నేను యూజర్గేట్ గెట్టింగ్ స్టార్టడ్ ఆర్టికల్ సిరీస్లోని మూడవ కథనానికి పాఠకులను స్వాగతిస్తున్నాను, ఇది కంపెనీ నుండి NGFW సొల్యూషన్ గురించి మాట్లాడుతుంది . చివరి వ్యాసంలో, ఫైర్వాల్ను ఇన్స్టాల్ చేసే ప్రక్రియ వివరించబడింది మరియు దాని ప్రారంభ కాన్ఫిగరేషన్ చేయబడింది. ప్రస్తుతానికి, మేము ఫైర్వాల్, NAT మరియు రూటింగ్ మరియు బ్యాండ్విడ్త్ వంటి విభాగాలలో నియమాలను రూపొందించడాన్ని నిశితంగా పరిశీలిస్తాము.
UserGate నియమాల యొక్క భావజాలం, అంటే మొదటిది పనిచేసే వరకు నియమాలు పై నుండి క్రిందికి అమలు చేయబడతాయి. పైన పేర్కొన్నదాని ఆధారంగా, మరింత సాధారణ నియమాల కంటే మరింత నిర్దిష్ట నియమాలు ఎక్కువగా ఉండాలని ఇది అనుసరిస్తుంది. కానీ గమనించాలి, నియమాలు క్రమంలో తనిఖీ చేయబడినందున, సాధారణ నియమాలను రూపొందించడం పనితీరు పరంగా ఉత్తమం. ఏదైనా నియమాన్ని సృష్టించేటప్పుడు, షరతులు "AND" లాజిక్ ప్రకారం వర్తించబడతాయి. “OR” లాజిక్ను ఉపయోగించడం అవసరమైతే, అనేక నియమాలను రూపొందించడం ద్వారా ఇది సాధించబడుతుంది. కాబట్టి ఈ కథనంలో వివరించినవి ఇతర UserGate విధానాలకు కూడా వర్తిస్తాయి.
ఫైర్వాల్
UserGateని ఇన్స్టాల్ చేసిన తర్వాత, "ఫైర్వాల్" విభాగంలో ఇప్పటికే ఒక సాధారణ విధానం ఉంది. మొదటి రెండు నియమాలు బోట్నెట్ల కోసం ట్రాఫిక్ను నిషేధించాయి. వివిధ జోన్ల నుండి యాక్సెస్ నియమాల ఉదాహరణలు క్రిందివి. చివరి నియమాన్ని ఎల్లప్పుడూ "అందరినీ నిరోధించు" అని పిలుస్తారు మరియు లాక్ గుర్తుతో గుర్తించబడుతుంది (దీని అర్థం నియమాన్ని తొలగించడం, సవరించడం, తరలించడం, నిలిపివేయడం సాధ్యం కాదు, ఇది లాగింగ్ ఎంపిక కోసం మాత్రమే ప్రారంభించబడుతుంది). అందువల్ల, ఈ నియమం కారణంగా, స్పష్టంగా అనుమతించబడని ట్రాఫిక్లన్నీ చివరి నియమం ద్వారా బ్లాక్ చేయబడతాయి. మీరు UserGate ద్వారా మొత్తం ట్రాఫిక్ను అనుమతించాలనుకుంటే (ఇది గట్టిగా నిరుత్సాహపరచబడినప్పటికీ), మీరు ఎల్లప్పుడూ "అన్నీ అనుమతించు" అనే చివరి నియమాన్ని సృష్టించవచ్చు.
ఫైర్వాల్ నియమాన్ని సవరించేటప్పుడు లేదా సృష్టించేటప్పుడు, మొదటిది సాధారణ ట్యాబ్, మీరు ఈ క్రింది వాటిని చేయాలి:
-
చెక్బాక్స్ "ఆన్" నియమాన్ని ప్రారంభించండి లేదా నిలిపివేయండి.
-
నియమం పేరును నమోదు చేయండి.
-
నియమం యొక్క వివరణను సెట్ చేయండి.
