Ik wolkom lêzers by it tredde artikel yn 'e UserGate Getting Started-artikelsearje, dy't praat oer de NGFW-oplossing fan it bedriuw . Yn it lêste artikel waard it proses fan it ynstallearjen fan in firewall beskreaun en de earste konfiguraasje makke. Foar no sille wy in tichterby besjen op it meitsjen fan regels yn seksjes lykas Firewall, NAT en Routing, en Bandwidth.
De ideology fan 'e UserGate-regels, sa dat de regels fan boppen nei ûnderen útfierd wurde, oant de earste dy't wurket. Op grûn fan it boppesteande folget it dat mear spesifike regels heger wêze moatte as mear algemiene regels. Mar it moat opmurken wurde, om't de regels yn oarder wurde kontrolearre, it is better yn termen fan prestaasjes om algemiene regels te meitsjen. By it meitsjen fan in regel wurde de betingsten tapast neffens de "AND" logika. As it nedich is om de logika "OF" te brûken, dan wurdt dit berikt troch it meitsjen fan ferskate regels. Dat wat yn dit artikel beskreaun wurdt jildt ek foar oare UserGate-belied.
Firewall
Nei it ynstallearjen fan UserGate is d'r al in ienfâldich belied yn 'e seksje "Firewall". De earste twa regels ferbiede ferkear foar botnets. De folgjende binne foarbylden fan tagongsregels út ferskate sônes. De lêste regel wurdt altyd neamd "Alles blokkearje" en is markearre mei in slot symboal (it betsjut dat de regel kin net wiske, wizige, ferpleatst, útskeakele, it kin allinnich ynskeakele wurde foar de logging opsje). Sa, fanwege dizze regel, alle eksplisyt net tastien ferkear wurdt blokkearre troch de lêste regel. As jo alle ferkear troch UserGate tastean wolle (hoewol't dit sterk ûntmoedige wurdt), kinne jo altyd de foarlêste regel "Alles tastean" oanmeitsje.
By it bewurkjen of oanmeitsjen fan in firewall-regel, de earste Algemien tab, moatte jo it folgjende dwaan:
-
Checkbox "On" ynskeakelje of útskeakelje de regel.
-
fier de namme fan 'e regel yn.
-
set de beskriuwing fan de regel.
-
kies út twa aksjes:
-
Deny - blokkearret ferkear (by it ynstellen fan dizze betingst is it mooglik om ICMP-host net te berikken te stjoeren, jo moatte gewoan it passende karfakje ynstelle).
-
Tastean - tastean ferkear.
-
-
Senario item - kinne jo selektearje in senario, dat is in ekstra betingst foar de regel te fjoer. Dit is hoe't UserGate it konsept fan SOAR (Security Orchestration, Automation and Response) ymplementearret.
-
Logging - skriuw ynformaasje oer ferkear nei it log as de regel wurdt aktivearre. Mooglike opsjes:
-
Log it begjin fan 'e sesje oan. Yn dit gefal sil allinich ynformaasje oer it begjin fan 'e sesje (it earste pakket) skreaun wurde nei it ferkearslog. Dit is de oanrikkemandearre logging opsje.
-
Log elk pakket. Yn dit gefal sil ynformaasje oer elk oerdroegen netwurkpakket wurde opnommen. Foar dizze modus is it oan te rieden om de loglimyt yn te skeakeljen om hege apparaatlading te foarkommen.
-
-
Regel tapasse op:
-
Alle pakketten
-
oan fragmintele pakketten
-
oan unfragminteare pakketten
-
-
By it meitsjen fan in nije regel kinne jo in plak kieze yn it belied.
De folgjende Boarne tab. Hjir jouwe wy de boarne fan ferkear oan, it kin de sône wêze wêrfan it ferkear komt, of jo kinne in list of in spesifyk ip-adres (Geoip) opjaan. Yn hast alle regels dy't yn it apparaat kinne wurde ynsteld, kin in objekt makke wurde fan in regel, bygelyks sûnder nei de seksje "Sônes" te gean, kinne jo de knop "Meitsje en in nij objekt tafoegje" brûke om de sône te meitsjen wy hawwe nedich. It karfakje "Invert" wurdt ek faak fûn, it keart de aksje yn 'e betingst fan' e regel, dy't fergelykber is mei de logyske aksje negaasje. Destination ljepper fergelykber mei de boarne ljepper, mar ynstee fan it ferkear boarne, wy sette it ferkear bestimming. Brûkers tab - op dit plak kinne jo in list mei brûkers of groepen tafoegje wêrfoar dizze regel jildt. Tsjinst ljepper - selektearje it type tsjinst út 'e al foarôf definieare of jo kinne jo eigen ynstelle. Applikaasje Tab - spesifike applikaasjes as groepen applikaasjes wurde hjir selektearre. EN Tiid tab spesifisearje de tiid doe't dizze regel is aktyf.
Sûnt de lêste les hawwe wy in regel foar tagong ta it ynternet fan 'e "Trust"-sône, no sil ik as foarbyld sjen litte hoe't jo in wegeringsregel meitsje foar ICMP-ferkear fan 'e "Trust"-sône nei de "Untrusted" sône.
Meitsje earst in regel troch te klikken op de knop "Tafoegje". Yn it finster dat iepent, op 'e algemiene ljepper, folje de namme yn (ICMP beheine fan fertroud nei net fertroud), selektearje it karfakje "Aan", selektearje de aksje útskeakelje, en it wichtichste, kies de juste lokaasje foar dizze regel. Neffens myn belied soe dizze regel moatte wurde pleatst boppe de regel "Tastean fertroud oan net-fertroud":
Op it ljepblêd "Boarne" foar myn taak binne d'r twa opsjes:
-
Troch de "Trusted" sône te selektearjen
-
Troch alle sônes útsein "Trusted" te selektearjen en it karfakje "Invert" oan te vinken
It ljepblêd Bestimming is op deselde manier konfigureare as it ljepblêd Boarne.
