3. UserGate Incipere. Network Politiae

Grati lectores ad tertium articulum in UserGate Incipere seriem articulorum, qui de solutione NGFW e societatis loquitur. UserGate. Articulus praecedens processum delineandi fire-valli describit et eius configurationem initialem perficit. Nunc propius inspiciemus regulas creandi in sectionibus ut "Firewall", "NAT et Routing" et "Bandwidth".

Opinatio UserGate praecepta est quod praecepta a summo ad imum, ad primum operata sunt. Ex superioribus, sequitur regulas specialiores esse altiores regulas generaliores. Sed notandum est quod, cum regulae in ordine reprimantur, melius est secundum regulas generales facere. Conditiones in creando aliquam regulam secundum logicam "ET" applicantur. Si logica "OR" uti necesse est, hoc fit per plures regulas creando. Ita quod in hoc articulo descriptum est de aliis agendi UserGate competit.

Firewall

Post UserGate insertis, iam simplex consilium in sectione "Firewall" est. Primae duae regulae negocii botnetes negant. Sunt exempla accessuum regulae ex variis zonis. Ultima regula semper vocatur "obstrue omnia" et signo padlock signatur (significat regulam deleri, mutari, movi, debilitari non posse, modo optioni logingi ei tribuere potes). Et sic, propter hanc regulam, omnis negotiatio quae expresse licita non est, per ultimam regulam impedietur. Si vis omnia negotiatio per UserGate (quamvis hoc valde non commendatum) permittere vis, semper potes regulam paenultimam “Permitte omnia” creare.

Quando creare firewall vel edendi regula, prima General tabnecesse est ut sequentes gradus in eo opere compleantur; 

• Utere "De" checkbox ut regulam enable vel disable.

• nomen regulae intrant.

• descrip- tionis regulae.

• eligere ex duobus actionibus;

  • Nega - caudices negotiationis (cum hac condicione posita est, possibile est exercitum ICMP mittere impossibilem, vos iustus postulo ut aptam reprehendo).

  • Patitur, concedit negotiationis.

• Sem item - sino te missionem eligere, quae addita est condicio regulae ut urguetur. Hoc est quomodo conceptum UserGate perficit SOAR (Securitatis Orchestrationis, Automationis et Responsionis) conceptum.

• Logging-log information about traffic when a rule is Urguet. Optiones possibilis:

  • Sessionis initium log. In hoc casu, solum notitia de initio sessionis (prima fasciculus) in loga negotiationis scribenda erit. Haec est optio logging commendatur.

  • Log omni conleci. In hoc casu, informationes de singulis fasciculis retis transmissis notabuntur. Ad hunc modum, commendatur logging ut modum ne princeps fabrica onus.

• Applicare regulam ad:

  • Omnes packages

  • defluximus facis

  • ut unfragmented facis

• Cum novam regulam creando, locum in consilio eligere potes.

postero "Source" tab. Hic fons negotiationis indicamus, haec esse potest zona e qua negotiatio venit, vel album vel specifica IP oratio specificare potes (Geoip). In omnibus fere regulis quae in fabrica poni possunt, objectum ex regula creari potest, exempli gratia, sine sectione "zonarum", uti potes "crea et novum objectum" conjunctionem creare ut zonam. indigemus. "Invert" reprehendo etiam saepe offendit, actionem in regula condicionem mutat in contrarium, quod est similis actioni logicae negationis. Destinatio Tab similem fonti tab, solum loco negotiationis fonti destinatum negotiationis constituimus. Users Tab — hoc loco addere potes indicem usorum vel coetuum pro quibus haec regula valet. Service tab - Genus servitutis elige ex uno iam praedefinito vel tuo proprio constituere potes. Applicationem Tab - Hic eliguntur speciales applicationes seu coetus applicationum. ET Tempus tab indicant tempus quo haec regula activa est. 

Ex postrema lectione regulam habemus in accessu Penitus ex zona "Spera", nunc ostendemus, exempli causa, quomodo regulam negare pro ICMP negotiationis a "Spera" zona ad zonam "intrusam" creare.

Primum regulam fac strepitando in deprimendo "Adde". In fenestra, quae aperit, in tabe generali, nomen imple (Ban ICMP ex fide infidelium), reprehendo "On" perscriptio, actionem intercludere ac potissimum eligere locum rectam huius regulae. Iuxta consilium meum haec regula collocari debet supra regulam "Permittite fidem infidelium" regulam.

