3. UserGate Miwiti. Kawicaksanan Jaringan

Sugeng rawuh para pamaca ing artikel katelu ing seri UserGate Miwiti artikel, sing ngomong babagan solusi NGFW saka perusahaan UserGate. Artikel sadurunge nerangake proses nginstal firewall lan nindakake konfigurasi awal. Saiki kita bakal nliti nggawe aturan ing bagean kayata "Firewall", "NAT lan Routing" lan "Bandwidth".

Ideologi aturan UserGate yaiku aturan kasebut dileksanakake saka ndhuwur nganti ngisor, nganti sing pertama sing bisa digunakake. Adhedhasar ing ndhuwur, pratelan yen aturan sing luwih spesifik kudu luwih dhuwur tinimbang aturan sing luwih umum. Nanging kudu dicathet yen wiwit aturan kasebut dicenthang kanthi urutan, ing babagan kinerja luwih apik kanggo nggawe aturan umum. Kondisi nalika nggawe aturan ditrapake miturut logika "AND". Yen perlu nggunakake logika "UTAWA", iki bisa ditindakake kanthi nggawe sawetara aturan. Dadi apa sing diterangake ing artikel iki ditrapake kanggo kabijakan UserGate liyane.

Firewall

Sawise nginstal UserGate, wis ana kabijakan prasaja ing bagean "Firewall". Rong aturan pisanan nolak lalu lintas menyang botnet. Ing ngisor iki conto aturan akses saka macem-macem zona. Aturan pungkasan tansah disebut "Blokir kabeh" lan ditandhani karo simbol padlock (tegese aturan ora bisa dibusak, diowahi, dipindhah, dipatèni, sampeyan mung bisa ngaktifake pilihan logging kanggo). Mangkono, amarga aturan iki, kabeh lalu lintas sing ora diidini kanthi jelas bakal diblokir dening aturan pungkasan. Yen sampeyan pengin ngidini kabeh lalu lintas liwat UserGate (sanajan iki banget ora dianjurake), sampeyan bisa tansah nggawe penultimate "Allow all" aturan.

Nalika nyunting utawa nggawe aturan firewall, pisanan Tab Umum, sampeyan kudu nindakake langkah-langkah ing ngisor iki: 

• Gunakake kothak centhang "Aktif" kanggo ngaktifake utawa mateni aturan kasebut.

• ketik jeneng aturan.

• atur katrangan pranatan.

• milih saka rong tumindak:

  • Nolak - mblokir lalu lintas (nalika kondisi iki disetel, sampeyan bisa ngirim host ICMP ora bisa diakses, sampeyan mung kudu nyetel kothak centhang sing cocog).

  • Allow — ngidini lalu lintas.

• Skenario item - ngijini sampeyan kanggo milih skenario, kang kondisi tambahan kanggo aturan kanggo micu. Iki carane UserGate ngetrapake konsep SOAR (Orkestrasi Keamanan, Otomatisasi, lan Tanggapan).

• Log-informasi log babagan lalu lintas nalika aturan dipicu. Pilihan sing bisa:

  • Log wiwitan sesi. Ing kasus iki, mung informasi babagan wiwitan sesi (paket pisanan) sing bakal direkam ing log lalu lintas. Iki minangka pilihan logging sing disaranake.

  • Log saben paket. Ing kasus iki, informasi babagan saben paket jaringan sing dikirim bakal direkam. Kanggo mode iki, dianjurake kanggo ngaktifake watesan logging kanggo nyegah beban piranti sing dhuwur.

• Gunakake aturan kanggo:

  • Kabeh paket

  • menyang paket fragmented

  • menyang paket unfragmented

• Nalika nggawe aturan anyar, sampeyan bisa milih lokasi ing kabijakan.

Sabanjure Tab "Sumber".. Ing kene kita nuduhake sumber lalu lintas; iki bisa dadi zona saka ngendi lalu lintas kasebut, utawa sampeyan bisa nemtokake dhaptar utawa alamat IP tartamtu (Geoip). Ing meh kabeh aturan sing bisa disetel ing piranti, obyek bisa digawe saka aturan, contone, tanpa pindhah menyang bagean "Zona", sampeyan bisa nggunakake tombol "Gawe lan nambah obyek anyar" kanggo nggawe zona. dhewe butuh. Kothak centhang "Balik" uga asring ditemoni; ngganti tumindak ing kahanan aturan dadi ngelawan, sing padha karo tumindak logis negasi. Tab Tujuan padha karo tab sumber, mung tinimbang sumber lalu lintas kita nyetel tujuan lalu lintas. Pangguna tab — ing panggonan iki sampeyan bisa nambah dhaptar pangguna utawa grup sing aturan iki ditrapake. Tab layanan - pilih jinis layanan saka sing wis ditemtokake utawa sampeyan bisa nyetel dhewe. Tab Aplikasi — ing kene aplikasi utawa klompok aplikasi tartamtu dipilih. LAN Tab wektu nuduhake wektu nalika aturan iki aktif. 

Wiwit pawulangan pungkasan, kita duwe aturan kanggo ngakses Internet saka zona "Trust", saiki aku bakal nuduhake, minangka conto, carane nggawe aturan nolak kanggo lalu lintas ICMP saka zona "Trust" menyang zona "Untrusted" .

Pisanan, nggawe aturan kanthi ngeklik tombol "Tambah". Ing jendhela sing mbukak, ing tab umum, isi jeneng kasebut (Ban ICMP saka dipercaya dadi ora dipercaya), priksa kothak centhang "On", pilih tumindak kanggo mblokir lan, sing paling penting, pilih lokasi sing bener kanggo aturan iki. Miturut kabijakanku, aturan iki kudu ana ing ndhuwur aturan "Allow trusted to untrusted":

Ing tab "Sumber", ana rong pilihan kanggo tugasku:

• Milih zona "Dipercaya".

