Tôi chào mừng độc giả đến với bài viết thứ ba trong loạt bài Bắt đầu UserGate, nói về giải pháp NGFW từ công ty . Trong bài viết trước, quá trình cài đặt tường lửa đã được mô tả và cấu hình ban đầu của nó đã được thực hiện. Hiện tại, chúng ta sẽ xem xét kỹ hơn việc tạo quy tắc trong các phần như Tường lửa, NAT và Định tuyến và Băng thông.
Hệ tư tưởng của các quy tắc UserGate, sao cho các quy tắc được thực thi từ trên xuống dưới, cho đến khi quy tắc đầu tiên hoạt động. Dựa trên những điều trên, có thể thấy rằng các quy tắc cụ thể hơn nên cao hơn các quy tắc chung hơn. Nhưng cần lưu ý, vì các quy tắc được kiểm tra theo thứ tự nên việc tạo các quy tắc chung sẽ tốt hơn về mặt hiệu suất. Khi tạo bất kỳ quy tắc nào, các điều kiện được áp dụng theo logic “VÀ”. Nếu cần sử dụng logic “HOẶC”, thì điều này đạt được bằng cách tạo một số quy tắc. Vì vậy, những gì được mô tả trong bài viết này cũng áp dụng cho các chính sách UserGate khác.
Bức tường lửa
Sau khi cài đặt UserGate, đã có một chính sách đơn giản trong phần “Tường lửa”. Hai quy tắc đầu tiên cấm lưu lượng cho botnet. Sau đây là các ví dụ về quy tắc truy cập từ các vùng khác nhau. Quy tắc cuối cùng luôn được gọi là “Chặn tất cả” và được đánh dấu bằng biểu tượng khóa (có nghĩa là không thể xóa, sửa đổi, di chuyển, vô hiệu hóa quy tắc này, quy tắc này chỉ có thể được bật cho tùy chọn ghi nhật ký). Do đó, do quy tắc này, tất cả lưu lượng không được phép rõ ràng sẽ bị chặn bởi quy tắc cuối cùng. Nếu bạn muốn cho phép tất cả lưu lượng truy cập thông qua UserGate (mặc dù điều này không được khuyến khích), bạn luôn có thể tạo quy tắc áp chót “Cho phép tất cả”.
Khi chỉnh sửa hoặc tạo quy tắc tường lửa, điều đầu tiên Tab chung, bạn cần làm như sau:
-
Hộp kiểm "Bật" bật hoặc tắt quy tắc.
-
nhập tên của quy tắc.
-
đặt mô tả của quy tắc.
-
chọn từ hai hành động:
-
Từ chối - chặn lưu lượng truy cập (khi đặt điều kiện này, có thể gửi máy chủ ICMP không thể truy cập được, bạn chỉ cần đặt hộp kiểm thích hợp).
-
Cho phép - cho phép lưu lượng truy cập.
-
-
Mục kịch bản - cho phép bạn chọn một kịch bản, đây là điều kiện bổ sung để kích hoạt quy tắc. Đây là cách UserGate triển khai khái niệm SOAR (Điều phối bảo mật, Tự động hóa và Phản hồi).
-
Ghi nhật ký — ghi lại thông tin về lưu lượng khi một quy tắc được kích hoạt. tùy chọn có thể:
-
Ghi nhật ký bắt đầu phiên. Trong trường hợp này, chỉ thông tin về phần đầu của phiên (gói đầu tiên) sẽ được ghi vào nhật ký lưu lượng. Đây là tùy chọn ghi nhật ký được khuyến nghị.
-
Đăng nhập mỗi gói. Trong trường hợp này, thông tin về từng gói mạng được truyền sẽ được ghi lại. Đối với chế độ này, bạn nên bật giới hạn ghi nhật ký để tránh tải thiết bị cao.
