3. UserGate бастау. Желілік саясаттар

Мен оқырмандарды UserGate жұмысты бастау мақалалар сериясының үшінші мақаласына қош келдіңіздер, ол компанияның NGFW шешімі туралы айтады. UserGate. Соңғы мақалада брандмауэрді орнату процесі сипатталды және оның бастапқы конфигурациясы жасалды. Әзірге біз брандмауэр, NAT және Маршрутизация және өткізу қабілеттілігі сияқты бөлімдерде ережелер жасауды егжей-тегжейлі қарастырамыз.

UserGate ережелерінің идеологиясы ережелер бірінші жұмыс істегенге дейін жоғарыдан төменге дейін орындалады. Жоғарыда айтылғандарға сүйене отырып, нақты ережелер жалпы ережелерден жоғары болуы керек. Бірақ айта кету керек, ережелер ретімен тексерілгендіктен, жалпы ережелерді жасау өнімділік тұрғысынан жақсырақ. Кез келген ережені құру кезінде шарттар «ЖӘНЕ» логикасына сәйкес қолданылады. Егер «НЕМЕСЕ» логикасын пайдалану қажет болса, онда бұл бірнеше ережелерді құру арқылы қол жеткізіледі. Сонымен, осы мақалада сипатталғандар басқа UserGate саясаттарына да қатысты.

Брандмауэр

UserGate орнатқаннан кейін «Брандмауэр» бөлімінде қарапайым саясат бар. Алғашқы екі ереже ботнеттер үшін трафикке тыйым салады. Төменде әртүрлі аймақтардан кіру ережелерінің мысалдары берілген. Соңғы ереже әрқашан «Барлығын блоктау» деп аталады және құлыптау белгісімен белгіленеді (бұл ережені жоюға, өзгертуге, жылжытуға, өшіруге болмайтынын білдіреді, оны тек журналға жазу опциясы үшін қосуға болады). Осылайша, осы ережеге байланысты, барлық анық рұқсат етілмеген трафик соңғы ережемен блокталады. UserGate арқылы барлық трафикке рұқсат бергіңіз келсе (бірақ бұл қатаң түрде қабылданбайды), сіз әрқашан «Барлығына рұқсат беру» соңғы ережесін жасай аласыз.

Брандмауэр ережесін өңдеу немесе жасау кезінде бірінші Жалпы қойынды, келесі әрекеттерді орындау керек: 

• Ережені қосу немесе өшіру үшін «Қосу» құсбелгісін қойыңыз.

• ереженің атын енгізіңіз.

• ереженің сипаттамасын орнатыңыз.

• екі әрекеттен таңдаңыз:

  • Бас тарту - трафикті блоктайды (бұл шартты орнату кезінде ICMP хостын қолжетімсіз жіберуге болады, тек сәйкес құсбелгіні қою керек).

  • Рұқсат ету - қозғалысқа рұқсат береді.

• Сценарий элементі - сценарийді таңдауға мүмкіндік береді, бұл ереженің іске қосылуының қосымша шарты болып табылады. UserGate осылайша SOAR (Қауіпсіздікті ұйымдастыру, автоматтандыру және жауап беру) тұжырымдамасын жүзеге асырады.

• Журнал жүргізу — ереже іске қосылған кезде трафик туралы ақпаратты журналға түсіру. Ықтимал опциялар:

  • Сеанстың басталуын жазып алыңыз. Бұл жағдайда трафик журналына тек сеанстың басталуы туралы ақпарат (бірінші пакет) жазылады. Бұл ұсынылған тіркеу опциясы.

  • Әрбір пакетті тіркеу. Бұл жағдайда әрбір жіберілетін желі пакеті туралы ақпарат жазылады. Бұл режим үшін құрылғының жоғары жүктемесін болдырмау үшін тіркеу шегін қосу ұсынылады.

• Ережені қолдану:

  • Барлық пакеттер

  • фрагменттелген пакеттерге

  • фрагменттелмеген бумаларға

• Жаңа ережені жасау кезінде саясатта орынды таңдауға болады.