-
రెండు చర్యల నుండి ఎంచుకోండి:
-
తిరస్కరించు - ట్రాఫిక్ను బ్లాక్ చేస్తుంది (ఈ షరతును సెట్ చేసినప్పుడు, ICMP హోస్ట్ను చేరుకోలేని విధంగా పంపడం సాధ్యమవుతుంది, మీరు తగిన చెక్బాక్స్ని సెట్ చేయాలి).
-
అనుమతించు - ట్రాఫిక్ను అనుమతిస్తుంది.
-
-
దృష్టాంతం అంశం - మీరు ఒక దృష్టాంతాన్ని ఎంచుకోవడానికి అనుమతిస్తుంది, ఇది కాల్చడానికి నియమం కోసం అదనపు షరతు. యూజర్గేట్ SOAR (సెక్యూరిటీ ఆర్కెస్ట్రేషన్, ఆటోమేషన్ మరియు రెస్పాన్స్) భావనను ఈ విధంగా అమలు చేస్తుంది.
-
లాగింగ్ — నియమం ట్రిగ్గర్ చేయబడినప్పుడు ట్రాఫిక్ గురించి సమాచారాన్ని లాగ్ చేయండి. సాధ్యమైన ఎంపికలు:
-
సెషన్ ప్రారంభాన్ని లాగ్ చేయండి. ఈ సందర్భంలో, సెషన్ ప్రారంభం (మొదటి ప్యాకెట్) గురించి సమాచారం మాత్రమే ట్రాఫిక్ లాగ్కు వ్రాయబడుతుంది. ఇది సిఫార్సు చేయబడిన లాగింగ్ ఎంపిక.
-
ప్రతి ప్యాకెట్ను నమోదు చేయండి. ఈ సందర్భంలో, ప్రతి ప్రసారం చేయబడిన నెట్వర్క్ ప్యాకెట్ గురించి సమాచారం రికార్డ్ చేయబడుతుంది. ఈ మోడ్ కోసం, అధిక పరికర లోడ్ను నిరోధించడానికి లాగింగ్ పరిమితిని ప్రారంభించాలని సిఫార్సు చేయబడింది.
-
-
దీనికి నియమాన్ని వర్తింపజేయండి:
-
అన్ని ప్యాకేజీలు
-
ఫ్రాగ్మెంటెడ్ ప్యాకెట్లకు
-
విభజించబడని ప్యాకేజీలకు
-
-
కొత్త నియమాన్ని సృష్టించేటప్పుడు, మీరు పాలసీలో ఒక స్థలాన్ని ఎంచుకోవచ్చు.
తదుపరిది మూల ట్యాబ్. ఇక్కడ మేము ట్రాఫిక్ మూలాన్ని సూచిస్తాము, ఇది ట్రాఫిక్ వచ్చే జోన్ కావచ్చు లేదా మీరు జాబితా లేదా నిర్దిష్ట ip-చిరునామా (Geoip) ను పేర్కొనవచ్చు. పరికరంలో సెట్ చేయగల దాదాపు అన్ని నియమాలలో, ఒక ఆబ్జెక్ట్ను ఒక నియమం నుండి సృష్టించవచ్చు, ఉదాహరణకు, "జోన్లు" విభాగానికి వెళ్లకుండా, మీరు జోన్ను సృష్టించడానికి "క్రొత్త వస్తువును సృష్టించు మరియు జోడించు" బటన్ను ఉపయోగించవచ్చు. మాకు అవసరము. "ఇన్వర్ట్" చెక్బాక్స్ కూడా సాధారణం, ఇది రూల్ కండిషన్లోని చర్యను రివర్స్ చేస్తుంది, ఇది లాజికల్ యాక్షన్ నెగెషన్కు సమానంగా ఉంటుంది. గమ్యం ట్యాబ్ సోర్స్ ట్యాబ్ను పోలి ఉంటుంది, కానీ ట్రాఫిక్ మూలానికి బదులుగా, మేము ట్రాఫిక్ గమ్యాన్ని సెట్ చేసాము. వినియోగదారుల ట్యాబ్ - ఈ స్థలంలో మీరు ఈ నియమం వర్తించే వినియోగదారులు లేదా సమూహాల జాబితాను జోడించవచ్చు. సేవా ట్యాబ్ - ఇప్పటికే ముందే నిర్వచించిన దాని నుండి సర్వీస్ రకాన్ని ఎంచుకోండి లేదా మీరు మీ స్వంతంగా సెట్ చేసుకోవచ్చు. అప్లికేషన్ ట్యాబ్ - నిర్దిష్ట అప్లికేషన్లు లేదా అప్లికేషన్ల సమూహాలు ఇక్కడ ఎంపిక చేయబడ్డాయి. మరియు టైమ్ ట్యాబ్ ఈ నియమం సక్రియంగా ఉన్న సమయాన్ని పేర్కొనండి.
