ProHoster > Blog > Administrasi > 3. UserGate Ngamimitian. Kawijakan Jaringan

3. UserGate Ngamimitian. Kawijakan Jaringan

3. UserGate Ngamimitian. Kawijakan Jaringan

Kuring ngabagéakeun pamiarsa kana tulisan katilu dina séri tulisan UserGate Ngamimitian, anu nyarioskeun ngeunaan solusi NGFW ti perusahaan. UserGate. Dina tulisan anu terakhir, prosés masang firewall dijelaskeun sareng konfigurasi awalna didamel. Pikeun ayeuna mah, urang bakal nyandak katingal ngadeukeutan dina nyieun aturan di bagian kayaning Firewall, NAT na Routing, sarta Bandwidth.

Ideologi aturan UserGate, sapertos aturan dieksekusi ti luhur ka handap, dugi ka anu munggaran dianggo. Dumasar kana hal di luhur, aturan anu langkung spésifik kedah langkung luhur tibatan aturan anu langkung umum. Tapi kudu dicatet, saprak aturan dipariksa dina urutan, éta hadé dina hal kinerja nyieun aturan umum. Nalika nyiptakeun aturan naon waé, kaayaan diterapkeun dumasar kana logika "AND". Lamun perlu ngagunakeun logika "OR", ieu kahontal ku nyieun sababaraha aturan. Janten naon anu dijelaskeun dina tulisan ieu manglaku ka kawijakan UserGate anu sanés ogé.

Firewall

Saatos masang UserGate, parantos aya kawijakan saderhana dina bagian "Firewall". Dua aturan kahiji nyaram lalulintas keur botnets. Di handap ieu conto aturan aksés ti zona béda. Aturan anu terakhir sok disebut "Blok sadayana" sareng ditandaan ku simbol konci (hartina aturan éta henteu tiasa dihapus, dirobih, dipindahkeun, ditumpurkeun, ngan ukur tiasa diaktipkeun pikeun pilihan logging). Ku kituna, kusabab aturan ieu, sadaya lalulintas eksplisit teu diwenangkeun bakal diblokir ku aturan panungtungan. Upami anjeun hoyong ngijinkeun sadaya lalu lintas ngalangkungan UserGate (sanaos ieu pisan discouraged), anjeun salawasna tiasa nyiptakeun aturan penultimate "Ngidinan Sadayana".

3. UserGate Ngamimitian. Kawijakan Jaringan

Nalika ngédit atanapi nyiptakeun aturan firewall, anu kahiji Tab umum, anjeun kedah ngalakukeun ieu: 

  • Kotak centang "Aktipkeun" aktipkeun atanapi mareuman aturan.

  • asupkeun ngaran aturan.

  • netepkeun pedaran aturan.

  • milih tina dua tindakan:

    • Nolak - meungpeuk lalulintas (nalika netepkeun kaayaan ieu, kasebut nyaéta dimungkinkeun pikeun ngirim ICMP host unreachable, Anjeun ngan perlu nyetél kotak centang luyu).

    • Ngidinan - ngamungkinkeun lalulintas.

  • Skenario item - ngidinan Anjeun pikeun milih skenario, nu hiji kaayaan tambahan pikeun aturan seuneu. Ieu kumaha UserGate ngalaksanakeun konsép SOAR (Orchestration Security, Automation and Response).

  • Logging - log inpormasi ngeunaan lalu lintas nalika aturan dipicu. Pilihan anu mungkin:

    • Log mimiti sési. Dina hal ieu, ngan informasi ngeunaan awal sési (pakét kahiji) bakal ditulis dina log lalulintas. Ieu mangrupikeun pilihan logging anu disarankeun.

    • Log unggal pakét. Dina hal ieu, inpormasi ngeunaan unggal pakét jaringan anu dikirimkeun bakal dirékam. Pikeun modeu ieu, disarankeun pikeun ngaktipkeun wates logging pikeun nyegah beban alat anu luhur.

  • Larapkeun aturan pikeun:

    • Sadaya bungkusan

    • kana pakét fragméntasi

    • kana pakét anu teu dipisahkeun

  • Nalika nyieun aturan anyar, anjeun tiasa milih tempat dina kawijakan.