-
-
Áp dụng quy tắc cho:
-
Tất cả các gói
-
thành các gói bị phân mảnh
-
thành các gói không bị phân mảnh
-
-
Khi tạo quy tắc mới, bạn có thể chọn một vị trí trong chính sách.
tiếp theo tab nguồn. Ở đây chúng tôi chỉ ra nguồn lưu lượng truy cập, nó có thể là vùng mà lưu lượng truy cập đến hoặc bạn có thể chỉ định một danh sách hoặc một địa chỉ ip cụ thể (Geoip). Trong hầu hết tất cả các quy tắc có thể được đặt trong thiết bị, một đối tượng có thể được tạo từ một quy tắc, chẳng hạn như không cần vào phần “Vùng”, bạn có thể sử dụng nút “Tạo và thêm đối tượng mới” để tạo vùng chúng tôi cần. Hộp kiểm “Đảo ngược” cũng thường được tìm thấy, nó đảo ngược hành động trong điều kiện của quy tắc, tương tự như phủ định hành động logic. Thẻ đích tương tự như tab nguồn, nhưng thay vì nguồn lưu lượng truy cập, chúng tôi đặt đích lưu lượng truy cập. Thẻ người dùng - tại nơi này, bạn có thể thêm danh sách người dùng hoặc nhóm áp dụng quy tắc này. tab dịch vụ - chọn loại dịch vụ từ loại đã được xác định trước hoặc bạn có thể đặt loại của riêng mình. tab ứng dụng - các ứng dụng hoặc nhóm ứng dụng cụ thể được chọn tại đây. VÀ tab thời gian chỉ định thời gian khi quy tắc này hoạt động.
Kể từ bài học trước, chúng ta đã có quy tắc truy cập Internet từ vùng “Tin cậy”, bây giờ tôi sẽ lấy ví dụ làm ví dụ về cách tạo quy tắc từ chối cho lưu lượng ICMP từ vùng “Tin cậy” sang vùng “Không tin cậy”.
Đầu tiên, tạo quy tắc bằng cách nhấp vào nút “Thêm”. Trong cửa sổ mở ra, trên tab chung, hãy điền tên (Hạn chế ICMP từ đáng tin cậy sang không đáng tin cậy), đánh dấu vào hộp kiểm “Bật”, chọn hành động tắt và quan trọng nhất là chọn vị trí chính xác cho quy tắc này. Theo chính sách của tôi, quy tắc này phải được đặt phía trên quy tắc "Cho phép tin cậy thành không tin cậy":
Trên tab “Nguồn” cho nhiệm vụ của tôi, có hai tùy chọn:
-
Bằng cách chọn vùng “Tin cậy”
-
Bằng cách chọn tất cả các vùng ngoại trừ “Tin cậy” và đánh dấu vào hộp kiểm “Đảo ngược”
Tab Đích được cấu hình tương tự như tab Nguồn.
Tiếp theo, chuyển đến tab "Dịch vụ", vì UserGate có dịch vụ được xác định trước cho lưu lượng ICMP, sau đó bằng cách nhấp vào nút "Thêm", chúng tôi chọn một dịch vụ có tên "Bất kỳ ICMP" từ danh sách được đề xuất:
Có lẽ đây là ý định của những người tạo UserGate, nhưng tôi đã cố gắng tạo ra một số quy tắc hoàn toàn giống hệt nhau. Mặc dù chỉ quy tắc đầu tiên trong danh sách sẽ được thực thi, nhưng tôi nghĩ khả năng tạo quy tắc có cùng tên nhưng khác về chức năng có thể gây nhầm lẫn khi một số quản trị viên thiết bị làm việc.
NAT và định tuyến
Khi tạo quy tắc NAT, chúng tôi thấy một số tab tương tự như đối với tường lửa. Trường "Loại" xuất hiện trên tab "Chung", nó cho phép bạn chọn quy tắc này sẽ chịu trách nhiệm cho những gì:
-
NAT - Dịch địa chỉ mạng.
-
DNAT - Chuyển hướng lưu lượng truy cập đến địa chỉ IP được chỉ định.
-
Chuyển tiếp cổng - Chuyển hướng lưu lượng truy cập đến địa chỉ IP được chỉ định, nhưng cho phép bạn thay đổi số cổng của dịch vụ đã xuất bản
-
Định tuyến dựa trên chính sách - Cho phép bạn định tuyến các gói IP dựa trên thông tin mở rộng, chẳng hạn như dịch vụ, địa chỉ MAC hoặc máy chủ (địa chỉ IP).
