3. UserGate सुरु गर्दै। नेटवर्क नीतिहरू

म प्रयोगकर्तागेट गेटिङ स्टार्ट लेख श्रृंखलाको तेस्रो लेखमा पाठकहरूलाई स्वागत गर्दछु, जसले कम्पनीबाट NGFW समाधानको बारेमा कुरा गर्छ। UserGate। पछिल्लो लेखमा, फायरवाल स्थापना गर्ने प्रक्रिया वर्णन गरिएको थियो र यसको प्रारम्भिक कन्फिगरेसन बनाइएको थियो। अहिलेको लागि, हामी फायरवाल, NAT र राउटिंग, र ब्यान्डविथ जस्ता खण्डहरूमा नियमहरू सिर्जना गर्ने बारे नजिकबाट हेर्नेछौं।

UserGate नियमहरूको विचारधारा, जस्तै कि नियमहरू माथिदेखि तलसम्म कार्यान्वयन गरिन्छ, पहिलो काम नभएसम्म। माथिको आधारमा, यो पछ्याउँछ कि अधिक विशिष्ट नियमहरू अधिक सामान्य नियमहरू भन्दा उच्च हुनुपर्छ। तर यो ध्यान दिनुपर्छ, किनकि नियमहरू क्रमबद्ध रूपमा जाँच गरिएको छ, यो सामान्य नियमहरू सिर्जना गर्न प्रदर्शनको सन्दर्भमा राम्रो छ। कुनै पनि नियम सिर्जना गर्दा, सर्तहरू "AND" तर्क अनुसार लागू हुन्छन्। यदि यो तर्क "OR" प्रयोग गर्न आवश्यक छ, त्यसपछि यो धेरै नियमहरू सिर्जना गरेर प्राप्त हुन्छ। त्यसैले यस लेखमा वर्णन गरिएको कुरा अन्य UserGate नीतिहरूमा पनि लागू हुन्छ।

फायरवाल

UserGate स्थापना गरेपछि, "फायरवाल" खण्डमा पहिले नै एक साधारण नीति छ। पहिलो दुई नियमहरूले बोटनेटहरूको लागि ट्राफिकलाई निषेध गर्दछ। निम्न विभिन्न क्षेत्रहरूबाट पहुँच नियमहरूको उदाहरणहरू छन्। अन्तिम नियमलाई सधैं "ब्लक सबै" भनिन्छ र लक प्रतीकको साथ चिन्ह लगाइन्छ (यसको मतलब यो नियम मेटाउन, परिमार्जन गर्न, सार्न, असक्षम गर्न सकिँदैन, यो लगिङ विकल्पको लागि मात्र सक्षम गर्न सकिन्छ)। तसर्थ, यस नियमको कारणले, सबै स्पष्ट रूपमा अनुमति छैन ट्राफिक अन्तिम नियम द्वारा अवरुद्ध हुनेछ। यदि तपाइँ UserGate मार्फत सबै ट्राफिकहरूलाई अनुमति दिन चाहनुहुन्छ (यद्यपि यो दृढतापूर्वक निरुत्साहित गरिएको छ), तपाइँ सधैं "सबैलाई अनुमति दिनुहोस्" अन्तिम नियम सिर्जना गर्न सक्नुहुन्छ।

फायरवाल नियम सम्पादन गर्दा वा सिर्जना गर्दा, पहिलो सामान्य ट्याब, तपाईंले निम्न गर्न आवश्यक छ: 

• चेकबक्स "अन" नियम सक्षम वा असक्षम गर्नुहोस्।

• नियमको नाम प्रविष्ट गर्नुहोस्।

• नियमको विवरण सेट गर्नुहोस्।

• दुई कार्यहरूबाट छनौट गर्नुहोस्:

  • अस्वीकार - ट्राफिक अवरुद्ध (यस अवस्था सेट गर्दा, ICMP होस्ट पहुँचयोग्य पठाउन सम्भव छ, तपाईंले उपयुक्त चेकबक्स सेट गर्न आवश्यक छ)।

  • अनुमति दिनुहोस् - ट्राफिक अनुमति दिन्छ।

• परिदृश्य वस्तु - तपाइँलाई एक परिदृश्य चयन गर्न अनुमति दिन्छ, जुन नियम फायर गर्न को लागी एक अतिरिक्त शर्त हो। यसरी UserGate ले SOAR (Security Orchestration, Automation and Response) को अवधारणा लागू गर्दछ।

