Okuyucuları, şirketin NGFW çözümünden bahseden UserGate Başlarken makale serisinin üçüncü makalesine davet ediyorum. . Son yazımızda güvenlik duvarı kurma işlemi anlatılmış ve ilk konfigürasyonu yapılmıştır. Şimdilik Güvenlik Duvarı, NAT ve Yönlendirme, Bant Genişliği gibi bölümlerde kural oluşturmaya daha yakından bakacağız.
UserGate kurallarının ideolojisi, kuralların ilk işe yarayana kadar yukarıdan aşağıya doğru yürütülmesini sağlar. Yukarıdakilere dayanarak, daha spesifik kuralların daha genel kurallardan daha yüksek olması gerektiği sonucu çıkar. Ancak şunu belirtmek gerekir ki kurallar sırayla kontrol edildiğinden genel kurallar oluşturmak performans açısından daha iyidir. Herhangi bir kural oluşturulurken koşullar “VE” mantığına göre uygulanır. Eğer “VEYA” mantığını kullanmak gerekiyorsa bu, birkaç kural oluşturularak gerçekleştirilir. Dolayısıyla bu makalede anlatılanlar diğer UserGate politikaları için de geçerlidir.
güvenlik duvarı
UserGate kurulduktan sonra “Firewall” bölümünde zaten basit bir politika bulunmaktadır. İlk iki kural botnet trafiğini yasaklar. Aşağıda farklı bölgelerden erişim kuralı örnekleri verilmiştir. Son kural her zaman "Tümünü engelle" olarak adlandırılır ve bir kilit simgesiyle işaretlenir (bu, kuralın silinemeyeceği, değiştirilemeyeceği, taşınamayacağı, devre dışı bırakılamayacağı, yalnızca günlük kaydı seçeneği için etkinleştirilebileceği anlamına gelir). Dolayısıyla, bu kural nedeniyle, açıkça izin verilmeyen tüm trafik, son kural tarafından engellenecektir. UserGate üzerinden tüm trafiğe izin vermek istiyorsanız (her ne kadar bu kesinlikle önerilmezse de), her zaman sondan bir önceki "Tümüne İzin Ver" kuralını oluşturabilirsiniz.
Bir güvenlik duvarı kuralını düzenlerken veya oluştururken ilk Genel sekmesiaşağıdakileri yapmanız gerekir:
-
Onay kutusu "Açık" kuralı etkinleştirir veya devre dışı bırakır.
-
kuralın adını girin.
-
kuralın açıklamasını ayarlayın.
-
iki eylemden birini seçin:
-
Reddet - trafiği engeller (bu koşulu ayarlarken, ICMP ana bilgisayarını erişilemez hale getirmek mümkündür, yalnızca uygun onay kutusunu işaretlemeniz gerekir).
-
İzin ver - trafiğe izin verir.
-
-
Senaryo öğesi - kuralın tetiklenmesi için ek bir koşul olan bir senaryo seçmenize olanak tanır. UserGate, SOAR (Güvenlik Düzenleme, Otomasyon ve Yanıt) kavramını bu şekilde uygular.
-
Günlük kaydı — bir kural tetiklendiğinde trafikle ilgili bilgileri günlüğe kaydedin. Olası seçenekler:
-
Oturumun başlangıcını günlüğe kaydedin. Bu durumda trafik günlüğüne yalnızca oturumun başlangıcına (ilk paket) ilişkin bilgiler yazılacaktır. Bu, önerilen günlük kaydı seçeneğidir.
-
Her paketi günlüğe kaydedin. Bu durumda iletilen her ağ paketine ilişkin bilgiler kaydedilecektir. Bu mod için, yüksek cihaz yükünü önlemek amacıyla kayıt sınırının etkinleştirilmesi önerilir.
