Miarahaba ireo mpamaky ny lahatsoratra fahatelo ao amin'ny andian-dahatsoratra UserGate Getting Started, izay miresaka momba ny vahaolana NGFW avy amin'ny orinasa . Ao amin'ny lahatsoratra farany, nofaritana ny fizotran'ny fametrahana firewall ary natao ny fanamboarana azy voalohany. Amin'izao fotoana izao, hojerentsika akaiky ny famoronana fitsipika amin'ny fizarana toy ny Firewall, NAT sy Routing, ary Bandwidth.
Ny ideolojian'ny UserGate fitsipika, ka ny fitsipika dia tanterahina avy any ambony ka hatrany ambany, mandra-pahatongan'ny voalohany izay miasa. Miorina amin'ny voalaza etsy ambony, dia manaraka fa ny fitsipika manokana dia tokony ho ambony kokoa noho ny fitsipika ankapobeny. Saingy tokony ho marihina, satria ny fitsipika dia voamarina araka ny filaharany, dia tsara kokoa amin'ny lafiny fampisehoana ny famoronana fitsipika ankapobeny. Rehefa mamorona fitsipika, ny fepetra dia ampiharina araka ny lojika "AND". Raha ilaina ny mampiasa ny lojika "OR", dia tanteraka izany amin'ny famoronana fitsipika maromaro. Ka izay voalaza ato amin'ity lahatsoratra ity dia mihatra amin'ny politika UserGate hafa koa.
Firewall
Aorian'ny fametrahana ny UserGate dia efa misy politika tsotra ao amin'ny fizarana "Firewall". Ny fitsipika roa voalohany dia mandrara ny fifamoivoizana amin'ny botnets. Ireto manaraka ireto dia ohatra momba ny fitsipika fidirana avy amin'ny faritra samihafa. Ny fitsipika farany dia antsoina foana hoe "Sakanana daholo" ary voamarika amin'ny marika hidin-trano (midika izany fa ny fitsipika dia tsy azo esorina, ovaina, afindra, kilemaina, tsy azo atao afa-tsy amin'ny safidy fanoratana). Noho izany, noho io fitsipika io dia hosakanan'ny fitsipika farany avokoa ny fifamoivoizana rehetra tsy mahazo alalana. Raha te hamela ny fifamoivoizana rehetra amin'ny UserGate ianao (na dia kivy mafy aza izany), dia azonao atao foana ny mamorona ny fitsipika penultimate "Allow All".
Rehefa manitsy na mamorona fitsipika firewall, ny voalohany Tab ankapobeny, mila manao izao manaraka izao ianao:
-
Checkbox "On" avelao na esory ny fitsipika.
-
ampidiro ny anaran'ny fitsipika.
-
mametraka ny famaritana ny fitsipika.
-
misafidy amin'ny hetsika roa:
-
MandΓ - manakana ny fifamoivoizana (rehefa mametraka an'io fepetra io dia azo atao ny mandefa mpampiantrano ICMP tsy azo tratrarina, mila mametraka ny checkbox mifanaraka amin'izany ianao).
-
Allow - mamela ny fifamoivoizana.
-
-
Scenario singa - mamela anao hisafidy scenario, izay fepetra fanampiny ho an'ny fitsipika afo. Izany no fomba ampiharan'ny UserGate ny foto-kevitry ny SOAR (Security Orchestration, Automation and Response).
-
Logging - manoratra vaovao momba ny fifamoivoizana amin'ny log rehefa misy ny fitsipika. Safidy mety:
-
Soraty ny fanombohan'ny fivoriana. Amin'ity tranga ity, ny fampahalalana momba ny fiandohan'ny fivoriana (ny fonosana voalohany) ihany no hosoratana amin'ny diarin'ny fifamoivoizana. Ity no safidy logging naroso.
-
Soraty ny fonosana tsirairay. Amin'ity tranga ity dia horaisina ny fampahalalana momba ny fonosan'ny tambajotra ampitaina tsirairay. Ho an'ity fomba ity, dia soso-kevitra ny hamela ny fetran'ny logging mba hisorohana ny enta-mavesatra amin'ny fitaovana.
