3. UserGate-ni ishga tushirish. Tarmoq siyosati

Men o'quvchilarni UserGate Started maqolalar seriyasidagi uchinchi maqola bilan tabriklayman, unda kompaniyaning NGFW yechimi haqida so'z boradi. UserGate. Oxirgi maqolada xavfsizlik devorini o'rnatish jarayoni tasvirlangan va uning dastlabki konfiguratsiyasi amalga oshirilgan. Hozircha biz xavfsizlik devori, NAT va marshrutlash va tarmoqli kengligi kabi bo'limlarda qoidalar yaratishni batafsil ko'rib chiqamiz.

UserGate qoidalarining mafkurasi shundayki, qoidalar yuqoridan pastgacha, birinchisi ishlaguncha bajariladi. Yuqoridagilardan kelib chiqqan holda, aniqroq qoidalar umumiy qoidalardan yuqori bo'lishi kerak. Ammo shuni ta'kidlash kerakki, qoidalar tartibda tekshirilganligi sababli, umumiy qoidalarni yaratish ishlash nuqtai nazaridan yaxshiroqdir. Har qanday qoidani yaratishda shartlar "VA" mantig'iga muvofiq qo'llaniladi. Agar "OR" mantig'idan foydalanish kerak bo'lsa, bunga bir nechta qoidalarni yaratish orqali erishiladi. Shunday qilib, ushbu maqolada tasvirlanganlar boshqa UserGate siyosatlariga ham tegishli.

Xavfsizlik devori

UserGate-ni o'rnatgandan so'ng, "Xavfsizlik devori" bo'limida allaqachon oddiy siyosat mavjud. Birinchi ikkita qoida botnetlar uchun trafikni taqiqlaydi. Quyida turli zonalardan kirish qoidalariga misollar keltirilgan. Oxirgi qoida har doim "Hammasini bloklash" deb nomlanadi va qulflash belgisi bilan belgilanadi (bu qoidani o'chirish, o'zgartirish, ko'chirish, o'chirib bo'lmaydi, uni faqat ro'yxatga olish opsiyasi uchun yoqish mumkin). Shunday qilib, ushbu qoida tufayli, barcha aniq ruxsat berilmagan trafik oxirgi qoida bilan bloklanadi. Agar siz UserGate orqali barcha trafikka ruxsat bermoqchi bo'lsangiz (garchi bu qat'iy tavsiya etilmaydi), siz har doim "Hammasiga ruxsat berish" oxirgi qoidasini yaratishingiz mumkin.

Xavfsizlik devori qoidasini tahrirlash yoki yaratishda birinchi Umumiy yorliq, siz quyidagilarni qilishingiz kerak: 

• Qoidani yoqish yoki o'chirish "On" katagiga belgi qo'ying.

• qoida nomini kiriting.

• qoida tavsifini belgilang.

• ikkita harakatdan birini tanlang:

  • Rad etish - trafikni bloklaydi (ushbu shartni o'rnatishda ICMP xostiga kirish imkoni bo'lmagan holda yuborish mumkin, siz faqat tegishli katakchani o'rnatishingiz kerak).

  • Ruxsat berish - trafikka ruxsat berish.

• Ssenariy elementi - stsenariyni tanlash imkonini beradi, bu qoidani yoqish uchun qo'shimcha shartdir. UserGate SOAR (Security Orchestration, Automation and Response) kontseptsiyasini shunday amalga oshiradi.

• Jurnalga yozish — qoida ishga tushirilganda tirbandlik haqidagi maʼlumotlarni jurnalga yozish. Mumkin variantlar:

  • Seans boshlanishini qayd qiling. Bunday holda, trafik jurnaliga faqat seansning boshlanishi haqidagi ma'lumot (birinchi paket) yoziladi. Bu tavsiya etilgan ro'yxatga olish variantidir.

  • Har bir paketni qayd qiling. Bunday holda, har bir uzatilgan tarmoq paketi haqida ma'lumot yoziladi. Ushbu rejim uchun qurilmaning yuqori yuklanishini oldini olish uchun ro'yxatga olish chegarasini yoqish tavsiya etiladi.

• Qoidani qo'llash:

  • Barcha paketlar

  • parchalangan paketlarga

  • parchalanmagan paketlarga

• Yangi qoida yaratishda siz siyosatdagi joyni tanlashingiz mumkin.