-
-
Kuralı şuraya uygula:
-
Tüm paketler
-
parçalanmış paketlere
-
parçalanmamış paketlere
-
-
Yeni bir kural oluştururken politikada bir yer seçebilirsiniz.
sonraki Kaynak sekmesi. Burada trafiğin kaynağını belirtiyoruz, trafiğin geldiği bölge olabilir veya bir liste veya belirli bir ip adresi (Geoip) belirleyebilirsiniz. Cihazda ayarlanabilecek hemen hemen tüm kurallarda, bir kuraldan nesne oluşturulabilir, örneğin “Bölgeler” bölümüne gitmeden, “Yeni nesne oluştur ve ekle” butonunu kullanarak bölgeyi oluşturabilirsiniz. ihtiyacımız var. “Tersine Çevir” onay kutusu da sıklıkla bulunur; mantıksal eylem olumsuzlamasına benzer şekilde, kuralın koşulundaki eylemi tersine çevirir. Hedef sekmesi kaynak sekmesine benzer ancak trafik kaynağı yerine trafik hedefini belirliyoruz. Kullanıcılar sekmesi - bu yere bu kuralın geçerli olduğu kullanıcıların veya grupların listesini ekleyebilirsiniz. Servis sekmesi - önceden tanımlanmış olan hizmet türünü seçin veya kendinizinkini belirleyebilirsiniz. Uygulama sekmesi - burada belirli uygulamalar veya uygulama grupları seçilir. VE Zaman sekmesi Bu kuralın etkin olduğu zamanı belirtin.
Son dersten bu yana, İnternet'e "Güven" bölgesinden erişim için bir kuralımız var, şimdi örnek olarak "Güven" bölgesinden "Güvenilmeyen" bölgeye ICMP trafiği için nasıl bir reddetme kuralı oluşturulacağını göstereceğim.
Öncelikle “Ekle” butonuna tıklayarak bir kural oluşturun. Açılan pencerede, genel sekmesinde adı girin (ICMP'yi güvenilenden güvenilmeyene sınırla), "Açık" onay kutusunu işaretleyin, devre dışı bırakma eylemini seçin ve en önemlisi bu kuralın konumunu doğru şekilde seçin. Politikama göre, bu kuralın "Güvenilene güvenilmeyene izin ver" kuralının üstüne yerleştirilmesi gerekir:
Görevimin "Kaynak" sekmesinde iki seçenek var:
-
“Güvenilir” bölgeyi seçerek
-
"Güvenilir" dışındaki tüm bölgeleri seçip "Tersine Çevir" onay kutusunu işaretleyerek
Hedef sekmesi Kaynak sekmesine benzer şekilde yapılandırılmıştır.
Ardından, UserGate'in ICMP trafiği için önceden tanımlanmış bir hizmeti olduğundan "Hizmet" sekmesine gidin, ardından "Ekle" düğmesine tıklayarak önerilen listeden "Herhangi Bir ICMP" adlı bir hizmet seçiyoruz:
Belki de UserGate'in yaratıcılarının niyeti buydu, ancak ben tamamen aynı birkaç kural oluşturmayı başardım. Her ne kadar listedeki yalnızca ilk kural yürütülecek olsa da, aynı adla, işlevsellik açısından farklı kurallar oluşturulabilmesinin, birden fazla cihaz yöneticisi çalıştığında kafa karışıklığına neden olabileceğini düşünüyorum.
NAT ve yönlendirme
NAT kuralları oluştururken güvenlik duvarında olduğu gibi birkaç benzer sekme görüyoruz. "Genel" sekmesinde görünen "Tür" alanı, bu kuralın neden sorumlu olacağını seçmenize olanak tanır:
-
NAT - Ağ Adresi Çevirisi.
-
DNAT - Trafiği belirtilen IP adresine yönlendirir.
-
Bağlantı noktası iletme - Trafiği belirtilen IP adresine yönlendirir ancak yayınlanan hizmetin bağlantı noktası numarasını değiştirmenize olanak tanır
-
İlke tabanlı yönlendirme - IP paketlerini hizmetler, MAC adresleri veya sunucular (IP adresleri) gibi genişletilmiş bilgilere göre yönlendirmenize olanak tanır.
