Ik verwelkom lezers bij het derde artikel in de UserGate Getting Started-artikelenreeks, waarin wordt gesproken over de NGFW-oplossing van het bedrijf . In het laatste artikel werd het installatieproces van een firewall beschreven en werd de eerste configuratie gemaakt. Voor nu gaan we dieper in op het maken van regels in secties zoals Firewall, NAT en Routing, en Bandbreedte.
De ideologie van de UserGate-regels, zodat de regels van boven naar beneden worden uitgevoerd, tot de eerste die werkt. Op basis van het bovenstaande volgt dat meer specifieke regels hoger zouden moeten staan ββdan meer algemene regels. Maar het moet worden opgemerkt, aangezien de regels op volgorde worden gecontroleerd, is het qua prestaties beter om algemene regels te maken. Bij het maken van een regel worden de voorwaarden toegepast volgens de "EN"-logica. Als het nodig is om de logische "OF" te gebruiken, wordt dit bereikt door verschillende regels te maken. Dus wat in dit artikel wordt beschreven, is ook van toepassing op ander UserGate-beleid.
Firewall
Na het installeren van UserGate is er al een eenvoudig beleid in het gedeelte "Firewall". De eerste twee regels verbieden verkeer voor botnets. Hieronder volgen voorbeelden van toegangsregels van verschillende zones. De laatste regel heet altijd "Alles blokkeren" en is gemarkeerd met een slotsymbool (dit betekent dat de regel niet kan worden verwijderd, gewijzigd, verplaatst of uitgeschakeld, hij kan alleen worden ingeschakeld voor de logboekoptie). Door deze regel wordt dus al het expliciet niet toegestane verkeer geblokkeerd door de laatste regel. Als u al het verkeer via UserGate wilt toestaan ββ(hoewel dit sterk wordt afgeraden), kunt u altijd de voorlaatste regel "Allow All" maken.
Bij het bewerken of maken van een firewallregel, de eerste Algemeen tabblad, moet u het volgende doen:
-
Selectievakje "Aan" schakelt de regel in of uit.
-
voer de naam van de regel in.
-
stel de beschrijving van de regel in.
-
kies uit twee acties:
-
Weigeren - blokkeert verkeer (wanneer u deze voorwaarde instelt, is het mogelijk om de ICMP-host onbereikbaar te maken, u hoeft alleen het juiste selectievakje in te schakelen).
-
Toestaan ββ- staat verkeer toe.
-
-
Scenario-item - hiermee kunt u een scenario selecteren, wat een aanvullende voorwaarde is voor het activeren van de regel. Dit is hoe UserGate het concept van SOAR (Security Orchestration, Automation and Response) implementeert.
-
Logboekregistratie β schrijf informatie over verkeer naar het logboek wanneer de regel wordt geactiveerd. Mogelijke opties:
-
Log het begin van de sessie in. In dit geval wordt alleen informatie over het begin van de sessie (het eerste pakket) naar het verkeerslogboek geschreven. Dit is de aanbevolen logoptie.
-
Log elk pakket in. In dit geval wordt informatie over elk verzonden netwerkpakket vastgelegd. Voor deze modus wordt aanbevolen om de logboeklimiet in te schakelen om hoge apparaatbelasting te voorkomen.
-
-
Regel toepassen op:
-
Alle pakketten
-
tot gefragmenteerde pakketten
-
naar niet-gefragmenteerde pakketten
-
-
Bij het aanmaken van een nieuwe regel kunt u een plaats in de polis kiezen.
de volgende Tabblad Bron. Hier geven we de verkeersbron aan, dit kan de zone zijn waar het verkeer vandaan komt, of u kunt een lijst of een specifiek ip-adres (Geoip) opgeven. In bijna alle regels die in het apparaat kunnen worden ingesteld, kan een object worden gemaakt op basis van een regel, bijvoorbeeld zonder naar het gedeelte "Zones" te gaan, kunt u de knop "Nieuw object maken en toevoegen" gebruiken om de zone te maken wij hebben nodig. Het selectievakje "Omkeren" wordt ook vaak gevonden, het keert de actie om in de voorwaarde van de regel, wat vergelijkbaar is met de ontkenning van een logische actie. Bestemming tabblad vergelijkbaar met het brontabblad, maar in plaats van de verkeersbron stellen we de verkeersbestemming in. tabblad Gebruikers - op deze plaats kunt u een lijst met gebruikers of groepen toevoegen waarvoor deze regel geldt. tabblad Service - selecteer het type service uit de reeds vooraf gedefinieerde service of u kunt uw eigen service instellen. Tabblad Toepassing - hier worden specifieke toepassingen of groepen toepassingen geselecteerd. EN Tabblad Tijd specificeer de tijd wanneer deze regel actief is.
Sinds de laatste les hebben we een regel voor toegang tot internet vanuit de zone "Vertrouwen", nu zal ik als voorbeeld laten zien hoe u een weigeringsregel kunt maken voor ICMP-verkeer van de zone "Vertrouwen" naar de zone "Niet vertrouwd".
Maak eerst een regel aan door op de knop "Toevoegen" te klikken. In het venster dat wordt geopend, vult u op het tabblad Algemeen de naam in (ICMP beperken van vertrouwd naar niet-vertrouwd), vinkt u het selectievakje "Aan" aan, selecteert u de actie Uitschakelen en, belangrijker nog, kiest u de juiste locatie voor deze regel. Volgens mijn beleid moet deze regel boven de regel "Sta vertrouwd toe aan niet-vertrouwd" worden geplaatst:
Op het tabblad "Bron" voor mijn taak zijn er twee opties:
-
Door de zone "Vertrouwd" te selecteren
-
Door alle zones behalve "Vertrouwd" te selecteren en het selectievakje "Omkeren" aan te vinken
Het tabblad Bestemming is op dezelfde manier geconfigureerd als het tabblad Bron.
