3. UserGate Darba sākšana. Tīkla politikas

Aicinu lasītājus uz UserGate Getting Started rakstu sērijas trešo rakstu, kurā runāts par uzņēmuma NGFW risinājumu UserGate. Pēdējā rakstā tika aprakstīts ugunsmūra instalēšanas process un veikta tā sākotnējā konfigurācija. Pagaidām mēs sīkāk aplūkosim noteikumu izveidi tādās sadaļās kā ugunsmūris, NAT un maršrutēšana un Joslas platums.

UserGate noteikumu ideoloģija ir tāda, ka noteikumi tiek izpildīti no augšas uz leju līdz pirmajam, kas darbojas. Pamatojoties uz iepriekš minēto, izriet, ka konkrētākiem noteikumiem jābūt augstākiem nekā vispārīgākiem noteikumiem. Bet jāatzīmē, ka, tā kā noteikumi tiek pārbaudīti kārtībā, veiktspējas ziņā labāk ir izveidot vispārīgus noteikumus. Veidojot jebkuru noteikumu, nosacījumi tiek piemēroti saskaņā ar “UN” loģiku. Ja nepieciešams izmantot loģiku “OR”, tad tas tiek panākts, izveidojot vairākus noteikumus. Tātad šajā rakstā aprakstītais attiecas arī uz citām UserGate politikām.

Ugunsmūris

Pēc UserGate instalēšanas sadaļā “Ugunsmūris” jau ir vienkārša politika. Pirmie divi noteikumi aizliedz datplūsmu robottīkliem. Tālāk ir sniegti piekļuves noteikumu piemēri no dažādām zonām. Pēdējais noteikums vienmēr tiek saukts par “Bloķēt visu” un ir atzīmēts ar slēdzenes simbolu (tas nozīmē, ka kārtulu nevar dzēst, modificēt, pārvietot, atspējot, to var iespējot tikai reģistrēšanas opcijai). Tādējādi šī noteikuma dēļ visa nepārprotami neatļautā satiksme tiks bloķēta ar pēdējo noteikumu. Ja vēlaties atļaut visu trafiku caur UserGate (lai gan tas ir stingri neiesakāms), vienmēr varat izveidot priekšpēdējo noteikumu “Atļaut visu”.

Rediģējot vai veidojot ugunsmūra kārtulu, pirmais Cilne Vispārīgi, jums ir jāveic šādas darbības: 

• Atzīmējiet izvēles rūtiņu “Ieslēgts”, lai iespējotu vai atspējotu kārtulu.

• ievadiet kārtulas nosaukumu.

• iestatiet noteikuma aprakstu.

• izvēlieties no divām darbībām:

  • Aizliegt - bloķē trafiku (iestatot šo nosacījumu, ir iespējams nosūtīt ICMP resursdatoru nesasniedzamu, tikai jāiestata atbilstošā izvēles rūtiņa).

  • Atļaut — atļauj satiksmi.

• Scenārija vienums — ļauj atlasīt scenāriju, kas ir papildu nosacījums kārtulas aktivizēšanai. Šādi UserGate ievieš SOAR (Security Orchestration, Automation and Response) koncepciju.

• Reģistrēšana — ierakstiet žurnālā informāciju par trafiku, kad kārtula tiek aktivizēta. Iespējamie varianti:

  • Reģistrējiet sesijas sākumu. Šajā gadījumā satiksmes žurnālā tiks ierakstīta tikai informācija par sesijas sākumu (pirmā pakete). Šī ir ieteicamā reģistrēšanas opcija.

  • Reģistrējiet katru paketi. Šajā gadījumā informācija par katru pārsūtīto tīkla paketi tiks ierakstīta. Šim režīmam ieteicams iespējot reģistrēšanas ierobežojumu, lai novērstu augstu ierīces slodzi.

