3. UserGate Memulai. Kebijakan Jaringan

Saya menyambut pembaca untuk artikel ketiga dalam seri artikel Memulai UserGate, yang berbicara tentang solusi NGFW dari perusahaan Gerbang Pengguna. Di artikel terakhir, proses pemasangan firewall dijelaskan dan konfigurasi awalnya dibuat. Untuk saat ini, kita akan melihat lebih dekat pembuatan aturan di bagian seperti Firewall, NAT dan Routing, dan Bandwidth.

Ideologi aturan UserGate, sedemikian rupa sehingga aturan dijalankan dari atas ke bawah, hingga yang pertama berfungsi. Berdasarkan hal di atas, maka aturan yang lebih khusus harus lebih tinggi daripada aturan yang lebih umum. Namun perlu dicatat, karena aturan diperiksa secara berurutan, lebih baik dalam hal kinerja untuk membuat aturan umum. Saat membuat aturan apa pun, kondisi diterapkan sesuai dengan logika "DAN". Jika perlu menggunakan logika "ATAU", maka ini dicapai dengan membuat beberapa aturan. Jadi apa yang dijelaskan dalam artikel ini juga berlaku untuk kebijakan UserGate lainnya.

Firewall

Setelah menginstal UserGate, sudah ada kebijakan sederhana di bagian "Firewall". Dua aturan pertama melarang lalu lintas untuk botnet. Berikut ini adalah contoh aturan akses dari zona yang berbeda. Aturan terakhir selalu disebut "Blokir semua" dan ditandai dengan simbol kunci (artinya aturan tersebut tidak dapat dihapus, diubah, dipindahkan, dinonaktifkan, hanya dapat diaktifkan untuk opsi logging). Jadi, karena aturan ini, semua lalu lintas yang tidak diizinkan secara eksplisit akan diblokir oleh aturan terakhir. Jika Anda ingin mengizinkan semua lalu lintas melalui UserGate (walaupun ini sangat tidak disarankan), Anda selalu dapat membuat aturan kedua dari belakang "Izinkan Semua".

Saat mengedit atau membuat aturan firewall, yang pertama tab Umum, Anda perlu melakukan hal berikut: 

• Kotak centang "Aktifkan" aktifkan atau nonaktifkan aturan.

• masukkan nama aturan.

• mengatur deskripsi aturan.

• pilih dari dua tindakan:

  • Tolak - blokir lalu lintas (saat menyetel kondisi ini, dimungkinkan untuk mengirim host ICMP tidak dapat dijangkau, Anda hanya perlu mencentang kotak yang sesuai).

  • Izinkan - memungkinkan lalu lintas.

• Item skenario - memungkinkan Anda memilih skenario, yang merupakan kondisi tambahan agar aturan dapat diaktifkan. Beginilah cara UserGate mengimplementasikan konsep SOAR (Security Orchestration, Automation and Response).

• Logging — log informasi tentang lalu lintas saat aturan dipicu. Opsi yang memungkinkan:

  • Catat awal sesi. Dalam hal ini, hanya informasi tentang awal sesi (paket pertama) yang akan ditulis ke log lalu lintas. Ini adalah opsi logging yang disarankan.

  • Catat setiap paket. Dalam hal ini, informasi tentang setiap paket jaringan yang dikirimkan akan direkam. Untuk mode ini, disarankan untuk mengaktifkan batas logging untuk mencegah beban perangkat yang tinggi.

• Terapkan aturan ke:

  • Semua paket

  • untuk paket terfragmentasi

  • ke paket yang tidak terfragmentasi

• Saat membuat aturan baru, Anda dapat memilih tempat di kebijakan.

berikutnya tab Sumber. Di sini kami menunjukkan sumber lalu lintas, dapat berupa zona asal lalu lintas, atau Anda dapat menentukan daftar atau alamat IP tertentu (Geoip). Di hampir semua aturan yang dapat diatur di perangkat, objek dapat dibuat dari aturan, misalnya, tanpa membuka bagian "Zona", Anda dapat menggunakan tombol "Buat dan tambahkan objek baru" untuk membuat zona kita butuh. Kotak centang "Balikkan" juga sering ditemukan, ini membalikkan tindakan dalam kondisi aturan, yang mirip dengan negasi tindakan logis. Tab tujuan mirip dengan tab sumber, tetapi alih-alih sumber lalu lintas, kami menetapkan tujuan lalu lintas. Tab Pengguna - di tempat ini Anda dapat menambahkan daftar pengguna atau grup yang menerapkan aturan ini. tab Layanan - pilih jenis layanan dari yang sudah ditentukan sebelumnya atau Anda dapat mengaturnya sendiri. Tab aplikasi - aplikasi atau grup aplikasi tertentu dipilih di sini. DAN tab waktu tentukan waktu kapan aturan ini aktif. 

Sejak pelajaran terakhir, kami memiliki aturan untuk mengakses Internet dari zona "Kepercayaan", sekarang saya akan menunjukkan sebagai contoh cara membuat aturan penolakan untuk lalu lintas ICMP dari zona "Trust" ke zona "Tidak Dipercaya".

Pertama, buat aturan dengan mengklik tombol "Tambah". Di jendela yang terbuka, pada tab umum, isi nama (Batasi ICMP dari tepercaya menjadi tidak tepercaya), centang kotak "Aktif", pilih tindakan penonaktifan, dan yang terpenting, pilih lokasi aturan ini dengan benar. Menurut kebijakan saya, aturan ini harus ditempatkan di atas aturan "Izinkan dipercaya untuk tidak dipercaya":

Di tab "Sumber" untuk tugas saya, ada dua opsi:

• Dengan memilih zona “Tepercaya”.

