සමාගමෙන් NGFW විසඳුම ගැන කතා කරන UserGate Getting Started ලිපි මාලාවේ තුන්වන ලිපිය වෙත මම පාඨකයින් සාදරයෙන් පිළිගනිමි. . පසුගිය ලිපියෙහි, ෆයර්වෝලයක් ස්ථාපනය කිරීමේ ක්රියාවලිය විස්තර කර ඇති අතර එහි මූලික වින්යාසය සිදු කරන ලදී. දැනට, අපි Firewall, NAT සහ Routing, සහ Bandwidth වැනි කොටස්වල නීති නිර්මාණය කිරීම දෙස සමීපව බලමු.
UserGate රීතිවල දෘෂ්ටිවාදය, එනම් පළමු එක ක්රියාත්මක වන තෙක් ඉහළ සිට පහළට නීති ක්රියාත්මක වේ. ඉහත සඳහන් කරුණු මත පදනම්ව, වඩාත් නිශ්චිත රීති වඩාත් පොදු නීතිවලට වඩා වැඩි විය යුතු බව අනුගමනය කරයි. නමුත් එය සටහන් කළ යුතුය, නීති රීති පිළිවෙළින් පරීක්ෂා කර ඇති බැවින්, සාමාන්ය රීති නිර්මාණය කිරීම සඳහා කාර්ය සාධනය අනුව වඩා හොඳය. ඕනෑම රීතියක් නිර්මාණය කිරීමේදී, "AND" තර්කය අනුව කොන්දේසි යොදනු ලැබේ. “OR” තර්කය භාවිතා කිරීමට අවශ්ය නම්, මෙය සාක්ෂාත් කරගනු ලබන්නේ නීති කිහිපයක් නිර්මාණය කිරීමෙනි. එබැවින් මෙම ලිපියේ විස්තර කර ඇති දේ අනෙකුත් UserGate ප්රතිපත්ති සඳහාද අදාළ වේ.
ගිනි පවුර
UserGate ස්ථාපනය කිරීමෙන් පසුව, "ෆයර්වෝල්" කොටසේ දැනටමත් සරල ප්රතිපත්තියක් ඇත. පළමු නීති දෙක botnets සඳහා ගමනාගමනය තහනම් කරයි. පහත දැක්වෙන්නේ විවිධ කලාප වලින් ප්රවේශ නීති සඳහා උදාහරණ වේ. අවසාන රීතිය සෑම විටම "සියල්ල අවහිර කරන්න" ලෙස හඳුන්වනු ලබන අතර එය අගුළු සංකේතයකින් සලකුණු කර ඇත (එයින් අදහස් වන්නේ රීතිය මකා දැමිය නොහැක, වෙනස් කිරීම, චලනය කිරීම, අක්රිය කිරීම, එය සක්රිය කළ හැක්කේ ලොග් කිරීමේ විකල්පය සඳහා පමණි). මේ අනුව, මෙම රීතිය නිසා, පැහැදිලිවම ඉඩ නොදෙන ගමනාගමනය අවසාන රීතිය මගින් අවහිර කරනු ලැබේ. ඔබට UserGate හරහා සියලුම ගමනාගමනයට ඉඩ දීමට අවශ්ය නම් (මෙය දැඩි ලෙස අධෛර්යමත් කර ඇතත්), ඔබට සැමවිටම "සියල්ලට ඉඩ දෙන්න" යන අවසාන රීතිය සෑදිය හැක.
ෆයර්වෝල් රීතියක් සංස්කරණය කිරීමේදී හෝ නිර්මාණය කිරීමේදී, පළමු සාමාන්ය ටැබ්, ඔබ පහත සඳහන් දේ කළ යුතුය:
-
"On" තේරීම් කොටුව රීතිය සක්රිය හෝ අක්රිය කරන්න.
-
රීතියේ නම ඇතුළත් කරන්න.
-
රීතියේ විස්තරය සකසන්න.
-
ක්රියා දෙකකින් තෝරන්න:
-
ප්රතික්ෂේප කරන්න - ගමනාගමනය අවහිර කරයි (මෙම කොන්දේසිය සකසන විට, ICMP ධාරකය ළඟා විය නොහැකි ලෙස යැවීමට හැකි වේ, ඔබට සුදුසු පිරික්සුම් කොටුවක් සැකසීමට අවශ්ය වේ).
-
ඉඩ දෙන්න - ගමනාගමනයට ඉඩ දෙන්න.
-
-
සිනාරියෝ අයිතමය - ඔබට දර්ශනයක් තෝරා ගැනීමට ඉඩ සලසයි, එය රීතිය ගිනි තැබීම සඳහා අතිරේක කොන්දේසියකි. UserGate SOAR (ආරක්ෂක වාද්ය වෘන්දය, ස්වයංක්රීයකරණය සහ ප්රතිචාරය) සංකල්පය ක්රියාත්මක කරන්නේ එලෙසයි.