Келесі Дереккөз қойындысы. Мұнда біз трафик көзін көрсетеміз, ол трафик келетін аймақ болуы мүмкін немесе тізімді немесе нақты IP-адресті (Geoip) көрсетуге болады. Құрылғыда орнатуға болатын барлық дерлік ережелерде нысанды ережеден жасауға болады, мысалы, «Аймақтар» бөліміне өтпей, аймақты жасау үшін «Жаңа нысанды жасау және қосу» түймесін пайдалануға болады. бізге керек. «Төңкеру» құсбелгісі де жиі кездеседі, ол ереже жағдайындағы әрекетті кері қайтарады, ол логикалық әрекетті теріске шығаруға ұқсас. Мақсат қойындысы бастапқы қойындысына ұқсас, бірақ трафик көзінің орнына біз трафиктің тағайындалуын орнатамыз. Пайдаланушылар қойындысы - бұл жерде осы ереже қолданылатын пайдаланушылар немесе топтардың тізімін қосуға болады. Қызмет қойындысы - алдын ала анықталғаннан қызмет түрін таңдаңыз немесе өзіңіз орната аласыз. Қолданба қойындысы - мұнда арнайы қолданбалар немесе қолданбалар топтары таңдалады. ЖӘНЕ Уақыт қойындысы осы ереженің белсенді болатын уақытын көрсетіңіз. 

Өткен сабақтан бастап бізде «Сенім» аймағынан Интернетке кіру ережесі бар, енді мен «Сенімді» аймақтан «Сенімсіз» аймаққа дейінгі ICMP трафигі үшін бас тарту ережесін қалай құру керектігін мысал ретінде көрсетемін.

Алдымен «Қосу» түймесін басу арқылы ереже жасаңыз. Ашылатын терезеде жалпы қойындыда атауды толтырыңыз (ICMP сенімдіден сенімсізге дейін шектеу), «Қосу» құсбелгісін қойыңыз, өшіру әрекетін таңдаңыз және ең бастысы, осы ереже үшін дұрыс орынды таңдаңыз. Менің саясатыма сәйкес, бұл ереже «Сенімдіге сенімсізге рұқсат беру» ережесінің үстіне қойылуы керек:

Менің тапсырмамның «Көз» қойындысында екі опция бар:

• «Сенімді» аймақты таңдау арқылы

• «Сенімді» дегеннен басқа барлық аймақтарды таңдап, «Төңкеру» құсбелгісін қою арқылы

Мақсат қойындысы Көз қойындысына ұқсас конфигурацияланған.

Әрі қарай, «Қызмет» қойындысына өтіңіз, өйткені UserGate-те ICMP трафигі үшін алдын ала анықталған қызметі бар, содан кейін «Қосу» түймесін басу арқылы ұсынылған тізімнен «Кез келген ICMP» атауы бар қызметті таңдаймыз:

Мүмкін бұл UserGate жасаушылардың ниеті болса керек, бірақ мен бірнеше мүлдем бірдей ережелерді жасай алдым. Тізімдегі бірінші ереже ғана орындалса да, функционалдық жағынан әр түрлі атпен ережелерді жасау мүмкіндігі бірнеше құрылғы әкімшілері жұмыс істегенде шатасуы мүмкін деп ойлаймын.

NAT және маршруттау

NAT ережелерін жасау кезінде брандмауэр сияқты бірнеше ұқсас қойындыларды көреміз. «Жалпы» қойындысында «Түр» өрісі пайда болды, ол осы ереженің не үшін жауап беретінін таңдауға мүмкіндік береді:

• NAT – Network Address Translation.

• DNAT - трафикті көрсетілген IP мекенжайына қайта бағыттайды.

• Портты бағыттау - трафикті көрсетілген IP мекенжайына қайта бағыттайды, бірақ жарияланған қызметтің порт нөмірін өзгертуге мүмкіндік береді

• Саясатқа негізделген маршруттау - қызметтер, MAC мекенжайлары немесе серверлер (IP мекенжайлары) сияқты кеңейтілген ақпарат негізінде IP пакеттерін бағыттауға мүмкіндік береді.