• Dengan memilih semua zona kecuali “Tepercaya” dan mencentang kotak “Balikkan”.

Tab Tujuan dikonfigurasi mirip dengan tab Sumber.

Selanjutnya, buka tab "Layanan", karena UserGate memiliki layanan yang telah ditentukan sebelumnya untuk lalu lintas ICMP, lalu dengan mengklik tombol "Tambah", kami memilih layanan dengan nama "Any ICMP" dari daftar yang diusulkan:

Mungkin ini adalah niat pembuat UserGate, tetapi saya berhasil membuat beberapa aturan yang sepenuhnya identik. Meskipun hanya aturan pertama dari daftar yang akan dieksekusi, menurut saya kemampuan untuk membuat aturan dengan nama yang sama yang fungsinya berbeda dapat menyebabkan kebingungan saat beberapa administrator perangkat bekerja.

NAT dan perutean

Saat membuat aturan NAT, kami melihat beberapa tab serupa, seperti untuk firewall. Bidang "Jenis" muncul di tab "Umum", ini memungkinkan Anda untuk memilih apa yang akan menjadi tanggung jawab aturan ini:

• NAT - Terjemahan Alamat Jaringan.

• DNAT - Mengarahkan lalu lintas ke alamat IP yang ditentukan.

• Penerusan port - Mengalihkan lalu lintas ke alamat IP yang ditentukan, tetapi memungkinkan Anda untuk mengubah nomor port dari layanan yang diterbitkan

• Perutean berbasis kebijakan - Memungkinkan Anda merutekan paket IP berdasarkan informasi tambahan, seperti layanan, alamat MAC, atau server (alamat IP).

• Pemetaan jaringan - Memungkinkan Anda mengganti alamat IP sumber atau tujuan dari satu jaringan dengan jaringan lain.

Setelah memilih jenis aturan yang sesuai, setelan untuknya akan tersedia.

Di bidang IP SNAT (alamat eksternal), kami secara eksplisit menentukan alamat IP yang akan diganti dengan alamat sumber. Kolom ini diperlukan jika ada beberapa alamat IP yang ditetapkan ke antarmuka di zona tujuan. Jika Anda mengosongkan kolom ini, sistem akan menggunakan alamat acak dari daftar alamat IP yang tersedia yang ditetapkan ke antarmuka zona tujuan. UserGate merekomendasikan untuk menentukan IP SNAT untuk meningkatkan kinerja firewall.

Misalnya, saya akan menerbitkan layanan SSH dari server Windows yang terletak di zona "DMZ" menggunakan aturan "port-forwarding". Untuk melakukan ini, klik tombol "Tambah" dan isi tab "Umum", tentukan nama aturan "SSH ke Windows" dan ketik "Penerusan port":

Pada tab "Sumber", pilih zona "Tidak Dipercaya" dan buka tab "Penerusan port". Di sini kita harus menentukan protokol "TCP" (tersedia empat opsi - TCP, UDP, SMTP, SMTPS). Port tujuan asli 9922 — nomor port tujuan pengiriman permintaan pengguna (port: 2200, 8001, 4369, 9000-9100 tidak dapat digunakan). Port tujuan baru (22) adalah nomor port tempat permintaan pengguna ke server terbitan internal akan diteruskan.

Pada tab "DNAT", atur alamat ip komputer di jaringan lokal, yang dipublikasikan di Internet (192.168.3.2). Dan Anda dapat mengaktifkan SNAT secara opsional, kemudian UserGate akan mengubah alamat sumber dalam paket dari jaringan eksternal ke alamat IP-nya sendiri.

Setelah semua pengaturan, diperoleh aturan yang memungkinkan akses dari zona "Tidak Dipercaya" ke server dengan alamat ip 192.168.3.2 melalui protokol SSH, menggunakan alamat UserGate eksternal saat menghubungkan.

Bandwidth

Bagian ini mendefinisikan aturan untuk kontrol bandwidth. Mereka dapat digunakan untuk membatasi saluran pengguna, host, layanan, aplikasi tertentu.

Saat membuat aturan, ketentuan pada tab menentukan lalu lintas yang menerapkan pembatasan. Bandwidth dapat dipilih dari yang diusulkan, atau diatur sendiri. Saat membuat bandwidth, Anda dapat menentukan label prioritas lalu lintas DSCP. Contoh ketika label DSCP diterapkan: dengan menentukan aturan skenario di mana aturan ini diterapkan, maka aturan ini dapat secara otomatis mengubah label ini. Contoh lain tentang cara kerja skrip: aturan hanya akan berfungsi untuk pengguna ketika torrent terdeteksi atau jumlah lalu lintas melebihi batas yang ditentukan. Tab yang tersisa diisi dengan cara yang sama seperti pada kebijakan lain, berdasarkan jenis lalu lintas yang harus diterapkan aturan tersebut.

Kesimpulan

Pada artikel ini, saya membahas pembuatan aturan di bagian Firewall, NAT dan Routing, dan Bandwidth. Dan di awal artikel, dia menjelaskan aturan untuk membuat kebijakan UserGate, serta prinsip dari kondisi saat membuat aturan. 

Nantikan pembaruan di saluran kami (Telegram, Facebook, VK, Blog Solusi TS)!

Sumber: www.habr.com