Tha mi a 'cur fàilte air luchd-leughaidh chun an treas artaigil anns an t-sreath artaigil UserGate Getting Started, a tha a' bruidhinn air fuasgladh NGFW bhon chompanaidh . Anns an artaigil mu dheireadh, chaidh cunntas a thoirt air a ’phròiseas airson balla-teine a chuir a-steach agus chaidh a’ chiad rèiteachadh a dhèanamh. Airson a-nis, bheir sinn sùil nas mionaidiche air cruthachadh riaghailtean ann an earrannan leithid Firewall, NAT agus Routing, agus Bandwidth.
Tha ideòlas an UserGate riaghailtean, mar sin gu bheil na riaghailtean a chur gu bàs bho mhullach gu bonn, gus a 'chiad fhear a tha ag obair. Stèidhichte air na tha gu h-àrd, tha e a’ leantainn gum bu chòir riaghailtean nas sònraichte a bhith nas àirde na riaghailtean nas fharsainge. Ach bu chòir a thoirt fa-near, leis gu bheil na riaghailtean air an sgrùdadh ann an òrdugh, tha e nas fheàrr a thaobh coileanadh riaghailtean coitcheann a chruthachadh. Nuair a chruthaicheas tu riaghailt sam bith, thèid na cumhaichean a chuir an sàs a rèir an loidsig “AND”. Ma tha feum air an loidsig "OR" a chleachdadh, tha seo air a choileanadh le bhith a 'cruthachadh grunn riaghailtean. Mar sin tha na tha air a mhìneachadh san artaigil seo a’ buntainn ri poileasaidhean UserGate eile cuideachd.
Balla-teine
Às deidh dhut UserGate a chuir a-steach, tha poileasaidh sìmplidh ann mu thràth anns an roinn “Calla-teine”. Tha a’ chiad dà riaghailt a’ toirmeasg trafaic airson botnets. Tha na leanas nan eisimpleirean de riaghailtean ruigsinneachd bho dhiofar sònaichean. Canar “Bloc a h-uile” ris an riaghailt mu dheireadh an-còmhnaidh agus tha e air a chomharrachadh le samhla glasaidh (tha e a’ ciallachadh nach urrainnear an riaghailt a dhubhadh às, atharrachadh, gluasad, ciorramach, chan urrainnear a chomasachadh ach airson an roghainn logaidh). Mar sin, air sgàth na riaghailt seo, thèid a h-uile trafaic nach eil ceadaichte a bhacadh leis an riaghailt mu dheireadh. Ma tha thu airson a h-uile trafaic a cheadachadh tro UserGate (ged a tha seo air a mhì-mhisneachadh gu làidir), faodaidh tu an-còmhnaidh an riaghailt mu dheireadh “Ceadaich a h-uile” a chruthachadh.
Nuair a bhios tu a 'deasachadh no a' cruthachadh riaghailt balla-teine, a 'chiad fhear Clàr coitcheann, feumaidh tu na leanas a dhèanamh:
-
Checkbox "Air adhart" cuir an comas no cuir à comas an riaghailt.
-
cuir a-steach ainm na riaghailt.
-
suidhich tuairisgeul na riaghailt.
-
tagh bho dhà ghnìomh:
-
Aicheadh - a’ bacadh trafaic (nuair a tha thu a’ suidheachadh a’ chumha seo, tha e comasach aoigheachd ICMP a chuir nach gabh a ruighinn, cha leig thu leas ach am bogsa sgrùdaidh iomchaidh a shuidheachadh).
-
Ceadaich - a 'ceadachadh trafaig.
-
-
Nì an t-suidheachaidh - a 'leigeil leat suidheachadh a thaghadh, a tha na chumha a bharrachd airson an riaghailt a losgadh. Seo mar a bhios UserGate a’ cur an gnìomh bun-bheachd SOAR (Orcastra Tèarainteachd, Automation agus Freagairt).
-
Logadh - log fiosrachadh mu thrafaig nuair a thèid riaghailt a phiobrachadh. Roghainnean comasach:
-
Log a-steach toiseach an t-seisein. Anns a 'chùis seo, cha tèid ach fiosrachadh mu thoiseach an t-seisein (a' chiad phacaid) a sgrìobhadh chun log trafaig. Is e seo an roghainn logaidh a thathar a’ moladh.
-
Log a h-uile pasgan. Anns a 'chùis seo, thèid fiosrachadh mu gach pasgan lìonra tar-chuir a chlàradh. Airson a’ mhodh seo, thathas a’ moladh an ìre logaidh a chomasachadh gus casg a chuir air luchdan inneal àrd.
-
-
Cuir an riaghailt gu:
-
A h-uile pacaidean
-
gu pacaidean briste
-
gu pacaidean gun bhriseadh
-
-
Nuair a chruthaicheas tu riaghailt ùr, faodaidh tu àite a thaghadh sa phoileasaidh.