• Piemērot noteikumu:

  • Visas pakas

  • uz sadrumstalotām paketēm

  • uz nesadrumstalotiem iepakojumiem

• Veidojot jaunu noteikumu, varat izvēlēties vietu politikā.

nākamā Avota cilne. Šeit mēs norādām trafika avotu, tā var būt zona, no kuras nāk trafika, vai arī varat norādīt sarakstu vai konkrētu IP adresi (Geoip). Gandrīz visos noteikumos, ko var iestatīt ierīcē, objektu var izveidot no kārtulas, piemēram, nepārejot uz sadaļu "Zonas", varat izmantot pogu "Izveidot un pievienot jaunu objektu", lai izveidotu zonu. mums vajag. Arī izvēles rūtiņa “Invert” ir izplatīta, tā apvērš darbību kārtulas nosacījumā, kas ir līdzīgs loģiskās darbības noliegumam. Galamērķa cilne līdzīgi kā cilnē avots, bet datplūsmas avota vietā mēs iestatām trafika galamērķi. Lietotāju cilne - šajā vietā varat pievienot to lietotāju vai grupu sarakstu, uz kuriem attiecas šis noteikums. Pakalpojuma cilne - izvēlieties pakalpojuma veidu no jau iepriekš definētā vai arī varat iestatīt savu. Lietojumprogrammu cilne - šeit tiek atlasītas konkrētas lietojumprogrammas vai programmu grupas. UN Cilne Laiks norādiet laiku, kad šis noteikums ir aktīvs. 

Kopš pēdējās nodarbības mums ir noteikums piekļuvei internetam no zonas “Uzticamība”, tagad es kā piemēru parādīšu, kā izveidot aizlieguma kārtulu ICMP trafikam no “Uzticības” zonas uz “Neuzticamo” zonu.

Vispirms izveidojiet noteikumu, noklikšķinot uz pogas “Pievienot”. Atvērtajā logā cilnē Vispārīgi ievadiet nosaukumu (Ierobežot ICMP no uzticama uz neuzticamu), atzīmējiet izvēles rūtiņu “Ieslēgts”, atlasiet atspējošanas darbību un, pats galvenais, pareizi atlasiet šī noteikuma atrašanās vietu. Saskaņā ar manu politiku šī kārtula ir jānovieto virs kārtulas “Atļaut uzticamu un neuzticamu”.

Mana uzdevuma cilnē “Avots” ir divas iespējas:

• Atlasot zonu “Uzticama”.

• Atlasot visas zonas, izņemot “Uzticama” un atzīmējot izvēles rūtiņu “Invertēt”.

Cilne Destination ir konfigurēta līdzīgi kā cilne Avots.

Pēc tam dodieties uz cilni “Pakalpojums”, jo UserGate ir iepriekš definēts pakalpojums ICMP trafikam, pēc tam, noklikšķinot uz pogas “Pievienot”, mēs no piedāvātā saraksta atlasām pakalpojumu ar nosaukumu “Jebkurš ICMP”:

Varbūt tas bija UserGate veidotāju nodoms, bet man izdevās izveidot vairākus pilnīgi identiskus noteikumus. Lai gan tiks izpildīts tikai pirmais noteikums no saraksta, manuprāt, iespēja izveidot noteikumus ar tādu pašu nosaukumu, kas atšķiras pēc funkcionalitātes, var radīt neskaidrības, strādājot vairākiem ierīču administratoriem.

NAT un maršrutēšana

Veidojot NAT noteikumus, mēs redzam vairākas līdzīgas cilnes, tāpat kā ugunsmūrim. Cilnē “Vispārīgi” tika parādīts lauks “Tips”, kas ļauj izvēlēties, par ko būs atbildīgs šis noteikums:

• NAT — tīkla adrešu tulkošana.

• DNAT — novirza trafiku uz norādīto IP adresi.

• Porta pāradresācija — novirza trafiku uz norādīto IP adresi, bet ļauj mainīt publicētā pakalpojuma porta numuru

• Uz politiku balstīta maršrutēšana — ļauj maršrutēt IP paketes, pamatojoties uz paplašinātu informāciju, piemēram, pakalpojumiem, MAC adresēm vai serveriem (IP adresēm).