Keyingi Manba yorlig'i. Bu erda biz trafik manbasini ko'rsatamiz, bu trafik keladigan zona bo'lishi mumkin yoki siz ro'yxatni yoki ma'lum bir IP-manzilni (Geoip) belgilashingiz mumkin. Qurilmada o'rnatilishi mumkin bo'lgan deyarli barcha qoidalarda ob'ektni qoidadan yaratish mumkin, masalan, "Zonlar" bo'limiga o'tmasdan, zonani yaratish uchun "Yangi ob'ekt yaratish va qo'shish" tugmasidan foydalanishingiz mumkin. bizga kerak. "Invert" katakchasi ham keng tarqalgan bo'lib, u qoida holatidagi harakatni teskari qiladi, bu mantiqiy harakatni inkor etishga o'xshaydi. Mo‘ljal yorlig‘i manba yorlig'iga o'xshash, lekin trafik manbasi o'rniga biz trafik maqsadini o'rnatamiz. Foydalanuvchilar yorlig'i - bu joyga siz ushbu qoida amal qiladigan foydalanuvchilar yoki guruhlar ro'yxatini qo'shishingiz mumkin. Xizmat yorlig'i - oldindan belgilanganidan xizmat turini tanlang yoki o'zingiz o'rnatishingiz mumkin. Ilova yorlig'i - bu yerda maxsus ilovalar yoki ilovalar guruhlari tanlanadi. VA Vaqt yorlig'i ushbu qoida faol bo'lgan vaqtni belgilang. 

Oxirgi darsdan boshlab bizda "Ishonchli" zonadan Internetga kirish qoidasi mavjud, endi men misol sifatida "Ishonch" zonasidan "Ishonchsiz" zonaga ICMP trafigini rad etish qoidasini qanday yaratishni ko'rsataman.

Birinchidan, "Qo'shish" tugmasini bosish orqali qoida yarating. Ochilgan oynada, umumiy yorliqda, nomni to'ldiring (ICMPni ishonchlidan ishonchsizga cheklash), "Yoqish" katagiga belgi qo'ying, o'chirish amalini tanlang va eng muhimi, ushbu qoidaning joylashishini to'g'ri tanlang. Mening siyosatimga ko'ra, bu qoida "Ishonchlilarga ishonchsizlarga ruxsat berish" qoidasidan yuqoriga joylashtirilishi kerak:

Mening vazifam uchun "Manba" yorlig'ida ikkita variant mavjud:

• "Ishonchli" zonani tanlash orqali

• "Ishonchli" dan tashqari barcha zonalarni tanlash va "Invert" katagiga belgi qo'yish orqali

Destination yorlig'i Manba yorlig'iga o'xshash tarzda sozlangan.

Keyinchalik, "Xizmat" yorlig'iga o'ting, chunki UserGate-da ICMP trafiki uchun oldindan belgilangan xizmat mavjud, keyin "Qo'shish" tugmasini bosish orqali biz taklif qilingan ro'yxatdan "Har qanday ICMP" nomi bilan xizmatni tanlaymiz:

Ehtimol, bu UserGate yaratuvchilarning niyati edi, lekin men bir nechta mutlaqo bir xil qoidalarni yaratishga muvaffaq bo'ldim. Garchi ro'yxatdagi faqat birinchi qoida bajarilsa-da, menimcha, bir xil nomdagi funktsiyalari bilan farq qiladigan qoidalarni yaratish qobiliyati bir nechta qurilma ma'murlari ishlaganda chalkashlikka olib kelishi mumkin.

NAT va marshrutlash

NAT qoidalarini yaratishda biz xavfsizlik devoriga o'xshash bir nechta yorliqlarni ko'ramiz. "Umumiy" yorlig'ida "Tur" maydoni paydo bo'ldi, bu sizga ushbu qoida nima uchun javobgar bo'lishini tanlash imkonini beradi:

• NAT - Tarmoq manzilini tarjima qilish.

• DNAT - trafikni belgilangan IP manzilga yo'naltiradi.

• Portni yo'naltirish - trafikni ko'rsatilgan IP manzilga yo'naltiradi, lekin nashr etilgan xizmatning port raqamini o'zgartirishga imkon beradi

• Siyosatga asoslangan marshrutlash - xizmatlar, MAC manzillari yoki serverlar (IP manzillar) kabi kengaytirilgan ma'lumotlarga asoslangan IP-paketlarni yo'naltirish imkonini beradi.

