3. UserGate เริ่มต้นใช้งาน นโยบายเครือข่าย

ยินดีต้อนรับผู้อ่านสู่บทความที่สามในชุดบทความเริ่มต้นใช้งาน UserGate ซึ่งพูดถึงโซลูชัน NGFW จาก บริษัท ยูสเซอร์เกท. บทความก่อนหน้านี้อธิบายกระบวนการติดตั้งไฟร์วอลล์และดำเนินการกำหนดค่าเริ่มต้น ตอนนี้เราจะมาดูการสร้างกฎในส่วนต่างๆ เช่น "ไฟร์วอลล์", "NAT และการกำหนดเส้นทาง" และ "แบนด์วิดท์" ให้ละเอียดยิ่งขึ้น

อุดมการณ์ของกฎ UserGate คือกฎจะถูกดำเนินการจากบนลงล่างไปจนถึงกฎแรกที่ใช้งานได้ จากที่กล่าวมาข้างต้น กฎที่เฉพาะเจาะจงมากขึ้นควรสูงกว่ากฎทั่วไป แต่ควรสังเกตว่าเนื่องจากมีการตรวจสอบกฎตามลำดับ ในแง่ของประสิทธิภาพ ควรสร้างกฎทั่วไปจะดีกว่า เงื่อนไขในการสร้างกฎใดๆ จะถูกนำไปใช้ตามตรรกะ "และ" หากจำเป็นต้องใช้ตรรกะ "OR" สามารถทำได้โดยการสร้างกฎหลายข้อ ดังนั้นสิ่งที่อธิบายไว้ในบทความนี้จึงนำไปใช้กับนโยบาย UserGate อื่นๆ

ไฟร์วอลล์

หลังจากติดตั้ง UserGate ในส่วน "ไฟร์วอลล์" จะมีนโยบายง่ายๆ อยู่แล้ว กฎสองข้อแรกปฏิเสธการรับส่งข้อมูลไปยังบอทเน็ต ต่อไปนี้คือตัวอย่างกฎการเข้าถึงจากโซนต่างๆ กฎข้อสุดท้ายจะเรียกว่า "บล็อกทั้งหมด" เสมอและมีสัญลักษณ์รูปแม่กุญแจกำกับไว้ (หมายความว่ากฎไม่สามารถลบ แก้ไข ย้าย ปิดใช้งานได้ คุณสามารถเปิดใช้งานตัวเลือกการบันทึกเท่านั้น) ดังนั้น เนื่องจากกฎนี้ การรับส่งข้อมูลทั้งหมดที่ไม่ได้รับอนุญาตอย่างชัดเจนจะถูกบล็อกโดยกฎข้อสุดท้าย หากคุณต้องการอนุญาตการรับส่งข้อมูลทั้งหมดผ่าน UserGate (แม้ว่าจะไม่แนะนำอย่างยิ่ง) คุณสามารถสร้างกฎ "อนุญาตทั้งหมด" สุดท้ายได้เสมอ

เมื่อแก้ไขหรือสร้างกฎไฟร์วอลล์ครั้งแรก แท็บทั่วไปคุณต้องทำตามขั้นตอนต่อไปนี้: 

• ใช้ช่องทำเครื่องหมาย "เปิด" เพื่อเปิดหรือปิดใช้งานกฎ

• ป้อนชื่อของกฎ

• กำหนดคำอธิบายของกฎ

• เลือกจากสองการกระทำ:

  • ปฏิเสธ - บล็อกการรับส่งข้อมูล (เมื่อตั้งค่าเงื่อนไขนี้ เป็นไปได้ที่จะส่งโฮสต์ ICMP ไม่สามารถเข้าถึงได้ คุณเพียงแค่ต้องตั้งค่าช่องทำเครื่องหมายที่เหมาะสม)

  • อนุญาต—อนุญาตการรับส่งข้อมูล

• รายการสถานการณ์ - ช่วยให้คุณสามารถเลือกสถานการณ์ซึ่งเป็นเงื่อนไขเพิ่มเติมสำหรับกฎที่จะทริกเกอร์ นี่คือวิธีที่ UserGate ใช้แนวคิด SOAR (Security Orchestration, Automation and Response)

