ProHoster > Blog > uprava > 3. UserGate Prvi koraci. Mrežna pravila

3. UserGate Prvi koraci. Mrežna pravila

3. UserGate Prvi koraci. Mrežna pravila

Pozdravljam čitatelje u trećem članku u seriji članaka UserGate Getting Started, koji govori o NGFW rješenju tvrtke UserGate. U prošlom članku opisan je postupak instaliranja vatrozida i napravljena je njegova početna konfiguracija. Za sada ćemo pobliže pogledati stvaranje pravila u odjeljcima kao što su Vatrozid, NAT i Usmjeravanje i Bandwidth.

Ideologija pravila UserGate-a, takva da se pravila izvršavaju odozgo prema dolje, sve do prvog koje funkcionira. Na temelju navedenog proizlazi da bi specifičnija pravila trebala biti viša od općih pravila. Ali treba napomenuti, budući da se pravila provjeravaju redom, bolje je u smislu izvedbe stvoriti opća pravila. Prilikom kreiranja bilo kojeg pravila, uvjeti se primjenjuju prema logici "I". Ako je potrebno koristiti logiku "ILI", to se postiže kreiranjem nekoliko pravila. Dakle, ono što je opisano u ovom članku odnosi se i na druga pravila UserGatea.

Vatrozid

Nakon instaliranja UserGate-a, već postoji jednostavna politika u odjeljku "Vatrozid". Prva dva pravila zabranjuju promet za botnet mreže. Slijede primjeri pravila pristupa iz različitih zona. Posljednje pravilo uvijek se zove “Blokiraj sve” i označeno je simbolom lokota (to znači da se pravilo ne može brisati, mijenjati, premještati, onemogućiti, može se samo omogućiti za opciju bilježenja). Stoga će zbog ovog pravila sav izričito nedopušteni promet biti blokiran zadnjim pravilom. Ako želite dopustiti sav promet kroz UserGate (iako se to strogo ne preporučuje), uvijek možete stvoriti pretposljednje pravilo "Dopusti sve".

3. UserGate Prvi koraci. Mrežna pravila

Prilikom uređivanja ili stvaranja pravila vatrozida, prvo Kartica Općenito, trebate učiniti sljedeće: 

  • Potvrdni okvir "On" omogućuje ili onemogućuje pravilo.

  • unesite naziv pravila.

  • postavite opis pravila.

  • odaberite između dvije akcije:

    • Deny - blokira promet (prilikom postavljanja ovog uvjeta moguće je poslati ICMP host nedostupan, samo trebate postaviti odgovarajući okvir).

    • Dopusti - dopušta promet.

  • Stavka scenarija - omogućuje odabir scenarija, što je dodatni uvjet za aktiviranje pravila. Ovo je način na koji UserGate implementira koncept SOAR (Security Orchestration, Automation and Response).

  • Zapisivanje — zapišite informacije o prometu u zapisnik kada se pravilo pokrene. Moguće opcije:

    • Prijavite početak sesije. U tom će slučaju samo informacija o početku sesije (prvi paket) biti zapisana u dnevnik prometa. Ovo je preporučena opcija zapisivanja.

    • Zabilježite svaki paket. U tom će slučaju biti zabilježena informacija o svakom odaslanom mrežnom paketu. Za ovaj način rada preporučuje se omogućiti ograničenje zapisivanja kako bi se spriječilo veliko opterećenje uređaja.

  • Primijeni pravilo na:

    • Svi paketi

    • na fragmentirane pakete

    • na nefragmentirane pakete

  • Prilikom izrade novog pravila možete odabrati mjesto u pravilu.

sljedeća Kartica Izvor. Ovdje označavamo izvor prometa, to može biti zona iz koje promet dolazi ili možete navesti popis ili određenu ip-adresu (Geoip). U gotovo svim pravilima koja se mogu postaviti u uređaju, objekt se može stvoriti iz pravila, na primjer, bez odlaska u odjeljak "Zone", možete koristiti gumb "Stvori i dodaj novi objekt" za stvaranje zone trebamo. Potvrdni okvir “Invert” također se često nalazi, on preokreće radnju u uvjetu pravila, što je slično negaciji logičke akcije. Kartica Odredište slično kartici izvora, ali umjesto izvora prometa postavljamo odredište prometa. Kartica Korisnici - na ovom mjestu možete dodati popis korisnika ili grupa za koje vrijedi ovo pravilo. Kartica usluge - odaberite vrstu usluge iz već unaprijed definirane ili možete postaviti vlastitu. Kartica aplikacije - ovdje se biraju određene aplikacije ili grupe aplikacija. I Kartica Vrijeme odredite vrijeme kada je ovo pravilo aktivno. 

Od prošle lekcije, imamo pravilo za pristup Internetu iz zone "Trust", sada ću pokazati kao primjer kako stvoriti pravilo zabrane za ICMP promet iz zone "Trust" u zonu "Netrust".

Najprije stvorite pravilo klikom na gumb "Dodaj". U prozoru koji se otvori, na kartici općenito, unesite naziv (Ograniči ICMP s pouzdanog na nepouzdani), označite potvrdni okvir "Uključeno", odaberite radnju onemogućavanja i što je najvažnije, odaberite ispravnu lokaciju za ovo pravilo. Prema mojoj politici, ovo pravilo treba biti postavljeno iznad pravila "Dopusti pouzdano nepouzdanom":

3. UserGate Prvi koraci. Mrežna pravila

Na kartici "Izvor" za moj zadatak postoje dvije opcije:

  • Odabirom zone “Trusted”.

