3. یوزر گیٹ شروع کرنا۔ نیٹ ورک کی پالیسیاں

قارئین کو UserGate Getting Start کے مضامین کی سیریز کے تیسرے مضمون میں خوش آمدید، جو کمپنی کی جانب سے NGFW حل کے بارے میں بات کرتا ہے۔ یوزر گیٹ. پچھلے مضمون میں فائر وال کو انسٹال کرنے کے عمل کو بیان کیا گیا تھا اور اس کی ابتدائی ترتیب کو انجام دیا گیا تھا۔ اب ہم "فائر وال"، "NAT اور روٹنگ" اور "Bandwidth" جیسے سیکشنز میں قوانین بنانے پر گہری نظر ڈالیں گے۔

یوزر گیٹ کے اصولوں کا نظریہ یہ ہے کہ قواعد اوپر سے نیچے تک، پہلے کام کرنے والے تک نافذ کیے جاتے ہیں۔ مندرجہ بالا کی بنیاد پر، یہ مندرجہ ذیل ہے کہ زیادہ مخصوص قواعد زیادہ عام قواعد سے زیادہ ہونے چاہئیں۔ لیکن یہ واضح رہے کہ چونکہ قواعد کو ترتیب سے چیک کیا جاتا ہے، اس لیے کارکردگی کے لحاظ سے عمومی اصول بنانا بہتر ہے۔ کوئی بھی قاعدہ بناتے وقت شرائط کا اطلاق "AND" منطق کے مطابق ہوتا ہے۔ اگر "OR" منطق کو استعمال کرنا ضروری ہے، تو یہ کئی اصول بنا کر حاصل کیا جاتا ہے۔ تو اس مضمون میں جو کچھ بیان کیا گیا ہے وہ UserGate کی دیگر پالیسیوں پر لاگو ہوتا ہے۔

فائر وال

یوزر گیٹ انسٹال کرنے کے بعد، "فائر وال" سیکشن میں پہلے سے ہی ایک سادہ پالیسی موجود ہے۔ پہلے دو اصول بوٹنیٹس پر ٹریفک سے انکار کرتے ہیں۔ مختلف زونز سے رسائی کے قوانین کی مثالیں درج ذیل ہیں۔ آخری اصول کو ہمیشہ "Block all" کہا جاتا ہے اور اسے پیڈلاک کی علامت کے ساتھ نشان زد کیا جاتا ہے (اس کا مطلب یہ ہے کہ اصول کو حذف، ترمیم، منتقل، غیر فعال نہیں کیا جا سکتا، آپ اس کے لیے صرف لاگنگ آپشن کو فعال کر سکتے ہیں)۔ اس طرح، اس قاعدے کی وجہ سے، وہ تمام ٹریفک جن کی واضح طور پر اجازت نہیں ہے، آخری اصول کے ذریعے بلاک کر دی جائے گی۔ اگر آپ UserGate کے ذریعے تمام ٹریفک کی اجازت دینا چاہتے ہیں (حالانکہ اس کی سختی سے سفارش نہیں کی جاتی ہے)، تو آپ ہمیشہ "سب کو اجازت دیں" اصول بنا سکتے ہیں۔

فائر وال کے اصول میں ترمیم یا تخلیق کرتے وقت، پہلا عام ٹیب، آپ کو اس پر درج ذیل اقدامات کرنے کی ضرورت ہے: 

• اصول کو فعال یا غیر فعال کرنے کے لیے "آن" چیک باکس کا استعمال کریں۔

• اصول کا نام درج کریں۔

• اصول کی وضاحت مقرر کریں.

• دو اعمال میں سے انتخاب کریں:

  • انکار - ٹریفک کو روکتا ہے (جب یہ شرط سیٹ کی جاتی ہے تو ICMP میزبان کو ناقابل رسائی بھیجنا ممکن ہے، آپ کو صرف مناسب چیک باکس سیٹ کرنے کی ضرورت ہے)۔

  • اجازت - ٹریفک کی اجازت دیتا ہے۔

• منظر نامے کا آئٹم - آپ کو ایک منظر نامے کو منتخب کرنے کی اجازت دیتا ہے، جو کہ قاعدہ کو متحرک کرنے کے لیے ایک اضافی شرط ہے۔ یوزر گیٹ SOAR (سیکیورٹی آرکیسٹریشن، آٹومیشن اور رسپانس) کے تصور کو اس طرح نافذ کرتا ہے۔