• การบันทึก—บันทึกข้อมูลเกี่ยวกับการรับส่งข้อมูลเมื่อมีการเรียกใช้กฎ ตัวเลือกที่เป็นไปได้:

  • บันทึกการเริ่มต้นเซสชัน ในกรณีนี้ เฉพาะข้อมูลเกี่ยวกับการเริ่มต้นเซสชัน (แพ็กเก็ตแรก) เท่านั้นที่จะถูกบันทึกลงในบันทึกการรับส่งข้อมูล นี่คือตัวเลือกการบันทึกที่แนะนำ

  • บันทึกทุกแพ็กเก็ต ในกรณีนี้ ข้อมูลเกี่ยวกับแต่ละแพ็กเก็ตเครือข่ายที่ส่งจะถูกบันทึก สำหรับโหมดนี้ ขอแนะนำให้เปิดใช้ขีดจำกัดการบันทึกเพื่อป้องกันการโหลดอุปกรณ์ในปริมาณมาก

• ใช้กฎกับ:

  • ทุกแพ็คเกจ

  • ไปจนถึงแพ็กเก็ตที่กระจัดกระจาย

  • ไปจนถึงแพ็กเก็ตที่ไม่มีการแยกส่วน

• เมื่อสร้างกฎใหม่ คุณสามารถเลือกตำแหน่งในนโยบายได้

ถัดไป แท็บ "แหล่งที่มา". ที่นี่เราระบุแหล่งที่มาของการรับส่งข้อมูล ซึ่งอาจเป็นโซนที่มาของการรับส่งข้อมูล หรือคุณสามารถระบุรายการหรือที่อยู่ IP เฉพาะ (Geoip) ในกฎเกือบทั้งหมดที่สามารถตั้งค่าในอุปกรณ์ได้ คุณสามารถสร้างออบเจ็กต์จากกฎได้ ตัวอย่างเช่น โดยไม่ต้องไปที่ส่วน "โซน" คุณสามารถใช้ปุ่ม "สร้างและเพิ่มออบเจ็กต์ใหม่" เพื่อสร้างโซนได้ พวกเราต้องการ. บ่อยครั้งที่พบช่องทำเครื่องหมาย "กลับ" โดยจะเปลี่ยนการดำเนินการในเงื่อนไขของกฎไปในทางตรงกันข้าม ซึ่งคล้ายกับการดำเนินการเชิงตรรกะของการปฏิเสธ แท็บปลายทาง คล้ายกับแท็บแหล่งที่มา แทนที่แหล่งที่มาของการเข้าชมเท่านั้นที่เราตั้งค่าปลายทางของการเข้าชม แท็บผู้ใช้ — ในที่นี้ คุณสามารถเพิ่มรายชื่อผู้ใช้หรือกลุ่มที่ใช้กฎนี้ได้ แท็บบริการ — เลือกประเภทของบริการจากบริการที่กำหนดไว้ล่วงหน้าหรือคุณสามารถตั้งค่าของคุณเองได้ แท็บแอปพลิเคชัน — ที่นี่มีการเลือกแอปพลิเคชันหรือกลุ่มแอปพลิเคชันเฉพาะ และ แท็บเวลา ระบุเวลาที่กฎนี้ทำงานอยู่ 

ตั้งแต่บทเรียนที่แล้ว เรามีกฎสำหรับการเข้าถึงอินเทอร์เน็ตจากโซน "Trust" ตอนนี้ฉันจะแสดงตัวอย่างวิธีสร้างกฎการปฏิเสธสำหรับการรับส่งข้อมูล ICMP จากโซน "Trust" ไปยังโซน "Untrusted" .

