مان پڙهندڙن کي خوش آمديد ڪريان ٿو ٽئين مضمون ۾ يوزر گيٽ حاصل ڪرڻ جي شروعات آرٽيڪل سيريز، جيڪا ڪمپني جي NGFW حل بابت ڳالهائي ٿي. . آخري آرٽيڪل ۾، فائر وال کي نصب ڪرڻ جو عمل بيان ڪيو ويو ۽ ان جي شروعاتي تشڪيل ڪئي وئي. ھاڻي لاءِ، اسان سيڪشنز ۾ قاعدن ٺاھڻ تي ويجھو نظر وجهنداسين جھڙوڪ Firewall، NAT ۽ Routing، ۽ Bandwidth.
UserGate ضابطن جو نظريو، جيئن ته ضابطن تي عمل ڪيو وڃي ٿو مٿين کان تري تائين، جيستائين پهريون ڪم ڪري ٿو. مٿين بنيادن تي، اهو هيٺ ڏنل آهي ته وڌيڪ مخصوص قاعدن کي وڌيڪ عام قاعدن کان وڌيڪ هجڻ گهرجي. پر اها ڳالهه نوٽ ڪرڻ گهرجي، جيئن ته ضابطن جي ترتيب ۾ چيڪ ڪيو وڃي ٿو، ان جي ڪارڪردگي جي لحاظ کان بهتر آهي ته عام ضابطن ٺاهڻ. جڏهن ڪو به قاعدو ٺاهيو وڃي ته شرطون ”AND“ منطق مطابق لاڳو ڪيون وينديون آهن. جيڪڏهن اهو ضروري آهي ته منطق "OR" کي استعمال ڪرڻ لاء، پوء اهو ڪيترن ئي ضابطن کي ٺاهيندي حاصل ڪري ٿو. تنهن ڪري هن آرٽيڪل ۾ جيڪو بيان ڪيو ويو آهي اهو لاڳو ٿئي ٿو ٻين UserGate پاليسين تي پڻ.
فائر وال
UserGate انسٽال ڪرڻ کان پوءِ، ”فائر وال“ سيڪشن ۾ اڳ ۾ ئي سادي پاليسي موجود آهي. پهرين ٻه ضابطا botnets لاء ٽرئفڪ کي منع ڪن ٿا. هيٺ ڏنل مختلف علائقن مان رسائي جي ضابطن جا مثال آهن. آخري قاعدي کي هميشه سڏيو ويندو آهي "سڀ کي بلاڪ ڪريو" ۽ هڪ تالا نشان سان نشان لڳل آهي (ان جو مطلب اهو آهي ته ضابطو ختم نه ٿو ڪري سگهجي، تبديل ٿيل، منتقل، غير فعال، اهو صرف لاگنگ اختيار لاء فعال ٿي سگهي ٿو). اهڙيء طرح، هن قاعدي جي ڪري، سڀني واضح طور تي اجازت نه ڏني وئي ٽرئفڪ کي آخري قاعدي طرفان بلاڪ ڪيو ويندو. جيڪڏھن توھان چاھيو ٿا ته صارف گيٽ ذريعي سموري ٽرئفڪ کي اجازت ڏيو (جيتوڻيڪ اھو سختيءَ سان حوصلا افزائي ڪئي وڃي)، توھان ھميشه حتمي قاعدو ٺاھي سگھو ٿا ”سڀ کي اجازت ڏيو“.
جڏهن ايڊٽ ڪريو يا فائر وال قاعدو ٺاهيو، پهريون عام ٽيب، توهان کي هيٺين ڪرڻ جي ضرورت آهي:
-
چيڪ بڪس "آن" قاعدي کي فعال يا غير فعال ڪريو.
-
ضابطي جو نالو داخل ڪريو.
-
ضابطي جي وضاحت مقرر ڪريو.
-
ٻن عملن مان چونڊيو:
-
رد ڪريو - ٽرئفڪ کي بلاڪ ڪري ٿو (جڏهن هن شرط کي ترتيب ڏيڻ، اهو ممڪن آهي ته ICMP ميزبان موڪلڻ جي قابل ناهي، توهان کي صرف مناسب چيڪ بڪس مقرر ڪرڻ جي ضرورت آهي).
-
اجازت ڏيو - ٽرئفڪ جي اجازت ڏئي ٿي.
