Добредојдовте на читателите во третата статија од серијата статии за почеток на UserGate, која зборува за решението NGFW од компанијата . Претходната статија го опиша процесот на инсталирање заштитен ѕид и ја изврши неговата почетна конфигурација. Сега ќе разгледаме подетално креирање правила во секциите како што се „Firewall“, „NAT и рутирање“ и „Bandwidth“.
Идеологијата на правилата на UserGate е дека правилата се извршуваат од врвот до дното, до првиот што функционира. Врз основа на горенаведеното, произлегува дека поконкретните правила треба да бидат повисоки од поопштите правила. Но, треба да се забележи дека бидејќи правилата се проверуваат по ред, во однос на перформансите подобро е да се создадат општи правила. Условите при креирање на кое било правило се применуваат според логиката „И“. Доколку е неопходно да се користи логиката „ИЛИ“, тоа се постигнува со креирање на неколку правила. Значи, она што е опишано во оваа статија се однесува на другите политики на UserGate.
Заштитен ѕид
По инсталирањето на UserGate, веќе постои едноставна политика во делот „Firewall“. Првите две правила го негираат сообраќајот до ботнетовите. Следниве се примери на правила за пристап од различни зони. Последното правило секогаш се нарекува „Блокирај ги сите“ и е означено со симбол на катанец (тоа значи дека правилото не може да се брише, менува, премести, оневозможи, можете само да ја вклучите опцијата за евиденција). Така, поради ова правило, целиот сообраќај што не е експлицитно дозволен ќе биде блокиран со последното правило. Ако сакате да го дозволите целиот сообраќај преку UserGate (иако ова категорично не се препорачува), секогаш можете да го креирате претпоследното правило „Дозволи сите“.
Кога уредувате или креирате правило за заштитен ѕид, првото Општо јазиче, треба да ги извршите следните чекори на него:
-
Користете го полето за избор „Вклучено“ за да го овозможите или оневозможите правилото.
-
внесете го името на правилото.
-
поставете опис на правилото.
-
изберете од две дејства:
-
Одби - го блокира сообраќајот (кога оваа состојба е поставена, можно е да се испрати ICMP-домаќин недостапен, само треба да го поставите соодветното поле за избор).
-
Дозволи — дозволува сообраќај.
-
-
Ставка на сценарио - ви овозможува да изберете сценарио, што е дополнителен услов за да се активира правилото. Ова е начинот на кој UserGate го имплементира концептот SOAR (Security Orchestration, Automation and Response).
-
Логирање - евиденција на информации за сообраќајот кога се активира правило. Можни опции:
-
Пријавете го почетокот на сесијата. Во овој случај, само информациите за почетокот на сесијата (првиот пакет) ќе бидат запишани во сообраќајниот дневник. Ова е препорачаната опција за логирање.
-
Пријавете го секој пакет. Во овој случај, информациите за секој пренесен мрежен пакет ќе бидат снимени. За овој режим, се препорачува да се овозможи ограничување за евиденција за да се спречи големо оптоварување на уредот.
-
-
Примени го правилото за:
-
Сите пакети
-
до фрагментирани пакети
-
до нефрагментирани пакети
-
-
Кога креирате ново правило, можете да изберете локација во полисата.
следниот Табот „Извор“.. Овде го означуваме изворот на сообраќајот; ова може да биде зоната од која доаѓа сообраќајот или можете да наведете листа или одредена IP адреса (Geoip). Во скоро сите правила што можат да се постават во уред, може да се создаде објект од правило, на пример, без да одите во делот „Зони“, можете да го користите копчето „Креирај и додај нов објект“ за да ја креираш зоната ни треба. Често се среќава и полето за избор „Инверти“, кое го менува дејството во условот за правило во спротивно, што е слично на логичното дејство на негација. Картичка за дестинација слично на јазичето извор, само наместо изворот на сообраќај ја поставуваме дестинацијата на сообраќајот. Таб за корисници — на ова место можете да додадете листа на корисници или групи за кои важи ова правило. Картичка за услуги — изберете го типот на услуга од веќе предефинираната или можете да поставите своја. Таб за апликација — овде се избираат конкретни апликации или групи на апликации. И Таб за време означете го времето кога ова правило е активно.
Од последната лекција имаме правило за пристап до Интернет од зоната „Доверба“, сега ќе покажам, како пример, како да креирате правило за одбивање за сообраќајот ICMP од зоната „Доверба“ до зоната „Недоверлива“.
Прво, креирајте правило со кликнување на копчето „Додај“. Во прозорецот што се отвора, на табот општ, пополнете го името (Забранете го ICMP од доверливо до недоверливо), штиклирајте го полето „Вклучено“, изберете го дејството за блокирање и што е најважно, изберете ја точната локација за ова правило. Според мојата политика, ова правило треба да се наоѓа над правилото „Дозволи доверливо до недоверливо“:
На табулаторот „Извор“, има две опции за мојата задача:
-
Избирање на зоната „Доверливо“.
