3. ユーザーゲートの開始。 ネットワークポリシー

UserGate Getting Started 記事シリーズの XNUMX 番目の記事へようこそ。この記事では、同社の NGFW ソリューションについて説明しています。 UserGate。 前回の記事では、ファイアウォールをインストールするプロセスとその初期構成について説明しました。 ここでは、ファイアウォール、NAT とルーティング、帯域幅などのセクションでルールの作成を詳しく見ていきます。

UserGate ルールのイデオロギー。ルールは最初に機能するまで上から下に実行されます。 上記に基づいて、より具体的なルールはより一般的なルールよりも上位にある必要があるということになります。 ただし、ルールは順番にチェックされるため、一般的なルールを作成した方がパフォーマンスの点で優れていることに注意してください。 ルールを作成する場合、条件は「AND」ロジックに従って適用されます。 ロジック「OR」を使用する必要がある場合、これは複数のルールを作成することで実現されます。 したがって、この記事で説明する内容は他の UserGate ポリシーにも当てはまります。

ファイアウォール

UserGate をインストールすると、「ファイアウォール」セクションに簡単なポリシーがすでに存在します。 最初の XNUMX つのルールは、ボットネットのトラフィックを禁止します。 以下は、さまざまなゾーンからのアクセス ルールの例です。 最後のルールは常に「すべてブロック」と呼ばれ、鍵のシンボルが付いています (これは、ルールを削除、変更、移動、無効にすることができず、ログ オプションに対してのみ有効にできることを意味します)。 したがって、このルールにより、明示的に許可されていないトラフィックはすべて最後のルールによってブロックされます。 UserGate を通過するすべてのトラフィックを許可したい場合 (これは強くお勧めしませんが)、いつでも最後から XNUMX 番目のルール「すべてを許可」を作成できます。

ファイアウォール ルールを編集または作成する場合、最初の 「全般」タブ、次のことを行う必要があります。 

• チェックボックス「オン」はルールを有効または無効にします。

• ルールの名前を入力します。

• ルールの説明を設定します。

• XNUMX つのアクションから選択します。

  • 拒否 - トラフィックをブロックします (この条件を設定すると、到達不能な ICMP ホストを送信することができます。適切なチェックボックスを設定するだけです)。

  • 許可 - トラフィックを許可します。

• シナリオ項目 - ルールを起動するための追加条件であるシナリオを選択できます。 これは、UserGate が SOAR (セキュリティ オーケストレーション、自動化、および応答) の概念を実装する方法です。

• ログ - ルールがトリガーされたときのトラフィックに関する情報をログに記録します。 考えられるオプション:

  • セッションの開始を記録します。 この場合、セッションの開始 (最初のパケット) に関する情報のみがトラフィック ログに書き込まれます。 これは推奨されるログ オプションです。

  • すべてのパケットをログに記録します。 この場合、送信された各ネットワーク パケットに関する情報が記録されます。 このモードでは、デバイスの高負荷を防ぐためにログ制限を有効にすることをお勧めします。

• ルールを以下に適用します:

  • すべてのパッケージ

  • 断片化されたパケットに

  • 断片化されていないパッケージへ

• 新しいルールを作成するときに、ポリシー内の場所を選択できます。

次の 「ソース」タブ。 ここではトラフィックの送信元を示します。トラフィックの送信元ゾーンであることも、リストまたは特定の IP アドレス (Geoip) を指定することもできます。 デバイスに設定できるほぼすべてのルールで、ルールからオブジェクトを作成できます。たとえば、「ゾーン」セクションに移動せずに、「新しいオブジェクトの作成と追加」ボタンを使用してゾーンを作成できます。私たちには必要です。 「反転」チェックボックスも一般的で、論理アクションの否定と同様に、ルール条件内のアクションを反転します。 宛先タブ これはソース タブと似ていますが、トラフィックのソースの代わりにトラフィックの宛先を設定します。 ユーザータブ - ここで、このルールが適用されるユーザーまたはグループのリストを追加できます。 サービスタブ - すでに定義されているサービスからサービスのタイプを選択するか、独自に設定することもできます。 アプリケーションタブ - 特定のアプリケーションまたはアプリケーションのグループがここで選択されます。 そして 「時間」タブ このルールがアクティブになる時間を指定します。 

前回のレッスンでは、「信頼」ゾーンからインターネットにアクセスするためのルールを作成しました。次に、「信頼」ゾーンから「非信頼」ゾーンへの ICMP トラフィックに対する拒否ルールを作成する方法を例として示します。

まず、「追加」ボタンをクリックしてルールを作成します。 開いたウィンドウの [全般] タブで、名前 (ICMP を信頼できるものから信頼できないものに制限する) を入力し、「オン」チェックボックスをオンにして、無効化アクションを選択します。そして最も重要なのは、このルールの場所を正しく選択することです。 私のポリシーによれば、このルールは「信頼できるものから信頼できないものへの許可」ルールの上に配置する必要があります。

