3. „UserGate“ pradžia. Tinklo politika

Sveikinu skaitytojus su trečiuoju UserGate Getting Started straipsnių serijos straipsniu, kuriame kalbama apie įmonės NGFW sprendimą Vartotojo vartai. Paskutiniame straipsnyje buvo aprašytas ugniasienės diegimo procesas ir atlikta pradinė jos konfigūracija. Kol kas atidžiau pažvelgsime į taisyklių kūrimą tokiuose skyriuose kaip ugniasienė, NAT ir maršruto parinkimas bei juostos plotis.

„UserGate“ taisyklių ideologija, tokia, kad taisyklės vykdomos iš viršaus į apačią, kol pasirodys pirmoji, kuri veikia. Remiantis tuo, kas išdėstyta pirmiau, darytina išvada, kad konkretesnės taisyklės turėtų būti aukštesnės nei bendresnės taisyklės. Tačiau reikia pažymėti, kad taisyklės tikrinamos eilės tvarka, todėl našumo požiūriu geriau sukurti bendras taisykles. Kuriant bet kurią taisyklę, sąlygos taikomos pagal „IR“ logiką. Jei reikia naudoti logiką „ARBA“, tai pasiekiama sukuriant kelias taisykles. Taigi tai, kas aprašyta šiame straipsnyje, taikoma ir kitoms „UserGate“ taisyklėms.

Ugniasienė

Įdiegę UserGate, skiltyje „Ugniasienė“ jau yra paprasta politika. Pirmosios dvi taisyklės draudžia botnetų srautą. Toliau pateikiami prieigos taisyklių iš skirtingų zonų pavyzdžiai. Paskutinė taisyklė visada vadinama „Blokuoti viską“ ir pažymėta užrakto simboliu (tai reiškia, kad taisyklės negalima ištrinti, keisti, perkelti, išjungti, ją galima įjungti tik registravimo parinkčiai). Taigi, dėl šios taisyklės visas aiškiai neleidžiamas eismas bus blokuojamas pagal paskutinę taisyklę. Jei norite leisti visą srautą per UserGate (nors tai labai nerekomenduojama), visada galite sukurti priešpaskutinę taisyklę „Leisti viską“.

Redaguojant arba kuriant ugniasienės taisyklę, pirmoji Skirtukas Bendra, turite atlikti šiuos veiksmus: 

• Pažymėkite langelį „Įjungta“ įgalinkite arba išjunkite taisyklę.

• įveskite taisyklės pavadinimą.

• nustatyti taisyklės aprašymą.

• pasirinkti iš dviejų veiksmų:

  • Deny – blokuoja srautą (nustačius šią sąlygą, galima siųsti ICMP host nepasiekiamas, tereikia pažymėti atitinkamą varnelę).

  • Leisti – leidžia eismą.

• Scenarijaus elementas – leidžia pasirinkti scenarijų, kuris yra papildoma taisyklės suaktyvinimo sąlyga. Taip UserGate įgyvendina SOAR (Security Orchestration, Automation and Response) koncepciją.

• Registravimas – įrašykite informaciją apie srautą į žurnalą, kai suaktyvinama taisyklė. Galimi variantai:

  • Užregistruokite sesijos pradžią. Tokiu atveju į eismo žurnalą bus įrašoma tik informacija apie seanso pradžią (pirmasis paketas). Tai rekomenduojama registravimo parinktis.

  • Užregistruokite kiekvieną paketą. Tokiu atveju informacija apie kiekvieną perduotą tinklo paketą bus įrašyta. Šiam režimui rekomenduojama įjungti registravimo limitą, kad būtų išvengta didelės įrenginio apkrovos.