In tab "Source" duo bene operae meae sunt:

• Discriptis "Susted" zona

• Discriptis omnibus zonae praeter "Tusted" et iniecta "Invert" checkbox

"Destinatio" tab configuratur similiter tab.

Deinde ad tab "Servitium" itur, cum UserGate praefinitum servitium pro ICMP negotiationis habet, tum strepitando "Adde" conjunctionem, ex indice propositis eligimus servitium quod "ICMP" vocatur:

Fortasse haec sunt quae creatores UserGate intenderunt, sed plures regulas omnino identicas creare potui. Etsi regulae primae tantum ex indice exsecutioni erunt, puto facultatem regulas diversorum functionality cum eodem nomine creandi posse confusionem inferre, cum plures administratores machinae operantur.

NAT et profectus

Cum regulas NAT creans, varias tabs similes ignium murorum videmus. In agro "generali" tab, "Type" apparuit, id tibi permittit eligere quid haec regula responsabilis erit:

• NAT - Inscriptio Network Inscriptio.

• DNAT - Redirectiones traffic ad certum IP oratio.

• Portus procuret - Redirectiones traffic ad certum IP oratio, sed permittit te mutare portum numerum servitii editorum

• Consilium-fundatur fusum - Permittit IP fasciculis fusa fundata in informationibus provectis, ut officia, MAC inscriptiones, vel servientes (IP inscriptiones).

• Retiacula destinata - Permittit te reponere fontem vel destinationem IP inscriptionum unius reticuli cum retis alterius.

Aptae regulae genus eligendo, occasus praesto erit.

In IP SNAT (inscriptio externa) expresse indicamus IP electronica cui fons inscriptionem restituetur. Hic campus desideratur si plures inscriptiones IP ad interfaces destinationis zonae assignatae sunt. Si vacuum hunc agrum relinquis, ratio inscriptionem temere adhibebit e indice inscriptionum IP promptarum quae in zona interfaces destinationi assignata sunt. UserGate commendat speciem SNAT IP ad perficiendum firewall emendavit.

Exemplum, dabo servitium SSH in servo Fenestrae in zona "DMZ" positam utens regulae "portum procuret". Ad hoc fac, preme bullam "Adde" et imple "generalem" tab, nomen regulae "SSH in Fenestra" et typus "Portus procuret";

In "Source" tab, elige zonam Untrusted et vade ad "Portum Transmissio" tab. Hic protocollum "TCP" notandum est (quattuor optiones in promptu sunt - TCP, UDP, SMTP, SMTPS). Portus originalis destinatus est 9922 - portus numerus ad quem utentes petitiones mittunt (portus adhiberi non possunt: ​​2200, 8001, 4369, 9000-9100). Portus novus destinatus (22) - numerus portus cui petitiones usorum pro servo divulgato interno transmittuntur.

In "DNAT" tab, IP oratio computantis in retis localis pone, quae in Interreti edita (192.168.3.2). Et optione facere potes SNAT, tunc UserGate mutabit fontem inscriptionis in fasciculis ab retis extraneis ad IP inscriptionem suam.

Post omnes uncinos, regulam obtines quae te permittit ut accessum ab "Untrusted" zona servo cum IP inscriptione 192.168.3.2 per SSH accipias, utens inscriptionem externam UserGate cum connectens.

throughput

Haec sectio dat speciem regulae band longitudinis administrandi. Adhiberi possunt canalem nonnullorum utentium, exercituum, officiorum, applicationum.

Cum regulam creant, condiciones in tabs negotiationem determinant cui restrictiones applicant. Sed ab illis oblatis eligere potes, vel tuam constituere. Cum band latitudinem creando, DSCP titulus negotiationis prioritizationis specificare potes. Exemplum cum pittacia DSCP applicantur: specificando in regula missionis in qua haec regula adhibetur, haec regula automatice hos pittacia mutare potest. Alterum exemplum quomodo scriptura operatur: regula usoris tantum operatur cum torrens deprehenditur vel copia negotiationis certum modum excedit. Reliquas tabs explemus eodem modo ac in aliis rationibus, secundum genus negotiationis, cui regula applicanda est.

conclusio,

In hoc articulo, vidi regulas creandi in "Firewall", "NAT et Routing" et "Bandwidth" sectiones. Et in ipso initio articuli regulas ad UserGate agendi rationem creandi descriptam, tum principium operandi condiciones cum regula creandi. 

Manete modulatum pro updates in canalibus nostris (Telegram, Facebook, VK, TS Solutio Blog)!

Source: www.habr.com