Kaabọ awọn oluka si nkan kẹta ni UserGate Bibẹrẹ lẹsẹsẹ awọn nkan, eyiti o sọrọ nipa ojutu NGFW lati ile-iṣẹ naa . Nkan ti tẹlẹ ṣapejuwe ilana fifi sori ogiriina kan ati ṣe iṣeto ni ibẹrẹ rẹ. Bayi a yoo wo ni pẹkipẹki ni ṣiṣẹda awọn ofin ni awọn apakan bii “Firewall”, “NAT and Routing” ati “Bandiwidi”.
Ero ti awọn ofin UserGate ni pe awọn ofin ti wa ni ṣiṣe lati oke de isalẹ, si akọkọ ti o ṣiṣẹ. Da lori eyi ti o wa loke, o tẹle pe awọn ofin pato diẹ sii yẹ ki o ga ju awọn ofin gbogbogbo lọ. Ṣugbọn o yẹ ki o ṣe akiyesi pe niwọn igba ti a ti ṣayẹwo awọn ofin ni ibere, ni awọn iṣe iṣe o dara lati ṣẹda awọn ofin gbogbogbo. Awọn ipo nigba ṣiṣẹda eyikeyi ofin ni a lo ni ibamu si ọgbọn “AND”. Ti o ba jẹ dandan lati lo ọgbọn “OR”, eyi jẹ aṣeyọri nipasẹ ṣiṣẹda awọn ofin pupọ. Nitorinaa ohun ti a ṣalaye ninu nkan yii kan si awọn eto imulo UserGate miiran.
Ogiriina
Lẹhin fifi UserGate sori ẹrọ, eto imulo ti o rọrun tẹlẹ wa ni apakan “Firewall”. Awọn ofin akọkọ meji kọ ijabọ si awọn botnets. Awọn atẹle jẹ apẹẹrẹ ti awọn ofin iraye si lati awọn agbegbe pupọ. Ofin to kẹhin nigbagbogbo ni a pe ni “Dina gbogbo” ati pe o ti samisi pẹlu aami titiipa (o tumọ si pe ofin ko le paarẹ, yipada, gbe, alaabo, o le mu aṣayan gedu ṣiṣẹ nikan fun rẹ). Nitorinaa, nitori ofin yii, gbogbo awọn ijabọ ti ko gba laaye ni gbangba yoo dina nipasẹ ofin to kẹhin. Ti o ba fẹ gba gbogbo awọn ijabọ laaye nipasẹ UserGate (botilẹjẹpe eyi ko ṣeduro ni pataki), o le ṣẹda ofin “Gba gbogbo” nigbagbogbo.
Nigbati o ba n ṣatunkọ tabi ṣiṣẹda ofin ogiriina, akọkọ Gbogbogbo taabu, o nilo lati ṣe awọn igbesẹ wọnyi lori rẹ:
-
Lo apoti ayẹwo "Lori" lati mu ṣiṣẹ tabi mu ofin naa ṣiṣẹ.
-
tẹ awọn orukọ ti awọn ofin.
-
ṣeto apejuwe ti ofin.
-
yan lati awọn iṣe meji:
-
Kọ - ṣe idiwọ ijabọ (nigbati ipo yii ba ṣeto, o ṣee ṣe lati firanṣẹ alejo gbigba ICMP ko de ọdọ, o kan nilo lati ṣeto apoti ti o yẹ).
-
Gba laaye- faye gba ijabọ.
-
-
Ohun kan ohn - faye gba o lati yan kan ohn, eyi ti o jẹ ẹya afikun majemu fun awọn ofin lati wa ni jeki. Eyi ni bii UserGate ṣe n ṣe imuse SOAR (Aabo Orchestration, Automation ati Idahun) imọran.
-
Wọle - alaye wọle nipa ijabọ nigbati ofin kan ba ṣiṣẹ. Awọn aṣayan to ṣeeṣe:
-
Wọle ibẹrẹ igba. Ni idi eyi, alaye nikan nipa ibẹrẹ igba (pakẹti akọkọ) ni yoo gba silẹ ninu iwe ijabọ. Eyi ni aṣayan iforukọsilẹ ti a ṣeduro.
-
Wọle gbogbo soso. Ni ọran yii, alaye nipa apo-iwe nẹtiwọọki kọọkan ti o tan kaakiri yoo gba silẹ. Fun ipo yii, o gba ọ niyanju lati mu opin gedu ṣiṣẹ lati ṣe idiwọ fifuye ẹrọ giga.
