3. UserGate эхлэх. Сүлжээний бодлого

Компанийн NGFW шийдлийн тухай өгүүлдэг UserGate Эхлэл нийтлэл цувралын гурав дахь нийтлэлд би уншигчдыг урьж байна. UserGate. Сүүлийн нийтлэлд галт хана суурилуулах үйл явцыг тайлбарлаж, түүний анхны тохиргоог хийсэн. Одоогоор бид Галт хана, NAT болон чиглүүлэлт, зурвасын өргөн гэх мэт хэсгүүдэд дүрэм бий болгох талаар нарийвчлан авч үзэх болно.

UserGate-ийн үзэл суртал нь эхнийх нь ажиллах хүртэл дүрмүүд нь дээрээс доошоо явагддаг. Дээр дурдсанаас үзвэл илүү тодорхой дүрмүүд нь ерөнхий дүрмээс илүү өндөр байх ёстой. Гэхдээ дүрэм журмуудыг дарааллаар нь шалгаж байгаа тул ерөнхий дүрмийг бий болгох нь гүйцэтгэлийн хувьд илүү дээр гэдгийг тэмдэглэх нь зүйтэй. Аливаа дүрмийг бий болгохдоо "AND" логикийн дагуу нөхцөлийг хэрэглэнэ. Хэрэв "OR" логикийг ашиглах шаардлагатай бол хэд хэдэн дүрмийг бий болгосноор үүнийг олж авна. Тиймээс энэ нийтлэлд тайлбарласан зүйл нь UserGate-ийн бусад бодлогод мөн хамаарна.

Галт хана

UserGate-ийг суулгасны дараа "Галт хана" хэсэгт энгийн бодлого аль хэдийн байна. Эхний хоёр дүрэм нь ботнетийн урсгалыг хориглодог. Дараах нь өөр өөр бүсээс нэвтрэх дүрмийн жишээ юм. Сүүлчийн дүрмийг үргэлж "Бүгдийг блоклох" гэж нэрлэдэг бөгөөд түгжээний тэмдгээр тэмдэглэгдсэн байдаг (энэ нь дүрмийг устгах, өөрчлөх, зөөх, идэвхгүй болгох боломжгүй, зөвхөн бүртгэл хийх сонголтоор идэвхжүүлэх боломжтой гэсэн үг юм). Тиймээс, энэ дүрмийн улмаас бүх тодорхой зөвшөөрөгдөөгүй замын хөдөлгөөнийг сүүлчийн дүрмээр хаах болно. Хэрэв та UserGate-ээр дамжуулан бүх урсгалыг зөвшөөрөхийг хүсч байгаа бол (хэдийгээр үүнийг эрс хориглодог) "Бүгдийг зөвшөөрөх" гэсэн эцсийн дүрмийг үргэлж үүсгэж болно.

Галт ханын дүрмийг засварлах эсвэл үүсгэх үед эхний Ерөнхий таб, та дараах зүйлийг хийх хэрэгтэй. 

• "Асаах" хайрцгийг шалгахдаа дүрмийг идэвхжүүлэх эсвэл идэвхгүй болгох.

• дүрмийн нэрийг оруулна уу.

• дүрмийн тайлбарыг тохируулах.

• хоёр үйлдлээс сонгоно уу:

  • Татгалзах - урсгалыг блоклодог (энэ нөхцөлийг тохируулах үед ICMP хостыг холбогдох боломжгүй илгээх боломжтой тул та тохирох хайрцгийг тохируулах хэрэгтэй).

  • Зөвшөөрөх - хөдөлгөөнийг зөвшөөрдөг.

• Хувилбарын зүйл - дүрмийн гал гарах нэмэлт нөхцөл болох хувилбарыг сонгох боломжийг танд олгоно. UserGate нь SOAR (Security Orchestration, Automation and Response) концепцийг ингэж хэрэгжүүлдэг.

• Бүртгэл — дүрэм идэвхжсэн үед замын хөдөлгөөний талаарх мэдээллийг бүртгэх. Боломжит сонголтууд:

  • Сессийн эхлэлийг бүртгэнэ. Энэ тохиолдолд замын хөдөлгөөний бүртгэлд зөвхөн сессийн эхлэлийн тухай мэдээлэл (эхний багц) бичигдэнэ. Энэ бол санал болгож буй бүртгэл хийх сонголт юм.

  • Багц бүрийг бүртгэ. Энэ тохиолдолд дамжуулсан сүлжээний багц бүрийн талаарх мэдээллийг бүртгэнэ. Энэ горимын хувьд төхөөрөмжийн ачаалал ихсэхээс сэргийлж бүртгэлийн хязгаарыг идэвхжүүлэхийг зөвлөж байна.

• Дүрмийг дараахад хэрэглэнэ:

  • Бүх багцууд

  • хуваагдсан пакетууд руу

  • хуваагдаагүй багцууд руу

• Шинэ дүрэм үүсгэх үед та бодлого дотроос ямар нэг газрыг сонгож болно.

