3. Оғози UserGate. Сиёсати шабака

Хуш омадед ба хонандагон ба мақолаи сеюми силсилаи мақолаҳои UserGate Getting Started, ки дар бораи ҳалли NGFW аз ширкат сӯҳбат мекунад UserGate. Дар мақолаи қаблӣ раванди насб кардани девори девор тавсиф карда шуда, конфигуратсияи ибтидоии онро анҷом дод. Ҳоло мо ба эҷоди қоидаҳо дар бахшҳо ба монанди “Сивер”, “NAT ва масир” ва “Банди фарохмаҷро” назар хоҳем кард.

Идеологияи қоидаҳои UserGate дар он аст, ки қоидаҳо аз боло то поён, то аввалин кор мекунанд. Дар асоси гуфтаҳои боло, аз ин бармеояд, ки қоидаҳои мушаххастар бояд нисбат ба қоидаҳои умумӣ болотар бошанд. Аммо бояд гуфт, ки азбаски қоидаҳо бо тартиб тафтиш карда мешаванд, аз ҷиҳати иҷроиш беҳтар аст, ки қоидаҳои умумӣ эҷод кунанд. Шартҳо ҳангоми сохтани ҳама гуна қоидаҳо мувофиқи мантиқи "AND" татбиқ карда мешаванд. Агар лозим бошад, ки мантиқи "Ё" истифода шавад, ин тавассути эҷоди якчанд қоидаҳо ба даст меояд. Пас он чизе, ки дар ин мақола тавсиф шудааст, ба дигар сиёсатҳои UserGate дахл дорад.

Сипар

Пас аз насб кардани UserGate, дар қисмати "Сипар" аллакай сиёсати оддӣ мавҷуд аст. Ду қоидаҳои аввал трафикро ба ботнетҳо рад мекунанд. Дар зер намунаҳои қоидаҳои дастрасӣ аз минтақаҳои гуногун оварда шудаанд. Қоидаи охирин ҳамеша "Ҳамаро маҳкам" номида мешавад ва бо рамзи қулф ишора шудааст (ин маънои онро дорад, ки қоидаро нест кардан, тағир додан, интиқол додан ва ғайрифаъол кардан мумкин нест, шумо метавонед танҳо имконоти сабти номро барои он фаъол созед). Ҳамин тариқ, бинобар ин қоида, ҳама трафике, ки ба таври возеҳ иҷозат дода нашудааст, бо қоидаи охирин баста мешавад. Агар шумо хоҳед, ки ба тамоми трафик тавассути UserGate иҷозат диҳед (гарчанде ки ин қатъиян тавсия дода намешавад), шумо ҳамеша метавонед қоидаи охирини "Ҳама иҷозат диҳед" -ро эҷод кунед.

Ҳангоми таҳрир ё сохтани қоидаи девор, аввал Ҷадвали умумӣ, шумо бояд қадамҳои зеринро дар он иҷро кунед: 

• Барои фаъол ё ғайрифаъол кардани қоида қуттии "Фаъол" -ро истифода баред.

• номи қоидаро ворид кунед.

• тавсифи қоидаро муқаррар кунед.

• аз ду амал интихоб кунед:

  • Рад кардан - трафикро блок мекунад (вақте ки ин шарт муқаррар карда мешавад, фиристодани мизбони ICMP дастнорас аст, ба шумо танҳо қуттии мувофиқро гузоштан лозим аст).

  • Иҷозат диҳед - ҳаракати нақлиётро иҷозат медиҳад.

• Элементи сенария - ба шумо имкон медиҳад, ки сенарияро интихоб кунед, ки ин шарти иловагии фаъол кардани қоида мебошад. Ҳамин тавр UserGate консепсияи SOAR (Orchestration Security, Automation and Response) -ро амалӣ мекунад.

• Бақайдгирӣ - маълумотро дар бораи трафик ҳангоми оғоз кардани қоида сабт кунед. Вариантҳои имконпазир:

  • Оғози сессияро сабт кунед. Дар ин ҳолат, танҳо маълумот дар бораи оғози сеанс (бастаи аввал) дар қайди трафик сабт карда мешавад. Ин варианти тавсияшудаи сабткунӣ мебошад.

  • Ҳар як бастаро сабт кунед. Дар ин ҳолат, маълумот дар бораи ҳар як бастаи шабакаи интиқолшуда сабт карда мешавад. Барои ин режим тавсия дода мешавад, ки маҳдудияти сабти сабтро фаъол созед, то сарбории баланди дастгоҳро пешгирӣ кунед.

• Қоидаро ба кор баред:

  • Ҳама бастаҳо

  • ба пакетҳои тақсимшуда

  • ба пакетҳои тақсимнашуда

• Ҳангоми сохтани қоидаи нав, шумо метавонед дар сиёсат маконеро интихоб кунед.