• Milih kabeh zona kajaba "Dipercaya" lan mriksa kothak centhang "Balik".

Tab "Tujuan" dikonfigurasi padha karo tab "Sumber".

Sabanjure, pindhah menyang tab "Layanan", amarga UserGate duwe layanan sing wis ditemtokake kanggo lalu lintas ICMP, banjur kanthi ngeklik tombol "Tambah", kita milih saka dhaptar sing diusulake layanan sing diarani "Sembarang ICMP":

Mungkin iki sing dikarepake para pangripta UserGate, nanging aku bisa nggawe sawetara aturan sing padha. Senajan mung aturan pisanan saka dhaftar bakal kaleksanan, Aku kemampuan kanggo nggawe aturan saka fungsi beda karo jeneng sing padha bisa nimbulaké kebingungan nalika sawetara administrator piranti bisa.

NAT lan nuntun

Nalika nggawe aturan NAT, kita ndeleng sawetara tab sing padha karo firewall. Ing tab "Umum", kolom "Jenis" wis katon; ngidini sampeyan milih apa aturan iki bakal tanggung jawab:

• NAT - Terjemahan Alamat Jaringan.

• DNAT - Ngalihake lalu lintas menyang alamat IP sing ditemtokake.

• Terusake port - Ngalihake lalu lintas menyang alamat IP sing ditemtokake, nanging ngidini sampeyan ngganti nomer port layanan sing diterbitake

• Nuntun basis kabijakan - Ngidini paket IP diarahake adhedhasar informasi lanjut, kayata layanan, alamat MAC, utawa server (alamat IP).

• Pemetaan jaringan - Ngidini sampeyan ngganti alamat IP sumber utawa tujuan siji jaringan karo jaringan liyane.

Sawise milih jinis aturan sing cocog, setelan kasebut bakal kasedhiya.

Ing lapangan SNAT IP (alamat eksternal), kita kanthi jelas nuduhake alamat IP sing alamat sumber bakal diganti. Kolom iki dibutuhake yen ana sawetara alamat IP sing ditugasake menyang antarmuka zona tujuan. Yen sampeyan ninggalake kolom iki kosong, sistem bakal nggunakake alamat acak saka dhaptar alamat IP sing kasedhiya kanggo antarmuka zona tujuan. UserGate nyaranake nemtokake IP SNAT kanggo nambah kinerja firewall.

Contone, aku bakal nerbitake layanan SSH ing server Windows sing ana ing zona "DMZ" nggunakake aturan "port forwarding". Kanggo nindakake iki, klik tombol "Tambah" lan isi tab "Umum", nemtokake jeneng aturan "SSH to Windows" lan ketik "Port forwarding":

Ing tab "Sumber", pilih zona "Untrusted" lan pindhah menyang tab "Port Forwarding". Kene kita kudu nemtokake protokol "TCP" (papat opsi kasedhiya - TCP, UDP, SMTP, SMTPS). Port tujuan asli 9922 - nomer port sing pangguna ngirim panjalukan (port ora bisa digunakake: 2200, 8001, 4369, 9000-9100). Port tujuan anyar (22) - nomer port sing dijaluk pangguna menyang server sing diterbitake internal bakal diterusake.

Ing tab "DNAT", setel alamat IP komputer ing jaringan lokal, sing diterbitake ing Internet (192.168.3.2). Lan opsional sampeyan bisa ngaktifake SNAT, banjur UserGate bakal ngganti alamat sumber ing paket saka jaringan eksternal menyang alamat IP.

Sawise kabeh setelan, sampeyan entuk aturan sing ngidini sampeyan entuk akses saka zona "Untrusted" menyang server kanthi alamat IP 192.168.3.2 liwat SSH, nggunakake alamat UserGate eksternal nalika nyambungake.

Bandwidth

Bagean iki nemtokake aturan kanggo ngatur bandwidth. Bisa digunakake kanggo mbatesi saluran pangguna, host, layanan, aplikasi tartamtu.

Nalika nggawe aturan, kahanan ing tab nemtokake lalu lintas sing watesan ditrapake. Sampeyan bisa milih bandwidth saka sing ditawakake, utawa nyetel dhewe. Nalika nggawe bandwidth, sampeyan bisa nemtokake label prioritas lalu lintas DSCP. Conto nalika label DSCP diterapake: kanthi nemtokake ing aturan skenario sing ditrapake aturan iki, banjur aturan iki bisa kanthi otomatis ngganti label kasebut. Conto liyane babagan cara skrip kasebut: aturan kasebut mung bisa digunakake kanggo pangguna nalika torrent dideteksi utawa jumlah lalu lintas ngluwihi watesan sing ditemtokake. Kita ngisi tab sing isih ana kanthi cara sing padha karo kebijakan liyane, adhedhasar jinis lalu lintas sing kudu ditrapake aturan kasebut.

kesimpulan

Ing artikel iki, aku katon ing nggawe aturan ing "Firewall", "NAT lan Routing" lan "Bandwidth" bagean. Lan ing wiwitan artikel, aku nerangake aturan kanggo nggawe kabijakan UserGate, uga prinsip operasi kondisi nalika nggawe aturan. 

Tetep dirungokake kanggo nganyari ing saluran kita (Telegram, Facebook, VK, Blog Solusi TS)!

Source: www.habr.com