ขั้นแรก สร้างกฎโดยคลิกที่ปุ่ม "เพิ่ม" ในหน้าต่างที่เปิดขึ้นบนแท็บทั่วไป ให้กรอกชื่อ (ห้าม ICMP จากเชื่อถือได้ไปเป็นไม่น่าเชื่อถือ) ทำเครื่องหมายที่ช่อง "เปิด" เลือกการดำเนินการที่จะบล็อก และที่สำคัญที่สุดคือเลือกตำแหน่งที่ถูกต้องสำหรับกฎนี้ ตามนโยบายของฉัน กฎนี้ควรอยู่เหนือกฎ "อนุญาตให้เชื่อถือได้และไม่น่าเชื่อถือ":

บนแท็บ "แหล่งที่มา" มีสองตัวเลือกสำหรับงานของฉัน:

• การเลือกโซน "เชื่อถือได้"

• เลือกโซนทั้งหมดยกเว้น "เชื่อถือ" และทำเครื่องหมายที่ช่อง "กลับ"

แท็บ "ปลายทาง" ได้รับการกำหนดค่าคล้ายกับแท็บ "แหล่งที่มา"

ต่อไปเราไปที่แท็บ "บริการ" เนื่องจาก UserGate มีบริการที่กำหนดไว้ล่วงหน้าสำหรับการรับส่งข้อมูล ICMP จากนั้นคลิกปุ่ม "เพิ่ม" เราจึงเลือกบริการที่เรียกว่า "Any ICMP" จากรายการที่เสนอ:

บางทีนี่อาจเป็นสิ่งที่ผู้สร้าง UserGate ตั้งใจไว้ แต่ฉันสามารถสร้างกฎที่เหมือนกันทั้งหมดหลายข้อได้ แม้ว่าจะมีการดำเนินการเฉพาะกฎแรกจากรายการ แต่ฉันคิดว่าความสามารถในการสร้างกฎที่มีฟังก์ชันการทำงานที่แตกต่างกันด้วยชื่อเดียวกันอาจทำให้เกิดความสับสนเมื่อผู้ดูแลระบบอุปกรณ์หลายคนทำงาน

NAT และการกำหนดเส้นทาง

เมื่อสร้างกฎ NAT เราจะเห็นแท็บที่คล้ายกันหลายแท็บสำหรับไฟร์วอลล์ บนแท็บ "ทั่วไป" ฟิลด์ "ประเภท" ปรากฏขึ้น ซึ่งช่วยให้คุณสามารถเลือกสิ่งที่กฎนี้จะรับผิดชอบ:

• NAT - การแปลที่อยู่เครือข่าย

• DNAT - เปลี่ยนเส้นทางการรับส่งข้อมูลไปยังที่อยู่ IP ที่ระบุ

• การส่งต่อพอร์ต - เปลี่ยนเส้นทางการรับส่งข้อมูลไปยังที่อยู่ IP ที่ระบุ แต่อนุญาตให้คุณเปลี่ยนหมายเลขพอร์ตของบริการที่เผยแพร่

• การกำหนดเส้นทางตามนโยบาย - อนุญาตให้กำหนดเส้นทางแพ็กเก็ต IP ตามข้อมูลขั้นสูง เช่น บริการ ที่อยู่ MAC หรือเซิร์ฟเวอร์ (ที่อยู่ IP)

• การแมปเครือข่าย - ช่วยให้คุณสามารถแทนที่ที่อยู่ IP ต้นทางหรือปลายทางของเครือข่ายหนึ่งด้วยเครือข่ายอื่น

หลังจากเลือกประเภทกฎที่เหมาะสมแล้ว การตั้งค่าจะพร้อมใช้งาน

ในฟิลด์ SNAT IP (ที่อยู่ภายนอก) เราจะระบุที่อยู่ IP ที่จะแทนที่ที่อยู่ต้นทางอย่างชัดเจน ฟิลด์นี้จำเป็นหากมีที่อยู่ IP หลายแห่งที่กำหนดให้กับอินเทอร์เฟซของโซนปลายทาง หากคุณเว้นช่องนี้ว่างไว้ ระบบจะใช้ที่อยู่แบบสุ่มจากรายการที่อยู่ IP ที่มีอยู่ซึ่งกำหนดให้กับอินเทอร์เฟซโซนปลายทาง UserGate แนะนำให้ระบุ SNAT IP เพื่อปรับปรุงประสิทธิภาพของไฟร์วอลล์