Дараа нь Эх сурвалжийн таб. Энд бид траффикийн эх үүсвэрийг зааж өгсөн бөгөөд энэ нь траффик ирж буй бүс байж болно, эсвэл та жагсаалт эсвэл тодорхой IP хаягийг (Geoip) зааж өгч болно. Төхөөрөмжид тохируулж болох бараг бүх дүрмүүдэд объектыг дүрмээр үүсгэж болно, жишээлбэл, "Бүсүүд" хэсэгт очихгүйгээр "Шинэ объект үүсгэх, нэмэх" товчийг ашиглан бүс үүсгэж болно. бидэнд хэрэгтэй. "Invert" гэсэн нүд нь бас нийтлэг байдаг бөгөөд энэ нь дүрмийн нөхцөл дэх үйлдлийг буцаах бөгөөд энэ нь логик үйлдлийг үгүйсгэхтэй төстэй юм. Очих цэг эх сурвалжийн табтай төстэй боловч хөдөлгөөний эх үүсвэрийн оронд бид хөдөлгөөний хүрэх газрыг тохируулдаг. Хэрэглэгчийн таб - энэ газарт та энэ дүрэмд хамаарах хэрэглэгчид эсвэл бүлгүүдийн жагсаалтыг нэмж болно. Үйлчилгээний таб - Урьдчилан тодорхойлсон үйлчилгээний төрлөөс сонгох эсвэл өөрөө тохируулах боломжтой. Хэрэглээний таб - тодорхой програмууд эсвэл бүлгүүдийг энд сонгосон. БА Цагийн таб энэ дүрэм идэвхтэй байх хугацааг зааж өгнө үү. 

Сүүлийн хичээлээс хойш бид "Итгэмжлэгдсэн" бүсээс интернетэд нэвтрэх дүрэмтэй болсон бол одоо би "Итгэмжлэгдсэн" бүсээс "Итгэмжгүй" бүс рүү ICMP урсгалыг хэрхэн үгүйсгэх дүрмийг жишээ болгон харуулах болно.

Эхлээд "Нэмэх" товчийг дарж дүрэм үүсгэнэ үү. Нээгдсэн цонхны ерөнхий таб дээр нэрийг бөглөнө үү (ICMP-ийг итгэмжлэгдсэнээс найдваргүй болгож хязгаарлах), "Асаах" нүдийг сонгоод, идэвхгүй болгох үйлдлийг сонгоод, хамгийн чухал нь энэ дүрмийн байршлыг зөв сонго. Миний бодлогын дагуу энэ дүрмийг "Итгэмжлэгдсэнийг итгэгдээгүйд зөвшөөрөх" дүрмийн дээгүүр байрлуулах ёстой:

Миний даалгаврын "Эх сурвалж" таб дээр хоёр сонголт байна:

• "Итгэмжлэгдсэн" бүсийг сонгосноор

• "Итгэмжлэгдсэн"-ээс бусад бүх бүсийг сонгоод "Урвуулах" нүдийг чагтална уу

Destination tab нь Source tab-тай адилаар тохируулагдсан.

Дараа нь "Үйлчилгээ" таб руу очно уу, UserGate нь ICMP урсгалыг урьдчилан тодорхойлсон үйлчилгээтэй тул "Нэмэх" товчийг дарснаар бид санал болгож буй жагсаалтаас "Ямар ч ICMP" нэртэй үйлчилгээг сонгоно.

Магадгүй энэ нь UserGate-ийг бүтээгчдийн зорилго байсан байх, гэхдээ би хэд хэдэн ижил төстэй дүрмийг бий болгож чадсан. Жагсаалтаас зөвхөн эхний дүрмийг гүйцэтгэх боловч функциональ байдлаараа ялгаатай ижил нэртэй дүрмийг бий болгох чадвар нь хэд хэдэн төхөөрөмжийн администратор ажиллах үед төөрөгдөл үүсгэж болзошгүй гэж би бодож байна.

NAT ба чиглүүлэлт

NAT дүрмийг үүсгэх үед бид галт ханатай адил төстэй хэд хэдэн табуудыг хардаг. "Ерөнхий" таб дээр "Төрөл" талбар гарч ирсэн бөгөөд энэ нь танд энэ дүрэм юу хариуцах вэ гэдгийг сонгох боломжийг олгоно.

• NAT - Сүлжээний хаягийн орчуулга.

• DNAT - Траффикийг заасан IP хаяг руу дахин чиглүүлдэг.

• Порт дамжуулах - Траффикийг заасан IP хаяг руу дахин чиглүүлэх боловч нийтлэгдсэн үйлчилгээний портын дугаарыг өөрчлөх боломжийг танд олгоно

• Бодлогод суурилсан чиглүүлэлт - Үйлчилгээ, MAC хаяг, сервер (IP хаяг) гэх мэт өргөтгөсөн мэдээлэлд үндэслэн IP пакетуудыг чиглүүлэх боломжийг танд олгоно.

