Wëllkomm Lieser op den drëtten Artikel an der UserGate Getting Started Serie vun Artikelen, déi iwwer d'NGFW Léisung vun der Firma schwätzt . De fréiere Artikel beschreift de Prozess vun der Installatioun vun enger Firewall an huet seng initial Konfiguratioun gemaach. Elo wäerte mir e méi no kucken fir Regelen a Sektiounen ze kreéieren wéi "Firewall", "NAT a Routing" a "Bandbreedung".
D'Ideologie vun de UserGate Regelen ass datt d'Regele vun uewe bis ënnen ausgefouert ginn, op déi éischt déi funktionnéiert. Baséierend op den uewe genannten, folgt et datt méi spezifesch Reegele méi héich solle sinn wéi méi allgemeng Reegele. Awer et sollt bemierkt datt well d'Regele an Uerdnung iwwerpréift ginn, wat d'Leeschtung ugeet, ass et besser allgemeng Regelen ze kreéieren. Konditioune bei der Schafung vun enger Regel ginn no der "AN" Logik applizéiert. Wann et néideg ass "ODER" Logik ze benotzen, gëtt dëst erreecht andeems Dir verschidde Regelen erstellt. Also wat an dësem Artikel beschriwwe gëtt gëllt fir aner UserGate Politiken.
Firewall
Nodeems Dir UserGate installéiert hutt, gëtt et schonn eng einfach Politik an der Rubrik "Firewall". Déi éischt zwou Regele refuséieren Traffic op Botnets. Déi folgend sinn Beispiller vun Zougang Regelen aus verschiddenen Zonen. Déi lescht Regel gëtt ëmmer "Alles blockéieren" genannt an ass mat engem Padlock Symbol markéiert (et heescht datt d'Regel net geläscht, geännert, geréckelt, behënnert ka ginn, Dir kënnt nëmmen d'Logéierungsoptioun fir et aktivéieren). Wéinst dëser Regel gëtt also all Verkéier, deen net explizit erlaabt ass, duerch déi lescht Regel gespaart. Wann Dir all Traffic duerch UserGate wëllt erlaben (obwuel dëst staark net recommandéiert ass), kënnt Dir ëmmer d'Penultimate "Allow all" Regel erstellen.
Wann Dir eng Firewall Regel ännert oder erstellt, ass déi éischt Allgemeng Tab, musst Dir déi folgend Schrëtt dorop ausféieren:
-
Benotzt d'Checkbox "On" fir d'Regel z'aktivéieren oder auszeschalten.
-
gitt den Numm vun der Regel.
-
setzen eng Beschreiwung vun der Regel.
-
wielt aus zwou Aktiounen:
-
Verweigeren - blockéiert Traffic (wann dës Konditioun agestallt ass, ass et méiglech ICMP Host onerreechbar ze schécken, Dir musst just déi entspriechend Checkbox setzen).
-
Erlaabt - erlaabt Traffic.
-
-
Szenario Element - erlaabt Iech e Szenario ze wielen, wat eng zousätzlech Bedingung ass fir d'Regel ausgeléist ze ginn. Dëst ass wéi UserGate d'SOAR (Security Orchestration, Automation and Response) Konzept implementéiert.
-
Logging - loggt Informatioun iwwer Traffic wann eng Regel ausgeléist gëtt. Méiglech Optiounen:
-
Log den Ufank vun der Sessioun. An dësem Fall gëtt nëmmen Informatioun iwwer den Ufank vun der Sessioun (den éischte Paket) am Traffic Log opgeholl. Dëst ass déi recommandéiert Loggingsoptioun.
-
Log all Paket. An dësem Fall gëtt Informatioun iwwer all iwwerdroen Netzwierkpaket opgeholl. Fir dëse Modus ass et recommandéiert d'Logbuchlimit z'aktivéieren fir héich Apparatbelaaschtung ze vermeiden.
-
-
Benotzt d'Regel op:
-
All Packagen
-
op fragmentéiert Pakete
-
op onfragmentéiert Päck
-
-
Wann Dir eng nei Regel erstellt, kënnt Dir eng Plaz an der Politik auswielen.