-
-
منظرنامو شيون - توھان کي ھڪڙي منظر نامي کي چونڊڻ جي اجازت ڏئي ٿو، جيڪو قاعدي کي فائر ڪرڻ لاء ھڪڙو اضافي شرط آھي. اهڙي طرح UserGate SOAR (سيڪيورٽي آرڪيسٽريشن، آٽوميشن ۽ رسپانس) جي تصور کي لاڳو ڪري ٿو.
-
لاگنگ - لاگ ۾ ٽرئفڪ بابت معلومات لکو جڏهن قاعدو شروع ڪيو وڃي. ممڪن اختيارن:
-
سيشن جي شروعات کي لاگ ان ڪريو. انهي حالت ۾، صرف سيشن جي شروعات بابت معلومات (پهريون پيڪٽ) ٽرئفڪ لاگ ڏانهن لکيو ويندو. هي تجويز ڪيل لاگنگ اختيار آهي.
-
هر پيڪيج کي لاگ ان ڪريو. انهي صورت ۾، هر منتقل ٿيل نيٽ ورڪ پيڪٽ بابت معلومات رڪارڊ ڪئي ويندي. ھن موڊ لاء، اھو سفارش ڪئي وئي آھي لاگنگ جي حد کي چالو ڪرڻ لاء اعلي ڊوائيس لوڊ کي روڪڻ لاء.
-
-
ضابطو لاڳو ڪريو:
-
سڀ پيڪيجز
-
ٽڪرا ٽڪرا پيڪيجز ڏانهن
-
اڻ ورهايل پيڪيجز ڏانهن
-
-
جڏهن هڪ نئون قاعدو ٺاهيو، توهان پاليسي ۾ هڪ جڳهه چونڊي سگهو ٿا.
اڳيون ذريعو ٽيب. هتي اسان ٽريفڪ جو ذريعو ظاهر ڪريون ٿا، اهو علائقو ٿي سگهي ٿو جتان ٽريفڪ اچي ٿي، يا توهان هڪ فهرست يا مخصوص ip-address (Geoip) بيان ڪري سگهو ٿا. تقريبن سڀني ضابطن ۾ جيڪي ڊوائيس ۾ سيٽ ڪري سگھجن ٿيون، ھڪڙو اعتراض ھڪڙي قاعدي مان ٺاھي سگھجي ٿو، مثال طور، "زون" سيڪشن ڏانھن وڃڻ کان سواء، توھان استعمال ڪري سگھو ٿا "نئون اعتراض ٺاھيو ۽ شامل ڪريو" بٽڻ کي زون ٺاھڻ لاء. اسانکي ضرورت آهي. "Invert" چيڪ باڪس پڻ اڪثر مليا آهن، اهو قاعدي جي حالت ۾ عمل کي رد ڪري ٿو، جيڪو منطقي عمل جي نفي وانگر آهي. منزل ٽيب ماخذ ٽئب سان ملندڙ جلندڙ، پر ٽريفڪ ماخذ جي بدران، اسان ٽرئفڪ جي منزل مقرر ڪئي. استعمال ڪندڙ ٽيب - ھن جڳھ ۾ توھان شامل ڪري سگھو ٿا صارفين يا گروپن جي ھڪڙي فهرست جن لاءِ ھي قاعدو لاڳو ٿئي ٿو. سروس ٽيب - اڳ ۾ ئي بيان ڪيل هڪ مان خدمت جو قسم چونڊيو يا توهان پنهنجو پاڻ سيٽ ڪري سگهو ٿا. ايپليڪيشن ٽيب - مخصوص ايپليڪيشنون يا ايپليڪيشنن جا گروپ هتي چونڊيا ويا آهن. ۽ ٽائيم ٽئب وقت بيان ڪريو جڏهن هي قاعدو فعال آهي.
آخري سبق کان وٺي، اسان وٽ ”ٽرسٽ“ زون کان انٽرنيٽ تائين رسائي جو قاعدو آهي، هاڻي مان مثال طور ڏيکاريندس ته ICMP ٽريفڪ لاءِ ”Trust“ زون کان ”Untrusted“ زون تائين انڪاري ضابطو ڪيئن ٺاهيو وڃي.