• لاگنگ - ٹریفک کے بارے میں معلومات کو لاگ ان کریں جب کوئی اصول ٹرگر ہوتا ہے۔ ممکنہ اختیارات:

  • سیشن کے آغاز کو لاگ ان کریں۔ اس صورت میں، ٹریفک لاگ میں صرف سیشن کے آغاز (پہلا پیکٹ) کے بارے میں معلومات درج کی جائیں گی۔ یہ تجویز کردہ لاگنگ آپشن ہے۔

  • ہر پیکٹ کو لاگ ان کریں۔ اس صورت میں، ہر منتقل شدہ نیٹ ورک پیکٹ کے بارے میں معلومات ریکارڈ کی جائیں گی۔ اس موڈ کے لیے، زیادہ ڈیوائس لوڈ کو روکنے کے لیے لاگنگ کی حد کو فعال کرنے کی سفارش کی جاتی ہے۔

• اس پر اصول لاگو کریں:

  • تمام پیکجز

  • بکھرے ہوئے پیکٹوں کو

  • غیر بکھرے ہوئے پیکٹوں کو

• نیا اصول بناتے وقت، آپ پالیسی میں ایک مقام منتخب کر سکتے ہیں۔

اگلا "ماخذ" ٹیب. یہاں ہم ٹریفک کا ذریعہ بتاتے ہیں؛ یہ وہ زون ہو سکتا ہے جہاں سے ٹریفک آتی ہے، یا آپ ایک فہرست یا مخصوص IP ایڈریس (Geoip) بتا سکتے ہیں۔ ڈیوائس میں سیٹ کیے جانے والے تقریباً تمام اصولوں میں، ایک قاعدے سے ایک آبجیکٹ بنایا جا سکتا ہے، مثال کے طور پر، "زون" سیکشن میں جانے کے بغیر، آپ زون بنانے کے لیے "ایک نیا آبجیکٹ بنائیں اور شامل کریں" بٹن استعمال کر سکتے ہیں۔ ہمیں ضرورت ہے. "انورٹ" چیک باکس کا بھی اکثر سامنا ہوتا ہے؛ یہ قاعدہ کی حالت میں کارروائی کو اس کے برعکس بدل دیتا ہے، جو کہ نفی کے منطقی عمل کی طرح ہے۔ منزل کا ٹیب سورس ٹیب کی طرح، صرف ٹریفک کے ذریعہ کے بجائے ہم ٹریفک کی منزل کا تعین کرتے ہیں۔ صارفین کا ٹیب - اس جگہ آپ صارفین یا گروپس کی فہرست شامل کر سکتے ہیں جن کے لیے یہ اصول لاگو ہوتا ہے۔ سروس ٹیب - پہلے سے طے شدہ سروس سے سروس کی قسم منتخب کریں یا آپ خود سیٹ کر سکتے ہیں۔ ایپلیکیشن ٹیب — یہاں مخصوص ایپلی کیشنز یا ایپلی کیشنز کے گروپس کو منتخب کیا گیا ہے۔ اور ٹائم ٹیب اس وقت کی نشاندہی کریں جب یہ اصول فعال ہو۔ 

آخری سبق سے ہمارے پاس "ٹرسٹ" زون سے انٹرنیٹ تک رسائی کا ایک اصول ہے، اب میں مثال کے طور پر دکھاؤں گا کہ "ٹرسٹ" زون سے "ناقابل اعتماد" زون تک ICMP ٹریفک کے لیے انکار کا اصول کیسے بنایا جائے۔

سب سے پہلے، "شامل کریں" کے بٹن پر کلک کرکے ایک اصول بنائیں۔ کھلنے والی ونڈو میں، عام ٹیب پر، نام پُر کریں (ICMP کو بھروسہ مند سے ناقابل اعتماد تک پر پابندی لگائیں)، "آن" چیک باکس کو چیک کریں، بلاک کرنے کے لیے ایکشن منتخب کریں اور سب سے اہم بات یہ ہے کہ اس اصول کے لیے صحیح جگہ کا انتخاب کریں۔ میری پالیسی کے مطابق، یہ قاعدہ "قابل اعتماد کو اجازت دیں" اصول کے اوپر واقع ہونا چاہیے:

"ماخذ" ٹیب پر، میرے کام کے لیے دو اختیارات ہیں:

• "ٹرسٹڈ" زون کا انتخاب کرنا

• "ٹرسٹڈ" کے علاوہ تمام زونز کو منتخب کرنا اور "انورٹ" چیک باکس کو چیک کرنا

"منزل" ٹیب کو "ماخذ" ٹیب کی طرح ترتیب دیا گیا ہے۔

اس کے بعد، "سروس" ٹیب پر جائیں، چونکہ UserGate کے پاس ICMP ٹریفک کے لیے پہلے سے طے شدہ سروس ہے، پھر "Add" بٹن پر کلک کرکے، ہم مجوزہ فہرست میں سے "Any ICMP" نام کے ساتھ ایک سروس منتخب کرتے ہیں:

شاید یوزر گیٹ کے تخلیق کاروں کا یہی ارادہ تھا، لیکن میں کئی مکمل طور پر ایک جیسے قوانین بنانے میں کامیاب رہا۔ اگرچہ فہرست میں سے صرف پہلے اصول پر عمل کیا جائے گا، میرے خیال میں ایک ہی نام کے ساتھ مختلف فعالیت کے قواعد بنانے کی صلاحیت اس وقت الجھن پیدا کر سکتی ہے جب کئی ڈیوائس ایڈمنسٹریٹر کام کرتے ہیں۔

NAT اور روٹنگ

NAT قوانین بناتے وقت، ہم کئی ایک جیسے ٹیبز دیکھتے ہیں، جیسا کہ فائر وال کے لیے۔ "ٹائپ" فیلڈ "جنرل" ٹیب پر ظاہر ہوا، یہ آپ کو یہ انتخاب کرنے کی اجازت دیتا ہے کہ یہ اصول کس چیز کے لیے ذمہ دار ہو گا:

• NAT - نیٹ ورک ایڈریس کا ترجمہ۔

• DNAT - ٹریفک کو مخصوص IP ایڈریس پر ری ڈائریکٹ کرتا ہے۔

• پورٹ فارورڈنگ - ٹریفک کو مخصوص آئی پی ایڈریس پر ری ڈائریکٹ کرتا ہے، لیکن آپ کو شائع شدہ سروس کا پورٹ نمبر تبدیل کرنے کی اجازت دیتا ہے

• پالیسی پر مبنی روٹنگ - آپ کو توسیعی معلومات، جیسے خدمات، میک ایڈریسز، یا سرورز (IP ایڈریسز) کی بنیاد پر آئی پی پیکٹ کو روٹ کرنے کی اجازت دیتا ہے۔

• نیٹ ورک میپنگ - آپ کو ایک نیٹ ورک کے ماخذ یا منزل آئی پی ایڈریس کو دوسرے نیٹ ورک سے تبدیل کرنے کی اجازت دیتا ہے۔

مناسب اصول کی قسم کو منتخب کرنے کے بعد، اس کی ترتیبات دستیاب ہوں گی۔

SNAT IP (بیرونی ایڈریس) فیلڈ میں، ہم واضح طور پر IP ایڈریس کی وضاحت کرتے ہیں جس پر سورس ایڈریس کو تبدیل کیا جائے گا۔ اس فیلڈ کی ضرورت ہے اگر منزل کے زون میں انٹرفیس کے لیے متعدد IP پتے تفویض کیے گئے ہوں۔ اگر آپ اس فیلڈ کو خالی چھوڑ دیتے ہیں، تو سسٹم ڈیسٹینیشن زون انٹرفیس کو تفویض کردہ دستیاب IP پتوں کی فہرست میں سے ایک بے ترتیب پتہ استعمال کرے گا۔ UserGate فائر وال کی کارکردگی کو بہتر بنانے کے لیے SNAT IP کی وضاحت کرنے کی تجویز کرتا ہے۔

مثال کے طور پر، میں "پورٹ فارورڈنگ" اصول کا استعمال کرتے ہوئے "DMZ" زون میں واقع ونڈوز سرور پر ایک SSH سروس شائع کروں گا۔ ایسا کرنے کے لیے، "ایڈ" بٹن پر کلک کریں اور "جنرل" ٹیب کو پُر کریں، "SSH ٹو ونڈوز" کے اصول کا نام اور "پورٹ فارورڈنگ" ٹائپ کریں:

"ماخذ" ٹیب پر، "ناقابل اعتماد" زون کو منتخب کریں اور "پورٹ فارورڈنگ" ٹیب پر جائیں۔ یہاں ہمیں "TCP" پروٹوکول کی وضاحت کرنی چاہیے (چار اختیارات دستیاب ہیں - TCP، UDP، SMTP، SMTPS)۔ اصل منزل کی بندرگاہ 9922 ہے - وہ پورٹ نمبر جس پر صارف درخواستیں بھیجتے ہیں (پورٹس استعمال نہیں کی جا سکتیں: 2200, 8001, 4369, 9000-9100)۔ نئی منزل کی بندرگاہ (22) - وہ پورٹ نمبر جس پر صارف کی درخواستیں اندرونی شائع شدہ سرور کو بھیجی جائیں گی۔

"DNAT" ٹیب پر، مقامی نیٹ ورک پر کمپیوٹر کا IP ایڈریس سیٹ کریں، جو انٹرنیٹ پر شائع ہوتا ہے (192.168.3.2)۔ اور اختیاری طور پر آپ SNAT کو فعال کر سکتے ہیں، پھر UserGate بیرونی نیٹ ورک سے پیکٹ میں سورس ایڈریس کو اپنے IP ایڈریس میں تبدیل کر دے گا۔

تمام سیٹنگز کے بعد، آپ کو ایک قاعدہ ملتا ہے جو آپ کو کنیکٹ کرتے وقت بیرونی UserGate ایڈریس کا استعمال کرتے ہوئے SSH کے ذریعے IP ایڈریس 192.168.3.2 والے سرور تک "ناقابل اعتماد" زون سے رسائی حاصل کرنے کی اجازت دیتا ہے۔

بینڈوڈتھ

یہ سیکشن بینڈوتھ کے نظم و نسق کے لیے اصول بتاتا ہے۔ ان کا استعمال بعض صارفین، میزبانوں، خدمات، ایپلیکیشنز کے چینل کو محدود کرنے کے لیے کیا جا سکتا ہے۔

ایک اصول بناتے وقت، ٹیبز پر موجود حالات ٹریفک کا تعین کرتے ہیں جس پر پابندیاں لاگو ہوتی ہیں۔ آپ پیش کردہ بینڈوڈتھ کو منتخب کر سکتے ہیں، یا خود سیٹ کر سکتے ہیں۔ بینڈوڈتھ بناتے وقت، آپ DSCP ٹریفک کی ترجیح کا لیبل بتا سکتے ہیں۔ DSCP لیبلز کے لاگو ہونے کی ایک مثال: ایک اصول میں اس منظر نامے کی وضاحت کر کے جس میں یہ اصول لاگو ہوتا ہے، پھر یہ اصول خود بخود ان لیبلز کو تبدیل کر سکتا ہے۔ اسکرپٹ کیسے کام کرتا ہے اس کی ایک اور مثال: یہ اصول صارف کے لیے صرف اس وقت کام کرے گا جب ٹورینٹ کا پتہ چل جائے یا ٹریفک کی مقدار ایک مخصوص حد سے تجاوز کر جائے۔ ہم باقی ٹیبز کو اسی طرح بھرتے ہیں جیسے دوسری پالیسیوں میں، ٹریفک کی قسم کی بنیاد پر جس پر اصول لاگو کیا جانا چاہیے۔

حاصل يہ ہوا

اس مضمون میں، میں نے "فائر وال"، "NAT اور روٹنگ" اور "بینڈ وڈتھ" سیکشنز میں قواعد بنانے پر غور کیا۔ اور مضمون کے بالکل شروع میں، میں نے UserGate پالیسیاں بنانے کے اصولوں کے ساتھ ساتھ ایک اصول بناتے وقت حالات کے آپریشن کے اصول کو بھی بیان کیا تھا۔ 

اپ ڈیٹس کے لیے ہمارے چینلز کو فالو کریں (تار, فیس بک, VK, ٹی ایس حل بلاگ)!

ماخذ: www.habr.com