Déi nächst Tab "Source".. Hei weisen mir d'Quell vum Traffic un; dëst kann d'Zone sinn, aus där de Verkéier kënnt, oder Dir kënnt eng Lëscht oder eng spezifesch IP Adress (Geoip) uginn. A bal all Regelen, déi an engem Apparat gesat kënne ginn, kann en Objet aus enger Regel erstallt ginn, zum Beispill, ouni an d'Sektioun "Zone" ze goen, kënnt Dir de Knäppchen "Erstellen an en neien Objet derbäi" benotzen fir d'Zone ze kreéieren mir brauchen. D'Checkbox "Invert" gëtt och dacks begéint; et ännert d'Aktioun an der Regelbedingung op de Géigendeel, wat ähnlech wéi déi logesch Handlung vun der Negatioun ass. Destinatioun Tab ähnlech wéi d'Quell Tab, nëmmen amplaz vun der Verkéiersquell setzen mir de Verkéiersdestinatioun. Benotzer Tab - op dëser Plaz kënnt Dir eng Lëscht vu Benotzer oder Gruppen bäidroen fir déi dës Regel gëllt. Service Tab - Wielt d'Zort vum Service aus dem scho virdefinéierten oder Dir kënnt Ären eegene setzen. Applikatioun Tab - hei ginn spezifesch Uwendungen oder Gruppen vun Uwendungen ausgewielt. AN Zäit Tab uginn d'Zäit wou dës Regel aktiv ass.
Vun der leschter Lektioun hu mir eng Regel fir Zougang zum Internet aus der Zone "Vertrauen", elo wäert ech weisen, als Beispill, wéi Dir eng Oflehnungsregel fir ICMP Traffic aus der Zone "Vertrauen" an d'Zon "Untrusted" erstellt.
Als éischt, erstellt eng Regel andeems Dir op de "Add" Knäppchen klickt. An der Fënster déi opmaacht, op der allgemenger Reiter, fëllt den Numm aus (Verbuet ICMP vu vertraut op net vertraut), kontrolléiert d'Këscht "On", wielt d'Aktioun fir ze blockéieren an, am wichtegsten, wielt déi richteg Plaz fir dës Regel. No menger Politik soll dës Regel iwwer d'Regel "Allow Trusted to Untrusted" sinn:
Op der Tab "Quell" ginn et zwou Méiglechkeeten fir meng Aufgab:
-
Auswiel vun der "Trusted" Zone
-
Wielt all Zonen ausser "Trusted" a kontrolléiert d'Këscht "Invertéieren".
D'Tab "Destinatioun" ass ähnlech wéi d'Tab "Source" konfiguréiert.
Als nächst gi mir op d'Tab "Service", well UserGate e virdefinéierte Service fir ICMP Traffic huet, da klickt op de "Add" Knäppchen, wielt aus der proposéierter Lëscht e Service mam Numm "All ICMP":
Vläicht ass dat wat d'Creatoren vu UserGate geduecht hunn, awer ech konnt e puer komplett identesch Regelen erstellen. Och wann nëmmen déi éischt Regel aus der Lëscht ausgefouert gëtt, denken ech datt d'Fähigkeit fir Regele vu verschiddene Funktionalitéit mam selwechten Numm ze kreéieren kann Duercherneen verursaachen wann e puer Apparatadministratoren schaffen.
NAT a Routing
Wann Dir NAT Regelen erstellt, gesi mir e puer ähnlech Tabs wéi fir d'Firewall. Op der Tab "Allgemeng" ass de Feld "Typ" erschéngt; et erlaabt Iech ze wielen fir wat dës Regel verantwortlech ass:
-
NAT - Network Adress Iwwersetzung.
-
DNAT - Viruleet Traffic op déi spezifizéiert IP Adress.
-
Port Forwarding - Redirects Traffic op eng spezifizéiert IP Adress, awer erlaabt Iech d'Portnummer vum publizéierten Service z'änneren
-
Politik-baséiert Routing - Erlaabt IP-Päckchen op Basis vu fortgeschratt Informatioun, wéi Servicer, MAC Adressen oder Serveren (IP Adressen) ze routen.
