3. د UserGate پیل کول. د شبکې تګلارې

زه د یوزر ګیټ پیل کولو مقالې لړۍ کې دریمې مقالې ته لوستونکو ته ښه راغلاست وایم ، کوم چې د شرکت څخه د NGFW حل په اړه خبرې کوي UserGate. په وروستۍ مقاله کې، د فایروال نصبولو پروسه تشریح شوې او د هغې ابتدايي ترتیب شوی. د اوس لپاره، موږ به د فایروال، NAT او روټینګ، او بانډ ویت په برخو کې د قواعدو رامینځته کولو ته نږدې کتنه وکړو.

د UserGate قواعدو نظریه، دا چې مقررات له پورته څخه تر ښکته پورې اجرا کیږي، تر هغه چې لومړی کار کوي. د پورته پر بنسټ، دا تعقیبوي چې نور ځانګړي قواعد باید د نورو عمومي قواعدو څخه لوړ وي. مګر دا باید په پام کې ونیول شي، ځکه چې مقررات په ترتیب سره چک شوي، نو د عمومي قواعدو رامینځته کول د فعالیت له مخې غوره دي. کله چې کوم قاعده رامینځته کیږي ، شرایط د "AND" منطق سره سم پلي کیږي. که د منطق "OR" کارولو ته اړتیا وي، نو دا د ډیری قواعدو په جوړولو سره ترلاسه کیږي. نو هغه څه چې پدې مقاله کې تشریح شوي د نورو UserGate پالیسیو باندې هم پلي کیږي.

فایروال

د UserGate نصبولو وروسته، د "فیروال" برخه کې لا دمخه یو ساده پالیسي شتون لري. لومړی دوه مقررات د botnets لپاره ترافیک منع کوي. لاندې د مختلفو زونونو څخه د لاسرسي قواعدو مثالونه دي. وروستی قاعده تل د "ټول بلاک" په نوم یادیږي او د تالاشۍ سمبول سره نښه کیږي (دا پدې مانا ده چې دا قاعده نشي حذف کیدی ، تعدیل شوی ، حرکت کولی شي ، غیر فعال کیدی شي ، دا یوازې د ننوتلو اختیار لپاره فعال کیدی شي). په دې توګه، د دې قاعدې له امله، ټول په ښکاره توګه اجازه نه ورکول کیږي ټرافیک به د وروستي قانون لخوا بند شي. که تاسو غواړئ د UserGate له لارې ټول ټرافیک ته اجازه ورکړئ (که څه هم دا په کلکه هڅول کیږي) ، تاسو کولی شئ تل حتمي قانون "ټولو ته اجازه ورکړئ" رامینځته کړئ.

کله چې د فایروال قواعد ترمیم یا رامینځته کړئ ، لومړی عمومي ټب، تاسو اړتیا لرئ لاندې کارونه وکړئ: 

• د چیک بکس "آن" قانون فعال یا غیر فعال کړئ.

• د قاعدې نوم دننه کړئ.

• د قواعدو توضیحات تنظیم کړئ.

• د دوو کړنو څخه غوره کړئ:

  • انکار - ټرافيک بندوي (کله چې دا حالت تنظیم کړئ، دا ممکنه ده چې د ICMP کوربه د لاسرسي وړ واستول شي، تاسو یوازې د مناسب چک بکس تنظیم کولو ته اړتیا لرئ).

  • اجازه ورکړئ - ترافیک ته اجازه ورکوي.

• د سناریو توکي - تاسو ته اجازه درکوي یوه سناریو وټاکئ، کوم چې د اور وژنې لپاره اضافي شرط دی. دا څنګه یوزر ګیټ د SOAR مفهوم پلي کوي (امنیت آرکیسټریشن ، اتومات او ځواب).

• ننوتل - د ترافیک په اړه معلومات ثبت کړئ کله چې یو قانون پیل شي. احتمالي انتخابونه:

  • د غونډې پیل ثبت کړئ. په دې حالت کې، یوازې د غونډې د پیل په اړه معلومات (لومړی کڅوړه) به د ټرافیک لاګ ته ولیکل شي. دا د ننوتلو وړاندیز شوی اختیار دی.

  • هر کڅوړه ننوتل. په دې حالت کې، د هرې لیږدول شوي شبکې پاکټ په اړه معلومات به ثبت شي. د دې حالت لپاره، دا سپارښتنه کیږي چې د لوګینګ حد فعال کړئ ترڅو د لوړې وسیلې بار مخه ونیسي.

• د قانون پلي کول:

  • ټول بسته بندي

  • ټوټې شوي کڅوړو ته

  • بې برخې کڅوړو ته

• کله چې یو نوی قواعد رامینځته کړئ، تاسو کولی شئ په پالیسۍ کې ځای غوره کړئ.

