Mwen akeyi lektè yo nan twazyèm atik la nan seri atik UserGate Getting Started, ki pale sou solisyon NGFW nan konpayi an. . Nan dènye atik la, yo te dekri pwosesis pou enstale yon pare-feu epi yo te fè konfigirasyon inisyal li. Pou kounye a, nou pral pran yon gade pi pre nan kreye règ nan seksyon tankou Firewall, NAT ak Routing, ak Bandwidth.
Ideoloji règ UserGate yo, tankou règ yo egzekite depi anwo jouk anba, jouk premye a ki travay. Ki baze sou pi wo a, li swiv ke règ pi espesifik yo ta dwe pi wo pase règ plis jeneral. Men, li ta dwe remake, depi règ yo tcheke nan lòd, li se pi bon an tèm de pèfòmans yo kreye règ jeneral. Lè w kreye nenpòt règ, kondisyon yo aplike dapre lojik "AK". Si li nesesè yo sèvi ak lojik "OSWA", Lè sa a, sa a reyalize pa kreye plizyè règ. Se konsa, sa ki dekri nan atik sa a aplike nan lòt règleman UserGate tou.
Firewall
Apre enstale UserGate, gen deja yon politik senp nan seksyon "Firewall". De premye règ yo entèdi trafik pou botne yo. Sa ki anba la yo se egzanp règ aksè nan diferan zòn. Dènye règ la toujou rele "Bloke tout" epi li make ak yon senbòl kadna (sa vle di ke règ la pa ka efase, modifye, deplase, enfim, li ka sèlman aktive pou opsyon nan antre). Kidonk, akòz règ sa a, tout trafik ki pa pèmèt yo pral bloke pa dènye règ la. Si ou vle pèmèt tout trafik atravè UserGate (byenke sa a se fòtman dekouraje), ou ka toujou kreye penultyèm règ "Pèmèt tout".
Lè modifye oswa kreye yon règ firewall, premye a Jeneral tab, ou bezwen fè bagay sa yo:
-
Case "On" aktive oswa enfim règ la.
-
antre non règ la.
-
mete deskripsyon règ la.
-
chwazi nan de aksyon:
-
Refize - bloke trafik (lè mete kondisyon sa a, li posib voye lame ICMP inaccessible, ou jis bezwen mete kaz ki apwopriye a).
-
Pèmèt - pèmèt trafik.
-
-
Atik senaryo - pèmèt ou chwazi yon senaryo, ki se yon kondisyon adisyonèl pou règ la dife. Men ki jan UserGate aplike konsèp SOAR (Security Orchestration, Automation and Response).
-
Logging - ekri enfòmasyon sou trafik nan boutèy la lè règ la deklanche. Opsyon posib:
-
Log kòmansman sesyon an. Nan ka sa a, sèlman enfòmasyon sou kòmansman sesyon an (premye pake a) pral ekri nan jounal trafik la. Sa a se opsyon pou antre rekòmande.
-
Anrejistre chak pake. Nan ka sa a, enfòmasyon sou chak pake rezo transmèt yo pral anrejistre. Pou mòd sa a, li rekòmande pou pèmèt limit la antre pou anpeche chaj aparèy segondè.
-
-
Aplike règ pou:
-
Tout pakè
-
nan pake fragmenté
-
nan pakè ki pa fragman
-
-
Lè w ap kreye yon nouvo règ, ou ka chwazi yon kote nan politik la.
Next Sous tab. Isit la nou endike sous trafik la, li kapab zòn nan kote trafik la soti, oswa ou ka presize yon lis oswa yon espesifik adrès IP (Geoip). Nan prèske tout règ ki ka mete nan aparèy la, yo ka kreye yon objè nan yon règ, pou egzanp, san yo pa ale nan seksyon "Zòn", ou ka itilize bouton "Kreye epi ajoute yon nouvo objè" pou kreye zòn nan. nou bezwen. Yo jwenn kaz "Envèse" tou, li ranvèse aksyon an nan kondisyon règ la, ki sanble ak negasyon aksyon lojik la. Tab Destinasyon menm jan ak tab sous la, men olye de sous trafik la, nou mete destinasyon trafik la. Itilizatè tab - nan kote sa a ou ka ajoute yon lis itilizatè oswa gwoup pou ki règ sa a aplike. Tab sèvis - chwazi kalite sèvis la nan youn ki deja predefini oswa ou ka mete pwòp ou a. Tab aplikasyon - aplikasyon espesifik oswa gwoup aplikasyon yo chwazi isit la. AK Tab Tan presize lè règ sa a aktif.
Depi dènye leson an, nou gen yon règ pou jwenn aksè nan Entènèt la nan zòn "Trust", kounye a mwen pral montre kòm yon egzanp ki jan yo kreye yon règ refize pou trafik ICMP soti nan zòn "Trust" nan zòn "Untrusted".
Premyèman, kreye yon règ pa klike sou bouton "Ajoute". Nan fennèt la ki ouvè, sou tab jeneral la, ranpli non an (Restriksyon ICMP soti nan fè konfyans nan moun ki pa fè konfyans), tcheke kaz "On", chwazi aksyon an enfim, epi pi enpòtan, chwazi kote ki kòrèk la pou règ sa a. Dapre règleman mwen an, règ sa a ta dwe mete pi wo a "Pèmèt fè konfyans nan moun ki pa fè konfyans" règ la:
Sou tab la "Sous" pou travay mwen an, gen de opsyon:
-
Lè w chwazi zòn "Trusted" la
-
Lè w chwazi tout zòn eksepte "Trusted" epi tcheke kaz "Envèse".
