3. UserGate Ինչից սկսել: Ցանցային քաղաքականություն

Ես ողջունում եմ ընթերցողներին UserGate Getting Started հոդվածաշարի երրորդ հոդվածում, որը խոսում է ընկերության NGFW լուծման մասին: UserGate. Վերջին հոդվածում նկարագրվեց firewall-ի տեղադրման գործընթացը և կատարվեց դրա նախնական կազմաձևումը։ Առայժմ մենք ավելի մանրամասն կանդրադառնանք կանոնների ստեղծմանը այնպիսի բաժիններում, ինչպիսիք են Firewall-ը, NAT-ը և Routing-ը և Bandwidth-ը:

UserGate-ի գաղափարախոսությունն այնպիսին է, որ կանոնները գործարկվում են վերևից ներքև, մինչև գործի առաջինը: Ելնելով վերը նշվածից՝ հետևում է, որ ավելի կոնկրետ կանոնները պետք է ավելի բարձր լինեն, քան ավելի ընդհանուր կանոնները: Բայց հարկ է նշել, քանի որ կանոնները ստուգվում են հերթականությամբ, կատարողականի առումով ավելի լավ է ստեղծել ընդհանուր կանոններ։ Ցանկացած կանոն ստեղծելիս պայմանները կիրառվում են «ԵՎ» տրամաբանությամբ։ Եթե ​​անհրաժեշտ է օգտագործել «OR» տրամաբանությունը, ապա դա ձեռք է բերվում մի քանի կանոններ ստեղծելով: Այսպիսով, այն, ինչ նկարագրված է այս հոդվածում, վերաբերում է նաև UserGate-ի այլ քաղաքականությանը:

Firewall- ը

UserGate-ը տեղադրելուց հետո «Firewall» բաժնում արդեն կա պարզ քաղաքականություն։ Առաջին երկու կանոններն արգելում են բոտնետների երթեւեկությունը: Ստորև բերված են տարբեր գոտիներից մուտքի կանոնների օրինակներ: Վերջին կանոնը միշտ կոչվում է «Արգելափակել բոլորը» և նշվում է կողպեքի նշանով (դա նշանակում է, որ կանոնը հնարավոր չէ ջնջել, փոփոխել, տեղափոխել, անջատել, այն կարելի է միացնել միայն գրանցման տարբերակի համար): Այսպիսով, այս կանոնի պատճառով բոլոր բացահայտորեն չթույլատրված երթևեկությունը կարգելափակվի վերջին կանոնով: Եթե ​​ցանկանում եք թույլատրել ամբողջ տրաֆիկը UserGate-ի միջոցով (չնայած դա կտրականապես չի խրախուսվում), միշտ կարող եք ստեղծել «Թույլատրել բոլորին» նախավերջին կանոնը:

Firewall կանոնը խմբագրելիս կամ ստեղծելիս առաջինը Ընդհանուր ներդիր, դուք պետք է անեք հետևյալը. 

• «Միացված» վանդակը միացնել կամ անջատել կանոնը:

• մուտքագրեք կանոնի անունը.

• սահմանել կանոնի նկարագրությունը.

• ընտրել երկու գործողություններից.

  • Մերժել - արգելափակում է երթևեկությունը (այս պայմանը դնելիս հնարավոր է ICMP հոսթ ուղարկել անհասանելի, պարզապես անհրաժեշտ է սահմանել համապատասխան վանդակը):

  • Թույլատրել - թույլ է տալիս երթեւեկությունը:

• Սցենարի տարր - թույլ է տալիս ընտրել սցենար, որը լրացուցիչ պայման է կանոնի գործարկման համար: Այսպես է UserGate-ն իրականացնում SOAR-ի (անվտանգության կազմակերպում, ավտոմատացում և արձագանք) հայեցակարգը:

• Գրանցամատյան — գրել տեղեկամատյան երթևեկության մասին, երբ կանոնը գործարկվում է: Հնարավոր տարբերակներ.

  • Գրանցեք նիստի սկիզբը: Այս դեպքում միայն նիստի սկզբի մասին տեղեկատվությունը (առաջին փաթեթը) կգրվի երթևեկության մատյանում: Սա անտառահատումների առաջարկվող տարբերակն է:

  • Գրանցեք յուրաքանչյուր փաթեթ: Այս դեպքում յուրաքանչյուր փոխանցված ցանցային փաթեթի մասին տեղեկատվությունը կգրանցվի: Այս ռեժիմի համար խորհուրդ է տրվում միացնել գրանցման սահմանաչափը՝ սարքի բարձր ծանրաբեռնվածությունը կանխելու համար:

• Կիրառել կանոնը՝

  • Բոլոր փաթեթները

  • մասնատված փաթեթներին

  • դեպի չբեկորված փաթեթներ

• Նոր կանոն ստեղծելիս կարող եք տեղ ընտրել քաղաքականության մեջ։

Հաջորդը Աղբյուրի ներդիր. Այստեղ մենք նշում ենք տրաֆիկի աղբյուրը, դա կարող է լինել այն գոտին, որտեղից գալիս է երթևեկությունը, կամ կարող եք նշել ցուցակ կամ կոնկրետ ip-հասցե (Geoip): Գրեթե բոլոր կանոններում, որոնք կարող են սահմանվել սարքում, օբյեկտը կարող է ստեղծվել կանոնից, օրինակ՝ առանց «Գոտիներ» բաժին անցնելու, գոտի ստեղծելու համար կարող եք օգտագործել «Ստեղծել և ավելացնել նոր օբյեկտ» կոճակը: կարիք ունենք. Հաճախ հանդիպում է նաև «Invert» վանդակը, որը հակադարձում է գործողությունը կանոնի պայմանով, որը նման է տրամաբանական գործողության ժխտմանը: Նպատակակետի ներդիր նման է աղբյուրի ներդիրին, բայց երթևեկության աղբյուրի փոխարեն մենք սահմանում ենք երթևեկության նպատակակետը: Օգտագործողների ներդիր - այս վայրում կարող եք ավելացնել օգտվողների կամ խմբերի ցանկը, որոնց համար կիրառվում է այս կանոնը: Ծառայության ներդիր - ընտրեք ծառայության տեսակը արդեն նախապես սահմանվածից կամ կարող եք սահմանել ձերը: Դիմումի ներդիր - այստեղ ընտրված են կոնկրետ հավելվածներ կամ հավելվածների խմբեր: ԵՎ Ժամանակի ներդիր նշեք այս կանոնի գործողության ժամանակը: 

Վերջին դասից ի վեր մենք ունենք «Վստահության» գոտուց ինտերնետ մուտք գործելու կանոն, այժմ որպես օրինակ ցույց կտամ, թե ինչպես կարելի է ստեղծել մերժման կանոն ICMP տրաֆիկի համար «Վստահության» գոտուց «Անվստահելի» գոտի:

Նախ, ստեղծեք կանոն՝ սեղմելով «Ավելացնել» կոճակը: Բացվող պատուհանում ընդհանուր ներդիրում լրացրեք անունը (Սահմանափակեք ICMP-ը վստահելիից անվստահելիին), նշեք «Միացված» վանդակը, ընտրեք անջատման գործողությունը և ամենակարևորը՝ ընտրեք այս կանոնի ճիշտ վայրը: Իմ քաղաքականության համաձայն՝ այս կանոնը պետք է դրվի «Թույլատրել վստահելիից անվստահելի» կանոնից վեր՝

Իմ առաջադրանքի «Աղբյուր» ներդիրում կա երկու տարբերակ.

• Ընտրելով «Վստահելի» գոտին

• Ընտրելով բոլոր գոտիները, բացառությամբ «Վստահելի» և նշելով «Invert» վանդակը

Նպատակակետ ներդիրը կազմաձևված է Աղբյուրի ներդիրի նման:

Հաջորդը, անցեք «Ծառայություն» ներդիրին, քանի որ UserGate-ն ունի նախապես սահմանված ծառայություն ICMP տրաֆիկի համար, այնուհետև սեղմելով «Ավելացնել» կոճակը, մենք առաջարկվող ցանկից ընտրում ենք «Ցանկացած ICMP» անունով ծառայություն.

Թերևս սա էր UserGate-ի ստեղծողների մտադրությունը, բայց ինձ հաջողվեց ստեղծել մի քանի բոլորովին նույնական կանոններ։ Չնայած ցուցակից միայն առաջին կանոնը կկատարվի, կարծում եմ, որ նույն անունով կանոններ ստեղծելու ունակությունը, որոնք տարբեր են ֆունկցիոնալությամբ, կարող է շփոթություն առաջացնել, երբ աշխատում են մի քանի սարքի ադմինիստրատորներ:

NAT և երթուղիավորում

NAT կանոններ ստեղծելիս մենք տեսնում ենք մի քանի նմանատիպ ներդիրներ, ինչ վերաբերում է firewall-ին: «Տեսակ» դաշտը հայտնվել է «Ընդհանուր» ներդիրում, այն թույլ է տալիս ընտրել, թե ինչի համար է պատասխանատու այս կանոնը.