بله سرچینه ټب. دلته موږ د ټرافیک سرچینه په ګوته کوو، دا کیدای شي هغه زون وي چې له هغې څخه ټرافيک راځي، یا تاسو کولی شئ یو لیست یا یو مشخص IP پته (جیوپ) مشخص کړئ. په نږدې ټولو قواعدو کې چې په وسیله کې تنظیم کیدی شي، یو شی د یوې قاعدې څخه رامینځته کیدی شي، د بیلګې په توګه، پرته له دې چې د "زون" برخې ته لاړ شئ، تاسو کولی شئ د زون جوړولو لپاره "نوی څیز جوړ کړئ او اضافه کړئ" تڼۍ وکاروئ. موږ اړتیا لرو. د "انورټ" چیک باکس هم ډیری وختونه موندل کیږي، دا د قاعدې په حالت کې عمل بیرته راولي، کوم چې د منطقي عمل منفي ته ورته دی. د منزل ټب د سرچینې ټب ته ورته، مګر د ټرافیک سرچینې پرځای، موږ د ټرافیک منزل ټاکلی. د کاروونکو ټب - پدې ځای کې تاسو کولی شئ د کاروونکو یا ډلو لیست اضافه کړئ چې دا قاعده پلي کیږي. د خدماتو ټب - له مخکې ټاکل شوي څخه د خدماتو ډول غوره کړئ یا تاسو کولی شئ خپل ځان تنظیم کړئ. د غوښتنلیک ټب - ځانګړي غوښتنلیکونه یا د غوښتنلیکونو ګروپونه دلته غوره شوي. او د وخت ټب هغه وخت مشخص کړئ کله چې دا قاعده فعاله وي. 

د وروستي درس راهیسې، موږ د "باور" زون څخه انټرنیټ ته د لاسرسي لپاره قواعد لرو، اوس به زه د مثال په توګه وښیم چې څنګه د "باور" زون څخه "بې باوره" زون ته د ICMP ترافیک لپاره د انکار قانون رامینځته کول.

لومړی، د "Add" تڼۍ په کلیک کولو سره یو قاعده جوړه کړئ. په هغه کړکۍ کې چې خلاصیږي ، په عمومي ټب کې ، نوم ډک کړئ (ICMP له باوري څخه غیر باوري ته محدود کړئ) ، د "آن" چیک باکس چیک کړئ ، غیر فعال عمل غوره کړئ ، او تر ټولو مهم ، د دې مقررې موقعیت په سمه توګه وټاکئ. زما د تګلارې له مخې، دا قاعده باید د "باور وړ باوري ته اجازه ورکړئ" قاعده پورته وي:

زما د دندې لپاره د "سرچینې" ټب کې، دوه اختیارونه شتون لري:

• د "باور وړ" زون په ټاکلو سره

• د "باور وړ" پرته د ټولو زونونو په غوره کولو او د "انورټ" چیک باکس په نښه کولو سره

د منزل ټب د سرچینې ټب ته ورته ترتیب شوی.

بیا، د "خدمت" ټب ته لاړ شئ، ځکه چې یوزر ګیټ د ICMP ټرافیک لپاره مخکې تعریف شوی خدمت لري، بیا د "Add" تڼۍ په کلیک کولو سره، موږ د وړاندیز شوي لیست څخه "هر ICMP" نوم سره یو خدمت غوره کوو:

شاید دا د UserGate د جوړونکو اراده وه، مګر ما د ډیری بشپړ ورته مقرراتو رامینځته کولو اداره کوله. که څه هم د لیست څخه یوازې لومړی قاعده به اجرا شي، زه فکر کوم چې د ورته نوم سره د قواعدو رامینځته کولو وړتیا چې په فعالیت کې توپیر لري د ګډوډۍ لامل کیدی شي کله چې د ډیری وسیلو مدیران کار کوي.

NAT او روټینګ

کله چې د NAT قواعد رامینځته کړئ ، موږ ډیری ورته ټبونه ګورو ، لکه د فایر وال لپاره. د "ډول" ساحه په "عمومي" ټب کې ښکاره شوه، دا تاسو ته اجازه درکوي چې وټاکئ چې دا قاعده به د څه لپاره مسؤل وي:

• NAT - د شبکې پته ژباړه.

• DNAT - ټاکل شوي IP پتې ته ټرافیک لیږدوي.

• د پورټ فارورډینګ - ټاکل شوي IP پتې ته ټرافیک لیږدوي، مګر تاسو ته اجازه درکوي چې د خپاره شوي خدمت پورټ شمیره بدله کړئ

• د پالیسۍ پراساس روټینګ - تاسو ته اجازه درکوي چې د پراخو معلوماتو پراساس د IP پیکټونو روټ کړئ، لکه خدمات، MAC پتې، یا سرورونه (IP پتې).