-
Network Mapping - Erlaabt Iech d'Quell- oder Destinatiouns-IP Adressen vun engem Netz mat engem aneren Netz z'ersetzen.
Nodeems Dir de passenden Regeltyp gewielt hutt, sinn Astellunge dofir verfügbar.
Am Feld SNAT IP (extern Adress) weisen mir explizit d'IP Adress un, op déi d'Quelladress ersat gëtt. Dëst Feld ass erfuerderlech wann et e puer IP Adressen un d'Interfaces vun der Destinatiounszone zougewisen sinn. Wann Dir dëst Feld eidel loosst, benotzt de System eng zoufälleg Adress aus der Lëscht vun verfügbaren IP Adressen, déi un d'Destinatiounszone-Interfaces zougewisen sinn. UserGate recommandéiert SNAT IP ze spezifizéieren fir d'Performance vun der Firewall ze verbesseren.
Als Beispill publizéieren ech en SSH Service op engem Windows Server an der "DMZ" Zone mat der "Port Forwarding" Regel. Fir dëst ze maachen, klickt op de "Add" Knäppchen a fëllt den Tab "Allgemeng" aus, spezifizéiert den Numm vun der Regel "SSH op Windows" an den Typ "Port Forwarding":
Op der "Source" Reiter, wielt der "Untrusted" Zone a gitt op d'Tab "Port Forwarding". Hei musse mir de "TCP" Protokoll spezifizéieren (véier Optioune si verfügbar - TCP, UDP, SMTP, SMTPS). Den ursprénglechen Destinatiounsport ass 9922 - d'Portnummer op déi d'Benotzer Ufroe schécken (Ports kënnen net benotzt ginn: 2200, 8001, 4369, 9000-9100). Neien Destinatiounsport (22) - d'Portnummer, op déi d'Benotzer Ufroen un den internen publizéierten Server weidergeleet ginn.
Op der Tab "DNAT" setzen d'IP Adress vum Computer am lokalen Netzwierk, deen um Internet publizéiert gëtt (192.168.3.2). An optional kënnt Dir SNAT aktivéieren, da wäert UserGate d'Quelladress a Pakete vum externen Netzwierk op seng IP Adress änneren.
No all Astellunge kritt Dir eng Regel déi Iech erlaabt Zougang vun der "Untrusted" Zone op e Server mat der IP Adress 192.168.3.2 iwwer SSH ze kréien, andeems Dir déi extern UserGate Adress benotzt wann Dir verbënnt.
Duerchgang
Dës Sektioun spezifizéiert Regele fir d'Gestioun vun der Bandbreedung. Si kënne benotzt ginn fir de Kanal vu bestëmmte Benotzer, Hosten, Servicer, Uwendungen ze limitéieren.
Wann Dir eng Regel erstellt, bestëmmen d'Konditiounen op de Tabs de Traffic op deen Restriktiounen gëllen. Dir kënnt d'Bandbreedung aus deenen ugebueden auswielen oder Är eege setzen. Wann Dir Bandbreed erstellt, kënnt Dir e DSCP Verkéier Prioritéit Label uginn. E Beispill vu wann DSCP Etiketten applizéiert ginn: andeems Dir an enger Regel de Szenario spezifizéiert an deem dës Regel applizéiert gëtt, da kann dës Regel dës Etiketten automatesch änneren. En anert Beispill vu wéi de Skript funktionnéiert: d'Regel funktionnéiert nëmme fir de Benotzer wann e Torrent festgestallt gëtt oder de Betrag vum Traffic eng spezifizéiert Limit iwwerschreift. Mir fëllen déi verbleiwen Tabs op déiselwecht Manéier wéi an anere Politiken, baséiert op der Art vum Traffic, op deen d'Regel soll applizéiert ginn.
Konklusioun
An dësem Artikel hunn ech gekuckt Regelen ze kreéieren an de Rubriken "Firewall", "NAT a Routing" an "Bandwidth". An am ganz Ufank vum Artikel beschriwwen ech d'Regele fir d'UserGate Politik ze kreéieren, wéi och de Prinzip vun der Operatioun vun de Konditioune beim Schafe vun enger Regel.
Bleift ofgeschloss fir Updates an eise Kanäl (, , , )!
Source: will.com