• Желіні салыстыру - бір желінің бастапқы немесе тағайындалған IP мекенжайларын басқа желімен ауыстыруға мүмкіндік береді.

Сәйкес ереже түрін таңдағаннан кейін оған арналған параметрлер қолжетімді болады.

SNAT IP (сыртқы мекенжай) өрісінде бастапқы мекенжай ауыстырылатын IP мекенжайын нақты көрсетеміз. Бұл өріс тағайындалған аймақтағы интерфейстерге тағайындалған бірнеше IP мекенжайлары болса қажет. Бұл өрісті бос қалдырсаңыз, жүйе тағайындалған аймақ интерфейстеріне тағайындалған қолжетімді IP мекенжайлар тізімінен кездейсоқ мекенжайды пайдаланады. UserGate желіаралық қалқан жұмысын жақсарту үшін SNAT IP мекенжайын көрсетуді ұсынады.

Мысалы, мен «портты қайта жіберу» ережесін қолдана отырып, «DMZ» аймағында орналасқан Windows серверінің SSH қызметін жариялаймын. Ол үшін «Қосу» түймесін басып, «Жалпы» қойындысын толтырыңыз, «Windows жүйесіне SSH» ережесінің атын және «Порттарды қайта жіберу» түрін көрсетіңіз:

«Көз» қойындысында «Сенімсіз» аймақты таңдап, «Порттарды қайта жіберу» қойындысына өтіңіз. Мұнда біз «TCP» протоколын көрсетуіміз керек (төрт опция бар - TCP, UDP, SMTP, SMTPS). Түпнұсқа тағайындалған порт 9922 — пайдаланушылар сұрау жіберетін порт нөмірі (порттарды: 2200, 8001, 4369, 9000-9100 пайдалану мүмкін емес). Жаңа тағайындалған порт (22) ішкі жарияланған серверге пайдаланушы сұраулары қайта жіберілетін порт нөмірі болып табылады.

«DNAT» қойындысында Интернетте жарияланған жергілікті желідегі компьютердің ip-мекен-жайын орнатыңыз (192.168.3.2). SNAT мүмкіндігін қосуға болады, содан кейін UserGate пакеттердегі бастапқы мекенжайды сыртқы желіден өзінің IP мекенжайына өзгертеді.

Барлық параметрлерден кейін қосылу кезінде сыртқы UserGate мекенжайын пайдаланып SSH протоколы арқылы 192.168.3.2 ip-мекен-жайы бар серверге «Сенімсіз» аймақтан кіруге мүмкіндік беретін ереже алынады.

Өткізу қабілеті

Бұл бөлім өткізу қабілеттілігін басқару ережелерін анықтайды. Олар белгілі бір пайдаланушылардың, хосттардың, қызметтердің, қолданбалардың арналарын шектеу үшін пайдаланылуы мүмкін.

Ережені жасау кезінде қойындылардағы шарттар шектеулер қолданылатын трафикті анықтайды. Өткізу қабілеттілігін ұсынылғаннан таңдауға немесе өзіңіз орнатуға болады. Өткізу жолағын жасау кезінде DSCP трафик басымдық белгісін көрсетуге болады. DSCP белгілері қашан қолданылатынының мысалы: ережеде осы ереже қолданылатын сценарийді көрсету арқылы, бұл ереже осы белгілерді автоматты түрде өзгерте алады. Сценарийдің жұмыс істеуінің тағы бір мысалы: ереже торрент анықталғанда немесе трафик мөлшері көрсетілген шектен асқанда ғана пайдаланушы үшін жұмыс істейді. Қалған қойындылар ереже қолданылуы керек трафик түріне негізделген басқа саясаттардағы сияқты толтырылады.

қорытынды

Бұл мақалада мен брандмауэр, NAT және Маршруттау және өткізу қабілеттілігі бөлімдерінде ережелер жасауды қарастырдым. Мақаланың ең басында ол UserGate саясатын құру ережелерін, сондай-ақ ережені құру кезіндегі шарттар принципін сипаттады. 

Біздің арналардағы жаңартуларды күтіңіз (Telegram, Facebook, VK, TS Solution блогы)!

Ақпарат көзі: www.habr.com