Se tab la Destinasyon konfigirasyon menm jan ak tab la Sous.
Apre sa, ale nan tab la "Sèvis", depi UserGate gen yon sèvis predefini pou trafik ICMP, Lè sa a, klike sou "Ajoute" bouton an, nou chwazi yon sèvis ki gen non "Nenpòt ICMP" nan lis yo pwopoze a:
Petèt sa a se te entansyon an nan créateur yo nan UserGate, men mwen jere yo kreye plizyè règ konplètman idantik. Malgre ke sèlman premye règ ki soti nan lis la pral egzekite, mwen panse ke kapasite nan kreye règ ak menm non ki diferan nan fonksyonalite ka lakòz konfizyon lè plizyè administratè aparèy travay.
NAT ak routage
Lè nou kreye règ NAT, nou wè plizyè onglè ki sanble, tankou pou firewall la. Jaden "Type" la parèt sou tab "Jeneral", li pèmèt ou chwazi ki sa règ sa a pral responsab:
-
NAT - Tradiksyon adrès rezo.
-
DNAT - Redireksyon trafik nan adrès IP espesifye a.
-
Transmisyon pò - Redireksyon trafik nan adrès IP espesifye a, men pèmèt ou chanje nimewo pò a nan sèvis la pibliye
-
Wout ki baze sou politik - Pèmèt ou wout pake IP ki baze sou enfòmasyon pwolonje, tankou sèvis, adrès MAC, oswa sèvè (adrès IP).
-
Rezo kat - Pèmèt ou ranplase adrès IP sous oswa destinasyon yon rezo ak yon lòt rezo.
Apre w fin chwazi kalite règ ki apwopriye a, paramèt pou li ap disponib.
Nan jaden SNAT IP (adrès ekstèn), nou presize klèman adrès IP kote adrès sous la pral ranplase. Jaden sa a obligatwa si gen plizyè adrès IP ki asiyen nan interfaces nan zòn destinasyon an. Si ou kite jaden sa a vid, sistèm lan pral sèvi ak yon adrès o aza ki soti nan lis adrès IP ki disponib yo asiyen nan koòdone zòn destinasyon yo. UserGate rekòmande pou presize SNAT IP pou amelyore pèfòmans firewall.
Pou egzanp, mwen pral pibliye sèvis SSH nan yon sèvè Windows ki sitiye nan zòn "DMZ" lè l sèvi avèk règ "port-forwarding" la. Pou fè sa, klike sou bouton an "Ajoute" epi ranpli nan "Jeneral" tab la, presize non an nan règ la "SSH nan Windows" ak kalite "Port transfere":
Sou tab la "Sous", chwazi zòn nan "Untrusted" epi ale nan "Port-Forwarding" tab la. Isit la nou dwe presize pwotokòl "TCP" (kat opsyon ki disponib - TCP, UDP, SMTP, SMTPS). Pò destinasyon orijinal 9922 - nimewo pò itilizatè yo voye demann (pò: 2200, 8001, 4369, 9000-9100 pa ka itilize). Nouvo pò destinasyon an (22) se nimewo pò kote yo pral voye demann itilizatè a nan sèvè entèn pibliye a.
Sou tab la "DNAT", mete adrès ip nan òdinatè a sou rezo lokal la, ki pibliye sou entènèt la (192.168.3.2). Epi ou ka opsyonèlman pèmèt SNAT, Lè sa a, UserGate pral chanje adrès sous la nan pakè soti nan rezo ekstèn lan nan pwòp adrès IP li yo.
Apre tout paramèt yo, yo jwenn yon règ ki pèmèt aksè nan zòn "Untrusted" nan sèvè a ak adrès IP 192.168.3.2 atravè pwotokòl SSH la, lè l sèvi avèk adrès UserGate ekstèn la lè w konekte.
Transmisyon
Seksyon sa a defini règ yo pou kontwòl bandwidth. Yo ka itilize yo mete restriksyon sou kanal la nan itilizatè sèten, gen tout pouvwa a, sèvis, aplikasyon.
Lè w ap kreye yon règ, kondisyon yo sou onglè yo detèmine trafik la nan ki restriksyon yo aplike. Pleasant a ka chwazi nan pwopoze a, oswa mete pwòp ou a. Lè w ap kreye Pleasant, ou ka presize yon etikèt priyorite trafik DSCP. Yon egzanp lè yo aplike etikèt DSCP: lè yo espesifye nan yon règ senaryo a nan ki règ sa a aplike, Lè sa a, règ sa a ka otomatikman chanje etikèt sa yo. Yon lòt egzanp sou fason script la ap travay: règ la ap travay pou itilizatè a sèlman lè yo detekte yon torrent oswa kantite trafik la depase limit espesifye a. Onglet ki rete yo ranpli menm jan ak lòt règleman yo, dapre kalite trafik yo ta dwe aplike règ la.
Konklizyon
Nan atik sa a, mwen kouvri kreyasyon règ nan Firewall, NAT ak Routing, ak Bandwidth seksyon. Ak nan kòmansman an anpil nan atik la, li dekri règ yo pou kreye règleman UserGate, osi byen ke prensip la nan kondisyon yo lè yo kreye yon règ.
Rete branche pou dènye nouvèl sou chanèl nou yo (, , , )!
Sous: www.habr.com