• Taikyti taisyklę:

  • Visos pakuotės

  • į suskaidytus paketus

  • į nesusmulkintas pakuotes

• Kurdami naują taisyklę galite pasirinkti vietą politikoje.

kitas Šaltinis skirtukas. Čia nurodome srauto šaltinį, tai gali būti zona, iš kurios ateina srautas, arba galite nurodyti sąrašą arba konkretų IP adresą (Geoip). Beveik visose taisyklėse, kurias galima nustatyti įrenginyje, objektas gali būti sukurtas iš taisyklės, pavyzdžiui, nenuėjus į skyrių „Zonos“, galite naudoti mygtuką „Sukurti ir pridėti naują objektą“, kad sukurtumėte zoną. mums reikia. Taip pat dažnai randamas žymimasis langelis „Apversti“, jis apverčia veiksmą taisyklės sąlygoje, kuri yra panaši į loginio veiksmo neigimą. Paskirties skirtukas panašus į šaltinio skirtuką, bet vietoj srauto šaltinio nustatome srauto tikslą. Skirtukas Vartotojai - šioje vietoje galite įtraukti sąrašą vartotojų ar grupių, kurioms taikoma ši taisyklė. Aptarnavimo skirtukas - pasirinkite paslaugos tipą iš jau iš anksto nustatyto arba galite nustatyti savo. Programos skirtukas - čia pasirenkamos konkrečios programos arba programų grupės. IR Laiko skirtukas nurodykite laiką, kada ši taisyklė yra aktyvi. 

Nuo paskutinės pamokos turime taisyklę, leidžiančią pasiekti internetą iš „Pasitikėjimo“ zonos, dabar kaip pavyzdį parodysiu, kaip sukurti ICMP srauto iš „Pasitikėjimo“ zonos į „Nepatikima“ zoną atmetimo taisyklę.

Pirmiausia sukurkite taisyklę spustelėdami mygtuką „Pridėti“. Atsidariusiame lange bendrajame skirtuke įveskite pavadinimą (Apriboti ICMP nuo patikimo iki nepatikimo), pažymėkite varnelę „Įjungta“, pažymėkite veiksmą išjungti ir, svarbiausia, pasirinkite tinkamą šios taisyklės vietą. Pagal mano politiką ši taisyklė turėtų būti pateikta virš taisyklės „Leisti patikimą ir nepatikimą“:

Mano užduoties skirtuke „Šaltinis“ yra dvi parinktys:

• Pasirinkę „Patikima“ zoną

• Pasirinkę visas zonas, išskyrus „Patikima“ ir pažymėdami žymimąjį laukelį „Apversti“.

Skirtukas Paskirtis sukonfigūruotas panašiai kaip ir Šaltinis.

Tada eikite į skirtuką „Paslauga“, nes „UserGate“ turi iš anksto nustatytą ICMP srauto paslaugą, tada spustelėdami mygtuką „Pridėti“ iš siūlomo sąrašo pasirenkame paslaugą pavadinimu „Bet koks ICMP“:

Galbūt tai buvo „UserGate“ kūrėjų ketinimas, tačiau man pavyko sukurti kelias visiškai identiškas taisykles. Nors bus vykdoma tik pirmoji taisyklė iš sąrašo, manau, kad galimybė kurti taisykles tuo pačiu pavadinimu, kurios skiriasi funkcionalumu, gali sukelti painiavą, kai dirba keli įrenginių administratoriai.

NAT ir maršruto parinkimas

Kurdami NAT taisykles matome keletą panašių skirtukų, kaip ir ugniasienės. Skirtuke „Bendra“ pasirodė laukas „Tipas“, kuriame galite pasirinkti, už ką bus atsakinga ši taisyklė:

• NAT – tinklo adresų vertimas.

• DNAT – nukreipia srautą į nurodytą IP adresą.

• Prievado persiuntimas – nukreipia srautą į nurodytą IP adresą, bet leidžia keisti paskelbtos paslaugos prievado numerį

• Politika pagrįstas maršruto parinkimas – leidžia nukreipti IP paketus remiantis išplėstine informacija, pvz., paslaugomis, MAC adresais arba serveriais (IP adresais).