• Сүлжээний зураглал - Нэг сүлжээний эх үүсвэр эсвэл очих IP хаягийг өөр сүлжээгээр солих боломжийг танд олгоно.

Тохирох дүрмийн төрлийг сонгосны дараа түүний тохиргоог хийх боломжтой болно.

SNAT IP (гадаад хаяг) талбарт бид эх хаягийг солих IP хаягийг тодорхой зааж өгдөг. Очих бүсийн интерфэйсүүдэд олон IP хаяг оноож байгаа бол энэ талбар шаардлагатай. Хэрэв та энэ талбарыг хоосон орхивол систем нь очих бүсийн интерфэйсүүдэд оноосон боломжтой IP хаягуудын жагсаалтаас санамсаргүй хаягийг ашиглана. UserGate нь галт ханын ажиллагааг сайжруулахын тулд SNAT IP-г зааж өгөхийг зөвлөж байна.

Жишээлбэл, би "port-forwarding" дүрмийг ашиглан "DMZ" бүсэд байрлах Windows серверийн SSH үйлчилгээг нийтлэх болно. Үүнийг хийхийн тулд "Нэмэх" товчийг дараад "Ерөнхий" табыг бөглөж, "Windows руу SSH" дүрмийн нэр, "Порт дамжуулах" төрлийг зааж өгнө үү.

"Эх сурвалж" таб дээрээс "Итгэлгүй" бүсийг сонгоод "Порт дамжуулах" таб руу очно уу. Энд бид "TCP" протоколыг зааж өгөх ёстой (дөрвөн сонголт боломжтой - TCP, UDP, SMTP, SMTPS). Анхны очих порт 9922 — хэрэглэгчдийн хүсэлт илгээдэг портын дугаар (порт: 2200, 8001, 4369, 9000-9100 ашиглах боломжгүй). Шинэ очих порт (22) нь дотоод нийтлэгдсэн сервер рүү хэрэглэгчийн хүсэлтийг дамжуулах портын дугаар юм.

"DNAT" таб дээр интернетэд нийтлэгдсэн дотоод сүлжээнд байгаа компьютерийн IP хаягийг тохируулна уу (192.168.3.2). Мөн та сонголтоор SNAT-г идэвхжүүлж болно, дараа нь UserGate нь пакет дахь эх хаягийг гадаад сүлжээнээс өөрийн IP хаяг болгон өөрчлөх болно.

Бүх тохиргоог хийсний дараа холбогдох үед гадаад UserGate хаягийг ашиглан SSH протоколоор дамжуулан 192.168.3.2 IP хаягтай сервер рүү "Итгэлгүй" бүсээс нэвтрэх боломжийг олгодог дүрмийг олж авна.

Зурвасын өргөн

Энэ хэсэг нь зурвасын өргөнийг хянах дүрмийг тодорхойлдог. Тэдгээрийг тодорхой хэрэглэгчид, хостууд, үйлчилгээнүүд, програмуудын сувгийг хязгаарлахад ашиглаж болно.

Дүрэм үүсгэх үед таб дээрх нөхцөлүүд нь хязгаарлалт хийх хөдөлгөөнийг тодорхойлдог. Санал болгож буй зурвасын өргөнийг сонгох эсвэл өөрөө тохируулах боломжтой. Зурвасын өргөнийг үүсгэх үед та DSCP траффикийн тэргүүлэх шошгыг зааж өгч болно. DSCP шошго хэрэглэх үеийн жишээ: дүрэмд энэ дүрмийг хэрэглэх хувилбарыг зааж өгснөөр энэ дүрэм эдгээр шошгыг автоматаар өөрчлөх боломжтой. Скрипт хэрхэн ажилладаг талаар өөр нэг жишээ: энэ дүрэм нь зөвхөн торрент илэрсэн эсвэл замын хөдөлгөөний хэмжээ заасан хязгаараас хэтэрсэн тохиолдолд л ажиллах болно. Үлдсэн цонхнууд нь дүрэмд хамаарах хөдөлгөөний төрлөөс хамааран бусад бодлогын нэгэн адил бөглөгдөнө.

дүгнэлт

Энэ нийтлэлд би Firewall, NAT болон Routing, Bandwidth хэсгүүдэд дүрэм бий болгох талаар авч үзсэн. Өгүүллийн эхэнд тэрээр UserGate бодлогыг бий болгох дүрмүүд, мөн дүрмийг бий болгох нөхцлийн зарчмыг тайлбарлав. 

Манай сувгуудын шинэчлэлтүүдийг хүлээж байгаарай (цахилгаан, Facebook-ийн, VK, TS шийдлийн блог)!

Эх сурвалж: www.habr.com