చివరి పాఠం నుండి, "ట్రస్ట్" జోన్ నుండి ఇంటర్నెట్ను యాక్సెస్ చేయడానికి మాకు ఒక నియమం ఉంది, ఇప్పుడు నేను "ట్రస్ట్" జోన్ నుండి "అవిశ్వసనీయ" జోన్కు ICMP ట్రాఫిక్ కోసం తిరస్కరించే నియమాన్ని ఎలా సృష్టించాలో ఉదాహరణగా చూపుతాను.
ముందుగా, "జోడించు" బటన్పై క్లిక్ చేయడం ద్వారా నియమాన్ని సృష్టించండి. తెరిచే విండోలో, సాధారణ ట్యాబ్లో, పేరును పూరించండి (విశ్వసనీయ నుండి అవిశ్వాసానికి ICMPని పరిమితం చేయండి), "ఆన్" చెక్బాక్స్ని తనిఖీ చేయండి, డిసేబుల్ చర్యను ఎంచుకోండి మరియు ముఖ్యంగా, ఈ నియమానికి సరైన స్థానాన్ని ఎంచుకోండి. నా పాలసీ ప్రకారం, ఈ నియమం "విశ్వసనీయతను అవిశ్వాసానికి అనుమతించు" నియమానికి పైన ఉంచాలి:
నా టాస్క్ కోసం "మూలం" ట్యాబ్లో, రెండు ఎంపికలు ఉన్నాయి:
-
"విశ్వసనీయ" జోన్ను ఎంచుకోవడం ద్వారా
-
"విశ్వసనీయ" మినహా అన్ని జోన్లను ఎంచుకుని, "ఇన్వర్ట్" చెక్బాక్స్ను టిక్ చేయడం ద్వారా
డెస్టినేషన్ ట్యాబ్ సోర్స్ ట్యాబ్ లాగానే కాన్ఫిగర్ చేయబడింది.
తరువాత, "సేవ" ట్యాబ్కి వెళ్లండి, యూజర్గేట్ ICMP ట్రాఫిక్ కోసం ముందే నిర్వచించిన సేవను కలిగి ఉంది, ఆపై "జోడించు" బటన్ను క్లిక్ చేయడం ద్వారా, మేము ప్రతిపాదిత జాబితా నుండి "ఏదైనా ICMP" పేరుతో సేవను ఎంచుకుంటాము:
బహుశా ఇది యూజర్గేట్ సృష్టికర్తల ఉద్దేశం కావచ్చు, కానీ నేను పూర్తిగా ఒకేలాంటి అనేక నియమాలను రూపొందించగలిగాను. జాబితా నుండి మొదటి నియమం మాత్రమే అమలు చేయబడినప్పటికీ, అనేక పరికర నిర్వాహకులు పని చేస్తున్నప్పుడు కార్యాచరణలో భిన్నమైన అదే పేరుతో నియమాలను సృష్టించగల సామర్థ్యం గందరగోళానికి కారణమవుతుందని నేను భావిస్తున్నాను.