• NAT - Ցանցային հասցեների թարգմանություն:

• DNAT - Վերահղում է տրաֆիկը նշված IP հասցեին:

• Նավահանգստի վերահասցեավորում - Վերահղում է տրաֆիկը նշված IP հասցեին, բայց թույլ է տալիս փոխել հրապարակված ծառայության պորտի համարը

• Քաղաքականության վրա հիմնված երթուղղում – Թույլ է տալիս ուղղորդել IP փաթեթները՝ հիմնված ընդլայնված տեղեկատվության վրա, ինչպիսիք են ծառայությունները, MAC հասցեները կամ սերվերները (IP հասցեներ):

• Ցանցի քարտեզագրում - Թույլ է տալիս փոխարինել մեկ ցանցի աղբյուրի կամ նպատակակետի IP հասցեները մեկ այլ ցանցով:

Համապատասխան կանոնի տեսակն ընտրելուց հետո հասանելի կլինեն դրա կարգավորումները:

SNAT IP (արտաքին հասցե) դաշտում մենք հստակորեն նշում ենք IP հասցեն, որով կփոխարինվի սկզբնական հասցեն: Այս դաշտը պահանջվում է, եթե նպատակակետ գոտում կան մի քանի IP հասցեներ, որոնք նշանակված են միջերեսներին: Եթե ​​այս դաշտը դատարկ թողնեք, համակարգը կօգտագործի պատահական հասցե հասանելի IP հասցեների ցանկից, որոնք նշանակված են նպատակակետ գոտու միջերեսներին: UserGate-ը խորհուրդ է տալիս նշել SNAT IP-ն՝ firewall-ի աշխատանքը բարելավելու համար:

Օրինակ, ես կհրապարակեմ «DMZ» գոտում գտնվող Windows սերվերի SSH ծառայությունը՝ օգտագործելով «port-forwarding» կանոնը։ Դա անելու համար կտտացրեք «Ավելացնել» կոճակը և լրացրեք «Ընդհանուր» ներդիրը, նշեք «SSH դեպի Windows» կանոնի անվանումը և «Port forwarding» տեսակը.

«Աղբյուր» ներդիրում ընտրեք «Անվստահելի» գոտին և անցեք «Պորտի վերահասցեավորում» ներդիր: Այստեղ մենք պետք է նշենք «TCP» արձանագրությունը (չորս տարբերակ կա՝ TCP, UDP, SMTP, SMTPS): Սկզբնական նպատակակետ պորտ 9922 — նավահանգիստ, որին օգտվողները հարցումներ են ուղարկում (պորտերը՝ 2200, 8001, 4369, 9000-9100 չեն կարող օգտագործվել): Նոր նպատակակետ նավահանգիստը (22) այն նավահանգստի համարն է, որին օգտատերերի հարցումները կփոխանցվեն ներքին հրապարակված սերվերին:

«DNAT» ներդիրում տեղադրեք համակարգչի ip-հասցեն տեղական ցանցում, որը հրապարակված է ինտերնետում (192.168.3.2): Եվ դուք կարող եք ընտրովի միացնել SNAT-ը, այնուհետև UserGate-ը կփոխի աղբյուրի հասցեն փաթեթներում արտաքին ցանցից դեպի իր սեփական IP հասցե:

Բոլոր կարգավորումներից հետո ստացվում է կանոն, որը թույլ է տալիս մուտք գործել «Անվստահելի» գոտուց դեպի սերվեր 192.168.3.2 ip-հասցեով SSH արձանագրության միջոցով՝ միանալու ժամանակ օգտագործելով արտաքին UserGate հասցեն:

Շրջանառություն

Այս բաժինը սահմանում է թողունակության վերահսկման կանոնները: Դրանք կարող են օգտագործվել որոշակի օգտատերերի, հոսթերների, ծառայությունների, հավելվածների ալիքը սահմանափակելու համար:

Կանոն ստեղծելիս ներդիրների պայմանները որոշում են երթևեկությունը, որի նկատմամբ կիրառվում են սահմանափակումներ: Թողունակությունը կարելի է ընտրել առաջարկվածներից, կամ կարող եք սահմանել ձեր սեփականը: Թողունակություն ստեղծելիս կարող եք նշել DSCP տրաֆիկի առաջնահերթության պիտակը: Օրինակ, երբ կիրառվում են DSCP պիտակները. կանոնի մեջ նշելով այն սցենարը, որով կիրառվում է այս կանոնը, ապա այս կանոնը կարող է ավտոմատ կերպով փոխել այս պիտակները: Մեկ այլ օրինակ, թե ինչպես է աշխատում սկրիպտը. կանոնը կաշխատի օգտագործողի համար միայն այն դեպքում, երբ հայտնաբերվի հեղեղ կամ տրաֆիկի քանակը գերազանցի նշված սահմանը: Մնացած ներդիրները լրացվում են այնպես, ինչպես մյուս կանոններում՝ ելնելով տրաֆիկի տեսակից, որի նկատմամբ պետք է կիրառվի կանոնը:

Ամփոփում

Այս հոդվածում ես անդրադարձել եմ կանոնների ստեղծմանը Firewall, NAT և Routing և Bandwidth բաժիններում: Իսկ հոդվածի հենց սկզբում նա նկարագրել է UserGate-ի քաղաքականության ստեղծման կանոնները, ինչպես նաև կանոն ստեղծելու պայմանների սկզբունքը։ 

Հետևեք թարմացումներին մեր ալիքներում (Telegram, facebook, VK, TS Solution բլոգ)!

Source: www.habr.com