-
Ağ eşleme - Bir ağın kaynak veya hedef IP adreslerini başka bir ağla değiştirmenizi sağlar.
Uygun kural türünü seçtikten sonra buna ilişkin ayarlar mevcut olacaktır.
SNAT IP (harici adres) alanında kaynak adresin değiştirileceği IP adresini açıkça belirtiyoruz. Hedef bölgedeki arayüzlere birden fazla IP adresi atanmışsa bu alan gereklidir. Bu alanı boş bırakırsanız sistem, hedef bölge arayüzlerine atanan mevcut IP adresleri listesinden rastgele bir adres kullanacaktır. UserGate, güvenlik duvarı performansını iyileştirmek için SNAT IP'nin belirtilmesini önerir.
Örneğin “DMZ” bölgesinde bulunan bir Windows sunucusunun SSH hizmetini “port-forwarding” kuralını kullanarak yayınlayacağım. Bunu yapmak için, "Ekle" düğmesini tıklayın ve "Genel" sekmesini doldurun, "SSH to Windows" kuralının adını ve "Port yönlendirme" türünü belirtin:
"Kaynak" sekmesinde "Güvenilmeyen" bölgeyi seçin ve "Bağlantı Noktası Yönlendirme" sekmesine gidin. Burada “TCP” protokolünü belirtmeliyiz (dört seçenek mevcuttur - TCP, UDP, SMTP, SMTPS). Orijinal hedef bağlantı noktası 9922 — kullanıcıların istek gönderdiği bağlantı noktası numarası (bağlantı noktaları: 2200, 8001, 4369, 9000-9100 kullanılamaz). Yeni hedef port (22), dahili yayınlanan sunucuya kullanıcı isteklerinin iletileceği port numarasıdır.
“DNAT” sekmesinde, bilgisayarın internette yayınlanan yerel ağdaki ip adresini (192.168.3.2) ayarlayın. İsteğe bağlı olarak SNAT'yi etkinleştirebilirsiniz, ardından UserGate paketlerdeki kaynak adresini harici ağdan kendi IP adresine değiştirecektir.
Tüm ayarların ardından “Güvenilmeyen” bölgeden 192.168.3.2 ip adresli sunucuya SSH protokolü üzerinden, bağlanırken harici UserGate adresini kullanarak erişime izin veren bir kural elde edilir.
kapasite
Bu bölüm bant genişliği kontrolüne ilişkin kuralları tanımlar. Belirli kullanıcıların, ana bilgisayarların, hizmetlerin, uygulamaların kanalını kısıtlamak için kullanılabilirler.
Kural oluştururken sekmelerdeki koşullar, kısıtlamaların uygulanacağı trafiği belirler. Bant genişliği önerilenlerden seçilebilir veya kendinizinkini ayarlayabilirsiniz. Bant genişliği oluştururken bir DSCP trafiği önceliklendirme etiketi belirtebilirsiniz. DSCP etiketlerinin ne zaman uygulandığına bir örnek: Bu kuralın uygulandığı senaryoyu bir kuralda belirterek, bu kuralın bu etiketleri otomatik olarak değiştirmesini sağlayabilirsiniz. Komut dosyasının nasıl çalıştığına dair başka bir örnek: Kural, kullanıcı için yalnızca bir torrent algılandığında veya trafik miktarı belirtilen sınırı aştığında çalışacaktır. Kalan sekmeler, kuralın uygulanması gereken trafik türüne göre diğer politikalarda olduğu gibi doldurulur.
Sonuç
Bu yazımda Güvenlik Duvarı, NAT ve Yönlendirme, Bant Genişliği bölümlerinde kuralların oluşturulmasını ele aldım. Ve makalenin en başında, UserGate politikaları oluşturma kurallarının yanı sıra kural oluşturma koşullarının ilkesini de anlattı.
Kanallarımızdaki güncellemeler için bizi izlemeye devam edin (, , , )!
Kaynak: habr.com