• Tinklo atvaizdavimas – leidžia pakeisti vieno tinklo šaltinio arba paskirties IP adresus kitu tinklu.

Pasirinkus atitinkamą taisyklės tipą, bus pasiekiami jo nustatymai.

Lauke SNAT IP (išorinis adresas) aiškiai nurodome IP adresą, į kurį bus pakeistas šaltinio adresas. Šis laukas būtinas, jei paskirties zonoje sąsajoms priskirti keli IP adresai. Jei paliksite šį lauką tuščią, sistema naudos atsitiktinį adresą iš galimų IP adresų, priskirtų paskirties zonos sąsajoms, sąrašo. „UserGate“ rekomenduoja nurodyti SNAT IP, kad pagerintumėte ugniasienės našumą.

Pavyzdžiui, aš paskelbsiu „Windows“ serverio, esančio „DMZ“ zonoje, SSH paslaugą naudodamas „prievado persiuntimo“ taisyklę. Norėdami tai padaryti, spustelėkite mygtuką „Pridėti“ ir užpildykite skirtuką „Bendra“, nurodykite taisyklės pavadinimą „SSH to Windows“ ir tipą „Port persiuntimas“:

Skirtuke „Šaltinis“ pasirinkite zoną „Nepatikima“ ir eikite į skirtuką „Port persiuntimas“. Čia turime nurodyti protokolą „TCP“ (galimos keturios parinktys - TCP, UDP, SMTP, SMTPS). Originalus paskirties prievadas 9922 – prievado numeris, į kurį vartotojai siunčia užklausas (prievadai: 2200, 8001, 4369, 9000-9100 negali būti naudojami). Naujasis paskirties prievadas (22) yra prievado numeris, į kurį bus persiunčiamos vartotojo užklausos vidiniam paskelbtam serveriui.

Skirtuke „DNAT“ nustatykite vietiniame tinkle esančio kompiuterio IP adresą, kuris yra paskelbtas internete (192.168.3.2). Ir jūs galite pasirinktinai įjungti SNAT, tada „UserGate“ pakeis šaltinio adresą paketuose iš išorinio tinklo į savo IP adresą.

Po visų nustatymų gaunama taisyklė, leidžianti iš „Untrusted“ zonos prieiti prie serverio su IP adresu 192.168.3.2 per SSH protokolą, jungiantis naudojant išorinį UserGate adresą.

Bandwidth

Šiame skyriuje apibrėžiamos pralaidumo valdymo taisyklės. Jie gali būti naudojami tam tikrų vartotojų, prieglobų, paslaugų, programų kanalui apriboti.

Kuriant taisyklę, sąlygos skirtukuose nustato srautą, kuriam taikomi apribojimai. Pralaidumą galima pasirinkti iš siūlomo arba nustatyti savo. Kurdami pralaidumą galite nurodyti DSCP srauto prioriteto etiketę. Pavyzdys, kai taikomos DSCP etiketės: taisyklėje nurodant scenarijų, pagal kurį ši taisyklė taikoma, ši taisyklė gali automatiškai pakeisti šias etiketes. Kitas scenarijaus veikimo pavyzdys: taisyklė veiks vartotojui tik tada, kai bus aptiktas torrentas arba srauto kiekis viršys nurodytą limitą. Likę skirtukai užpildomi taip pat, kaip ir kitose strategijose, atsižvelgiant į srauto, kuriam turėtų būti taikoma taisyklė, tipą.

išvada

Šiame straipsnyje aprašiau taisyklių kūrimą ugniasienės, NAT ir maršruto parinkimo bei pralaidumo skyriuose. Ir pačioje straipsnio pradžioje jis aprašė „UserGate“ politikos kūrimo taisykles, taip pat sąlygų principą kuriant taisyklę. 

Sekite naujienas mūsų kanaluose (Telegram, Facebook, VK, TS sprendimų tinklaraštis)!

Šaltinis: www.habr.com