-
ලොග් කිරීම - රීතියක් ක්රියාත්මක වූ විට ගමනාගමනය පිළිබඳ තොරතුරු ලොග් කරන්න. හැකි විකල්ප:
-
සැසියේ ආරම්භය ලොග් කරන්න. මෙම අවස්ථාවේදී, සැසියේ ආරම්භය (පළමු පැකට්ටුව) පිළිබඳ තොරතුරු පමණක් රථවාහන ලොගයට ලියා ඇත. මෙය නිර්දේශිත ලොග් කිරීමේ විකල්පයයි.
-
සෑම පැකේජයක්ම ලොග් කරන්න. මෙම අවස්ථාවේදී, එක් එක් සම්ප්රේෂණය කරන ලද ජාල පැකට්ටුවක් පිළිබඳ තොරතුරු වාර්තා කරනු ලැබේ. මෙම මාදිලිය සඳහා, ඉහළ උපාංග පැටවීම වැළැක්වීම සඳහා ලොග් කිරීමේ සීමාව සක්රිය කිරීම රෙකමදාරු කරනු ලැබේ.
-
-
රීතිය යොදන්න:
-
සියලුම පැකේජ
-
ඛණ්ඩනය වූ පැකට් වලට
-
ඛණ්ඩනය නොවූ පැකේජ වෙත
-
-
නව රීතියක් නිර්මාණය කිරීමේදී, ඔබට ප්රතිපත්තියේ ස්ථානයක් තෝරා ගත හැකිය.
ඊළඟට මූලාශ්ර ටැබය. මෙහිදී අපි රථවාහන ප්රභවය දක්වන්නෙමු, එය ගමනාගමනය පැමිණෙන කලාපය විය හැකිය, නැතහොත් ඔබට ලැයිස්තුවක් හෝ නිශ්චිත ip-ලිපිනයක් (Geoip) සඳහන් කළ හැකිය. උපාංගයේ සැකසිය හැකි සෑම රීතියකම පාහේ, රීතියකින් වස්තුවක් සෑදිය හැකිය, උදාහරණයක් ලෙස, "කලාප" කොටසට නොගොස්, කලාපය නිර්මාණය කිරීමට "නව වස්තුවක් සාදන්න" බොත්තම භාවිතා කළ හැකිය. අපට අවශ්යයි. "ප්රතිලෝම" පිරික්සුම් කොටුව ද පොදු වේ, එය තාර්කික ක්රියා නිෂේධනයට සමාන රීති තත්වයේ ක්රියාව ආපසු හරවයි. ගමනාන්ත ටැබය ප්රභව ටැබයට සමාන නමුත් රථවාහන ප්රභවය වෙනුවට අපි ගමනාගමන ගමනාන්තය සකසමු. පරිශීලක ටැබය - මෙම ස්ථානයේ ඔබට මෙම රීතිය අදාළ වන පරිශීලකයින් හෝ කණ්ඩායම් ලැයිස්තුවක් එක් කළ හැකිය. සේවා පටිත්ත - දැනටමත් කලින් නිර්වචනය කර ඇති සේවාවෙන් සේවා වර්ගය තෝරන්න, නැතහොත් ඔබට ඔබේම සැකසිය හැක. යෙදුම් පටිත්ත - විශේෂිත යෙදුම් හෝ යෙදුම් කණ්ඩායම් මෙහි තෝරා ඇත. සහ කාල පටිත්ත මෙම රීතිය ක්රියාත්මක වන කාලය සඳහන් කරන්න.
අවසාන පාඩමේ සිට, “විශ්වාසය” කලාපයෙන් අන්තර්ජාලයට ප්රවේශ වීම සඳහා අපට රීතියක් ඇත, දැන් මම උදාහරණයක් ලෙස “විශ්වාසය” කලාපයේ සිට “විශ්වාස නොකළ” කලාපයට ICMP ගමනාගමනය සඳහා ප්රතික්ෂේප කිරීමේ රීතියක් නිර්මාණය කරන්නේ කෙසේදැයි පෙන්වන්නම්.