• د شبکې نقشه کول - تاسو ته اجازه درکوي چې د یوې شبکې سرچینې یا منزل IP پتې د بلې شبکې سره بدل کړئ.

د مناسب قاعدې ډول غوره کولو وروسته ، د دې لپاره تنظیمات به شتون ولري.

د SNAT IP (بهرنی پته) ساحه کې، موږ په واضح ډول IP پته مشخص کوو چې د سرچینې پته به ځای په ځای شي. دا ساحه اړینه ده که چیرې د منزل په زون کې انٹرفیسونو ته څو IP پتې ټاکل شوي وي. که تاسو دا ساحه خالي پریږدئ، سیسټم به د موجوده IP پتې له لیست څخه یو تصادفي پته وکاروي چې د منزل زون انٹرفیس ته ټاکل شوي. UserGate د فایروال فعالیت ښه کولو لپاره د SNAT IP مشخص کولو وړاندیز کوي.

د مثال په توګه، زه به د وینډوز سرور SSH خدمت خپور کړم چې په "DMZ" زون کې موقعیت لري د "پورټ فارورډینګ" قانون په کارولو سره. د دې کولو لپاره، د "Add" تڼۍ کلیک وکړئ او "عمومي" ټب ډک کړئ، د قانون نوم "SSH to Windows" او د "Port Forwarding" ډول وټاکئ:

په "سرچینه" ټب کې، "بې باوره" زون غوره کړئ او د "پورټ فارورډینګ" ټب ته لاړ شئ. دلته موږ باید د "TCP" پروتوکول مشخص کړو (څلور اختیارونه شتون لري - TCP، UDP، SMTP، SMTPS). د اصلي منزل بندر 9922 - د پورټ شمیره چې کاروونکي یې غوښتنې لیږي (پورټونه: 2200، 8001، 4369، 9000-9100 نشي کارول کیدی). د نوي منزل بندر (22) د پورټ شمیره ده چې د کارونکي غوښتنې داخلي خپاره شوي سرور ته لیږل کیږي.

په "DNAT" ټب کې، په محلي شبکه کې د کمپیوټر IP پته تنظیم کړئ، کوم چې په انټرنیټ کې خپور شوی (192.168.3.2). او تاسو کولی شئ په اختیاري توګه SNAT فعال کړئ، نو بیا UserGate به د بهرنۍ شبکې څخه په پاکټونو کې د سرچینې پته خپل IP پتې ته بدل کړي.

د ټولو تنظیماتو وروسته ، یو قاعده ترلاسه کیږي چې د SSH پروتوکول له لارې د ip-address 192.168.3.2 سره سرور ته د "بې اعتباره" زون څخه لاسرسي ته اجازه ورکوي ، د وصل کیدو پرمهال د بهرني UserGate پته په کارولو سره.

بانډوید

دا برخه د بینډ ویت کنټرول قواعد تعریفوي. دوی د ځانګړو کاروونکو، کوربه، خدماتو، غوښتنلیکونو چینل محدودولو لپاره کارول کیدی شي.

کله چې یو قاعده رامینځته کړئ ، په ټبونو کې شرایط ترافیک ټاکي چې کوم محدودیتونه پلي کیږي. بینډ ویت د وړاندیز شوي څخه غوره کیدی شي ، یا خپل ځان تنظیم کړئ. کله چې بینډ ویت رامینځته کوئ ، تاسو کولی شئ د DSCP ترافیک لومړیتوب لیبل مشخص کړئ. یوه بیلګه کله چې د DSCP لیبلونه پلي کیږي: په یوه قاعده کې د سناریو په ټاکلو سره چې دا قاعده پلي کیږي ، نو دا قاعده کولی شي په اوتومات ډول دا لیبلونه بدل کړي. بل مثال چې سکریپټ څنګه کار کوي: قاعده به یوازې د کارونکي لپاره کار وکړي کله چې یو تورینټ کشف شي یا د ترافیک مقدار له ټاکل شوي حد څخه تیریږي. پاتې ټبونه د نورو پالیسیو په څیر ډک شوي، د ټرافیک ډول پراساس چې قواعد باید پلي شي.

پایلې

پدې مقاله کې ، ما د فایر وال ، NAT او روټینګ ، او بانډ ویت برخو کې د مقرراتو رامینځته کول پوښلي. او د مقالې په پیل کې، هغه د یوزر ګیټ پالیسیو جوړولو لپاره مقررات بیان کړل، او همدارنګه د قواعدو د جوړولو په وخت کې د شرایطو اصول. 

د تازه معلوماتو لپاره زموږ په چینلونو کې پاتې شئ (Telegram, فیسبوک, VK, د TS حل بلاګ)!

سرچینه: www.habr.com