Bun venit cititorilor la al treilea articol din seria de articole UserGate Getting Started, care vorbește despre soluția NGFW de la companie . Articolul anterior a descris procesul de instalare a unui firewall și a efectuat configurația inițială a acestuia. Acum vom arunca o privire mai atentă la crearea regulilor în secțiuni precum „Firewall”, „NAT și rutare” și „Lățime de bandă”.
Ideologia regulilor UserGate este că regulile sunt executate de sus în jos, până la prima care funcționează. Pe baza celor de mai sus, rezultă că regulile mai specifice ar trebui să fie mai mari decât regulile mai generale. Dar trebuie remarcat faptul că, deoarece regulile sunt verificate în ordine, în ceea ce privește performanța, este mai bine să creați reguli generale. Condițiile la crearea oricărei reguli sunt aplicate conform logicii „ȘI”. Dacă este necesar să folosiți logica „SAU”, acest lucru se realizează prin crearea mai multor reguli. Deci, ceea ce este descris în acest articol se aplică și altor politici UserGate.
Firewall
După instalarea UserGate, există deja o politică simplă în secțiunea „Firewall”. Primele două reguli interzic traficul către rețele botnet. Următoarele sunt exemple de reguli de acces din diferite zone. Ultima regulă se numește întotdeauna „Blocați toate” și este marcată cu un simbol de lacăt (înseamnă că regula nu poate fi ștearsă, modificată, mutată, dezactivată, puteți activa doar opțiunea de înregistrare pentru ea). Astfel, din cauza acestei reguli, tot traficul care nu este permis în mod explicit va fi blocat de ultima regulă. Dacă doriți să permiteți tot traficul prin UserGate (deși acest lucru nu este recomandat), puteți crea oricând penultima regulă „Permiteți tot”.
Când editați sau creați o regulă de firewall, prima Filă generală, trebuie să efectuați următorii pași pe el:
-
Utilizați caseta de selectare „Activat” pentru a activa sau dezactiva regula.
-
introduceți numele regulii.
-
stabiliți o descriere a regulii.
-
alege dintre două acțiuni:
-
Deny - blochează traficul (când această condiție este setată, este posibil să trimiteți gazda ICMP inaccesabilă, trebuie doar să setați caseta de selectare corespunzătoare).
-
Permite—permite traficul.
-
-
Element de scenariu - vă permite să selectați un scenariu, care este o condiție suplimentară pentru ca regula să fie declanșată. Acesta este modul în care UserGate implementează conceptul SOAR (Security Orchestration, Automation and Response).
-
Înregistrare—înregistrați informații despre trafic atunci când este declanșată o regulă. Opțiuni posibile:
-
Înregistrați începutul sesiunii. În acest caz, în jurnalul de trafic vor fi înregistrate doar informații despre începutul sesiunii (primul pachet). Aceasta este opțiunea de înregistrare recomandată.
-
Înregistrați fiecare pachet. În acest caz, vor fi înregistrate informații despre fiecare pachet de rețea transmis. Pentru acest mod, este recomandat să activați limita de înregistrare pentru a preveni încărcarea ridicată a dispozitivului.
-
-
Aplicați regula la:
-
Toate pachetele
-
la pachete fragmentate
-
la pachete nefragmentate
-
-
Când creați o nouă regulă, puteți selecta o locație în politică.
următoare Fila „Sursă”.. Aici indicăm sursa traficului; aceasta poate fi zona din care provine traficul, sau puteți specifica o listă sau o anumită adresă IP (Geoip). În aproape toate regulile care pot fi setate într-un dispozitiv, un obiect poate fi creat dintr-o regulă, de exemplu, fără a accesa secțiunea „Zone”, puteți folosi butonul „Creați și adăugați un obiect nou” pentru a crea zona. avem nevoie. Caseta de selectare „Inversare” este, de asemenea, întâlnită adesea; schimbă acțiunea în condiția regulii la opus, care este similar cu acțiunea logică a negației. Fila Destinație similar cu fila sursă, doar în locul sursei de trafic setăm destinația traficului. Fila Utilizatori — în acest loc puteți adăuga o listă de utilizatori sau grupuri pentru care se aplică această regulă. fila Service — selectați tipul de serviciu din cel deja predefinit sau puteți seta propriul dvs. Fila Aplicație — aici sunt selectate anumite aplicații sau grupuri de aplicații. ȘI fila Ora indicați ora la care această regulă este activă.
De la ultima lecție, avem o regulă pentru accesarea Internetului din zona „Încredere”, acum voi arăta, ca exemplu, cum să creați o regulă de refuz pentru traficul ICMP din zona „Încredere” în zona „Neîncredere”. .
Mai întâi, creați o regulă făcând clic pe butonul „Adăugați”. În fereastra care se deschide, în fila generală, completați numele (Ban ICMP from trusted to untrusted), bifați caseta de selectare „Activat”, selectați acțiunea de blocat și, cel mai important, selectați locația corectă pentru această regulă. Conform politicii mele, această regulă ar trebui să fie situată deasupra regulii „Permiteți de încredere la neîncredere”:
În fila „Sursă”, există două opțiuni pentru sarcina mea:
-
Selectarea zonei „De încredere”.