An ath fhear Tab stòr. An seo tha sinn a’ comharrachadh cò às a thàinig an trafaic, faodaidh e a bhith mar an raon às a bheil an trafaic a’ tighinn, no faodaidh tu liosta no seòladh ip sònraichte (Geoip) a shònrachadh. Ann an cha mhòr a h-uile riaghailt a dh'fhaodar a shuidheachadh anns an inneal, faodar rud a chruthachadh bho riaghailt, mar eisimpleir, gun a bhith a 'dol don roinn "Sònaichean", faodaidh tu am putan "Cruthaich agus cuir rud ùr ris" a chleachdadh gus an sòn a chruthachadh. feumaidh sinn. Tha am bogsa-dearbhaidh “Invert” cuideachd cumanta, bidh e a’ cur cùl ris a’ ghnìomhachd ann an suidheachadh an riaghailt, a tha coltach ris an àicheadh gnìomh loidsigeach. Tab Ceann-uidhe coltach ris an taba stòr, ach an àite an stòr trafaic, shuidhich sinn an ceann-uidhe trafaic. Tab luchd-cleachdaidh - anns an àite seo faodaidh tu liosta de luchd-cleachdaidh no buidhnean ris a bheil an riaghailt seo a’ buntainn. Tab seirbheis - tagh an seòrsa seirbheis bhon fhear a chaidh a mhìneachadh mar-thà no faodaidh tu do chuid fhèin a shuidheachadh. Tab Iarrtais - tha tagraidhean sònraichte no buidhnean de thagraidhean air an taghadh an seo. AGUS Clàr-ama sònraich an ùine anns a bheil an riaghailt seo gnìomhach.
Bhon leasan mu dheireadh, tha riaghailt againn airson faighinn chun eadar-lìn bhon raon “Trust”, a-nis seallaidh mi mar eisimpleir mar a chruthaicheas tu riaghailt diùltadh airson trafaic ICMP bhon raon “Trust” chun raon “Neo-earbsach”.
An toiseach, cruthaich riaghailt le bhith a 'briogadh air a' phutan "Cuir ris". Anns an uinneag a tha a ’fosgladh, air an taba coitcheann, lìon a-steach an t-ainm (Cuingnich ICMP bho earbsach gu neo-earbsach), thoir sùil air a’ bhogsa sgrùdaidh “Air adhart”, tagh an gnìomh cuir à comas, agus, as cudromaiche, tagh gu ceart far a bheil an riaghailt seo. A rèir mo phoileasaidh, bu chòir an riaghailt seo a chuir os cionn na riaghailt "Leig le earbsa gun earbsa":
Air an taba “Stòr” airson mo ghnìomh, tha dà roghainn ann:
-
Le bhith a’ taghadh an sòn “Trusted”.
-
Le bhith a’ taghadh a h-uile sòn ach a-mhàin “Trusted” agus a’ cuir strìochag sa bhogsa sgrùdaidh “Invert”.
Tha an taba Ceann-uidhe air a rèiteachadh san aon dòigh ris an taba Source.
An uairsin, rachaibh chun tab “Seirbheis”, leis gu bheil seirbheis ro-mhìnichte aig UserGate airson trafaic ICMP, an uairsin le bhith a ’briogadh air a’ phutan “Cuir ris”, bidh sinn a ’taghadh seirbheis leis an ainm“ ICMP sam bith ”bhon liosta a tha san amharc:
Is dòcha gur e seo rùn luchd-cruthachaidh UserGate, ach chaidh agam air grunn riaghailtean a bha gu tur co-ionann a chruthachadh. Ged nach tèid ach a’ chiad riaghailt bhon liosta a chuir gu bàs, tha mi a’ smaoineachadh gum faod an comas riaghailtean a chruthachadh leis an aon ainm a tha eadar-dhealaichte ann an gnìomhachd a bhith ag adhbhrachadh troimh-chèile nuair a bhios grunn luchd-rianachd innealan ag obair.
NAT agus slighe
Nuair a chruthaicheas sinn riaghailtean NAT, chì sinn grunn tabaichean coltach ris, mar a tha airson a’ bhalla-teine. Nochd an raon “Seòrsa” air an taba “Coitcheann”, leigidh e leat taghadh cò ris a bhios an riaghailt seo an urra:
-
NAT - Eadar-theangachadh Seòladh Lìonra.
-
DNAT - Ag ath-stiùireadh trafaic chun t-seòladh IP ainmichte.
-
Cur air adhart port - Ag ath-stiùireadh trafaic chun t-seòladh IP ainmichte, ach a’ leigeil leat àireamh port na seirbheis foillsichte atharrachadh
-
Slighe stèidhichte air poileasaidh - A’ leigeil leat pacaidean IP a stiùireadh stèidhichte air fiosrachadh leudaichte, leithid seirbheisean, seòlaidhean MAC, no frithealaichean (seòlaidhean IP).