The salajengna Tab sumber. Di dieu urang nunjukkeun sumber lalulintas, bisa jadi zona ti mana lalulintas asalna, atawa anjeun bisa nangtukeun daptar atawa ip-alamat husus (Geoip). Dina ampir sadaya aturan anu tiasa disetél dina alat, obyék tiasa diciptakeun tina aturan, contona, tanpa angkat ka bagian "Zona", anjeun tiasa nganggo tombol "Jieun sareng tambahkeun obyék énggal" pikeun nyiptakeun zona. urang butuh. Kotak centang "Invert" ogé umum, éta ngabalikeun tindakan dina kaayaan aturan, anu sami sareng negation tindakan logis. Tab tujuan sarupa jeung tab sumber, tapi tinimbang sumber lalulintas, urang nyetel tujuan lalulintas. tab pamaké - di tempat ieu anjeun bisa nambahkeun daptar pamaké atawa grup nu aturan ieu lumaku. Tab jasa - pilih jinis jasa tina anu tos siapkeun atanapi anjeun tiasa nyetél anjeun nyalira. Tab aplikasi - aplikasi husus atawa grup aplikasi dipilih di dieu. AND Tab waktos nangtukeun waktu nalika aturan ieu aktip. 

Saprak palajaran panungtungan, urang boga aturan pikeun ngakses Internet tina zona "Amanah", ayeuna kuring baris némbongkeun salaku conto kumaha carana nyieun aturan mungkir pikeun lalulintas ICMP ti zona "Amanah" ka zona "Untrusted".

Mimiti, jieun aturan ku ngaklik tombol "Tambahkeun". Dina jandéla anu muka, dina tab umum, eusian nami (Batesan ICMP tina anu dipercaya ka anu teu dipercaya), pariksa kotak centang "Dina", pilih tindakan nganonaktipkeun, sareng anu paling penting, pilih lokasi anu leres pikeun aturan ieu. Numutkeun kabijakan kuring, aturan ieu kedah ditempatkeun di luhur aturan "Ngidinan dipercaya ka anu teu dipercaya":

3. UserGate Ngamimitian. Kawijakan Jaringan

Dina tab "Sumber" pikeun tugas kuring, aya dua pilihan:

  • Ku milih zona "Dipercanten".

  • Ku milih sadaya zona iwal "Dipercanten" sareng centang kotak centang "Balikkeun".

3. UserGate Ngamimitian. Kawijakan Jaringan3. UserGate Ngamimitian. Kawijakan Jaringan

Tab Tujuan dikonpigurasi sami sareng tab Sumber.

Teras angkat ka tab "Service", sabab UserGate ngagaduhan jasa anu tos siap pikeun lalu lintas ICMP, teras ku ngaklik tombol "Tambahkeun", kami milih jasa anu nami "Any ICMP" tina daptar anu diusulkeun:

3. UserGate Ngamimitian. Kawijakan Jaringan

Panginten ieu mangrupikeun niat panyipta UserGate, tapi kuring tiasa nyiptakeun sababaraha aturan anu sami. Sanajan ngan aturan kahiji tina daptar bakal dieksekusi, Jigana kamampuhan pikeun nyieun aturan kalawan ngaran anu sarua anu béda dina fungsionalitas bisa ngabalukarkeun kabingungan nalika sababaraha pangurus alat jalan.

NAT jeung routing

Nalika nyiptakeun aturan NAT, urang ningali sababaraha tab anu sami, sapertos firewall. Widang "Tipe" muncul dina tab "Umum", ngamungkinkeun anjeun milih naon tanggung jawab aturan ieu:

  • NAT - Tarjamahan Alamat Jaringan.

  • DNAT - Mindahkeun lalu lintas ka alamat IP anu ditangtukeun.

  • Port diteruskeun - Mindahkeun lalu lintas ka alamat IP anu ditangtukeun, tapi ngamungkinkeun anjeun ngarobih nomer port jasa anu diterbitkeun

  • Routing basis kawijakan - Ngidinan Anjeun pikeun rute pakét IP dumasar kana informasi nambahan, kayaning jasa, alamat MAC, atawa server (alamat IP).

  • Pemetaan jaringan - Ngidinan anjeun ngagentos alamat IP sumber atanapi tujuan hiji jaringan sareng jaringan anu sanés.