-
Selectând toate zonele, cu excepția „Încredere” și bifarea casetei de selectare „Inversare”.
Fila „Destinație” este configurată în mod similar cu fila „Sursă”.
Apoi, mergem la fila „Serviciu”, deoarece UserGate are un serviciu predefinit pentru traficul ICMP, apoi făcând clic pe butonul „Adăugați”, selectăm din lista propusă un serviciu numit „Orice ICMP”:
Poate că asta au intenționat creatorii UserGate, dar am reușit să creez câteva reguli complet identice. Deși va fi executată doar prima regulă din listă, cred că posibilitatea de a crea reguli cu funcționalități diferite cu același nume poate provoca confuzie atunci când lucrează mai mulți administratori de dispozitive.
NAT și rutare
Când creăm reguli NAT, vedem mai multe file similare cu cele pentru firewall. În fila „General”, a apărut câmpul „Tip”; vă permite să selectați de ce va fi responsabilă această regulă:
-
NAT - Traducere adrese de rețea.
-
DNAT - Redirecționează traficul către adresa IP specificată.
-
Port forwarding - Redirecționează traficul către o adresă IP specificată, dar vă permite să schimbați numărul portului serviciului publicat
-
Rutare bazată pe politici - Permite rutarea pachetelor IP pe baza informațiilor avansate, cum ar fi servicii, adrese MAC sau servere (adrese IP).
-
Maparea rețelei - Vă permite să înlocuiți adresele IP sursă sau destinație ale unei rețele cu o altă rețea.
După selectarea tipului de regulă adecvat, setările pentru acesta vor fi disponibile.
În câmpul SNAT IP (adresă externă), indicăm în mod explicit adresa IP la care va fi înlocuită adresa sursă. Acest câmp este obligatoriu dacă există mai multe adrese IP alocate interfețelor zonei de destinație. Dacă lăsați acest câmp gol, sistemul va folosi o adresă aleatorie din lista de adrese IP disponibile alocate interfețelor zonei de destinație. UserGate recomandă specificarea SNAT IP pentru a îmbunătăți performanța firewall-ului.
De exemplu, voi publica un serviciu SSH pe un server Windows situat în zona „DMZ” folosind regula „port forwarding”. Pentru a face acest lucru, faceți clic pe butonul „Adăugați” și completați fila „General”, specificați numele regulii „SSH la Windows” și tipul „Redirecționare port”:
În fila „Sursă”, selectați zona „Neîncredere” și accesați fila „Redirecționare port”. Aici trebuie să specificăm protocolul „TCP” (sunt disponibile patru opțiuni - TCP, UDP, SMTP, SMTPS). Portul de destinație inițial este 9922 - numărul portului către care utilizatorii trimit cereri (porturile nu pot fi utilizate: 2200, 8001, 4369, 9000-9100). Port nou destinație (22) - numărul portului către care vor fi redirecționate cererile utilizatorului către serverul publicat intern.
În fila „DNAT”, setați adresa IP a computerului din rețeaua locală, care este publicată pe Internet (192.168.3.2). Și opțional puteți activa SNAT, apoi UserGate va schimba adresa sursă în pachete din rețeaua externă la adresa sa IP.
După toate setările, obțineți o regulă care vă permite să obțineți acces din zona „Neîncredere” la un server cu adresa IP 192.168.3.2 prin SSH, folosind adresa externă UserGate atunci când vă conectați.
capacitate
Această secțiune specifică regulile de gestionare a lățimii de bandă. Ele pot fi folosite pentru a limita canalul anumitor utilizatori, gazde, servicii, aplicații.
La crearea unei reguli, condițiile de pe file determină traficul la care se aplică restricțiile. Puteți selecta lățimea de bandă dintre cele oferite sau o puteți configura pe cont propriu. Când creați lățimea de bandă, puteți specifica o etichetă de prioritizare a traficului DSCP. Un exemplu de aplicare a etichetelor DSCP: prin specificarea într-o regulă a scenariului în care se aplică această regulă, atunci această regulă poate schimba automat aceste etichete. Un alt exemplu despre cum funcționează scriptul: regula va funcționa pentru utilizator numai atunci când este detectat un torrent sau cantitatea de trafic depășește o limită specificată. Completam filele rămase în același mod ca în alte politici, în funcție de tipul de trafic la care ar trebui să se aplice regula.
Concluzie
În acest articol, m-am uitat la crearea de reguli în secțiunile „Firewall”, „NAT și rutare” și „Lățime de bandă”. Și chiar la începutul articolului, am descris regulile pentru crearea politicilor UserGate, precum și principiul de funcționare a condițiilor la crearea unei reguli.
Rămâneți pe fază pentru actualizări pe canalele noastre (, , , )!
Sursa: www.habr.com