-
Mapadh lìonra - A’ leigeil leat seòlaidhean IP stòr no ceann-uidhe aon lìonra a chuir an àite lìonra eile.
Às deidh dhut an seòrsa riaghailt iomchaidh a thaghadh, bidh roghainnean air a shon rim faighinn.
Anns an raon SNAT IP (seòladh taobh a-muigh), bidh sinn a’ sònrachadh gu soilleir an seòladh IP dhan tèid an seòladh tùsail a chuir na àite. Tha feum air an raon seo ma tha grunn sheòlaidhean IP air an sònrachadh airson eadar-aghaidh anns an raon ceann-uidhe. Ma dh’ fhàgas tu an raon seo falamh, cleachdaidh an siostam seòladh air thuaiream bhon liosta de sheòlaidhean IP a tha rim faighinn a chaidh a shònrachadh don eadar-aghaidh sòn ceann-uidhe. Tha UserGate a’ moladh SNAT IP a shònrachadh gus coileanadh balla-teine a leasachadh.
Mar eisimpleir, foillsichidh mi seirbheis SSH de fhrithealaiche Windows a tha suidhichte anns an raon “DMZ” a ’cleachdadh an riaghailt“ port-forward”. Gus seo a dhèanamh, cliog air a’ phutan “Cuir ris” agus lìon a-steach an taba “Coitcheann”, sònraich ainm na riaghailt “SSH gu Windows” agus an seòrsa “Port air adhart”:
Air an taba “Stòr”, tagh an sòn “Untrusted” agus rachaibh chun tab “Port air adhart”. An seo feumaidh sinn am protocol “TCP” a shònrachadh (tha ceithir roghainnean rim faighinn - TCP, UDP, SMTP, SMTPS). Port ceann-uidhe tùsail 9922 - àireamh puirt a chuireas luchd-cleachdaidh iarrtasan (puirt: 2200, 8001, 4369, 9000-9100 chan urrainnear a chleachdadh). Is e am port ceann-uidhe ùr (22) an àireamh puirt far an tèid iarrtasan neach-cleachdaidh chun an fhrithealaiche foillsichte a-staigh a chuir air adhart.
Air an taba “DNAT”, cuir seòladh ip a’ choimpiutair air an lìonra ionadail, a tha air fhoillseachadh air an eadar-lìn (192.168.3.2). Agus is urrainn dhut SNAT a chomasachadh gu roghnach, an uairsin atharraichidh UserGate an seòladh tùsail ann am pacaidean bhon lìonra a-muigh chun t-seòladh IP aige fhèin.
Às deidh a h-uile suidheachadh, gheibhear riaghailt a leigeas le ruigsinneachd bhon raon “Untrusted” chun t-seirbheisiche leis an t-seòladh ip 192.168.3.2 tron phròtacal SSH, a ’cleachdadh an t-seòladh UserGate taobh a-muigh nuair a bhios tu a’ ceangal.
Bandwidth
Tha an earrann seo a’ mìneachadh nan riaghailtean airson smachd leud-bann. Faodar an cleachdadh gus an t-sianal de luchd-cleachdaidh sònraichte, luchd-aoigheachd, seirbheisean, tagraidhean a chuingealachadh.
Nuair a bhios tu a ’cruthachadh riaghailt, bidh na cumhaichean air na tabaichean a’ dearbhadh an trafaic ris a bheil cuingealachaidhean air an cur an sàs. Faodar an leud-bann a thaghadh bhon mholadh, no do chuid fhèin a shuidheachadh. Nuair a chruthaicheas tu leud-bann, faodaidh tu bileag prìomhachas trafaic DSCP a shònrachadh. Eisimpleir de nuair a thèid bileagan DSCP a chuir an sàs: le bhith a’ sònrachadh ann an riaghailt an suidheachadh anns a bheil an riaghailt seo air a chuir an sàs, faodaidh an riaghailt seo na bileagan sin atharrachadh gu fèin-ghluasadach. Eisimpleir eile air mar a tha an sgriobt ag obair: obraichidh an riaghailt don neach-cleachdaidh a-mhàin nuair a lorgar torrent no nuair a thèid an trafaic thairis air a’ chrìoch ainmichte. Tha na tabaichean a tha air fhàgail air an lìonadh san aon dòigh ri poileasaidhean eile, stèidhichte air an t-seòrsa trafaic ris am bu chòir an riaghailt a chuir an sàs.
co-dhùnadh
San artaigil seo, chòmhdaich mi cruthachadh riaghailtean anns na h-earrannan Firewall, NAT agus Routing, agus Bandwidth. Agus aig fìor thoiseach na h-artaigil, thug e cunntas air na riaghailtean airson cruthachadh UserGate poileasaidhean, a thuilleadh air a 'phrionnsabal de na cumhaichean nuair a chruthachadh riaghailt.
Cum sùil air airson ùrachaidhean anns na seanailean againn (, , , )!
Source: www.habr.com