Jeg ønsker lesere velkommen til den tredje artikkelen i UserGate Getting Started-artikkelserien, som snakker om NGFW-løsningen fra selskapet . I den siste artikkelen ble prosessen med å installere en brannmur beskrevet og den første konfigurasjonen ble gjort. Foreløpig skal vi se nærmere på å lage regler i seksjoner som brannmur, NAT og ruting og båndbredde.
Ideologien til UserGate-reglene, slik at reglene utføres fra topp til bunn, til den første som fungerer. Ut fra ovenstående følger det at mer spesifikke regler bør være høyere enn mer generelle regler. Men det bør bemerkes, siden reglene er sjekket i rekkefølge, er det bedre når det gjelder ytelse å lage generelle regler. Når du oppretter en regel, brukes betingelsene i henhold til "AND"-logikken. Hvis det er nødvendig å bruke logikken "ELLER", oppnås dette ved å lage flere regler. Så det som er beskrevet i denne artikkelen gjelder også for andre UserGate-retningslinjer.
Brannmur
Etter å ha installert UserGate, er det allerede en enkel policy i "Brannmur"-delen. De to første reglene forbyr trafikk for botnett. Følgende er eksempler på tilgangsregler fra forskjellige soner. Den siste regelen kalles alltid "Blokker alle" og er merket med et låsesymbol (det betyr at regelen ikke kan slettes, endres, flyttes, deaktiveres, den kan kun aktiveres for loggingsalternativet). På grunn av denne regelen vil derfor all eksplisitt ikke tillatt trafikk bli blokkert av den siste regelen. Hvis du vil tillate all trafikk gjennom UserGate (selv om dette frarådes på det sterkeste), kan du alltid lage den nest siste regelen "Tillat alle".
Når du redigerer eller oppretter en brannmurregel, den første Generelt-fanen, må du gjøre følgende:
-
Avmerkingsboksen "På" aktiverer eller deaktiverer regelen.
-
skriv inn navnet på regelen.
-
angi beskrivelsen av regelen.
-
velg mellom to handlinger:
-
Nekt - blokkerer trafikk (når du angir denne betingelsen, er det mulig å sende ICMP-verten utilgjengelig, du trenger bare å sette den aktuelle avmerkingsboksen).
-
Tillat – tillater trafikk.
-
-
Scenarioelement - lar deg velge et scenario, som er en tilleggsbetingelse for at regelen skal utløses. Slik implementerer UserGate konseptet SOAR (Security Orchestration, Automation and Response).
-
Logging — skriv informasjon om trafikk til loggen når regelen utløses. Mulige alternativer:
-
Logg starten av økten. I dette tilfellet vil kun informasjon om begynnelsen av økten (den første pakken) bli skrevet til trafikkloggen. Dette er det anbefalte loggingsalternativet.
-
Logg hver pakke. I dette tilfellet vil informasjon om hver overførte nettverkspakke bli registrert. For denne modusen anbefales det å aktivere loggingsgrensen for å forhindre høy enhetsbelastning.
-
-
Bruk regelen på:
-
Alle pakker
-
til fragmenterte pakker
-
til ufragmenterte pakker
-
-
Når du oppretter en ny regel, kan du velge et sted i policyen.
den neste Kilde-fanen. Her angir vi trafikkkilden, det kan være sonen trafikken kommer fra, eller du kan spesifisere en liste eller en spesifikk ip-adresse (Geoip). I nesten alle regler som kan settes i enheten, kan et objekt opprettes fra en regel, for eksempel uten å gå til "Soner"-delen, kan du bruke knappen "Opprett og legg til et nytt objekt" for å opprette sonen vi trenger. Avmerkingsboksen "Inverter" er også vanlig, den reverserer handlingen i regelbetingelsen, som ligner på den logiske handlingsnegeringen. Destinasjon-fanen ligner på kildefanen, men i stedet for trafikkkilden angir vi trafikkdestinasjonen. Brukere-fanen - på dette stedet kan du legge til en liste over brukere eller grupper som denne regelen gjelder for. Tjenestefanen - velg type tjeneste fra den allerede forhåndsdefinerte, eller du kan angi din egen. Applikasjonsfanen - spesifikke applikasjoner eller grupper av applikasjoner velges her. OG Tidsfanen angi tidspunktet når denne regelen er aktiv.
Siden forrige leksjon har vi en regel for tilgang til Internett fra "Tillit"-sonen, nå vil jeg vise som et eksempel hvordan du oppretter en avvisningsregel for ICMP-trafikk fra "Trust"-sonen til "Utrusted"-sonen.
Først oppretter du en regel ved å klikke på "Legg til"-knappen. I vinduet som åpnes, på den generelle fanen, fyll inn navnet (Begrens ICMP fra klarert til uklarert), merk av for "På", velg deaktiveringshandlingen, og viktigst av alt, velg riktig plassering for denne regelen. I henhold til retningslinjene mine skal denne regelen plasseres over «Tillat klarerte til uklarerte»-regelen:
På "Kilde"-fanen for oppgaven min er det to alternativer:
-
Ved å velge "Trusted"-sonen
-
Ved å velge alle soner unntatt "Trusted" og krysse av for "Inverter".