පළමුව, "එකතු කරන්න" බොත්තම ක්ලික් කිරීමෙන් රීතියක් සාදන්න. විවෘත කරන ලද කවුළුවෙහි, සාමාන්ය පටිත්තෙහි, නම පුරවන්න (විශ්වාසවන්ත සිට විශ්වාස නොකළ දක්වා ICMP සීමා කරන්න), "ඔන්" පිරික්සුම් කොටුව සලකුණු කරන්න, අක්රිය ක්රියාව තෝරන්න, සහ වඩාත්ම වැදගත් ලෙස, මෙම රීතිය සඳහා නිවැරදි ස්ථානය තෝරන්න. මගේ ප්රතිපත්තියට අනුව, මෙම රීතිය "අවිශ්වාසයට විශ්වාස කිරීමට ඉඩ දෙන්න" රීතියට ඉහළින් තැබිය යුතුය:
මගේ කාර්යය සඳහා "මූලාශ්රය" ටැබය මත, විකල්ප දෙකක් තිබේ:
-
"විශ්වාසවන්ත" කලාපය තේරීමෙන්
-
"විශ්වාසවන්ත" හැර අනෙකුත් සියලුම කලාප තෝරා "ප්රතිලෝම" සලකුණු කොටුව සලකුණු කිරීමෙන්
ගමනාන්ත ටැබය මූලාශ්ර ටැබයට සමානව වින්යාස කර ඇත.
ඊළඟට, “සේවා” ටැබයට යන්න, පරිශීලකගේට් සතුව ICMP ගමනාගමනය සඳහා පූර්ව නිශ්චිත සේවාවක් ඇති බැවින්, “එකතු කරන්න” බොත්තම ක්ලික් කිරීමෙන්, අපි යෝජිත ලැයිස්තුවෙන් “ඕනෑම ICMP” යන නම සහිත සේවාවක් තෝරා ගනිමු:
සමහර විට මෙය UserGate හි නිර්මාතෘවරුන්ගේ අභිප්රාය විය හැකි නමුත් සම්පූර්ණයෙන්ම සමාන නීති කිහිපයක් නිර්මාණය කිරීමට මට හැකි විය. ලැයිස්තුවෙන් පළමු රීතිය පමණක් ක්රියාත්මක වුවද, ක්රියාකාරීත්වයෙන් වෙනස් එකම නමකින් රීති සෑදීමේ හැකියාව උපාංග පරිපාලකයින් කිහිප දෙනෙකු ක්රියා කරන විට ව්යාකූලත්වයට හේතු විය හැකි යැයි මම සිතමි.
NAT සහ මාර්ගගත කිරීම
NAT රීති නිර්මාණය කිරීමේදී, ෆයර්වෝල් සඳහා සමාන ටැබ් කිහිපයක් අපට පෙනේ. “වර්ගය” ක්ෂේත්රය “සාමාන්ය” ටැබයේ දිස් විය, එය ඔබට මෙම රීතියට වගකිව යුතු දේ තෝරා ගැනීමට ඉඩ සලසයි:
-
NAT - ජාල ලිපින පරිවර්තනය.
-
DNAT - නිශ්චිත IP ලිපිනය වෙත ගමනාගමනය හරවා යවයි.
-
වරාය යොමු කිරීම - නිශ්චිත IP ලිපිනය වෙත ගමනාගමනය යළි-යොමු කරයි, නමුත් ප්රකාශිත සේවාවේ වරාය අංකය වෙනස් කිරීමට ඔබට ඉඩ සලසයි
-
ප්රතිපත්ති මත පදනම් වූ මාර්ගගත කිරීම - සේවා, MAC ලිපින, හෝ සේවාදායක (IP ලිපින) වැනි දීර්ඝ තොරතුරු මත පදනම්ව IP පැකට් මාර්ගගත කිරීමට ඔබට ඉඩ සලසයි.
-
ජාල සිතියම්කරණය - එක් ජාලයක මූලාශ්රය හෝ ගමනාන්ත IP ලිපින වෙනත් ජාලයක් සමඟ ප්රතිස්ථාපනය කිරීමට ඔබට ඉඩ සලසයි.
සුදුසු රීති වර්ගය තේරීමෙන් පසු, ඒ සඳහා සැකසුම් ලබා ගත හැකි වනු ඇත.
SNAT IP (බාහිර ලිපිනය) ක්ෂේත්රය තුළ, අපි මූලාශ්ර ලිපිනය ප්රතිස්ථාපනය කරන IP ලිපිනය පැහැදිලිවම සඳහන් කරමු. ගමනාන්ත කලාපය තුළ අතුරුමුහුණත් වෙත පවරා ඇති බහු IP ලිපින තිබේ නම් මෙම ක්ෂේත්රය අවශ්ය වේ. ඔබ මෙම ක්ෂේත්රය හිස්ව තැබුවහොත්, පද්ධතිය ගමනාන්ත කලාප අතුරුමුහුණත් වෙත පවරා ඇති පවතින IP ලිපින ලැයිස්තුවෙන් අහඹු ලිපිනයක් භාවිතා කරනු ඇත. ෆයර්වෝල් කාර්ය සාධනය වැඩි දියුණු කිරීම සඳහා SNAT IP සඳහන් කිරීමට UserGate නිර්දේශ කරයි.