ตามตัวอย่าง ฉันจะเผยแพร่บริการ SSH บนเซิร์ฟเวอร์ Windows ที่อยู่ในโซน “DMZ” โดยใช้กฎ “การส่งต่อพอร์ต” ในการดำเนินการนี้ให้คลิกปุ่ม "เพิ่ม" และกรอกแท็บ "ทั่วไป" ระบุชื่อของกฎ "SSH ไปยัง Windows" และประเภท "การส่งต่อพอร์ต":

บนแท็บ "แหล่งที่มา" เลือกโซน "ไม่น่าเชื่อถือ" และไปที่แท็บ "การส่งต่อพอร์ต" ที่นี่เราต้องระบุโปรโตคอล "TCP" (มีสี่ตัวเลือกให้เลือก - TCP, UDP, SMTP, SMTPS) พอร์ตปลายทางเดิมคือ 9922 - หมายเลขพอร์ตที่ผู้ใช้ส่งคำขอ (ไม่สามารถใช้พอร์ตได้: 2200, 8001, 4369, 9000-9100) พอร์ตปลายทางใหม่ (22) - หมายเลขพอร์ตที่ผู้ใช้ร้องขอไปยังเซิร์ฟเวอร์ที่เผยแพร่ภายในจะถูกส่งต่อ

บนแท็บ "DNAT" ให้ตั้งค่าที่อยู่ IP ของคอมพิวเตอร์บนเครือข่ายท้องถิ่นซึ่งเผยแพร่บนอินเทอร์เน็ต (192.168.3.2) และคุณสามารถเลือกเปิดใช้งาน SNAT ได้ จากนั้น UserGate จะเปลี่ยนที่อยู่ต้นทางในแพ็กเก็ตจากเครือข่ายภายนอกเป็นที่อยู่ IP

หลังจากการตั้งค่าทั้งหมดแล้ว คุณจะได้รับกฎที่อนุญาตให้คุณเข้าถึงจากโซน "ไม่น่าเชื่อถือ" ไปยังเซิร์ฟเวอร์ที่มีที่อยู่ IP 192.168.3.2 ผ่าน SSH โดยใช้ที่อยู่ UserGate ภายนอกเมื่อทำการเชื่อมต่อ

แบนด์วิดท์

ส่วนนี้ระบุกฎสำหรับการจัดการแบนด์วิธ สามารถใช้เพื่อจำกัดช่องทางของผู้ใช้ โฮสต์ บริการ และแอปพลิเคชันบางอย่าง

เมื่อสร้างกฎ เงื่อนไขบนแท็บจะกำหนดการรับส่งข้อมูลที่มีข้อจำกัด คุณสามารถเลือกแบนด์วิธจากที่นำเสนอหรือตั้งค่าของคุณเอง เมื่อสร้างแบนด์วิดท์ คุณสามารถระบุป้ายกำกับการจัดลำดับความสำคัญการรับส่งข้อมูล DSCP ได้ ตัวอย่างการใช้ป้ายกำกับ DSCP: การระบุกฎสถานการณ์ที่ใช้กฎนี้จะทำให้กฎสามารถเปลี่ยนป้ายกำกับเหล่านี้ได้โดยอัตโนมัติ อีกตัวอย่างหนึ่งของวิธีการทำงานของสถานการณ์: กฎจะทำงานสำหรับผู้ใช้เฉพาะเมื่อตรวจพบฝนตกหนักหรือปริมาณการรับส่งข้อมูลเกินขีดจำกัดที่ระบุ เรากรอกแท็บที่เหลือในลักษณะเดียวกับนโยบายอื่นๆ โดยขึ้นอยู่กับประเภทของการรับส่งข้อมูลที่ควรใช้กฎ

ข้อสรุป

ในบทความนี้ ฉันดูที่การสร้างกฎในส่วน “ไฟร์วอลล์”, “NAT และการกำหนดเส้นทาง” และ “แบนด์วิธ” และในตอนต้นของบทความฉันได้อธิบายกฎสำหรับการสร้างนโยบาย UserGate รวมถึงหลักการทำงานของเงื่อนไขเมื่อสร้างกฎ 

คอยติดตามการอัปเดตในช่องของเรา (Telegram, Facebook, VK, บล็อกโซลูชัน TS)!

ที่มา: will.com