on, että säännöt suoritetaan ylhäältä alas, ensimmäiseen toimivaan. Edellä esitetyn perusteella seuraa, että tarkempien sääntöjen tulisi olla yleisempiä sääntöjä korkeampia. Mutta on huomattava, että koska säännöt tarkistetaan järjestyksessä, suorituskyvyn kannalta on parempi luoda yleiset säännöt. Mitä tahansa sääntöä luotaessa ehtoja sovelletaan "AND"-logiikan mukaisesti. Jos on tarpeen käyttää "OR"-logiikkaa, tämä saavutetaan luomalla useita sääntöjä. Joten tässä artikkelissa kuvattu koskee muita UserGate-käytäntöjä.

palomuuri

UserGaten asennuksen jälkeen "Palomuuri" -osiossa on jo yksinkertainen käytäntö. Kaksi ensimmäistä sääntöä estävät liikenteen bottiverkkoihin. Seuraavassa on esimerkkejä pääsysäännöistä eri vyöhykkeiltä. Viimeistä sääntöä kutsutaan aina nimellä "Estä kaikki" ja se on merkitty riippulukkosymbolilla (se tarkoittaa, että sääntöä ei voi poistaa, muokata, siirtää, poistaa käytöstä, voit ottaa käyttöön vain kirjausvaihtoehdon). Siten tämän säännön vuoksi viimeinen sääntö estää kaiken liikenteen, jota ei ole erikseen sallittu. Jos haluat sallia kaiken liikenteen UserGaten kautta (vaikka tämä ei ole vahvasti suositeltavaa), voit aina luoda toiseksi viimeisen "Salli kaikki" -säännön.

Kun muokkaat tai luot palomuurisääntöä, ensimmäinen Yleiset-välilehti, sinun on suoritettava sille seuraavat vaiheet: 

• Käytä "Päällä"-valintaruutua ottaaksesi säännön käyttöön tai poistaaksesi sen käytöstä.

• syötä säännön nimi.

• aseta säännön kuvaus.

• valitse kahdesta toiminnosta:

  • Estä - estää liikenteen (kun tämä ehto on asetettu, on mahdollista lähettää ICMP-isäntä tavoittamattomana, sinun tarvitsee vain asettaa asianmukainen valintaruutu).

  • Salli – sallii liikenteen.

• Skenaariokohde – voit valita skenaarion, joka on lisäehto säännön käynnistymiselle. Näin UserGate toteuttaa SOAR (Security Orchestration, Automation and Response) -konseptin.

• Kirjaaminen — kirjaa tiedot liikenteestä, kun sääntö käynnistyy. Mahdolliset vaihtoehdot:

  • Kirjaa istunnon alku. Tässä tapauksessa vain tiedot istunnon alkamisesta (ensimmäinen paketti) tallennetaan liikennelokiin. Tämä on suositeltu kirjausvaihtoehto.

  • Kirjaa jokainen paketti. Tässä tapauksessa tiedot jokaisesta lähetetystä verkkopaketista tallennetaan. Tässä tilassa on suositeltavaa ottaa lokiraja käyttöön laitteen suuren kuormituksen estämiseksi.

• Käytä sääntöä:

  • Kaikki paketit

  • pirstoutuneille paketeille

  • pirstoutumattomiin paketeihin

• Kun luot uuden säännön, voit valita sijainnin käytännöstä.

seuraava "Lähde" ​​-välilehti. Tässä ilmoitamme liikenteen lähteen; tämä voi olla vyöhyke, josta liikenne tulee, tai voit määrittää luettelon tai tietyn IP-osoitteen (Geoip). Lähes kaikissa laitteessa määriteltävissä säännöissä objekti voidaan luoda säännöstä, esimerkiksi siirtymättä "Vyöhykkeet"-osioon, voit käyttää "Luo ja lisää uusi objekti" -painiketta vyöhykkeen luomiseen. me tarvitsemme. Usein kohdataan myös "Käännä"-valintaruutu, joka muuttaa sääntöehdon toiminnan päinvastaiseksi, mikä on samanlainen kuin negation looginen toiminta. Kohde-välilehti samoin kuin lähde-välilehti, vain liikenteen lähteen sijaan asetamme liikenteen määränpään. Käyttäjät-välilehti — tähän paikkaan voit lisätä luettelon käyttäjistä tai ryhmistä, joita tämä sääntö koskee. Huolto-välilehti — valitse palvelun tyyppi jo valmiista tai voit määrittää oman. Sovellus-välilehti — Tässä valitaan tietyt sovellukset tai sovellusryhmät. JA Aika-välilehti osoittavat ajan, jolloin tämä sääntö on aktiivinen. 

Viimeisestä oppitunnista meillä on sääntö Internetiin pääsylle "Luottamus"-vyöhykkeeltä, nyt näytän esimerkkinä, kuinka luodaan estosääntö ICMP-liikenteelle "Trust"-vyöhykkeeltä "Ei-luotettavalle"-vyöhykkeelle.

Luo ensin sääntö napsauttamalla "Lisää" -painiketta. Täytä avautuvassa ikkunassa Yleiset-välilehdellä nimi (Estä ICMP luotetusta epäluotettaviksi), valitse "Päällä" -valintaruutu, valitse estettävä toiminto ja mikä tärkeintä, valitse oikea sijainti tälle säännölle. Käytäntöni mukaan tämän säännön tulisi sijaita "Salli luotetuista epäluotetuille" -säännön yläpuolella:

Lähde-välilehdellä on kaksi vaihtoehtoa tehtävälleni:

• Valitse "Luotettava" vyöhyke

• Valitse kaikki vyöhykkeet paitsi "Luotettava" ja valitse "Käännä" -valintaruutu

"Kohde"-välilehti on määritetty samalla tavalla kuin "Lähde"-välilehti.

