Pozdravljam bralce tretjega članka v seriji člankov UserGate Getting Started, ki govori o rešitvi NGFW podjetja . V zadnjem članku je bil opisan postopek namestitve požarnega zidu in narejena njegova začetna konfiguracija. Za zdaj si bomo podrobneje ogledali ustvarjanje pravil v razdelkih, kot so požarni zid, NAT in usmerjanje ter pasovna širina.
Ideologija pravil UserGate, tako da se pravila izvajajo od zgoraj navzdol, do prvega, ki deluje. Iz navedenega sledi, da bi morala biti bolj specifična pravila višja od splošnih pravil. Vendar je treba opozoriti, ker so pravila preverjena po vrstnem redu, je z vidika uspešnosti bolje ustvariti splošna pravila. Pri ustvarjanju katerega koli pravila se pogoji uporabijo v skladu z logiko "IN". Če je treba uporabiti logiko "ALI", se to doseže z ustvarjanjem več pravil. Kar je opisano v tem članku, velja tudi za druge pravilnike UserGate.
Požarni zid
Po namestitvi UserGate je v razdelku »Požarni zid« že na voljo preprost pravilnik. Prvi dve pravili prepovedujeta promet za botnete. Sledijo primeri pravil dostopa iz različnih območij. Zadnje pravilo se vedno imenuje “Blokiraj vse” in je označeno s simbolom ključavnice (to pomeni, da pravila ni mogoče izbrisati, spremeniti, premakniti, onemogočiti, lahko je le omogočeno za možnost beleženja). Tako bo zaradi tega pravila ves izrecno nedovoljen promet blokiran z zadnjim pravilom. Če želite dovoliti ves promet prek UserGate (čeprav to močno odsvetujemo), lahko vedno ustvarite predzadnje pravilo »Dovoli vse«.
Ko urejate ali ustvarjate pravilo požarnega zidu, prvo Zavihek Splošno, morate narediti naslednje:
-
Potrditveno polje »Vklopljeno« omogoči ali onemogoči pravilo.
-
vnesite ime pravila.
-
nastavite opis pravila.
-
izberite med dvema dejanjema:
-
Zavrni - blokira promet (pri nastavitvi tega pogoja je možno poslati ICMP gostitelja nedosegljivega, le potrditi morate ustrezno potrditveno polje).
-
Dovoli - dovoljuje promet.
-
-
Postavka Scenarij - omogoča izbiro scenarija, ki je dodaten pogoj za sprožitev pravila. Tako UserGate izvaja koncept SOAR (varnostna orkestracija, avtomatizacija in odziv).
-
Beleženje — zapišite informacije o prometu v dnevnik, ko se pravilo sproži. Možne možnosti:
-
Zabeležite začetek seje. V tem primeru se v prometni dnevnik zapišejo samo informacije o začetku seje (prvi paket). To je priporočena možnost beleženja.
-
Zabeležite vsak paket. V tem primeru bodo zabeležene informacije o vsakem poslanem omrežnem paketu. Za ta način je priporočljivo omogočiti omejitev beleženja, da preprečite veliko obremenitev naprave.
-
-
Uporabi pravilo za:
-
Vsi paketi
-
na fragmentirane pakete
-
na nefragmentirane pakete
-
-
Ko ustvarjate novo pravilo, lahko izberete mesto v pravilniku.
naslednji Zavihek Vir. Tukaj navedemo vir prometa, lahko je območje, iz katerega prihaja promet, lahko pa določite seznam ali določen ip-naslov (Geoip). V skoraj vseh pravilih, ki jih je mogoče nastaviti v napravi, je mogoče ustvariti predmet iz pravila, na primer, ne da bi šli v razdelek »Območja«, lahko uporabite gumb »Ustvari in dodaj nov predmet«, da ustvarite območje potrebujemo. Pogosto najdemo tudi potrditveno polje »Obrni«, ki obrne dejanje v pogoju pravila, kar je podobno logičnemu zanikanju dejanja. Zavihek Cilj podobno kot zavihek vir, le da namesto vira prometa nastavimo cilj prometa. zavihek Uporabniki - na tem mestu lahko dodate seznam uporabnikov ali skupin, za katere velja to pravilo. Zavihek storitev - izberite vrsto storitve med že vnaprej določenimi ali nastavite svojo. Zavihek aplikacije - tukaj se izberejo določene aplikacije ali skupine aplikacij. IN Časovni zavihek določite čas, ko je to pravilo aktivno.
Od zadnje lekcije imamo pravilo za dostop do interneta iz območja »Zaupanja vrednega«, zdaj bom kot primer pokazal, kako ustvariti pravilo zavrnitve za promet ICMP iz območja »Zaupanja vrednega« v območje »Nezaupljivo«.
Najprej ustvarite pravilo s klikom na gumb »Dodaj«. V oknu, ki se odpre, na zavihku splošno vnesite ime (Omeji ICMP iz zaupanja vrednega na nezaupanja vrednega), označite potrditveno polje »Vklopljeno«, izberite dejanje onemogoči in, kar je najpomembneje, izberite pravilno lokacijo za to pravilo. V skladu z mojo politiko bi moralo biti to pravilo postavljeno nad pravilo »Dovoli zaupanja vrednim nezaupljivim«:
Na zavihku »Vir« za moje opravilo sta na voljo dve možnosti:
-
Z izbiro območja »Zaupanja vredno«.