NAT మరియు రూటింగ్
NAT నియమాలను సృష్టిస్తున్నప్పుడు, ఫైర్వాల్కు సంబంధించిన అనేక సారూప్య ట్యాబ్లను మనం చూస్తాము. “జనరల్” ట్యాబ్లో “రకం” ఫీల్డ్ కనిపించింది, ఈ నియమం దేనికి బాధ్యత వహిస్తుందో ఎంచుకోవడానికి ఇది మిమ్మల్ని అనుమతిస్తుంది:
-
NAT - నెట్వర్క్ చిరునామా అనువాదం.
-
DNAT - పేర్కొన్న IP చిరునామాకు ట్రాఫిక్ను దారి మళ్లిస్తుంది.
-
పోర్ట్ ఫార్వార్డింగ్ - పేర్కొన్న IP చిరునామాకు ట్రాఫిక్ను దారి మళ్లిస్తుంది, కానీ ప్రచురించిన సేవ యొక్క పోర్ట్ నంబర్ను మార్చడానికి మిమ్మల్ని అనుమతిస్తుంది
-
పాలసీ-ఆధారిత రూటింగ్ - సేవలు, MAC చిరునామాలు లేదా సర్వర్లు (IP చిరునామాలు) వంటి పొడిగించిన సమాచారం ఆధారంగా IP ప్యాకెట్లను రూట్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
-
నెట్వర్క్ మ్యాపింగ్ - ఒక నెట్వర్క్ యొక్క మూలం లేదా గమ్యం IP చిరునామాలను మరొక నెట్వర్క్తో భర్తీ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది.
తగిన నియమ రకాన్ని ఎంచుకున్న తర్వాత, దాని కోసం సెట్టింగ్లు అందుబాటులో ఉంటాయి.
SNAT IP (బాహ్య చిరునామా) ఫీల్డ్లో, మూలం చిరునామా భర్తీ చేయబడే IP చిరునామాను మేము స్పష్టంగా పేర్కొంటాము. డెస్టినేషన్ జోన్లో ఇంటర్ఫేస్లకు బహుళ IP చిరునామాలు కేటాయించబడి ఉంటే ఈ ఫీల్డ్ అవసరం. మీరు ఈ ఫీల్డ్ను ఖాళీగా ఉంచినట్లయితే, సిస్టమ్ డెస్టినేషన్ జోన్ ఇంటర్ఫేస్లకు కేటాయించిన అందుబాటులో ఉన్న IP చిరునామాల జాబితా నుండి యాదృచ్ఛిక చిరునామాను ఉపయోగిస్తుంది. ఫైర్వాల్ పనితీరును మెరుగుపరచడానికి SNAT IPని పేర్కొనమని UserGate సిఫార్సు చేస్తోంది.
ఉదాహరణకు, నేను "పోర్ట్-ఫార్వార్డింగ్" నియమాన్ని ఉపయోగించి "DMZ" జోన్లో ఉన్న Windows సర్వర్ యొక్క SSH సేవను ప్రచురిస్తాను. దీన్ని చేయడానికి, “జోడించు” బటన్ను క్లిక్ చేసి, “జనరల్” ట్యాబ్ను పూరించండి, “SSH టు విండోస్” నియమం పేరు మరియు “పోర్ట్ ఫార్వార్డింగ్” రకాన్ని పేర్కొనండి:
"మూలం" ట్యాబ్లో, "అవిశ్వసనీయ" జోన్ను ఎంచుకుని, "పోర్ట్ ఫార్వార్డింగ్" ట్యాబ్కు వెళ్లండి. ఇక్కడ మనం తప్పనిసరిగా “TCP” ప్రోటోకాల్ను పేర్కొనాలి (నాలుగు ఎంపికలు అందుబాటులో ఉన్నాయి - TCP, UDP, SMTP, SMTPS). ఒరిజినల్ డెస్టినేషన్ పోర్ట్ 9922 — వినియోగదారులు అభ్యర్థనలను పంపే పోర్ట్ నంబర్ (పోర్ట్లు: 2200, 8001, 4369, 9000-9100 ఉపయోగించబడదు). కొత్త డెస్టినేషన్ పోర్ట్ (22) అనేది అంతర్గత ప్రచురించబడిన సర్వర్కు వినియోగదారు అభ్యర్థనలు ఫార్వార్డ్ చేయబడే పోర్ట్ నంబర్.