• लगिङ - नियम ट्रिगर हुँदा लगमा ट्राफिकको बारेमा जानकारी लेख्नुहोस्। सम्भावित विकल्पहरू:

  • सत्रको सुरुवात लगाउनुहोस्। यस अवस्थामा, सत्रको सुरुवातको बारेमा मात्र जानकारी (पहिलो प्याकेट) ट्राफिक लगमा लेखिनेछ। यो सिफारिस गरिएको लगिङ विकल्प हो।

  • प्रत्येक प्याकेट लग गर्नुहोस्। यस अवस्थामा, प्रत्येक प्रसारित नेटवर्क प्याकेटको बारेमा जानकारी रेकर्ड गरिनेछ। यस मोडको लागि, उच्च यन्त्र लोड रोक्न लगिङ सीमा सक्षम गर्न सिफारिस गरिन्छ।

• नियम लागू गर्नुहोस्:

  • सबै प्याकेजहरू

  • खण्डित प्याकेटहरूमा

  • अखण्डित प्याकेजहरूमा

• नयाँ नियम सिर्जना गर्दा, तपाइँ नीतिमा एक ठाउँ छनौट गर्न सक्नुहुन्छ।

अर्को स्रोत ट्याब। यहाँ हामी ट्राफिकको स्रोत संकेत गर्छौं, यो ट्राफिक आएको क्षेत्र हुन सक्छ, वा तपाइँ एक सूची वा निर्दिष्ट आईपी-ठेगाना (जियोआईपी) निर्दिष्ट गर्न सक्नुहुन्छ। यन्त्रमा सेट गर्न सकिने लगभग सबै नियमहरूमा, नियमबाट वस्तु सिर्जना गर्न सकिन्छ, उदाहरणका लागि, "जोनहरू" खण्डमा नजाइकन, तपाईंले क्षेत्र सिर्जना गर्न "नयाँ वस्तु सिर्जना गर्नुहोस् र थप्नुहोस्" बटन प्रयोग गर्न सक्नुहुन्छ। हामीलाई चाहिन्छ। "उल्टो" चेकबक्स पनि सामान्य छ, यसले नियमको अवस्थामा कार्यलाई उल्टाउँछ, जुन तार्किक कार्य अस्वीकार जस्तै छ। गन्तव्य ट्याब स्रोत ट्याब जस्तै, तर ट्राफिक स्रोतको सट्टा, हामीले ट्राफिक गन्तव्य सेट गर्छौं। प्रयोगकर्ता ट्याब - यस ठाउँमा तपाईले प्रयोगकर्ता वा समूहहरूको सूची थप्न सक्नुहुन्छ जसको लागि यो नियम लागू हुन्छ। सेवा ट्याब - पहिले नै पूर्वनिर्धारित एकबाट सेवाको प्रकार चयन गर्नुहोस् वा तपाइँ आफ्नै सेट गर्न सक्नुहुन्छ। आवेदन ट्याब - विशिष्ट अनुप्रयोगहरू वा अनुप्रयोगहरूको समूह यहाँ चयन गरिएको छ। र समय ट्याब यो नियम सक्रिय हुँदा समय निर्दिष्ट गर्नुहोस्। 

पछिल्लो पाठदेखि, हामीसँग "ट्रस्ट" जोनबाट इन्टरनेट पहुँच गर्ने नियम छ, अब म उदाहरणको रूपमा देखाउनेछु कि कसरी ICMP ट्राफिकको लागि "ट्रस्ट" जोनबाट "अविश्वसनीय" क्षेत्रमा अस्वीकार गर्ने नियम सिर्जना गर्ने।

पहिले, "थप्नुहोस्" बटनमा क्लिक गरेर नियम सिर्जना गर्नुहोस्। खुल्ने सञ्झ्यालमा, सामान्य ट्याबमा, नाम भर्नुहोस् (ICMP लाई विश्वसनीयबाट अविश्वसनीयमा प्रतिबन्ध लगाउनुहोस्), "अन" चेकबक्समा चिन्ह लगाउनुहोस्, असक्षम कार्य चयन गर्नुहोस्, र सबैभन्दा महत्त्वपूर्ण कुरा, यो नियमको स्थान सही रूपमा चयन गर्नुहोस्। मेरो नीति अनुसार, यो नियम "विश्वसनीयलाई अविश्वसनीय अनुमति दिनुहोस्" नियम भन्दा माथि राख्नुपर्छ:

मेरो कार्यको लागि "स्रोत" ट्याबमा, त्यहाँ दुई विकल्पहरू छन्:

• "विश्वसनीय" क्षेत्र चयन गरेर

• "विश्वसनीय" बाहेक सबै क्षेत्रहरू चयन गरेर र "उल्टो" चेकबक्समा टिक गरेर

गन्तव्य ट्याब स्रोत ट्याब जस्तै कन्फिगर गरिएको छ।

अर्को, "सेवा" ट्याबमा जानुहोस्, किनकि UserGate सँग ICMP ट्राफिकको लागि पूर्वनिर्धारित सेवा छ, त्यसपछि "थप्नुहोस्" बटनमा क्लिक गरेर, हामी प्रस्तावित सूचीबाट "कुनै पनि ICMP" नामको सेवा चयन गर्छौं:

सायद यो UserGate को सिर्जनाकर्ताहरूको इरादा थियो, तर मैले धेरै पूर्ण समान नियमहरू सिर्जना गर्न व्यवस्थित गरें। यद्यपि सूचीबाट पहिलो नियम मात्र कार्यान्वयन गरिनेछ, मलाई लाग्छ कि एउटै नामको साथ नियमहरू सिर्जना गर्ने क्षमता जुन कार्यक्षमतामा फरक छ धेरै यन्त्र प्रशासकहरूले काम गर्दा भ्रम पैदा गर्न सक्छ।

NAT र रूटिङ

NAT नियमहरू सिर्जना गर्दा, हामी फायरवालको रूपमा धेरै समान ट्याबहरू देख्छौं। "सामान्य" ट्याबमा "प्रकार" फिल्ड देखा पर्‍यो, यसले तपाईंलाई यो नियम केको लागि जिम्मेवार हुनेछ भनेर छनौट गर्न अनुमति दिन्छ:

• NAT - नेटवर्क ठेगाना अनुवाद।

• DNAT - निर्दिष्ट IP ठेगानामा ट्राफिक पुन: निर्देशित गर्दछ।

• पोर्ट फर्वार्डिङ - निर्दिष्ट IP ठेगानामा ट्राफिक रिडिरेक्ट गर्छ, तर तपाईंलाई प्रकाशित सेवाको पोर्ट नम्बर परिवर्तन गर्न अनुमति दिन्छ।

• नीति-आधारित मार्ग - तपाईंलाई विस्तारित जानकारी, जस्तै सेवाहरू, MAC ठेगानाहरू, वा सर्भरहरू (IP ठेगानाहरू) मा आधारित IP प्याकेटहरू रूट गर्न अनुमति दिन्छ।

• नेटवर्क म्यापिङ - तपाईंलाई अर्को नेटवर्कसँग एक नेटवर्कको स्रोत वा गन्तव्य IP ठेगानाहरू बदल्न अनुमति दिन्छ।

उपयुक्त नियम प्रकार चयन गरेपछि, यसको लागि सेटिङहरू उपलब्ध हुनेछ।

SNAT IP (बाह्य ठेगाना) फिल्डमा, हामी स्पष्ट रूपमा IP ठेगाना निर्दिष्ट गर्छौं जसमा स्रोत ठेगाना बदलिनेछ। यदि गन्तव्य क्षेत्रमा इन्टरफेसहरूलाई तोकिएको धेरै IP ठेगानाहरू छन् भने यो क्षेत्र आवश्यक हुन्छ। यदि तपाईंले यो क्षेत्र खाली छोड्नुभयो भने, प्रणालीले गन्तव्य क्षेत्र इन्टरफेसहरूमा तोकिएको उपलब्ध IP ठेगानाहरूको सूचीबाट अनियमित ठेगाना प्रयोग गर्नेछ। UserGate ले फायरवाल कार्यसम्पादन सुधार गर्न SNAT IP निर्दिष्ट गर्न सिफारिस गर्छ।

उदाहरणका लागि, म "पोर्ट-फर्वार्डिङ" नियम प्रयोग गरेर "DMZ" क्षेत्रमा अवस्थित Windows सर्भरको SSH सेवा प्रकाशित गर्नेछु। यो गर्नको लागि, "थप्नुहोस्" बटनमा क्लिक गर्नुहोस् र "सामान्य" ट्याब भर्नुहोस्, नियमको नाम निर्दिष्ट गर्नुहोस् "विन्डोजमा SSH" र टाइप गर्नुहोस् "पोर्ट फर्वार्डिङ":