-
-
Ampiharo ny fitsipika amin'ny:
-
Ny fonosana rehetra
-
amin'ny fonosana voazarazara
-
amin'ny fonosana tsy voazara
-
-
Rehefa mamorona fitsipika vaovao ianao dia afaka misafidy toerana ao amin'ny politika.
manaraka Kiheba loharano. Eto isika dia manondro ny loharanon'ny fifamoivoizana, mety ho ny faritra niavian'ny fifamoivoizana, na azonao atao ny mamaritra lisitra na adiresy ip manokana (Geoip). Saika amin'ny fitsipika rehetra azo apetraka ao amin'ny fitaovana, dia azo noforonina avy amin'ny fitsipika ny zavatra iray, ohatra, raha tsy mandeha any amin'ny fizarana "Zones", azonao atao ny mampiasa ny bokotra "Mamorona ary manampy zavatra vaovao" hamoronana ny faritra. ilaintsika. Hita matetika ihany koa ny boaty "Invert", mamadika ny hetsika amin'ny fepetran'ny fitsipika, izay mitovy amin'ny negation hetsika lojika. Tabilao ho an'ny tanjona mitovy amin'ny tabilao loharano, fa ho solon'ny loharanon'ny fifamoivoizana no ametrahanay ny toeran'ny fifamoivoizana. Tab mpampiasa - amin'ity toerana ity dia azonao atao ny manampy lisitry ny mpampiasa na vondrona izay iharan'ity fitsipika ity. Service Tab - safidio ny karazana serivisy amin'ny efa voafaritra mialoha na azonao atao ny mametraka ny anao manokana. Application Tab - fampiharana manokana na vondrona fampiharana no voafantina eto. SY Time tab ambarao ny fotoana iasan'ity fitsipika ity.
Hatramin'ny lesona farany dia manana fitsipika momba ny fidirana amin'ny Internet avy amin'ny faritra "Trust" aho, izao dia hasehoko ohatra ny fomba hamoronana fitsipika mandΓ ny fifamoivoizana ICMP avy amin'ny faritra "Trust" mankany amin'ny faritra "Untrusted".
Voalohany, mamorona fitsipika amin'ny fipihana ny bokotra "Add". Ao amin'ny varavarankely misokatra, ao amin'ny tabilao ankapobeny, fenoy ny anarana (Fepetrao ny ICMP amin'ny tsy azo itokisana amin'ny tsy azo itokisana), jereo ny boaty "On", safidio ny hetsika disable, ary ny tena zava-dehibe, safidio ny toerana mety amin'ity fitsipika ity. Araka ny politikako, ity fitsipika ity dia tokony hapetraka eo ambonin'ny fitsipika "Avelao ho azo itokisana":
Ao amin'ny tabilao "Source" ho an'ny asako dia misy safidy roa:
-
Amin'ny fisafidianana ny faritra "Atokisana".
-
Amin'ny alΓ lan'ny fisafidianana ny faritra rehetra afa-tsy ny "Atokisana" ary manindry ny boaty "Ampidiro".
Ny tabilao Destination dia namboarina mitovy amin'ny tabilao Source.
Avy eo, mankanesa any amin'ny tabilao "Service", satria ny UserGate dia manana serivisy efa voafaritra mialoha ho an'ny fifamoivoizana ICMP, avy eo amin'ny fipihana ny bokotra "Add", dia mifidy serivisy misy anarana hoe "Any ICMP" avy amin'ny lisitra natolotra:
Angamba izany no fikasan'ny mpamorona ny UserGate, saingy nahavita namorona fitsipika mitovy tanteraka aho. Na dia ny fitsipika voalohany amin'ny lisitra ihany aza no hotanterahina, dia heveriko fa ny fahafahana mamorona fitsipika mitovy anarana izay tsy mitovy amin'ny fiasa dia mety hiteraka fisafotofotoana rehefa miasa ny mpitantana fitaovana.
NAT sy routing
Rehefa mamorona fitsipika NAT isika dia mahita tabilao mitovy amin'izany, toy ny amin'ny firewall. Ny saha "Type" dia niseho tao amin'ny tabilao "General", mamela anao hisafidy izay ho tompon'andraikitra amin'ity fitsipika ity:
-
NAT - Fandikan-tenin'ny adiresin'ny tambajotra.
-
DNAT - Mamindra ny fifamoivoizana mankany amin'ny adiresy IP voatondro.
-
Port forwarding - Mamindra ny fifamoivoizana mankany amin'ny adiresy IP voatondro, saingy ahafahanao manova ny laharan'ny seranan-tsambon'ny serivisy navoaka
-
Fihodinana mifototra amin'ny politika - Mamela anao handefa fonosana IP mifototra amin'ny fampahalalana miitatra, toy ny serivisy, adiresy MAC, na lohamilina (adiresy IP).
-
Sarintany amin'ny tambajotra - Mamela anao hanolo ny loharano na adiresy IP alehan'ny tambajotra iray amin'ny tambajotra hafa.