"DNAT" ట్యాబ్లో, ఇంటర్నెట్లో ప్రచురించబడిన స్థానిక నెట్వర్క్లో కంప్యూటర్ యొక్క IP చిరునామాను సెట్ చేయండి (192.168.3.2). మరియు ఐచ్ఛికంగా మీరు SNATని ప్రారంభించవచ్చు, అప్పుడు UserGate బాహ్య నెట్వర్క్ నుండి దాని IP చిరునామాకు ప్యాకెట్లలోని మూల చిరునామాను మారుస్తుంది.
అన్ని సెట్టింగుల తర్వాత, కనెక్ట్ చేసేటప్పుడు బాహ్య యూజర్ గేట్ చిరునామాను ఉపయోగించి, SSH ప్రోటోకాల్ ద్వారా ip-అడ్రస్ 192.168.3.2తో సర్వర్కు “అవిశ్వసనీయ” జోన్ నుండి ప్రాప్యతను అనుమతించే నియమం పొందబడుతుంది.
సామర్థ్యాన్ని
ఈ విభాగం బ్యాండ్విడ్త్ నియంత్రణ కోసం నియమాలను నిర్వచిస్తుంది. నిర్దిష్ట వినియోగదారులు, హోస్ట్లు, సేవలు, అప్లికేషన్ల ఛానెల్ని పరిమితం చేయడానికి వాటిని ఉపయోగించవచ్చు.
నియమాన్ని సృష్టించేటప్పుడు, ట్యాబ్లలోని పరిస్థితులు పరిమితులు వర్తించే ట్రాఫిక్ను నిర్ణయిస్తాయి. బ్యాండ్విడ్త్ ప్రతిపాదిత నుండి ఎంచుకోవచ్చు లేదా మీ స్వంతంగా సెట్ చేయవచ్చు. బ్యాండ్విడ్త్ను సృష్టించేటప్పుడు, మీరు DSCP ట్రాఫిక్ ప్రాధాన్యత లేబుల్ను పేర్కొనవచ్చు. DSCP లేబుల్లు ఎప్పుడు వర్తింపజేయబడతాయో ఒక ఉదాహరణ: ఈ నియమం వర్తించే దృష్టాంతాన్ని ఒక నియమంలో పేర్కొనడం ద్వారా, ఈ నియమం స్వయంచాలకంగా ఈ లేబుల్లను మార్చగలదు. స్క్రిప్ట్ ఎలా పని చేస్తుందో చెప్పడానికి మరొక ఉదాహరణ: టొరెంట్ కనుగొనబడినప్పుడు లేదా ట్రాఫిక్ మొత్తం పేర్కొన్న పరిమితిని మించినప్పుడు మాత్రమే నియమం వినియోగదారుకు పని చేస్తుంది. మిగిలిన ట్యాబ్లు ఇతర పాలసీల మాదిరిగానే, నియమాన్ని వర్తింపజేయాల్సిన ట్రాఫిక్ రకం ఆధారంగా పూరించబడతాయి.
తీర్మానం
ఈ వ్యాసంలో, నేను ఫైర్వాల్, NAT మరియు రూటింగ్ మరియు బ్యాండ్విడ్త్ విభాగాలలో నియమాల సృష్టిని కవర్ చేసాను. మరియు వ్యాసం ప్రారంభంలో, అతను UserGate విధానాలను రూపొందించడానికి నియమాలను వివరించాడు, అలాగే నియమాన్ని సృష్టించేటప్పుడు షరతుల సూత్రాన్ని వివరించాడు.
మా ఛానెల్లలో నవీకరణల కోసం వేచి ఉండండి (, , , )!
మూలం: www.habr.com