"स्रोत" ट्याबमा, "अविश्वसनीय" क्षेत्र चयन गर्नुहोस् र "पोर्ट फर्वार्डिङ" ट्याबमा जानुहोस्। यहाँ हामीले प्रोटोकल "TCP" निर्दिष्ट गर्नुपर्छ (चार विकल्पहरू उपलब्ध छन् - TCP, UDP, SMTP, SMTPS)। मूल गन्तव्य पोर्ट 9922 — प्रयोगकर्ताहरूले अनुरोधहरू पठाउने पोर्ट नम्बर (पोर्टहरू: 2200, 8001, 4369, 9000-9100 प्रयोग गर्न सकिँदैन)। नयाँ गन्तव्य पोर्ट (22) पोर्ट नम्बर हो जसमा प्रयोगकर्ताले आन्तरिक प्रकाशित सर्भरमा अनुरोधहरू फर्वार्ड गरिनेछ।

"DNAT" ट्याबमा, स्थानीय नेटवर्कमा कम्प्युटरको ip-ठेगाना सेट गर्नुहोस्, जुन इन्टरनेटमा प्रकाशित छ (192.168.3.2)। र तपाईले वैकल्पिक रूपमा SNAT सक्षम गर्न सक्नुहुन्छ, त्यसपछि UserGate ले बाह्य नेटवर्कबाट आफ्नो IP ठेगानामा प्याकेटहरूमा स्रोत ठेगाना परिवर्तन गर्नेछ।

सबै सेटिङहरू पछि, एक नियम प्राप्त हुन्छ जसले "अविश्वसनीय" क्षेत्रबाट सर्भरमा पहुँच गर्न अनुमति दिन्छ 192.168.3.2 आईपी-ठेगानाको साथ SSH प्रोटोकल मार्फत, जडान गर्दा बाह्य UserGate ठेगाना प्रयोग गरेर।

ब्यान्डविड्थ

यो खण्डले ब्यान्डविथ नियन्त्रणका लागि नियमहरू परिभाषित गर्दछ। तिनीहरू निश्चित प्रयोगकर्ताहरू, होस्टहरू, सेवाहरू, अनुप्रयोगहरूको च्यानललाई प्रतिबन्ध गर्न प्रयोग गर्न सकिन्छ।

नियम सिर्जना गर्दा, ट्याबहरूमा सर्तहरूले ट्राफिकलाई निर्धारण गर्दछ जुन प्रतिबन्धहरू लागू हुन्छन्। ब्यान्डविथ प्रस्तावितबाट चयन गर्न सकिन्छ, वा आफ्नै सेट गर्न सकिन्छ। ब्यान्डविथ सिर्जना गर्दा, तपाईंले DSCP ट्राफिक प्राथमिकता लेबल निर्दिष्ट गर्न सक्नुहुन्छ। DSCP लेबलहरू लागू हुँदाको एउटा उदाहरण: एउटा नियममा यो नियम लागू भएको परिदृश्य निर्दिष्ट गरेर, त्यसपछि यो नियमले यी लेबलहरूलाई स्वतः परिवर्तन गर्न सक्छ। स्क्रिप्टले कसरी काम गर्छ भन्ने अर्को उदाहरण: नियमले टोरेन्ट पत्ता लगाएमा वा ट्राफिकको मात्रा तोकिएको सीमा नाघ्यो भने मात्र प्रयोगकर्ताका लागि काम गर्छ। बाँकी ट्याबहरू अन्य नीतिहरूमा जस्तै भरिएका छन्, ट्राफिकको प्रकारमा आधारित जुन नियम लागू गर्नुपर्छ।

निष्कर्षमा

यस लेखमा, मैले फायरवाल, NAT र राउटिंग, र ब्यान्डविथ खण्डहरूमा नियमहरूको सिर्जनालाई कभर गरेको छु। र लेखको सुरुमा, उहाँले UserGate नीतिहरू सिर्जना गर्नका लागि नियमहरू, साथै नियम सिर्जना गर्दा सर्तहरूको सिद्धान्त वर्णन गर्नुभयो। 

हाम्रा च्यानलहरूमा अद्यावधिकहरूको लागि सम्पर्कमा रहनुहोस् (तार, फेसबुक, VK, TS समाधान ब्लग)!

स्रोत: www.habr.com