Üdvözöljük olvasóinkat a UserGate Getting Started cikksorozat harmadik cikkében, amely a cég NGFW megoldásáról szól . Az előző cikk ismertette a tűzfal telepítésének folyamatát, és elvégezte annak kezdeti konfigurációját. Most közelebbről megvizsgáljuk a szabályok létrehozását olyan szakaszokban, mint a „Tűzfal”, „NAT és útválasztás” és „Sávszélesség”.
A UserGate szabályok ideológiája az, hogy a szabályokat felülről lefelé hajtják végre, egészen az elsőig, amelyik működik. A fentiek alapján az következik, hogy a konkrétabb szabályoknak magasabbnak kell lenniük, mint az általánosabb szabályoknak. De meg kell jegyezni, hogy mivel a szabályokat sorrendben ellenőrzik, a teljesítmény szempontjából jobb általános szabályokat létrehozni. Bármely szabály létrehozásakor a feltételeket az „ÉS” logika szerint alkalmazzuk. Ha „VAGY” logikát kell használni, ezt több szabály létrehozásával érhetjük el. Tehát a cikkben leírtak más UserGate-szabályzatokra is vonatkoznak.
Tűzfal
A UserGate telepítése után már van egy egyszerű szabályzat a „Tűzfal” részben. Az első két szabály megtagadja a forgalmat a botnetektől. Az alábbiakban példák találhatók a különböző zónák hozzáférési szabályaira. Az utolsó szabály neve mindig „Összes blokkolása” és lakat szimbólummal van jelölve (ez azt jelenti, hogy a szabály nem törölhető, nem módosítható, nem helyezhető át, nem tiltható le, csak a naplózási lehetőséget engedélyezheti hozzá). Így e szabály miatt minden kifejezetten nem engedélyezett forgalmat az utolsó szabály blokkol. Ha engedélyezni szeretné az összes forgalmat a UserGate-en keresztül (bár ez erősen nem ajánlott), mindig létrehozhatja az utolsó előtti „Minden engedélyezése” szabályt.
Tűzfalszabály szerkesztésekor vagy létrehozásakor az első Általános lap, a következő lépéseket kell végrehajtania rajta:
-
A szabály engedélyezéséhez vagy letiltásához használja a „Be” jelölőnégyzetet.
-
írja be a szabály nevét.
-
állítsa be a szabály leírását.
-
válasszon két művelet közül:
-
Deny - blokkolja a forgalmat (ha ez a feltétel be van állítva, lehetséges az ICMP gazdagép elérhetetlen küldése, csak be kell állítania a megfelelő jelölőnégyzetet).
-
Engedélyezés – engedélyezi a forgalmat.
-
-
Forgatókönyvelem – lehetővé teszi egy forgatókönyv kiválasztását, amely a szabály aktiválásának további feltétele. A UserGate így valósítja meg a SOAR (Security Orchestration, Automation and Response) koncepciót.
-
Naplózás – a forgalomra vonatkozó információk naplózása szabály aktiválásakor. Lehetséges opciók:
-
Naplózza a munkamenet kezdetét. Ebben az esetben csak a munkamenet kezdetére vonatkozó információ (az első csomag) kerül rögzítésre a forgalmi naplóban. Ez az ajánlott naplózási lehetőség.
-
Naplózzon minden csomagot. Ebben az esetben minden egyes továbbított hálózati csomag információja rögzítésre kerül. Ebben az üzemmódban ajánlott engedélyezni a naplózási korlátot az eszköz nagy terhelésének elkerülése érdekében.
-
-
Alkalmazza a szabályt a következőkre:
-
Minden csomag
-
töredezett csomagokra
-
töredezett csomagokra
-
-
Új szabály létrehozásakor kiválaszthat egy helyet a házirendben.
a következő „Forrás” fül. Itt jelezzük a forgalom forrását, ez lehet a zóna, ahonnan a forgalom érkezik, vagy megadhat egy listát vagy egy adott IP-címet (Geoip). Szinte minden eszközben beállítható szabályban szabályból lehet objektumot létrehozni, például anélkül, hogy a „Zónák” szakaszba lépne, a „Új objektum létrehozása és hozzáadása” gombbal létrehozhatja a zónát. szükségünk van. Gyakran előfordul az „Invert” jelölőnégyzet is, amely a szabályfeltételben szereplő műveletet az ellenkezőjére változtatja, ami hasonló a tagadás logikai műveletéhez. Célhely fül hasonlóan a forrás fülhöz, csak a forgalmi forrás helyett a forgalmi célt állítjuk be. Felhasználók lap — ezen a helyen felveheti azon felhasználók vagy csoportok listáját, amelyekre ez a szabály vonatkozik. Szolgáltatás fül — válassza ki a szolgáltatás típusát a már előre definiált közül, vagy beállíthatja a sajátját. Alkalmazás fül — itt konkrét alkalmazások vagy alkalmazáscsoportok kerülnek kiválasztásra. ÉS Idő fül jelzi az időt, amikor ez a szabály aktív.
Az utolsó leckében van egy szabályunk az internet elérésére a „Trust” zónából, most példaként bemutatom, hogyan lehet tiltó szabályt létrehozni az ICMP forgalom számára a „Trust” zónából a „Nem megbízható” zónába.