-
Избирање на сите зони освен „Доверливо“ и штиклирање на полето „Инвертирај“.
Јазичето „Дестинација“ е конфигурирано слично на табулаторот „Извор“.
Следно, одиме во табулаторот „Услуга“, бидејќи UserGate има претходно дефинирана услуга за ICMP сообраќај, а потоа со кликнување на копчето „Додај“, од предложената листа избираме услуга наречена „Секое ICMP“:
Можеби тоа е она што креаторите на UserGate го сакаа, но јас успеав да создадам неколку сосема идентични правила. Иако само првото правило од списокот ќе се изврши, мислам дека можноста да се креираат правила со различна функционалност со исто име може да предизвика конфузија кога работат неколку администратори на уреди.
NAT и рутирање
Кога креираме NAT правила, гледаме неколку слични јазичиња како за заштитен ѕид. На табулаторот „Општо“ се појави полето „Тип“; тоа ви овозможува да изберете за што ќе биде одговорно ова правило:
-
NAT - Превод на мрежна адреса.
-
DNAT - Го пренасочува сообраќајот кон наведената IP адреса.
-
Препраќање порта - го пренасочува сообраќајот кон одредена IP адреса, но ви овозможува да го промените бројот на портата на објавената услуга
-
Рутирање засновано на политики - Дозволува IP пакетите да се насочуваат врз основа на напредни информации, како што се услуги, MAC адреси или сервери (IP адреси).
-
Мрежно мапирање - Ви овозможува да ги замените изворните или одредишните IP адреси на една мрежа со друга мрежа.
Откако ќе го изберете соодветниот тип на правило, поставките за него ќе бидат достапни.
Во полето SNAT IP (надворешна адреса), ние експлицитно ја означуваме IP адресата на која ќе се замени изворната адреса. Ова поле е потребно ако има неколку IP адреси доделени на интерфејсите на одредишната зона. Ако го оставите ова поле празно, системот ќе користи случајна адреса од списокот со достапни IP адреси доделени на интерфејсите на дестинацијата. UserGate препорачува да се специфицира SNAT IP за да се подобрат перформансите на огнениот ѕид.
Како пример, ќе објавам услуга SSH на сервер на Windows лоциран во зоната „DMZ“ користејќи го правилото „препраќање порта“. За да го направите ова, кликнете на копчето „Додај“ и пополнете го табулаторот „Општо“, наведете го името на правилото „SSH во Windows“ и типот „Препраќање порта“:
На табулаторот „Извор“, изберете ја зоната „Недоверлива“ и одете во табулаторот „Препраќање порта“. Тука мора да го наведеме протоколот „TCP“ (достапни се четири опции - TCP, UDP, SMTP, SMTPS). Оригиналната дестинација порта е 9922 - бројот на портата на кој корисниците испраќаат барања (портите не можат да се користат: 2200, 8001, 4369, 9000-9100). Нова дестинација порта (22) - бројот на портата на кој ќе се препратат барањата на корисникот до внатрешниот објавен сервер.
На табулаторот „DNAT“, поставете ја IP адресата на компјутерот на локалната мрежа, која е објавена на Интернет (192.168.3.2). И по избор, можете да овозможите SNAT, а потоа UserGate ќе ја промени изворната адреса во пакетите од надворешната мрежа на нејзината IP адреса.
По сите поставки, добивате правило кое ви овозможува да добиете пристап од зоната „Недоверлива“ до сервер со IP адреса 192.168.3.2 преку SSH, користејќи ја надворешната адреса на UserGate при поврзување.
Производство
Овој дел ги одредува правилата за управување со пропусниот опсег. Тие можат да се користат за ограничување на каналот на одредени корисници, хостови, услуги, апликации.
Кога креирате правило, условите на картичките го одредуваат сообраќајот на кој важат ограничувањата. Можете да го изберете пропусниот опсег од понудените или да поставите свој. Кога креирате пропусен опсег, можете да наведете ознака за приоритет на сообраќајот DSCP. Пример кога се применуваат етикетите DSCP: со наведување во правило сценариото во кое се применува ова правило, тогаш ова правило може автоматски да ги менува овие ознаки. Друг пример за тоа како функционира скриптата: правилото ќе работи за корисникот само кога ќе се открие торент или кога количината на сообраќај надминува одредена граница. Ги пополнуваме преостанатите јазичиња на ист начин како и во другите политики, врз основа на видот на сообраќај на кој треба да се примени правилото.
Заклучок
Во оваа статија, го разгледав создавањето правила во секциите „Firewall“, „NAT и рутирање“ и „Пропусен опсег“. И на самиот почеток на статијата ги опишав правилата за креирање политики на UserGate, како и принципот на работа на условите при креирање на правило.
Останете во тек за ажурирања на нашите канали (, , , )!
Извор: www.habr.com