پهرين، "شامل ڪريو" بٽڻ تي ڪلڪ ڪندي هڪ قاعدو ٺاهيو. ونڊو ۾ جيڪو کلي ٿو، عام ٽيب تي، نالو ڀريو (ICMP کي معتبر کان ناقابل اعتبار تائين محدود ڪريو)، چيڪ ڪريو "آن" چيڪ بڪس، چونڊيو عمل کي غير فعال ڪريو، ۽، سڀ کان اهم، صحيح طور تي ھن قاعدي جي جڳھ کي چونڊيو. منهنجي پاليسيءَ موجب، هن قاعدي کي مٿي رکيو وڃي ”قابل اعتماد کي اجازت ڏيو“ قاعدي:
منهنجي ڪم لاءِ ”ذريعو“ ٽئب تي، ٻه آپشن آهن:
-
منتخب ڪندي "قابل اعتماد" زون
-
سڀني زونن کي چونڊڻ سان سواءِ ”قابل اعتماد“ ۽ چيڪ ڪرڻ سان ”انورٽ“ چيڪ باڪس
منزل ٽئب ساڳي طرح ترتيب ڏنل آهي ماخذ ٽيب سان.
اڳيون، وڃو ”سروس“ ٽئب، جتان UserGate وٽ ICMP ٽريفڪ لاءِ اڳواٽ بيان ڪيل خدمت آھي، پوءِ ”شامل ڪريو“ جي بٽڻ کي دٻائڻ سان، اسان تجويز ڪيل لسٽ مان ”ڪو به ICMP“ نالي سان خدمت چونڊيندا آھيون:
ٿي سگهي ٿو ته هي UserGate جي ٺاهيندڙن جو ارادو هو، پر مون ڪيترن ئي مڪمل طور تي هڪجهڙائي قاعدن ٺاهڻ لاء منظم ڪيو. جيتوڻيڪ لسٽ مان صرف پهريون قاعدو عمل ڪيو ويندو، مان سمجهان ٿو ته ساڳئي نالي سان ضابطا ٺاهڻ جي صلاحيت جيڪي ڪارڪردگي ۾ مختلف آهن مونجهارو پيدا ڪري سگهي ٿي جڏهن ڪيترائي ڊوائيس منتظم ڪم ڪن.
NAT ۽ رستو
جڏهن NAT ضابطا ٺاهي رهيا آهيون، اسان ڏسون ٿا ڪيترائي ساڳيا ٽيب، جيئن فائر وال لاء. "قسم" فيلڊ "جنرل" ٽئب تي ظاهر ٿيو، اهو توهان کي چونڊڻ جي اجازت ڏئي ٿو ته هي قاعدو ڪهڙو ذميوار هوندو:
-
NAT - نيٽورڪ ايڊريس ترجمو.
-
DNAT - ٽريفڪ کي مخصوص IP پتي ڏانهن منتقل ڪري ٿو.
-
پورٽ فارورڊنگ - ٽريفڪ کي مخصوص IP پتي ڏانهن منتقل ڪري ٿو، پر توهان کي شايع ٿيل خدمت جو پورٽ نمبر تبديل ڪرڻ جي اجازت ڏئي ٿو
-
پاليسي تي ٻڌل روٽنگ - توهان کي اجازت ڏئي ٿي ته IP پيڪٽس کي وڌايل معلومات جي بنياد تي، جهڙوڪ خدمتون، MAC ايڊريس، يا سرورز (IP ايڊريس).
-
نيٽ ورڪ ميپنگ - توهان کي هڪ نيٽ ورڪ جي ماخذ يا منزل IP پتي کي ٻئي نيٽ ورڪ سان تبديل ڪرڻ جي اجازت ڏئي ٿي.
مناسب قاعدي جي قسم کي چونڊڻ کان پوء، ان لاء سيٽنگون دستياب ٿي وينديون.
SNAT IP (بيروني ايڊريس) فيلڊ ۾، اسان واضح طور تي IP پتي جي وضاحت ڪريون ٿا جنهن کي ماخذ ايڊريس تبديل ڪيو ويندو. ھي فيلڊ گھربل آھي جيڪڏھن گھڻا IP پتا آھن جن کي منزل واري علائقي ۾ انٽرفيس تي لڳايو ويو آھي. جيڪڏھن توھان ھن فيلڊ کي خالي ڇڏي ڏيو، سسٽم ھڪڙو بي ترتيب پتو استعمال ڪندو دستيابي IP پتي جي لسٽ مان جيڪو منزل زون جي انٽرفيس کي لڳايو ويو آھي. UserGate فائر وال جي ڪارڪردگي کي بهتر ڪرڻ لاءِ SNAT IP جي وضاحت ڪرڻ جي سفارش ڪري ٿو.