• Tīkla kartēšana — ļauj aizstāt viena tīkla avota vai galamērķa IP adreses ar citu tīklu.

Pēc atbilstošā kārtulas veida izvēles būs pieejami tā iestatījumi.

Laukā SNAT IP (ārējā adrese) mēs skaidri norādām IP adresi, uz kuru tiks aizstāta avota adrese. Šis lauks ir nepieciešams, ja mērķa zonas saskarnēm ir piešķirtas vairākas IP adreses. Ja atstājat šo lauku tukšu, sistēma izmantos nejaušu adresi no pieejamo IP adrešu saraksta, kas piešķirts mērķa zonas saskarnēm. UserGate iesaka norādīt SNAT IP, lai uzlabotu ugunsmūra veiktspēju.

Piemēram, es publicēšu Windows servera SSH pakalpojumu, kas atrodas zonā “DMZ”, izmantojot noteikumu “port-forwarding”. Lai to izdarītu, noklikšķiniet uz pogas “Pievienot” un aizpildiet cilni “Vispārīgi”, norādiet kārtulas nosaukumu “SSH uz Windows” un veidu “Portu pāradresācija”:

Cilnē “Avots” atlasiet zonu “Neuzticama” un dodieties uz cilni “Portu pārsūtīšana”. Šeit mums jānorāda protokols “TCP” (pieejamas četras iespējas - TCP, UDP, SMTP, SMTPS). Sākotnējais mērķa ports 9922 — porta numurs, uz kuru lietotāji sūta pieprasījumus (portus: 2200, 8001, 4369, 9000-9100 nevar izmantot). Jaunais mērķa ports (22) ir porta numurs, uz kuru tiks pārsūtīti lietotāja pieprasījumi iekšējam publicētajam serverim.

Cilnē “DNAT” iestatiet lokālajā tīklā esošā datora IP adresi, kas ir publicēta internetā (192.168.3.2). Un pēc izvēles varat iespējot SNAT, tad UserGate mainīs avota adresi ārējā tīkla paketēs uz savu IP adresi.

Pēc visiem iestatījumiem tiek iegūts noteikums, kas ļauj piekļūt serverim no “Neuzticamās” zonas ar IP adresi 192.168.3.2, izmantojot SSH protokolu, savienojuma laikā izmantojot ārējo UserGate adresi.

Joslas platums

Šajā sadaļā ir definēti joslas platuma kontroles noteikumi. Tos var izmantot, lai ierobežotu noteiktu lietotāju, saimnieku, pakalpojumu, lietojumprogrammu kanālus.

Veidojot kārtulu, nosacījumi cilnēs nosaka trafiku, kurai tiek piemēroti ierobežojumi. Joslas platumu var izvēlēties no piedāvātā vai iestatīt pats. Veidojot joslas platumu, varat norādīt DSCP trafika prioritātes iezīmi. Piemērs, kad tiek lietotas DSCP iezīmes: kārtulā norādot scenāriju, kurā šī kārtula tiek lietota, šī kārtula var automātiski mainīt šīs iezīmes. Vēl viens skripta darbības piemērs: noteikums lietotājam darbosies tikai tad, ja tiks atklāts torrents vai trafika apjoms pārsniedz noteikto ierobežojumu. Pārējās cilnes tiek aizpildītas tāpat kā citās politikās, pamatojoties uz datplūsmas veidu, kam šī kārtula ir jāpiemēro.

Secinājums

Šajā rakstā es aplūkoju noteikumu izveidi sadaļās Ugunsmūris, NAT un Maršrutēšana un Joslas platums. Un pašā raksta sākumā viņš aprakstīja UserGate politiku izveides noteikumus, kā arī nosacījumu principu, veidojot noteikumu. 

Sekojiet jaunumiem mūsu kanālos (Telegram, Facebook, VK, TS risinājumu emuārs)!

Avots: www.habr.com