Seuraavaksi siirrymme "Palvelu" -välilehteen, koska UserGatella on ennalta määritetty palvelu ICMP-liikenteelle, sitten napsauttamalla "Lisää" -painiketta valitsemme ehdotetusta luettelosta palvelun nimeltä "Any ICMP":

Ehkä tämä on se, mitä UserGaten luojat tarkoittivat, mutta pystyin luomaan useita täysin identtisiä sääntöjä. Vaikka vain ensimmäinen sääntö luettelosta suoritetaan, uskon, että mahdollisuus luoda eri toiminnallisia sääntöjä samalla nimellä voi aiheuttaa hämmennystä, kun useat laitteen järjestelmänvalvojat työskentelevät.

NAT ja reititys

Kun luot NAT-sääntöjä, näemme useita samanlaisia ​​välilehtiä kuin palomuurissa. "Yleiset"-välilehdelle on ilmestynyt "Tyyppi"-kenttä, jonka avulla voit valita, mistä tämä sääntö vastaa:

• NAT - Verkko-osoitteiden käännös.

• DNAT - Ohjaa liikenteen määritettyyn IP-osoitteeseen.

• Portin edelleenohjaus – Ohjaa liikenteen tiettyyn IP-osoitteeseen, mutta sallii sinun muuttaa julkaistun palvelun porttinumeroa

• Käytäntöpohjainen reititys – Mahdollistaa IP-pakettien reitityksen kehittyneiden tietojen, kuten palvelujen, MAC-osoitteiden tai palvelimien (IP-osoitteiden) perusteella.

• Verkkokartoitus - Voit korvata yhden verkon lähde- tai kohde-IP-osoitteet toisella verkolla.

Kun olet valinnut sopivan sääntötyypin, sen asetukset ovat käytettävissä.

SNAT IP (ulkoinen osoite) -kentässä ilmoitamme nimenomaisesti IP-osoitteen, johon lähdeosoite korvataan. Tämä kenttä on pakollinen, jos kohdevyöhykkeen liitäntöille on määritetty useita IP-osoitteita. Jos jätät tämän kentän tyhjäksi, järjestelmä käyttää satunnaista osoitetta käytettävissä olevien IP-osoitteiden luettelosta, joka on määritetty kohdevyöhykkeen liitäntöihin. UserGate suosittelee SNAT IP:n määrittämistä palomuurin suorituskyvyn parantamiseksi.

Esimerkiksi julkaisen SSH-palvelun Windows-palvelimella, joka sijaitsee "DMZ"-vyöhykkeellä "port forwarding" -säännön avulla. Napsauta "Lisää" -painiketta ja täytä "Yleiset"-välilehti, määritä säännön nimi "SSH to Windows" ja tyyppi "Portin edelleenlähetys":

Valitse "Lähde"-välilehdeltä "Ei-luotettava" vyöhyke ja siirry "Port Forwarding" -välilehteen. Tässä meidän on määritettävä "TCP"-protokolla (käytettävissä on neljä vaihtoehtoa - TCP, UDP, SMTP, SMTPS). Alkuperäinen kohdeportti on 9922 – portin numero, johon käyttäjät lähettävät pyyntöjä (portteja ei voi käyttää: 2200, 8001, 4369, 9000-9100). Uusi kohdeportti (22) - portin numero, johon käyttäjän sisäisen julkaistun palvelimen pyynnöt välitetään.

Aseta ”DNAT”-välilehdellä lähiverkossa olevan tietokoneen IP-osoite, joka on julkaistu Internetissä (192.168.3.2). Ja valinnaisesti voit ottaa SNAT:n käyttöön, jolloin UserGate muuttaa pakettien lähdeosoitteen ulkoisesta verkosta IP-osoitteeseen.

Kaikkien asetusten jälkeen saat säännön, jonka avulla pääset "Epäluotettavalta" vyöhykkeeltä palvelimelle, jonka IP-osoite on 192.168.3.2 SSH:n kautta, käyttämällä ulkoista UserGate-osoitetta yhteyden muodostamisessa.

kapasiteetti

Tämä osio määrittää säännöt kaistanleveyden hallintaa varten. Niitä voidaan käyttää rajoittamaan tiettyjen käyttäjien, isäntien, palveluiden ja sovellusten kanavia.

Sääntöä luotaessa välilehtien ehdot määrittävät liikenteen, jota rajoitukset koskevat. Voit valita kaistanleveyden tarjotuista tai määrittää oman. Kun luot kaistanleveyttä, voit määrittää DSCP-liikenteen priorisointitunnisteen. Esimerkki DSCP-tunnisteiden käytöstä: määrittämällä säännössä skenaario, jossa tätä sääntöä sovelletaan, tämä sääntö voi muuttaa näitä tarroja automaattisesti. Toinen esimerkki komentosarjan toiminnasta: sääntö toimii käyttäjälle vain, kun torrent havaitaan tai liikenteen määrä ylittää tietyn rajan. Täytämme loput välilehdet samalla tavalla kuin muissa käytännöissä sen liikenteen tyypin mukaan, johon sääntöä tulee soveltaa.

Johtopäätös

Tässä artikkelissa tarkastelin sääntöjen luomista osioissa "Palomuuri", "NAT ja reititys" ja "Kaistanleveys". Ja aivan artikkelin alussa kuvailin UserGate-käytäntöjen luomisen sääntöjä sekä ehtojen toimintaperiaatetta sääntöä luotaessa. 

Pysy kuulolla kanavien päivityksistä (Telegram, Facebook, VK, TS Solution -blogi)!

Lähde: will.com