Először hozzon létre egy szabályt a „Hozzáadás” gombra kattintva. A megnyíló ablakban az általános lapon írja be a nevet (ICMP tiltása megbízhatóról nem megbízhatóra), jelölje be a „Be” jelölőnégyzetet, válassza ki a blokkolni kívánt műveletet, és ami a legfontosabb, válassza ki a szabály megfelelő helyét. Az én szabályzatom szerint ennek a szabálynak a „Megbízható és nem megbízható” szabály felett kell elhelyezkednie:
A „Forrás” lapon két lehetőség van a feladatomra:
-
A „Megbízható” zóna kiválasztása
-
Az összes zóna kiválasztása, kivéve a „Megbízható” és az „Invert” jelölőnégyzet bejelölése
A „Cél” lap a „Forrás” laphoz hasonlóan van beállítva.
Ezután a „Szolgáltatás” fülre lépünk, mivel a UserGate előre meghatározott szolgáltatással rendelkezik az ICMP forgalom számára, majd a „Hozzáadás” gombra kattintva kiválasztunk a javasolt listából egy „Any ICMP” nevű szolgáltatást:
Talán ezt akarták a UserGate készítői, de sikerült több teljesen egyforma szabályt létrehoznom. Bár a listából csak az első szabály kerül végrehajtásra, úgy gondolom, hogy az azonos nevű különböző funkcionalitású szabályok létrehozása zavart okozhat, ha több eszközadminisztrátor dolgozik.
NAT és útválasztás
A NAT-szabályok létrehozásakor több hasonló fület látunk, mint a tűzfalnál. Az „Általános” lapon megjelent a „Típus” mező, amely lehetővé teszi, hogy kiválassza, hogy ez a szabály miért lesz felelős:
-
NAT – Hálózati címfordítás.
-
DNAT – Átirányítja a forgalmat a megadott IP-címre.
-
Port átirányítás – Átirányítja a forgalmat egy megadott IP-címre, de lehetővé teszi a közzétett szolgáltatás portszámának módosítását
-
Házirend-alapú útválasztás – Lehetővé teszi az IP-csomagok speciális információk, például szolgáltatások, MAC-címek vagy szerverek (IP-címek) alapján történő továbbítását.
-
Hálózati leképezés – Lehetővé teszi az egyik hálózat forrás- vagy cél IP-címének lecserélését egy másik hálózatra.
A megfelelő szabálytípus kiválasztása után elérhetők lesznek a hozzá tartozó beállítások.
A SNAT IP (külső cím) mezőben kifejezetten jelezzük azt az IP-címet, amelyre a forráscímet lecseréljük. Ezt a mezőt akkor kell kitölteni, ha több IP-cím van hozzárendelve a célzóna interfészeihez. Ha ezt a mezőt üresen hagyja, a rendszer egy véletlenszerű címet használ a célzóna interfészekhez rendelt elérhető IP-címek listájából. A UserGate a SNAT IP megadását javasolja a tűzfal teljesítményének javítása érdekében.
Példaként egy SSH szolgáltatást teszek közzé a „DMZ” zónában található Windows szerveren a „port forwarding” szabály segítségével. Ehhez kattintson a „Hozzáadás” gombra, és töltse ki az „Általános” fület, adja meg az „SSH to Windows” szabály nevét és a „Port továbbítás” típusát:
A „Forrás” lapon válassza ki a „Nem megbízható” zónát, és lépjen a „Porttovábbítás” fülre. Itt meg kell adnunk a „TCP” protokollt (négy lehetőség áll rendelkezésre - TCP, UDP, SMTP, SMTPS). Az eredeti célport a 9922 - az a portszám, amelyre a felhasználók kéréseket küldenek (a portok nem használhatók: 2200, 8001, 4369, 9000-9100). Új célport (22) – az a portszám, amelyre a felhasználói kérelmek a belső közzétett szerverhez továbbításra kerülnek.
A „DNAT” lapon állítsa be a helyi hálózaton lévő számítógép IP-címét, amely az interneten van közzétéve (192.168.3.2). És opcionálisan engedélyezheti a SNAT-ot, akkor a UserGate megváltoztatja a forráscímet a csomagokban a külső hálózatról az IP-címére.
Az összes beállítás után kap egy szabályt, amely lehetővé teszi, hogy a „Nem megbízható” zónából SSH-n keresztül hozzáférjen egy 192.168.3.2-es IP-című szerverhez, csatlakozáskor a külső UserGate cím használatával.
kapacitás
Ez a szakasz a sávszélesség kezelésére vonatkozó szabályokat határozza meg. Használhatók bizonyos felhasználók, gazdagépek, szolgáltatások, alkalmazások csatornájának korlátozására.
Szabály létrehozásakor a lapokon lévő feltételek határozzák meg azt a forgalmat, amelyre a korlátozások vonatkoznak. Kiválaszthatja a sávszélességet a felajánlottak közül, vagy beállíthatja saját magát. A sávszélesség létrehozásakor megadhat egy DSCP forgalom prioritási címkét. Példa a DSCP-címkék alkalmazására: ha egy szabályban megadja azt a forgatókönyvet, amelyben ez a szabály alkalmazandó, akkor ez a szabály automatikusan módosíthatja ezeket a címkéket. Egy másik példa a szkript működésére: a szabály csak akkor fog működni a felhasználó számára, ha a rendszer torrentet észlel, vagy a forgalom túllép egy meghatározott korlátot. A fennmaradó lapokat ugyanúgy töltjük ki, mint más házirendekben, attól függően, hogy milyen forgalomra kell alkalmazni a szabályt.
Következtetés
Ebben a cikkben megvizsgáltam a szabályok létrehozását a „Tűzfal”, „NAT és útválasztás” és „Sávszélesség” szakaszokban. És a cikk elején leírtam a UserGate házirendek létrehozásának szabályait, valamint a feltételek működési elvét a szabály létrehozásakor.
Kísérje figyelemmel csatornáinkon megjelenő újdonságokat (, , , )!
Forrás: will.com