Баъдан Ҷадвали "Манбаъ". Дар ин ҷо мо манбаи трафикро нишон медиҳем; ин метавонад минтақае бошад, ки аз он трафик меояд, ё шумо метавонед рӯйхат ё суроғаи мушаххаси IP (Geoip) таъин кунед. Қариб дар ҳама қоидаҳое, ки метавонанд дар дастгоҳ муқаррар карда шаванд, объектро аз як қоида сохтан мумкин аст, масалан, бидуни рафтан ба бахши "Минтақаҳо" шумо метавонед тугмаи "Эҷод ва илова кардани объекти нав" -ро барои сохтани минтақа истифода баред. ба мо лозим аст. Қуттии "Инверт" низ аксар вақт дучор мешавад; он амалро дар ҳолати қоида ба муқобил иваз мекунад, ки ба амали мантиқии радкунӣ монанд аст. Ҷадвали таъинот монанд ба ҷадвали манбаъ, танҳо ба ҷои манбаи трафик мо таъиноти трафикро муқаррар мекунем. Ҷадвали Истифодабарандагон — дар ин ҷой шумо метавонед рӯйхати корбарон ё гурӯҳҳоеро илова кунед, ки барои онҳо ин қоида татбиқ мешавад. Ҷадвали хидмат — намуди хадамотро аз намуди қаблан муайяншуда интихоб кунед ё шумо метавонед худатонро таъин кунед. Ҷадвали барнома — дар ин чо замимахои махсус ё гуруххои барномахо интихоб карда мешаванд. ВА Ҷадвали вақт вақти фаъол будани ин қоидаро нишон диҳед. 

Аз дарси охирин мо қоидаи дастрасӣ ба Интернет аз минтақаи "Боварӣ" дорем, ҳоло ман ҳамчун намуна нишон медиҳам, ки чӣ гуна қоидаи радкуниро барои трафики ICMP аз минтақаи "Боварӣ" ба минтақаи "Боварӣ" эҷод кардан мумкин аст.

Аввалан, бо пахш кардани тугмаи "Илова кардан" қоида эҷод кунед. Дар равзанаи кушодашуда, дар ҷадвали умумӣ, номро пур кунед (Манъи ICMP аз эътимоднок ба беэътимод), қуттии "Фаъол" -ро қайд кунед, амалеро, ки баста мешавад, интихоб кунед ва муҳимтар аз ҳама, макони дурусти ин қоидаро интихоб кунед. Тибқи сиёсати ман, ин қоида бояд дар болои қоидаи "Иҷозат додан ба боваринок ба боваринок" ҷойгир бошад:

Дар ҷадвали "Манбаъ" ду вариант барои вазифаи ман вуҷуд дорад:

• Интихоби минтақаи "Эътимоднок"

• Интихоби ҳама минтақаҳо ба истиснои "Боварӣ" ва қайд кардани қуттии "Инверт"

Ҷадвали "Макон" ба ҷадвали "Манбаъ" шабеҳ танзим карда шудааст.

Баъдан, мо ба ҷадвали "Хизматрасонӣ" меравем, зеро UserGate дорои хидмати пешакӣ барои трафики ICMP мебошад, пас бо пахш кардани тугмаи "Илова кардан" мо аз рӯйхати пешниҳодшуда хидматеро бо номи "Ягон ICMP" интихоб мекунем:

Эҳтимол ин аст он чизе ки созандагони UserGate ният доранд, аммо ман тавонистам якчанд қоидаҳои комилан якхела эҷод кунам. Гарчанде ки танҳо қоидаи аввал аз рӯйхат иҷро карда мешавад, ман фикр мекунам, ки қобилияти эҷоди қоидаҳои функсияҳои гуногун бо як ном метавонад ҳангоми кор кардани якчанд маъмурони дастгоҳ иштибоҳ оварад.

NAT ва масир

Ҳангоми сохтани қоидаҳои NAT, мо якчанд ҷадвалҳои шабеҳро ба монанди брандмауэр мебинем. Дар ҷадвали "Умумӣ" майдони "Намуд" пайдо шуд; он ба шумо имкон медиҳад интихоб кунед, ки ин қоида барои чӣ масъул хоҳад буд:

• NAT - Тарҷумаи суроғаҳои шабакавӣ.

• DNAT - Трафикро ба суроғаи IP-и муайяншуда равона мекунад.

• Интиқоли порт - Трафикро ба суроғаи муайяни IP равона мекунад, аммо ба шумо имкон медиҳад рақами порти хидмати нашршударо тағир диҳед

• Масири бар асоси сиёсат - Имкон медиҳад, ки бастаҳои IP дар асоси маълумоти пешрафта, ба монанди хадамот, суроғаҳои MAC ё серверҳо (адресҳои IP) масир карда шаванд.