-
Ánh xạ mạng - Cho phép bạn thay thế địa chỉ IP nguồn hoặc đích của một mạng bằng một mạng khác.
Sau khi chọn loại quy tắc thích hợp, cài đặt cho nó sẽ khả dụng.
Trong trường SNAT IP (địa chỉ bên ngoài), chúng tôi chỉ định rõ ràng địa chỉ IP mà địa chỉ nguồn sẽ được thay thế. Trường này là bắt buộc nếu có nhiều địa chỉ IP được gán cho các giao diện trong vùng đích. Nếu bạn để trống trường này, hệ thống sẽ sử dụng một địa chỉ ngẫu nhiên từ danh sách các địa chỉ IP khả dụng được gán cho giao diện vùng đích. UserGate khuyến nghị chỉ định SNAT IP để cải thiện hiệu suất tường lửa.
Ví dụ: tôi sẽ xuất bản dịch vụ SSH của máy chủ Windows nằm trong vùng “DMZ” bằng cách sử dụng quy tắc “chuyển tiếp cổng”. Để thực hiện việc này, hãy nhấp vào nút “Thêm” và điền vào tab “Chung”, chỉ định tên của quy tắc “SSH to Windows” và loại “Chuyển tiếp cổng”:
Trên tab “Nguồn”, hãy chọn vùng “Không đáng tin cậy” và chuyển đến tab “Chuyển tiếp cổng”. Ở đây chúng ta phải chỉ định giao thức “TCP” (có bốn tùy chọn - TCP, UDP, SMTP, SMTPS). Cổng đích ban đầu 9922 — số cổng mà người dùng gửi yêu cầu (không thể sử dụng các cổng: 2200, 8001, 4369, 9000-9100). Cổng đích mới (22) là số cổng mà người dùng yêu cầu tới máy chủ đã xuất bản nội bộ sẽ được chuyển tiếp.
Trên tab DNA DNAT, hãy đặt địa chỉ IP của máy tính trên mạng cục bộ, được xuất bản trên Internet (192.168.3.2). Và bạn có thể tùy chọn kích hoạt SNAT, khi đó UserGate sẽ thay đổi địa chỉ nguồn trong các gói tin từ mạng bên ngoài thành địa chỉ IP của chính nó.
Sau tất cả các cài đặt, một quy tắc sẽ thu được cho phép truy cập từ vùng “Không đáng tin cậy” đến máy chủ có địa chỉ IP 192.168.3.2 thông qua giao thức SSH, sử dụng địa chỉ UserGate bên ngoài khi kết nối.
Băng thông
Phần này xác định các quy tắc để kiểm soát băng thông. Chúng có thể được sử dụng để hạn chế kênh của một số người dùng, máy chủ, dịch vụ, ứng dụng.
Khi tạo quy tắc, các điều kiện trên các tab sẽ xác định lưu lượng truy cập áp dụng các hạn chế. Băng thông có thể được chọn từ đề xuất hoặc đặt băng thông của riêng bạn. Khi tạo băng thông, bạn có thể chỉ định nhãn ưu tiên lưu lượng DSCP. Một ví dụ về thời điểm nhãn DSCP được áp dụng: bằng cách chỉ định trong quy tắc tình huống áp dụng quy tắc này, thì quy tắc này có thể tự động thay đổi các nhãn này. Một ví dụ khác về cách hoạt động của tập lệnh: quy tắc sẽ chỉ hoạt động đối với người dùng khi phát hiện thấy một torrent hoặc lượng lưu lượng truy cập vượt quá giới hạn đã chỉ định. Các tab còn lại được điền theo cách tương tự như trong các chính sách khác, dựa trên loại lưu lượng truy cập mà quy tắc sẽ được áp dụng.
Kết luận
Trong bài viết này, tôi đã đề cập đến việc tạo các quy tắc trong các phần Tường lửa, NAT và Định tuyến và Băng thông. Và ở phần đầu của bài viết, anh ấy đã mô tả các quy tắc để tạo chính sách UserGate, cũng như nguyên tắc của các điều kiện khi tạo quy tắc.
Hãy theo dõi để cập nhật trong các kênh của chúng tôi (, , , )!
Nguồn: www.habr.com