උදාහරණයක් ලෙස, මම "DMZ" කලාපයේ පිහිටා ඇති වින්ඩෝස් සේවාදායකයේ SSH සේවාව "port-forwarding" රීතිය භාවිතයෙන් ප්රකාශයට පත් කරමි. මෙය සිදු කිරීම සඳහා, “එකතු කරන්න” බොත්තම ක්ලික් කර “සාමාන්ය” ටැබය පුරවන්න, “එස්එස්එච් සිට වින්ඩෝස්” රීතියේ නම සහ “වරාය යොමු කිරීම” වර්ගය සඳහන් කරන්න:
"මූලාශ්රය" ටැබය මත, "විශ්වාස නොකළ" කලාපය තෝරන්න සහ "වරාය යොමු කිරීම" ටැබයට යන්න. මෙහිදී අපි "TCP" ප්රොටෝකෝලය සඳහන් කළ යුතුය (විකල්ප හතරක් ඇත - TCP, UDP, SMTP, SMTPS). මුල් ගමනාන්ත වරාය 9922 — පරිශීලකයන් ඉල්ලීම් එවන වරාය අංකය (වරාය: 2200, 8001, 4369, 9000-9100 භාවිතා කළ නොහැක). නව ගමනාන්ත තොට (22) යනු අභ්යන්තර ප්රකාශිත සේවාදායකය වෙත පරිශීලක ඉල්ලීම් යොමු කෙරෙන තොට අංකයයි.
"DNAT" ටැබය මත, අන්තර්ජාලයේ ප්රකාශයට පත් කරන ලද (192.168.3.2) දේශීය ජාලයේ පරිගණකයේ ip-ලිපිනය සකසන්න. තවද ඔබට විකල්ප වශයෙන් SNAT සක්රීය කළ හැක, එවිට UserGate විසින් පැකට් වල ඇති මූලාශ්ර ලිපිනය බාහිර ජාලයේ සිට තමන්ගේම IP ලිපිනයට වෙනස් කරනු ඇත.
සියලුම සැකසුම් වලින් පසුව, සම්බන්ධ වන විට බාහිර UserGate ලිපිනය භාවිතා කරමින් SSH ප්රොටෝකෝලය හරහා 192.168.3.2 ip-ලිපිනය සහිත සේවාදායකයට “විශ්වාසදායක” කලාපයෙන් ප්රවේශ වීමට ඉඩ සලසන රීතියක් ලබා ගනී.
ප්රතිදානය
මෙම කොටස කලාප පළල පාලනය සඳහා නීති නිර්වචනය කරයි. ඇතැම් පරිශීලකයින්, සත්කාරක, සේවා, යෙදුම් වල නාලිකාව සීමා කිරීමට ඒවා භාවිතා කළ හැකිය.
රීතියක් නිර්මාණය කිරීමේදී, ටැබ්වල ඇති කොන්දේසි සීමා කිරීම් යොදන ගමනාගමනය තීරණය කරයි. කලාප පළල යෝජිත වලින් තෝරා ගත හැකිය, නැතහොත් ඔබේම ලෙස සකසා ගත හැක. කලාප පළල නිර්මාණය කිරීමේදී, ඔබට DSCP ගමනාගමන ප්රමුඛතා ලේබලයක් නියම කළ හැක. DSCP ලේබල යොදන විට උදාහරණයක්: රීතියක් තුළ මෙම රීතිය යෙදෙන අවස්ථාව සඳහන් කිරීමෙන්, මෙම රීතිය ස්වයංක්රීයව මෙම ලේබල වෙනස් කළ හැක. ස්ක්රිප්ට් ක්රියා කරන ආකාරය පිළිබඳ තවත් උදාහරණයක්: රීතිය පරිශීලකයා සඳහා ක්රියාත්මක වන්නේ ටොරන්ට් අනාවරණය වූ විට හෝ ගමනාගමන ප්රමාණය නියමිත සීමාව ඉක්මවා ගිය විට පමණි. රීතිය යෙදිය යුතු ගමනාගමන වර්ගය මත පදනම්ව, ඉතිරි ටැබ් වෙනත් ප්රතිපත්තිවල මෙන් පුරවා ඇත.
නිගමනය
මෙම ලිපියෙන්, මම Firewall, NAT සහ Routing, සහ Bandwidth යන කොටස්වල නීති නිර්මාණය කිරීම ආවරණය කළෙමි. ලිපියේ ආරම්භයේදීම, ඔහු UserGate ප්රතිපත්ති නිර්මාණය කිරීමේ නීති මෙන්ම රීතියක් නිර්මාණය කිරීමේදී කොන්දේසි වල මූලධර්මය විස්තර කළේය.
අපගේ නාලිකා වල යාවත්කාලීන සඳහා රැඳී සිටින්න (, , , )!
මූලාශ්රය: www.habr.com