-
Z izbiro vseh območij razen »Zaupanja vrednih« in označitvijo potrditvenega polja »Obrni«.
Zavihek Cilj je konfiguriran podobno kot zavihek Vir.
Nato pojdite na zavihek »Storitev«, ker ima UserGate vnaprej določeno storitev za promet ICMP, nato pa s klikom na gumb »Dodaj« s predlaganega seznama izberemo storitev z imenom »Any ICMP«:
Morda je bil to namen ustvarjalcev UserGate, vendar mi je uspelo ustvariti več popolnoma enakih pravil. Čeprav bo izvedeno samo prvo pravilo s seznama, mislim, da lahko možnost ustvarjanja pravil z istim imenom, ki se razlikujejo po funkcionalnosti, povzroči zmedo, ko dela več skrbnikov naprav.
NAT in usmerjanje
Pri ustvarjanju pravil NAT vidimo več podobnih zavihkov, kot pri požarnem zidu. Na zavihku »Splošno« se je pojavilo polje »Vrsta«, ki vam omogoča, da izberete, za kaj bo to pravilo odgovorno:
-
NAT - Prevajanje omrežnih naslovov.
-
DNAT - Preusmeri promet na navedeni naslov IP.
-
Posredovanje vrat – preusmeri promet na navedeni naslov IP, vendar vam omogoča, da spremenite številko vrat objavljene storitve
-
Usmerjanje na podlagi pravilnika – Omogoča vam usmerjanje paketov IP na podlagi razširjenih informacij, kot so storitve, naslovi MAC ali strežniki (naslovi IP).
-
Preslikava omrežja – omogoča zamenjavo izvornih ali ciljnih naslovov IP enega omrežja z drugim omrežjem.
Ko izberete ustrezno vrsto pravila, bodo na voljo nastavitve zanj.
V polju SNAT IP (zunanji naslov) izrecno določimo naslov IP, na katerega bo zamenjan izvorni naslov. To polje je obvezno, če je vmesnikom v ciljnem območju dodeljenih več naslovov IP. Če pustite to polje prazno, bo sistem uporabil naključen naslov s seznama razpoložljivih naslovov IP, dodeljenih vmesnikom ciljnega območja. UserGate priporoča navedbo SNAT IP za izboljšanje učinkovitosti požarnega zidu.
Na primer, objavil bom storitev SSH strežnika Windows, ki se nahaja v coni »DMZ«, z uporabo pravila »port-forwarding«. Če želite to narediti, kliknite gumb »Dodaj« in izpolnite zavihek »Splošno«, določite ime pravila »SSH v Windows« in vrsto »Posredovanje vrat«:
Na zavihku »Vir« izberite območje »Nezaupljivo« in pojdite na zavihek »Posredovanje vrat«. Tukaj moramo določiti protokol “TCP” (na voljo so štiri možnosti - TCP, UDP, SMTP, SMTPS). Prvotna ciljna vrata 9922 — številka vrat, kamor uporabniki pošiljajo zahteve (vrat: 2200, 8001, 4369, 9000-9100 ni mogoče uporabiti). Nova ciljna vrata (22) so številka vrat, kamor bodo posredovane uporabniške zahteve do notranjega objavljenega strežnika.
Na zavihku “DNAT” nastavite ip-naslov računalnika v lokalnem omrežju, ki je objavljen v internetu (192.168.3.2). In po želji lahko omogočite SNAT, potem bo UserGate spremenil izvorni naslov v paketih iz zunanjega omrežja na svoj naslov IP.
Po vseh nastavitvah se pridobi pravilo, ki omogoča dostop iz cone »Nezaupljivo« do strežnika z ip-naslovom 192.168.3.2 prek protokola SSH z uporabo zunanjega naslova UserGate pri povezovanju.
Prepustnost
Ta razdelek določa pravila za nadzor pasovne širine. Uporabljajo se lahko za omejitev kanala določenih uporabnikov, gostiteljev, storitev, aplikacij.
Pri ustvarjanju pravila pogoji na zavihkih določajo promet, za katerega veljajo omejitve. Pasovno širino lahko izberete med predlaganimi ali nastavite svojo. Pri ustvarjanju pasovne širine lahko določite oznako prioritete prometa DSCP. Primer uporabe oznak DSCP: če v pravilu določite scenarij, v katerem se to pravilo uporablja, lahko to pravilo samodejno spremeni te oznake. Še en primer delovanja skripta: pravilo bo za uporabnika delovalo le, ko bo zaznan hudournik ali če bo količina prometa presegla določeno omejitev. Preostali zavihki so izpolnjeni na enak način kot v drugih pravilnikih glede na vrsto prometa, za katerega naj se pravilo uporabi.
Zaključek
V tem članku sem obravnaval ustvarjanje pravil v razdelkih Požarni zid, NAT in Usmerjanje ter Pasovna širina. In na samem začetku članka je opisal pravila za ustvarjanje pravilnikov UserGate, pa tudi načelo pogojev pri ustvarjanju pravila.
Spremljajte novosti na naših kanalih (, , , )!
Vir: www.habr.com