• Tarmoq xaritasi - bir tarmoqning manba yoki maqsad IP manzillarini boshqa tarmoq bilan almashtirish imkonini beradi.

Tegishli qoida turini tanlagandan so'ng, uning sozlamalari mavjud bo'ladi.

SNAT IP (tashqi manzil) maydonida biz manba manzili almashtiriladigan IP-manzilni aniq belgilaymiz. Belgilangan zonadagi interfeyslarga bir nechta IP-manzillar tayinlangan bo'lsa, bu maydon talab qilinadi. Agar siz ushbu maydonni bo'sh qoldirsangiz, tizim maqsad zonasi interfeyslariga tayinlangan mavjud IP manzillar ro'yxatidagi tasodifiy manzildan foydalanadi. UserGate xavfsizlik devori ish faoliyatini yaxshilash uchun SNAT IP-ni ko'rsatishni tavsiya qiladi.

Misol uchun, men "portni yo'naltirish" qoidasidan foydalangan holda "DMZ" zonasida joylashgan Windows serverining SSH xizmatini nashr etaman. Buni amalga oshirish uchun "Qo'shish" tugmasini bosing va "Umumiy" yorlig'ini to'ldiring, "Windows-ga SSH" qoidasining nomini va "Portni yo'naltirish" turini belgilang:

"Manba" yorlig'ida "Ishonchsiz" zonani tanlang va "Portni yo'naltirish" yorlig'iga o'ting. Bu erda biz "TCP" protokolini ko'rsatishimiz kerak (to'rtta variant mavjud - TCP, UDP, SMTP, SMTPS). Asl maqsad porti 9922 — foydalanuvchilar soʻrov yuboradigan port raqami (portlar: 2200, 8001, 4369, 9000-9100 ishlatib boʻlmaydi). Yangi maqsad port (22) foydalanuvchining ichki nashr etilgan serverga so'rovlari yo'naltiriladigan port raqamidir.

"DNAT" yorlig'ida Internetda nashr etilgan mahalliy tarmoqdagi kompyuterning IP-manzilini o'rnating (192.168.3.2). Va siz ixtiyoriy ravishda SNAT-ni yoqishingiz mumkin, keyin UserGate paketlardagi manba manzilini tashqi tarmoqdan o'zining IP manziliga o'zgartiradi.

Barcha sozlamalardan so'ng, ulanishda tashqi UserGate manzilidan foydalanib, SSH protokoli orqali 192.168.3.2 IP-manzilli serverga "Ishonchsiz" zonadan kirishga ruxsat beruvchi qoida olinadi.

Bandwidth

Ushbu bo'lim tarmoqli kengligi nazorat qilish qoidalarini belgilaydi. Ular ma'lum foydalanuvchilar, xostlar, xizmatlar, ilovalarning kanalini cheklash uchun ishlatilishi mumkin.

Qoida yaratishda yorliqlardagi shartlar cheklovlar qo'llaniladigan trafikni aniqlaydi. O'tkazish qobiliyati taklif qilinganlardan tanlanishi yoki o'zingiz belgilashingiz mumkin. O'tkazish qobiliyatini yaratishda siz DSCP trafik ustuvorligi yorlig'ini belgilashingiz mumkin. DSCP teglari qachon qo'llanilishiga misol: qoidada ushbu qoida qo'llaniladigan stsenariyni ko'rsatish orqali bu qoida avtomatik ravishda ushbu teglarni o'zgartirishi mumkin. Skript qanday ishlashiga yana bir misol: qoida foydalanuvchi uchun faqat torrent aniqlanganda yoki trafik miqdori belgilangan chegaradan oshib ketganda ishlaydi. Qolgan yorliqlar qoida qo'llanilishi kerak bo'lgan trafik turiga qarab boshqa siyosatlardagi kabi to'ldiriladi.

xulosa

Ushbu maqolada men Firewall, NAT va Routing va Bandwidth bo'limlarida qoidalar yaratishni ko'rib chiqdim. Va maqolaning boshida u UserGate siyosatlarini yaratish qoidalarini, shuningdek, qoida yaratishda shartlar printsipini tasvirlab berdi. 

Kanallarimizdagi yangiliklarni kuzatib boring (Telegram, Facebook, VK, TS yechimlari blogi)!

Manba: www.habr.com