Gean dan nei it ljepblêd "Tsjinst", om't UserGate in foarôf definieare tsjinst hat foar ICMP-ferkear, dan troch te klikken op de knop "Tafoegje", selektearje wy in tsjinst mei de namme "Elke ICMP" út 'e foarstelde list:
Miskien wie dit de bedoeling fan 'e makkers fan UserGate, mar ik slagge om ferskate folslein identike regels te meitsjen. Hoewol allinich de earste regel út 'e list sil wurde útfierd, tink ik dat de mooglikheid om regels te meitsjen mei deselde namme dy't ferskille yn funksjonaliteit kin betizing feroarsaakje as ferskate apparaatbehearders wurkje.
NAT en routing
By it meitsjen fan NAT-regels sjogge wy ferskate ferlykbere ljeppers, lykas foar de firewall. It fjild "Type" ferskynde op it ljepblêd "Algemien", it lit jo kieze wêrfoar dizze regel ferantwurdlik is:
-
NAT - Network Address Translation.
-
DNAT - Omliedt ferkear nei it opjûne IP-adres.
-
Port trochstjoere - Ferkear trochferwizing nei it opjûne IP-adres, mar lit jo it poartenûmer fan 'e publisearre tsjinst feroarje
-
Beliedsbasearre routing - Hjirmei kinne jo IP-pakketten routerje op basis fan útwreide ynformaasje, lykas tsjinsten, MAC-adressen of servers (IP-adressen).
-
Netwurkmapping - Hjirmei kinne jo de boarne- of bestimmings-IP-adressen fan ien netwurk ferfange troch in oar netwurk.
Nei it selektearjen fan it passende regeltype sille ynstellings dêrfoar beskikber wêze.
Yn it SNAT IP (ekstern adres) fjild spesifisearje wy eksplisyt it IP-adres wêryn it boarneadres ferfongen wurdt. Dit fjild is fereaske as d'r meardere IP-adressen binne tawiisd oan ynterfaces yn 'e bestimmingsône. As jo dit fjild leech litte, sil it systeem in willekeurich adres brûke út 'e list mei beskikbere IP-adressen dy't tawiisd binne oan de ynterfaces fan bestimmingsône. UserGate advisearret it opjaan fan SNAT IP om de prestaasjes fan firewall te ferbetterjen.
Bygelyks, ik sil de SSH-tsjinst publisearje fan in Windows-tsjinner yn 'e "DMZ"-sône mei de regel "port-forwarding". Om dit te dwaan, klikje op de knop "Tafoegje" en folje it ljepblêd "Algemien" yn, spesifisearje de namme fan 'e regel "SSH nei Windows" en it type "Port trochstjoere":
Selektearje op it ljepblêd "Boarne" de sône "Untrusted" en gean nei it ljepblêd "Port-forwarding". Hjir moatte wy it "TCP" protokol oantsjutte (fjouwer opsjes binne beskikber - TCP, UDP, SMTP, SMTPS). Orizjinele bestimmingspoarte 9922 - poartenûmer wêrnei brûkers fersiken stjoere (poarten: 2200, 8001, 4369, 9000-9100 kinne net brûkt wurde). De nije bestimmingspoarte (22) is it poartenûmer dêr't brûkersoanfragen nei de ynterne publisearre tsjinner trochstjoerd wurde.
Stel op it ljepblêd "DNAT" it ip-adres fan 'e kompjûter yn op it lokale netwurk, dat is publisearre op it ynternet (192.168.3.2). En jo kinne opsjoneel SNAT ynskeakelje, dan sil UserGate it boarneadres yn pakketten feroarje fan it eksterne netwurk nei syn eigen IP-adres.
Nei alle ynstellings wurdt in regel krigen dy't tagong jout fan 'e "Untrusted" sône nei de tsjinner mei it ip-adres 192.168.3.2 fia it SSH-protokol, mei it eksterne UserGate-adres by it ferbinen.
Trochput
Dizze paragraaf definiearret de regels foar bânbreedte kontrôle. Se kinne brûkt wurde om it kanaal fan bepaalde brûkers, hosts, tsjinsten, applikaasjes te beheinen.
By it meitsjen fan in regel bepale de betingsten op 'e ljeppers it ferkear wêrop beheiningen tapast wurde. De bânbreedte kin wurde selektearre út de foarstelde, of set jo eigen. By it meitsjen fan bânbreedte kinne jo in DSCP-ferkearprioritearingslabel opjaan. In foarbyld fan wannear't DSCP-labels wurde tapast: troch yn in regel it senario op te jaan wêryn dizze regel wurdt tapast, dan kin dizze regel dizze labels automatysk feroarje. In oar foarbyld fan hoe't it skript wurket: de regel sil allinich foar de brûker wurkje as in torrent wurdt ûntdutsen of it bedrach fan ferkear oer de opjûne limyt is. De oerbleaune ljeppers wurde ynfolle op deselde wize as yn oare belied, basearre op it type ferkear dêr't de regel moat wurde tapast.
konklúzje
Yn dit artikel haw ik it oanmeitsjen fan regels behannele yn 'e seksjes Firewall, NAT en Routing, en Bandwidth. En oan it begjin fan it artikel beskreau hy de regels foar it meitsjen fan UserGate-belied, lykas it prinsipe fan 'e betingsten by it meitsjen fan in regel.
Bliuw op 'e hichte foar updates yn ús kanalen (, , , )!
Boarne: www.habr.com