Do il benvenuto ai lettori al terzo articolo della serie di articoli UserGate Getting Started, che parla della soluzione NGFW dell'azienda . Nell'ultimo articolo è stato descritto il processo di installazione di un firewall ed è stata effettuata la sua configurazione iniziale. Per ora, esamineremo più da vicino la creazione di regole in sezioni come Firewall, NAT e Routing e Larghezza di banda.
L'ideologia delle regole di UserGate, in modo tale che le regole vengano eseguite dall'alto verso il basso, fino alla prima che funziona. Sulla base di quanto sopra, ne consegue che regole più specifiche dovrebbero essere superiori a regole più generali. Ma va notato, poiché le regole vengono controllate in ordine, è meglio in termini di prestazioni creare regole generali. Quando si crea una regola, le condizioni vengono applicate secondo la logica "AND". Se è necessario utilizzare la logica "OR", ciò si ottiene creando diverse regole. Quindi quanto descritto in questo articolo si applica anche ad altre policy di UserGate.
Firewall
Dopo aver installato UserGate, esiste già una semplice politica nella sezione "Firewall". Le prime due regole vietano il traffico per le botnet. Di seguito sono riportati esempi di regole di accesso da zone diverse. L'ultima regola si chiama sempre “Blocca tutto” ed è contrassegnata dal simbolo del lucchetto (significa che la regola non può essere cancellata, modificata, spostata, disabilitata, può essere abilitata solo per l'opzione di logging). Pertanto, a causa di questa regola, tutto il traffico esplicitamente non consentito verrà bloccato dall'ultima regola. Se vuoi consentire tutto il traffico attraverso UserGate (anche se questo è fortemente sconsigliato), puoi sempre creare la penultima regola “Allow All”.
Quando si modifica o si crea una regola firewall, la prima Scheda Generale, è necessario eseguire le seguenti operazioni:
-
Casella di controllo "On" abilita o disabilita la regola.
-
inserire il nome della regola.
-
impostare la descrizione della regola.
-
scegli tra due azioni:
-
Deny - blocca il traffico (quando si imposta questa condizione, è possibile inviare un host ICMP irraggiungibile, è sufficiente impostare l'apposita casella di controllo).
-
Consenti: consente il traffico.
-
-
Elemento Scenario: consente di selezionare uno scenario, che è una condizione aggiuntiva per l'attivazione della regola. È così che UserGate implementa il concetto di SOAR (Security Orchestration, Automation and Response).
-
Registrazione: scrive informazioni sul traffico nel registro quando viene attivata la regola. Opzioni possibili:
-
Registra l'inizio della sessione. In questo caso, nel log del traffico verranno scritte solo le informazioni sull'inizio della sessione (il primo pacchetto). Questa è l'opzione di registrazione consigliata.
-
Registra ogni pacchetto. In questo caso, verranno registrate le informazioni su ciascun pacchetto di rete trasmesso. Per questa modalità, si consiglia di abilitare il limite di registrazione per evitare un carico elevato del dispositivo.
-
-
Applica regola a:
-
Tutti i pacchetti
-
a pacchetti frammentati
-
a pacchetti non frammentati
-
-
Quando crei una nuova regola, puoi scegliere un posto nella politica.
il prossimo Scheda Sorgente. Qui indichiamo la fonte del traffico, può essere la zona da cui proviene il traffico, oppure puoi specificare una lista o un indirizzo ip specifico (Geoip). In quasi tutte le regole impostabili nel dispositivo è possibile creare un oggetto da una regola, ad esempio, senza andare nella sezione “Zone”, puoi utilizzare il pulsante “Crea e aggiungi un nuovo oggetto” per creare la zona abbiamo bisogno. Spesso si trova anche la casella di controllo "Inverti", che inverte l'azione nella condizione della regola, che è simile alla negazione dell'azione logica. Scheda Destinazione simile alla scheda sorgente, ma invece della sorgente di traffico, impostiamo la destinazione del traffico. Scheda Utenti - in questo posto puoi aggiungere un elenco di utenti o gruppi per i quali si applica questa regola. Scheda Servizio - seleziona il tipo di servizio tra quelli già predefiniti oppure puoi impostarne uno tuo. Scheda Applicazione - Qui vengono selezionate applicazioni specifiche o gruppi di applicazioni. E Scheda Ora specificare l'ora in cui questa regola è attiva.
Dall'ultima lezione, abbiamo una regola per l'accesso a Internet dalla zona "Trust", ora mostrerò come esempio come creare una regola di negazione per il traffico ICMP dalla zona "Trust" alla zona "Untrusted".
Innanzitutto, crea una regola facendo clic sul pulsante "Aggiungi". Nella finestra che si apre, nella scheda generale, inserisci il nome (Limita ICMP da attendibile a non attendibile), seleziona la casella di controllo "On", seleziona l'azione di disabilitazione e, soprattutto, scegli la posizione corretta per questa regola. Secondo la mia politica, questa regola dovrebbe essere posizionata sopra la regola "Consenti da attendibile a non attendibile":
Nella scheda "Sorgente" per la mia attività, ci sono due opzioni:
-
Selezionando la zona "Trusted".