Saatos milih jinis aturan anu pas, setélan pikeun éta bakal sayogi.

Dina widang SNAT IP (alamat éksternal), kami sacara eksplisit netepkeun alamat IP dimana alamat sumberna bakal diganti. Widang ieu diperyogikeun upami aya sababaraha alamat IP anu ditugaskeun ka antarmuka dina zona tujuan. Upami anjeun ngantepkeun kolom ieu kosong, sistem bakal nganggo alamat acak tina daptar alamat IP anu sayogi ditugaskeun ka antarmuka zona tujuan. UserGate nyarankeun nangtukeun SNAT IP pikeun ngaronjatkeun kinerja firewall.

Salaku conto, kuring bakal nyebarkeun jasa SSH tina server Windows anu aya di zona "DMZ" nganggo aturan "port-forwarding". Jang ngalampahkeun ieu, klik tombol "Tambahkeun" sareng eusian tab "Umum", sebutkeun nami aturan "SSH ka Windows" sareng jinis "Port diteruskeun":

3. UserGate Ngamimitian. Kawijakan Jaringan

Dina tab "Sumber", pilih zona "Untrusted" sareng angkat ka tab "Port-forwarding". Di dieu urang kudu nangtukeun protokol "TCP" (opat pilihan sadia - TCP, UDP, SMTP, SMTPS). port tujuan aslina 9922 — nomer port nu pamaké ngirim requests (portir: 2200, 8001, 4369, 9000-9100 teu bisa dipaké). Port tujuan anyar (22) nyaeta nomer port nu requests pamaké ka server diterbitkeun internal bakal diteruskeun.

3. UserGate Ngamimitian. Kawijakan Jaringan

Dina tab "DNAT", setel alamat ip komputer dina jaringan lokal, anu diterbitkeun dina Internét (192.168.3.2). Sareng anjeun tiasa sacara opsional ngaktifkeun SNAT, maka UserGate bakal ngarobih alamat sumber dina pakét tina jaringan éksternal ka alamat IP na sorangan.

3. UserGate Ngamimitian. Kawijakan Jaringan

Saatos sadaya setélan, aturan dicandak anu ngamungkinkeun aksés ti zona "Untrusted" ka server kalayan alamat ip 192.168.3.2 via protokol SSH, nganggo alamat UserGate éksternal nalika nyambungkeun.

3. UserGate Ngamimitian. Kawijakan Jaringan

Bandwidth

Bagian ieu ngahartikeun aturan pikeun kontrol rubakpita. Éta tiasa dianggo pikeun ngawatesan saluran tina sababaraha pangguna, host, jasa, aplikasi.

3. UserGate Ngamimitian. Kawijakan Jaringan

Nalika nyieun aturan, kaayaan dina tab nangtukeun patalimarga pikeun larangan anu diterapkeun. rubakpita bisa dipilih ti diajukeun, atawa nyetél sorangan. Nalika nyieun rubakpita, Anjeun bisa nangtukeun hiji labél prioritization lalulintas DSCP. Conto nalika labél DSCP diterapkeun: ku netepkeun dina aturan skenario dimana aturan ieu diterapkeun, maka aturan ieu tiasa otomatis ngarobih labél ieu. Conto anu sanés ngeunaan kumaha skrip jalanna: aturan bakal dianggo pikeun pangguna ngan ukur nalika torrent dideteksi atanapi jumlah lalu lintas ngaleuwihan wates anu ditangtukeun. Tab sésana dieusian ku cara nu sarua sakumaha dina kawijakan séjén, dumasar kana jenis lalulintas nu aturan kudu dilarapkeun.

3. UserGate Ngamimitian. Kawijakan Jaringan

kacindekan

Dina artikel ieu, kuring nutupan kreasi aturan dina Firewall, NAT na Routing, sarta bagian Bandwidth. Sareng di awal tulisan, anjeunna ngajelaskeun aturan pikeun nyiptakeun kawijakan UserGate, ogé prinsip kaayaan nalika nyiptakeun aturan. 

Tetep katala pikeun apdet dina saluran kami (telegramFacebookVKTS Solusi Blog)!

sumber: www.habr.com

Tambahkeun komentar