  • Odabirom svih zona osim “Trusted” i označavanjem potvrdnog okvira “Invert”.

3. UserGate Prvi koraci. Mrežna pravila3. UserGate Prvi koraci. Mrežna pravila

Kartica Odredište je konfigurirana slično kartici Izvor.

Zatim idite na karticu "Usluga", budući da UserGate ima unaprijed definiranu uslugu za ICMP promet, a zatim klikom na gumb "Dodaj" odabiremo uslugu s nazivom "Bilo koji ICMP" s predloženog popisa:

3. UserGate Prvi koraci. Mrežna pravila

Možda je to bila namjera kreatora UserGate-a, ali ja sam uspio stvoriti nekoliko potpuno identičnih pravila. Iako će se izvršiti samo prvo pravilo s popisa, mislim da mogućnost stvaranja pravila s istim imenom koja se razlikuju po funkcionalnosti može izazvati zabunu kada radi nekoliko administratora uređaja.

NAT i usmjeravanje

Prilikom kreiranja NAT pravila, vidimo nekoliko sličnih kartica, kao i za vatrozid. Polje "Vrsta" pojavilo se na kartici "Općenito", omogućuje vam da odaberete za što će ovo pravilo biti odgovorno:

  • NAT - Prijevod mrežne adrese.

  • DNAT - Preusmjerava promet na navedenu IP adresu.

  • Prosljeđivanje porta - preusmjerava promet na navedenu IP adresu, ali vam omogućuje promjenu broja porta objavljene usluge

  • Usmjeravanje na temelju pravila - Omogućuje vam usmjeravanje IP paketa na temelju proširenih informacija, kao što su usluge, MAC adrese ili poslužitelji (IP adrese).

  • Mapiranje mreže - Omogućuje zamjenu izvorne ili odredišne ​​IP adrese jedne mreže s drugom mrežom.

Nakon odabira odgovarajuće vrste pravila, bit će dostupne postavke za nju.

U polju SNAT IP (vanjska adresa) eksplicitno navodimo IP adresu na koju će se zamijeniti izvorna adresa. Ovo polje je obavezno ako postoji više IP adresa dodijeljenih sučeljima u odredišnoj zoni. Ako ovo polje ostavite praznim, sustav će koristiti slučajnu adresu s popisa dostupnih IP adresa dodijeljenih sučeljima odredišne ​​zone. UserGate preporučuje navođenje SNAT IP-a za poboljšanje rada vatrozida.

Na primjer, objavit ću SSH uslugu Windows poslužitelja koji se nalazi u "DMZ" zoni koristeći pravilo "prosljeđivanje porta". Da biste to učinili, kliknite gumb "Dodaj" i ispunite karticu "Općenito", navedite naziv pravila "SSH u Windows" i vrstu "Prosljeđivanje priključka":

3. UserGate Prvi koraci. Mrežna pravila

Na kartici "Izvor" odaberite zonu "Nepouzdano" i idite na karticu "Prosljeđivanje porta". Ovdje moramo navesti “TCP” protokol (dostupne su četiri opcije - TCP, UDP, SMTP, SMTPS). Izvorni odredišni port 9922 — broj porta na koji korisnici šalju zahtjeve (portovi: 2200, 8001, 4369, 9000-9100 ne mogu se koristiti). Novi odredišni port (22) je broj porta na koji će se prosljeđivati ​​korisnički zahtjevi prema internom objavljenom poslužitelju.

3. UserGate Prvi koraci. Mrežna pravila

Na kartici "DNAT" postavite ip-adresu računala na lokalnoj mreži koja je objavljena na Internetu (192.168.3.2). I po izboru možete omogućiti SNAT, tada će UserGate promijeniti izvornu adresu u paketima s vanjske mreže na vlastitu IP adresu.

3. UserGate Prvi koraci. Mrežna pravila

Nakon svih postavki dobiva se pravilo koje dopušta pristup iz zone “Nepouzdano” poslužitelju s ip-adresom 192.168.3.2 putem SSH protokola, koristeći vanjsku UserGate adresu prilikom povezivanja.

3. UserGate Prvi koraci. Mrežna pravila

kapacitet

Ovaj odjeljak definira pravila za kontrolu propusnosti. Mogu se koristiti za ograničavanje kanala određenim korisnicima, hostovima, uslugama, aplikacijama.

3. UserGate Prvi koraci. Mrežna pravila

Prilikom izrade pravila, uvjeti na karticama određuju promet na koji se primjenjuju ograničenja. Propusnost se može odabrati između predloženih ili postaviti vlastitu. Prilikom stvaranja propusnosti možete navesti oznaku prioriteta DSCP prometa. Primjer kada se primjenjuju DSCP oznake: navođenjem u pravilu scenarija u kojem se to pravilo primjenjuje, tada ovo pravilo može automatski promijeniti te oznake. Još jedan primjer kako skripta radi: pravilo će raditi za korisnika samo kada se otkrije torrent ili količina prometa premaši navedeno ograničenje. Preostale kartice popunjavaju se na isti način kao u drugim pravilima, ovisno o vrsti prometa na koji se pravilo treba primijeniti.

3. UserGate Prvi koraci. Mrežna pravila

Zaključak

U ovom sam članku obradio stvaranje pravila u odjeljcima Vatrozid, NAT i usmjeravanje i Bandwidth. I na samom početku članka opisao je pravila za kreiranje UserGate pravila, kao i princip uvjeta pri stvaranju pravila. 

Pratite novosti na našim kanalima (TelegramFacebookVKBlog o TS rješenjima)!

Izvor: www.habr.com

Dodajte komentar