-
Selezionando tutte le zone tranne "Trusted" e selezionando la casella di controllo "Invert".
La scheda Destinazione è configurata in modo simile alla scheda Origine.
Successivamente, vai alla scheda "Servizio", poiché UserGate ha un servizio predefinito per il traffico ICMP, quindi facendo clic sul pulsante "Aggiungi", selezioniamo un servizio con il nome "Any ICMP" dall'elenco proposto:
Forse questa era l'intenzione dei creatori di UserGate, ma sono riuscito a creare diverse regole completamente identiche. Sebbene verrà eseguita solo la prima regola dell'elenco, penso che la possibilità di creare regole con lo stesso nome che hanno funzionalità diverse possa creare confusione quando lavorano diversi amministratori di dispositivi.
NAT e instradamento
Durante la creazione delle regole NAT, vediamo diverse schede simili, come per il firewall. Il campo "Tipo" è apparso nella scheda "Generale", ti consente di scegliere di cosa sarà responsabile questa regola:
-
NAT - Traduzione degli indirizzi di rete.
-
DNAT - Reindirizza il traffico all'indirizzo IP specificato.
-
Port forwarding: reindirizza il traffico all'indirizzo IP specificato, ma consente di modificare il numero di porta del servizio pubblicato
-
Routing basato su criteri: consente di instradare i pacchetti IP in base a informazioni estese, come servizi, indirizzi MAC o server (indirizzi IP).
-
Mappatura di rete: consente di sostituire gli indirizzi IP di origine o di destinazione di una rete con un'altra rete.
Dopo aver selezionato il tipo di regola appropriato, saranno disponibili le relative impostazioni.
Nel campo IP SNAT (indirizzo esterno), specifichiamo esplicitamente l'indirizzo IP a cui verrà sostituito l'indirizzo di origine. Questo campo è obbligatorio se sono presenti più indirizzi IP assegnati alle interfacce nella zona di destinazione. Se si lascia vuoto questo campo, il sistema utilizzerà un indirizzo casuale dall'elenco di indirizzi IP disponibili assegnati alle interfacce della zona di destinazione. UserGate consiglia di specificare SNAT IP per migliorare le prestazioni del firewall.
Ad esempio, pubblicherò il servizio SSH di un server Windows situato nella zona "DMZ" utilizzando la regola "port-forwarding". Per fare ciò, fai clic sul pulsante "Aggiungi" e compila la scheda "Generale", specifica il nome della regola "SSH a Windows" e il tipo "Port forwarding":
Nella scheda "Sorgente", seleziona la zona "Untrusted" e vai alla scheda "Port forwarding". Qui dobbiamo specificare il protocollo "TCP" (sono disponibili quattro opzioni: TCP, UDP, SMTP, SMTPS). Porta di destinazione originale 9922: numero di porta a cui gli utenti inviano le richieste (le porte: 2200, 8001, 4369, 9000-9100 non possono essere utilizzate). La nuova porta di destinazione (22) è il numero di porta a cui verranno inoltrate le richieste dell'utente al server pubblicato interno.
Nella scheda "DNAT", imposta l'indirizzo IP del computer sulla rete locale, che è pubblicato su Internet (192.168.3.2). E puoi facoltativamente abilitare SNAT, quindi UserGate cambierà l'indirizzo di origine nei pacchetti dalla rete esterna al proprio indirizzo IP.
Dopo tutte le impostazioni, si ottiene una regola che consente l'accesso dalla zona "Untrusted" al server con l'indirizzo IP 192.168.3.2 tramite il protocollo SSH, utilizzando l'indirizzo UserGate esterno durante la connessione.
capacità
Questa sezione definisce le regole per il controllo della larghezza di banda. Possono essere utilizzati per limitare il canale di determinati utenti, host, servizi, applicazioni.
Quando si crea una regola, le condizioni nelle schede determinano il traffico a cui vengono applicate le restrizioni. La larghezza di banda può essere selezionata tra quelle proposte o impostarne una propria. Quando si crea la larghezza di banda, è possibile specificare un'etichetta di priorità del traffico DSCP. Un esempio di quando vengono applicate le etichette DSCP: specificando in una regola lo scenario in cui viene applicata questa regola, questa regola può modificare automaticamente queste etichette. Un altro esempio di come funziona lo script: la regola funzionerà per l'utente solo quando viene rilevato un torrent o la quantità di traffico supera il limite specificato. Le restanti schede vengono compilate allo stesso modo degli altri criteri, in base al tipo di traffico a cui deve essere applicata la regola.
conclusione
In questo articolo, ho trattato la creazione di regole nelle sezioni Firewall, NAT e Routing e Larghezza di banda. E proprio all'inizio dell'articolo, ha descritto le regole per la creazione dei criteri di UserGate, nonché il principio delle condizioni durante la creazione di una regola.
Resta sintonizzato per gli aggiornamenti nei nostri canali (, , , )!
Fonte: habr.com