私のタスクの「ソース」タブには、XNUMX つのオプションがあります。

• 「信頼できる」ゾーンを選択する

• 「Trusted」を除くすべてのゾーンを選択し、「Invert」チェックボックスにチェックを入れます。

[宛先] タブは、[ソース] タブと同様に構成されます。

次に、「サービス」タブに移動します。UserGate には ICMP トラフィック用の事前定義サービスがあるため、「追加」ボタンをクリックして、提案されたリストから「Any ICMP」という名前のサービスを選択します。

おそらくこれが UserGate の作成者の意図だったのでしょうが、私はまったく同じルールをいくつか作成することができました。 リストの最初のルールのみが実行されますが、機能が異なる同じ名前のルールを作成できるため、複数のデバイス管理者が作業する場合に混乱が生じる可能性があると思います。

NATとルーティング

NAT ルールを作成する場合、ファイアウォールと同様のタブがいくつか表示されます。 「全般」タブに「タイプ」フィールドが表示され、このルールが何を担当するかを選択できます。

• NAT - ネットワーク アドレス変換。

• DNAT - トラフィックを指定された IP アドレスにリダイレクトします。

• ポート転送 - トラフィックを指定された IP アドレスにリダイレクトしますが、公開されたサービスのポート番号を変更できます。

• ポリシーベースのルーティング - サービス、MAC アドレス、サーバー (IP アドレス) などの拡張情報に基づいて IP パケットをルーティングできます。

• ネットワーク マッピング - あるネットワークの送信元または宛先 IP アドレスを別のネットワークに置き換えることができます。

適切なルール タイプを選択すると、そのルールの設定が利用可能になります。

SNAT IP (外部アドレス) フィールドでは、送信元アドレスが置き換えられる IP アドレスを明示的に指定します。 宛先ゾーン内のインターフェイスに複数の IP アドレスが割り当てられている場合、このフィールドは必須です。 このフィールドを空白のままにすると、システムは宛先ゾーン インターフェイスに割り当てられた使用可能な IP アドレスのリストからランダムなアドレスを使用します。 UserGate では、ファイアウォールのパフォーマンスを向上させるために SNAT IP を指定することをお勧めします。

たとえば、「ポート転送」ルールを使用して、「DMZ」ゾーンにある Windows サーバーの SSH サービスを公開します。 これを行うには、「追加」ボタンをクリックして「全般」タブに入力し、ルールの名前「SSH to Windows」とタイプ「ポート転送」を指定します。

「ソース」タブで「信頼できない」ゾーンを選択し、「ポート転送」タブに移動します。 ここでは、プロトコル「TCP」を指定する必要があります (TCP、UDP、SMTP、SMTPS の 9922 つのオプションが利用可能です)。 元の宛先ポート 2200 — ユーザーがリクエストを送信するポート番号 (ポート: 8001、4369、9000、9100 ～ 22 は使用できません)。 新しい宛先ポート (XNUMX) は、ユーザー要求が内部公開サーバーに転送されるポート番号です。

「DNAT」タブで、インターネット上に公開されているローカルネットワーク上のコンピュータのIPアドレス（192.168.3.2）を設定します。 また、オプションで SNAT を有効にすると、UserGate は外部ネットワークからのパケット内の送信元アドレスを独自の IP アドレスに変更します。

すべての設定が完了すると、接続時に外部 UserGate アドレスを使用して、SSH プロトコル経由で「Untrusted」ゾーンから IP アドレス 192.168.3.2 のサーバーへのアクセスを許可するルールが取得されます。

スループット

このセクションでは、帯域幅制御のルールを定義します。 これらは、特定のユーザー、ホスト、サービス、アプリケーションのチャネルを制限するために使用できます。

ルールを作成する場合、タブの条件によって、制限が適用されるトラフィックが決まります。 帯域幅は提案されたものから選択することも、独自に設定することもできます。 帯域幅を作成するときに、DSCP トラフィックの優先順位付けラベルを指定できます。 DSCP ラベルが適用される例: このルールが適用されるシナリオをルールで指定すると、このルールによってこれらのラベルが自動的に変更されます。 スクリプトの動作のもう XNUMX つの例: ルールは、Torrent が検出された場合、またはトラフィック量が指定された制限を超えた場合にのみユーザーに対して機能します。 残りのタブは、ルールを適用する必要があるトラフィックのタイプに基づいて、他のポリシーと同じ方法で入力されます。

まとめ

この記事では、ファイアウォール、NAT とルーティング、および帯域幅のセクションでのルールの作成について説明しました。 そして、記事の冒頭で、UserGate ポリシーを作成するためのルールと、ルールを作成する際の条件の原則について説明しました。 

私たちのチャンネルで最新情報をチェックしてください（Telegram, Facebook, VK, TSソリューションブログ)!

出所： habr.com