مثال طور، مان شايع ڪندس ونڊوز سرور جي SSH سروس کي "DMZ" زون ۾ واقع "port-forwarding" قاعدو استعمال ڪندي. هن کي ڪرڻ لاء، "شامل ڪريو" بٽڻ تي ڪلڪ ڪريو ۽ "جنرل" ٽئب ڀريو، ضابطي جو نالو بيان ڪريو "SSH کان ونڊوز" ۽ قسم "پورٽ فارورڊنگ":
"ذريعو" ٽئب تي، "غير معتبر" زون چونڊيو ۽ "پورٽ فارورڊنگ" ٽيب ڏانھن وڃو. هتي اسان کي پروٽوڪول جي وضاحت ڪرڻ گهرجي "TCP" (چار آپشن موجود آهن - TCP، UDP، SMTP، SMTPS). اصل منزل پورٽ 9922 - پورٽ نمبر جنهن تي صارفين درخواستون موڪليندا آهن (بندرگاهه: 2200, 8001, 4369, 9000-9100 استعمال نٿا ڪري سگهن). نئين منزل پورٽ (22) پورٽ نمبر آهي جنهن تي صارف جي درخواستن کي اندروني شايع ٿيل سرور ڏانهن موڪليو ويندو.
"DNAT" ٽئب تي، مقامي نيٽ ورڪ تي ڪمپيوٽر جي آئي پي ايڊريس مقرر ڪريو، جيڪو انٽرنيٽ تي شايع ٿيل آهي (192.168.3.2). ۽ توھان اختياري طور تي SNAT کي چالو ڪري سگھو ٿا، پوءِ UserGate خارجي نيٽ ورڪ کان پيڪٽس ۾ سورس ايڊريس تبديل ڪندو پنھنجي IP پتي تي.
سڀني سيٽنگن کان پوء، هڪ قاعدو حاصل ڪيو ويو آهي جيڪو "غير اعتماد" زون کان سرور تائين رسائي جي اجازت ڏئي ٿو ip-address 192.168.3.2 سان SSH پروٽوڪول ذريعي، ٻاهرين UserGate ايڊريس استعمال ڪندي ڳنڍڻ دوران.
ذريعي
هي سيڪشن بينڊوڊٿ ڪنٽرول لاءِ ضابطا بيان ڪري ٿو. اهي استعمال ڪري سگھجن ٿيون ڪن خاص صارفين، ميزبانن، خدمتن، ايپليڪيشنن جي چينل کي محدود ڪرڻ لاءِ.
جڏهن هڪ قاعدو ٺاهي، ٽيب تي شرطون ٽرئفڪ جو اندازو لڳائي ٿو جنهن تي پابنديون لاڳو ٿينديون آهن. بينڊوڊٿ تجويز ڪيل مان چونڊيو وڃي ٿو، يا پنهنجو پاڻ کي سيٽ ڪري سگھجي ٿو. جڏهن بينڊوڊٿ ٺاهي رهيا آهيو، توهان وضاحت ڪري سگهو ٿا DSCP ٽرئفڪ جي ترجيحن جو ليبل. هڪ مثال جڏهن DSCP ليبل لاڳو ڪيا ويندا آهن: هڪ قاعدي ۾ بيان ڪندي منظرنامو جنهن ۾ هي قاعدو لاڳو ٿئي ٿو، پوءِ هي قاعدو پاڻمرادو انهن ليبلز کي تبديل ڪري سگهي ٿو. ٻيو مثال ته اسڪرپٽ ڪيئن ڪم ڪري ٿو: قاعدو استعمال ڪندڙ لاءِ صرف تڏهن ڪم ڪندو جڏهن ڪو ٽورينٽ معلوم ٿئي يا ٽريفڪ جو مقدار مقرر ڪيل حد کان وڌي وڃي. باقي ٽيب ڀرجي ويا آهن ساڳيءَ طرح ٻين پاليسين ۾، ٽريفڪ جي قسم جي بنياد تي جنهن تي ضابطو لاڳو ڪيو وڃي.
ٿڪل
هن آرٽيڪل ۾، مون احاطو ڪيو قاعدن جي تخليق ۾ فائر وال، NAT ۽ روٽنگ، ۽ بينڊوڊٿ سيڪشن. ۽ مضمون جي بلڪل شروعات ۾، هن UserGate پاليسين ٺاهڻ لاءِ ضابطا بيان ڪيا، ۽ گڏوگڏ ضابطن جي ٺهڻ وقت شرطن جو اصول.
اسان جي چينلز ۾ تازه ڪاري لاء نظر رکون (, , , )!
جو ذريعو: www.habr.com