Ga vervolgens naar het tabblad "Service", aangezien UserGate een vooraf gedefinieerde service heeft voor ICMP-verkeer, en door op de knop "Toevoegen" te klikken, selecteren we een service met de naam "Elke ICMP" uit de voorgestelde lijst:
Misschien was dit de bedoeling van de makers van UserGate, maar het is me gelukt om verschillende volledig identieke regels te maken. Hoewel alleen de eerste regel uit de lijst wordt uitgevoerd, denk ik dat de mogelijkheid om regels met dezelfde naam te maken die verschillen in functionaliteit voor verwarring kan zorgen wanneer er meerdere apparaatbeheerders werken.
NAT en routering
Bij het maken van NAT-regels zien we verschillende vergelijkbare tabbladen, zoals voor de firewall. Het veld "Type" verscheen op het tabblad "Algemeen", hiermee kunt u kiezen waarvoor deze regel verantwoordelijk is:
-
NAT - Netwerkadresvertaling.
-
DNAT - Leidt verkeer om naar het opgegeven IP-adres.
-
Port forwarding - Leidt verkeer om naar het opgegeven IP-adres, maar stelt u in staat het poortnummer van de gepubliceerde service te wijzigen
-
Op beleid gebaseerde routering - Hiermee kunt u IP-pakketten routeren op basis van uitgebreide informatie, zoals services, MAC-adressen of servers (IP-adressen).
-
Netwerktoewijzing - Hiermee kunt u de bron- of bestemmings-IP-adressen van het ene netwerk vervangen door een ander netwerk.
Nadat u het juiste regeltype hebt geselecteerd, zijn de instellingen ervoor beschikbaar.
In het veld SNAT IP (extern adres) specificeren we expliciet het IP-adres waarnaar het bronadres zal worden vervangen. Dit veld is verplicht als er meerdere IP-adressen zijn toegewezen aan interfaces in de bestemmingszone. Als u dit veld leeg laat, gebruikt het systeem een ββwillekeurig adres uit de lijst met beschikbare IP-adressen die zijn toegewezen aan de bestemmingszone-interfaces. UserGate raadt aan SNAT IP op te geven om de prestaties van de firewall te verbeteren.
Ik zal bijvoorbeeld de SSH-service van een Windows-server in de "DMZ"-zone publiceren met behulp van de "port-forwarding"-regel. Om dit te doen, klikt u op de knop "Toevoegen" en vult u het tabblad "Algemeen" in, specificeert u de naam van de regel "SSH naar Windows" en het type "Port forwarding":
Selecteer op het tabblad "Bron" de zone "Niet-vertrouwd" en ga naar het tabblad "Port forwarding". Hier moeten we het protocol "TCP" specificeren (er zijn vier opties beschikbaar - TCP, UDP, SMTP, SMTPS). Oorspronkelijke bestemmingspoort 9922 β poortnummer waarnaar gebruikers verzoeken sturen (poorten: 2200, 8001, 4369, 9000-9100 kunnen niet worden gebruikt). De nieuwe bestemmingspoort (22) is het poortnummer waarnaar gebruikersverzoeken aan de interne gepubliceerde server worden doorgestuurd.
Stel op het tabblad "DNAT" het ip-adres van de computer op het lokale netwerk in, dat op internet wordt gepubliceerd (192.168.3.2). En u kunt optioneel SNAT inschakelen, dan zal UserGate het bronadres in pakketten van het externe netwerk wijzigen in zijn eigen IP-adres.
Na alle instellingen wordt een regel verkregen die toegang toestaat vanuit de "Niet-vertrouwde" zone tot de server met het ip-adres 192.168.3.2 via het SSH-protocol, met behulp van het externe UserGate-adres bij het verbinden.
Doorvoer
In dit gedeelte worden de regels voor bandbreedtebeheer gedefinieerd. Ze kunnen worden gebruikt om het kanaal van bepaalde gebruikers, hosts, services, applicaties te beperken.
Bij het maken van een regel bepalen de voorwaarden op de tabbladen het verkeer waarop beperkingen worden toegepast. De bandbreedte kan worden geselecteerd uit het voorgestelde, of u kunt uw eigen bandbreedte instellen. Bij het maken van bandbreedte kunt u een label voor DSCP-verkeersprioritering opgeven. Een voorbeeld van wanneer DSCP-labels worden toegepast: door in een regel het scenario op te geven waarin deze regel wordt toegepast, kan deze regel deze labels automatisch wijzigen. Nog een voorbeeld van hoe het script werkt: de regel werkt alleen voor de gebruiker wanneer een torrent wordt gedetecteerd of de hoeveelheid verkeer de opgegeven limiet overschrijdt. De resterende tabbladen worden op dezelfde manier ingevuld als in ander beleid, op basis van het type verkeer waarop de regel moet worden toegepast.
Conclusie
In dit artikel heb ik het maken van regels in de secties Firewall, NAT en Routing en Bandbreedte behandeld. En helemaal aan het begin van het artikel beschreef hij de regels voor het maken van UserGate-beleid, evenals het principe van de voorwaarden bij het maken van een regel.
Blijf op de hoogte voor updates in onze kanalen (, , , )!
Bron: www.habr.com