• Харитасозии шабака - Ба шумо имкон медиҳад, ки суроғаҳои IP-и манбаъ ё таъиноти як шабакаро бо шабакаи дигар иваз кунед.

Пас аз интихоби навъи қоидаи мувофиқ, танзимот барои он дастрас мешаванд.

Дар майдони SNAT IP (суроғаи беруна) мо ба таври возеҳ суроғаи IP-ро нишон медиҳем, ки суроғаи манбаъ ба он иваз карда мешавад. Ин майдон талаб карда мешавад, агар якчанд суроғаҳои IP ба интерфейсҳои минтақаи таъинот таъин карда шаванд. Агар шумо ин майдонро холӣ гузоред, система суроғаи тасодуфиро аз рӯйхати суроғаҳои IP-и дастрас, ки ба интерфейсҳои минтақаи таъинот таъин шудаанд, истифода мебарад. UserGate тавсия медиҳад, ки нишон додани SNAT IP-ро барои беҳтар кардани кори девор.

Ҳамчун мисол, ман хидмати SSH-ро дар сервери Windows, ки дар минтақаи "DMZ" ҷойгир аст, бо истифода аз қоидаҳои "экспедитсияи порт" нашр хоҳам кард. Барои ин, тугмаи "Илова кардан" -ро клик кунед ва ҷадвали "Умумӣ" -ро пур кунед, номи қоидаи "SSH ба Windows" ва навъи "Интиқоли порт" -ро муайян кунед:

Дар ҷадвали "Сарчашма" минтақаи "Беэътимод" -ро интихоб кунед ва ба ҷадвали "Интиқоли порт" гузаред. Дар ин ҷо мо бояд протоколи "TCP" -ро муайян кунем (чор вариант мавҷуд аст - TCP, UDP, SMTP, SMTPS). Порти аслии таъинот 9922 - рақами портест, ки корбарон ба он дархостҳо мефиристанд (портҳо наметавонанд истифода шаванд: 2200, 8001, 4369, 9000-9100). Порти таъиноти нав (22) - рақами порте, ки ба он дархостҳои корбар ба сервери дохилии нашршуда интиқол дода мешаванд.

Дар ҷадвали "DNAT" суроғаи IP-и компютерро дар шабакаи маҳаллӣ, ки дар Интернет нашр шудааст (192.168.3.2) таъин кунед. Ва ихтиёрӣ шумо метавонед SNAT-ро фаъол созед, пас UserGate суроғаи манбаъро дар пакетҳо аз шабакаи беруна ба суроғаи IP-и худ иваз мекунад.

Пас аз ҳама танзимот, шумо қоидаеро ба даст меоред, ки ба шумо имкон медиҳад, ки аз минтақаи "Беэътимод" ба сервер бо суроғаи IP 192.168.3.2 тавассути SSH бо истифода аз суроғаи берунии UserGate ҳангоми пайвастшавӣ дастрасӣ пайдо кунед.

Бандвейт

Ин бахш қоидаҳои идоракунии фарохмаҷро муайян мекунад. Онҳо метавонанд барои маҳдуд кардани канали корбарони муайян, ҳостҳо, хидматҳо, барномаҳо истифода шаванд.

Ҳангоми сохтани қоида, шартҳо дар ҷадвалҳо трафикеро, ки ба он маҳдудиятҳо татбиқ мешаванд, муайян мекунанд. Шумо метавонед фарохмаҷро аз онҳое, ки пешниҳод шудаанд, интихоб кунед ё худатонро таъин кунед. Ҳангоми эҷоди фарохмаҷро, шумо метавонед нишони авлавияти трафики DSCP-ро муайян кунед. Намунаи вақте ки тамғакоғазҳои DSCP татбиқ мешаванд: бо муайян кардани сенарияе, ки дар он ин қоида татбиқ мешавад, ин қоида метавонад ба таври худкор ин тамғакоғазҳоро тағир диҳад. Мисоли дигари чӣ гуна кор кардани скрипт: қоида барои корбар танҳо вақте кор мекунад, ки торрент ошкор карда шавад ё миқдори трафик аз маҳдудияти муқарраршуда зиёд бошад. Мо ҷадвалҳои боқимондаро ҳамон тавре, ки дар сиёсатҳои дигар, вобаста ба намуди трафик, ки қоида бояд татбиқ карда шавад, пур мекунем.

хулоса

Дар ин мақола ман ба сохтани қоидаҳо дар қисматҳои "Сивер", "NAT ва масир" ва "Банди фарох" назар кардам. Ва дар ибтидои мақола ман қоидаҳои эҷоди сиёсатҳои UserGate, инчунин принсипи кори шартҳоро ҳангоми эҷоди қоида тавсиф кардам. 

Барои навсозиҳо ба каналҳои мо пайравӣ кунед (телеграмма, Facebook, VK, Блоги TS Solution)!

Манбаъ: will.com