Kategorien Destinasjon er konfigurert på samme måte som Kilde-fanen.
Deretter går du til fanen "Tjeneste", siden UserGate har en forhåndsdefinert tjeneste for ICMP-trafikk, og ved å klikke på "Legg til"-knappen velger vi en tjeneste med navnet "Enhver ICMP" fra den foreslåtte listen:
Kanskje dette var intensjonen til skaperne av UserGate, men jeg klarte å lage flere helt identiske regler. Selv om kun den første regelen fra listen vil bli utført, tror jeg muligheten til å lage regler med samme navn som er forskjellige i funksjonalitet kan skape forvirring når flere enhetsadministratorer jobber.
NAT og ruting
Når vi lager NAT-regler ser vi flere lignende faner, som for brannmuren. "Type"-feltet dukket opp på fanen "Generelt", det lar deg velge hva denne regelen skal være ansvarlig for:
-
NAT – Network Address Translation.
-
DNAT - Omdirigerer trafikk til den angitte IP-adressen.
-
Portviderekobling - Omdirigerer trafikk til den angitte IP-adressen, men lar deg endre portnummeret til den publiserte tjenesten
-
Policybasert ruting – Lar deg rute IP-pakker basert på utvidet informasjon, for eksempel tjenester, MAC-adresser eller servere (IP-adresser).
-
Nettverkskartlegging – Lar deg erstatte kilde- eller destinasjons-IP-adressene til ett nettverk med et annet nettverk.
Etter å ha valgt riktig regeltype, vil innstillingene for den være tilgjengelige.
I feltet SNAT IP (ekstern adresse) spesifiserer vi eksplisitt IP-adressen som kildeadressen skal erstattes til. Dette feltet er obligatorisk hvis det er flere IP-adresser tilordnet grensesnitt i destinasjonssonen. Hvis du lar dette feltet stå tomt, vil systemet bruke en tilfeldig adresse fra listen over tilgjengelige IP-adresser som er tildelt destinasjonssonegrensesnittene. UserGate anbefaler å spesifisere SNAT IP for å forbedre brannmurytelsen.
For eksempel vil jeg publisere SSH-tjenesten til en Windows-server som ligger i "DMZ"-sonen ved å bruke regelen "port-videresending". For å gjøre dette, klikk på "Legg til"-knappen og fyll ut fanen "Generelt", spesifiser navnet på regelen "SSH til Windows" og typen "Portviderekobling":
På «Kilde»-fanen, velg «Utrustet»-sonen og gå til «Port forwarding»-fanen. Her må vi spesifisere protokollen "TCP" (fire alternativer er tilgjengelige - TCP, UDP, SMTP, SMTPS). Original destinasjonsport 9922 — portnummer som brukere sender forespørsler til (porter: 2200, 8001, 4369, 9000-9100 kan ikke brukes). Den nye destinasjonsporten (22) er portnummeret som brukerforespørsler til den interne publiserte serveren vil bli videresendt til.
På "DNAT"-fanen angir du ip-adressen til datamaskinen på det lokale nettverket, som er publisert på Internett (192.168.3.2). Og du kan eventuelt aktivere SNAT, så vil UserGate endre kildeadressen i pakker fra det eksterne nettverket til sin egen IP-adresse.
Etter alle innstillingene oppnås en regel som tillater tilgang fra "Utrusted"-sonen til serveren med ip-adressen 192.168.3.2 via SSH-protokollen, ved å bruke den eksterne UserGate-adressen ved tilkobling.
båndbredde
Denne delen definerer reglene for båndbreddekontroll. De kan brukes til å begrense kanalen til visse brukere, verter, tjenester, applikasjoner.
Når du oppretter en regel, bestemmer betingelsene på fanene trafikken som restriksjoner brukes på. Båndbredden kan velges fra den foreslåtte, eller angi din egen. Når du oppretter båndbredde, kan du spesifisere en DSCP-trafikkprioriteringsetikett. Et eksempel på når DSCP-etiketter brukes: ved å spesifisere i en regel scenariet som denne regelen brukes i, kan denne regelen automatisk endre disse etikettene. Et annet eksempel på hvordan skriptet fungerer: regelen vil fungere for brukeren bare når en torrent oppdages eller mengden trafikk overskrider den angitte grensen. De resterende fanene fylles ut på samme måte som i andre retningslinjer, basert på typen trafikk som regelen skal brukes på.
Konklusjon
I denne artikkelen dekket jeg opprettelsen av regler i delene Brannmur, NAT og Ruting og Båndbredde. Og helt i begynnelsen av artikkelen beskrev han reglene for å lage UserGate-policyer, samt prinsippet om betingelsene når du oppretter en regel.
Følg med for oppdateringer i våre kanaler (, , , )!
Kilde: www.habr.com