Aorian'ny fisafidianana ny karazana fitsipika mety dia ho hita ny fika ho azy.
Ao amin'ny saha SNAT IP (adiresy ivelany) dia mamaritra mazava tsara ny adiresy IP hanoloana ny adiresy loharano. Ilaina ity sehatra ity raha misy adiresy IP maromaro voatendry ho an'ny fifandraisana ao amin'ny faritra alehanao. Raha avelanao ho banga io sehatra io, ny rafitra dia hampiasa adiresy kisendrasendra avy amin'ny lisitry ny adiresy IP misy voatendry ho an'ny fifandraisana amin'ny faritra alehanao. UserGate dia manoro hevitra ny SNAT IP hanatsara ny fahombiazan'ny firewall.
Ohatra, hamoaka ny serivisy SSH an'ny mpizara Windows iray ao amin'ny faritra "DMZ" aho amin'ny fampiasana ny fitsipika "port-forwarding". Mba hanaovana izany, tsindrio ny bokotra "Add" ary fenoy ny tabilao "General", mamaritra ny anaran'ny fitsipika "SSH to Windows" ary ny karazana "Port forwarding":
Ao amin'ny tabilao "Source", safidio ny faritra "Untrusted" ary mandehana any amin'ny tabilao "Port forwarding". Eto isika dia tsy maintsy mamaritra ny protocol "TCP" (safidy efatra misy - TCP, UDP, SMTP, SMTPS). Seranan-tsambo 9922 tany am-boalohany β laharan'ny seranan-tsambo handefasan'ny mpampiasa fangatahana (tsy azo ampiasaina ny seranana: 2200, 8001, 4369, 9000-9100). Ny seranan-tsambo vaovao (22) dia ny laharan'ny seranana izay angatahin'ny mpampiasa amin'ny lohamilina navoaka anatiny.
Ao amin'ny tabilao "DNAT", apetraho ny adiresy ip-n'ny solosaina amin'ny tambajotra eo an-toerana, izay navoaka amin'ny Internet (192.168.3.2). Ary azonao atao ny mamela ny SNAT, avy eo ny UserGate dia hanova ny adiresy loharano ao anaty fonosana avy amin'ny tambajotra ivelany mankany amin'ny adiresy IP azy manokana.
Aorian'ny toe-javatra rehetra dia azo ny fitsipika izay mamela ny fidirana amin'ny faritra "Untrusted" mankany amin'ny mpizara miaraka amin'ny adiresy ip 192.168.3.2 amin'ny alΓ lan'ny protocol SSH, mampiasa ny adiresy UserGate ivelany rehefa mifandray.
passante
Ity fizarana ity dia mamaritra ny fitsipika mifehy ny bandwidth. Azo ampiasaina izy ireo mba hamerana ny fantsonan'ny mpampiasa sasany, mpampiantrano, serivisy, fampiharana.
Rehefa mamorona fitsipika, ny fepetra amin'ny tabilao dia mamaritra ny fifamoivoizana izay hampiharana ny fameperana. Ny bandwidth dia azo fidina amin'ny soso-kevitra, na mametraka ny anao manokana. Rehefa mamorona bandwidth ianao dia azonao atao ny mamaritra ny mari-pamantarana laharam-pahamehana amin'ny fifamoivoizana DSCP. Ohatra iray amin'ny fampiharana ny mari-pamantarana DSCP: amin'ny alΓ lan'ny famaritana amin'ny fitsipika iray ny scenario izay ampiharana ity fitsipika ity, dia afaka manova ho azy ireo etikety ireo ity fitsipika ity. Ohatra iray hafa amin'ny fomba fiasan'ny script: ny fitsipika dia hiasa ho an'ny mpampiasa raha tsy rehefa misy torrent hita na mihoatra ny fetra voafaritra ny habetsahan'ny fifamoivoizana. Ny tabilao sisa dia fenoina mitovy amin'ny amin'ny politika hafa, mifototra amin'ny karazana fifamoivoizana tokony hampiharana ny fitsipika.
famaranana
Ao amin'ity lahatsoratra ity, norakofana ny famoronana fitsipika ao amin'ny faritra Firewall, NAT sy Routing, ary Bandwidth. Ary tany am-piandohan'ny lahatsoratra dia nanoritsoritra ny fitsipika momba ny famoronana politika UserGate izy, ary koa ny fitsipiky ny fepetra rehefa mamorona fitsipika.
Araho hatrany ny fanavaozana ao amin'ny fantsonay (, , , )!
Source: www.habr.com