-
-
Lo ofin naa si:
-
Gbogbo awọn idii
-
to fragmented awọn apo-iwe
-
to unfragmented awọn apo-iwe
-
-
Nigbati o ba ṣẹda ofin titun, o le yan ipo kan ninu eto imulo.
Nigbamii ti o wa "Orisun" taabu. Nibi a tọka orisun ti ijabọ naa; eyi le jẹ agbegbe lati eyiti ijabọ naa wa, tabi o le pato atokọ kan tabi adirẹsi IP kan pato (Geoip). Ni fere gbogbo awọn ofin ti o le ṣeto ninu ẹrọ kan, ohun kan le ṣẹda lati ofin kan, fun apẹẹrẹ, laisi lilọ si apakan "Awọn agbegbe", o le lo bọtini "Ṣẹda ati fi ohun titun kan" lati ṣẹda agbegbe naa. anilo. Apoti “Invert” tun jẹ alabapade nigbagbogbo; o yi iṣe pada ni ipo ofin si idakeji, eyiti o jọra si iṣe ọgbọn ti aibikita. Ibi Taabu iru si awọn taabu orisun, nikan dipo ti ijabọ orisun a ṣeto awọn ijabọ nlo. Taabu olumulo - ni aaye yii o le ṣafikun atokọ ti awọn olumulo tabi awọn ẹgbẹ fun eyiti ofin yii kan. taabu iṣẹ - yan iru iṣẹ lati inu ti a ti sọ tẹlẹ tabi o le ṣeto tirẹ. Ohun elo Taabu - nibi awọn ohun elo kan pato tabi awọn ẹgbẹ ti awọn ohun elo ti yan. ATI Time taabu tọkasi akoko nigbati ofin yii nṣiṣẹ.
Lati ẹkọ ti o kẹhin a ni ofin fun iwọle si Intanẹẹti lati agbegbe “Igbẹkẹle”, ni bayi Emi yoo ṣafihan, bi apẹẹrẹ, bii o ṣe le ṣẹda ofin sẹ fun ijabọ ICMP lati agbegbe “Igbẹkẹle” si agbegbe “Aigbẹkẹle”.
Ni akọkọ, ṣẹda ofin kan nipa tite lori bọtini “Fi”. Ninu ferese ti o ṣii, lori taabu gbogbogbo, fọwọsi orukọ naa (Ban ICMP lati igbẹkẹle si alaigbagbọ), ṣayẹwo apoti “Lori”, yan iṣẹ lati dènà ati, pataki julọ, yan ipo to pe fun ofin yii. Gẹgẹbi eto imulo mi, ofin yii yẹ ki o wa loke ofin “Gba igbẹkẹle si alaigbagbọ”:
Lori taabu "Orisun", awọn aṣayan meji wa fun iṣẹ-ṣiṣe mi:
-
Yiyan agbegbe “Igbẹkẹle”.
-
Yiyan gbogbo awọn agbegbe ayafi “Igbẹkẹle” ati ṣayẹwo apoti “Iyipada” naa
Awọn taabu “Ibo” jẹ tunto bakanna si taabu “Orisun”.
Nigbamii, a lọ si taabu “Iṣẹ”, nitori UserGate ni iṣẹ ti a ti sọ tẹlẹ fun ijabọ ICMP, lẹhinna nipa tite bọtini “Fikun-un”, a yan lati atokọ ti a dabaa iṣẹ kan ti a pe ni “Eyikeyi ICMP”:
Boya eyi ni ohun ti awọn olupilẹṣẹ ti UserGate pinnu, ṣugbọn Mo ni anfani lati ṣẹda ọpọlọpọ awọn ofin kanna patapata. Botilẹjẹpe ofin akọkọ nikan lati atokọ naa yoo ṣiṣẹ, Mo ro pe agbara lati ṣẹda awọn ofin ti iṣẹ ṣiṣe oriṣiriṣi pẹlu orukọ kanna le fa idamu nigbati ọpọlọpọ awọn oludari ẹrọ ṣiṣẹ.
NAT ati afisona
Nigbati o ba ṣẹda awọn ofin NAT, a rii ọpọlọpọ awọn taabu iru bi fun ogiriina. Lori taabu “Gbogbogbo” aaye “Iru” ti han; o gba ọ laaye lati yan kini ofin yii yoo jẹ iduro fun:
-
NAT - Itumọ Adirẹsi Nẹtiwọọki.
-
DNAT - Awọn atunṣe ijabọ si adiresi IP ti a ti sọ tẹlẹ.
-
Gbigbe ibudo - Ṣe atunṣe ijabọ si adiresi IP kan pato, ṣugbọn ngbanilaaye lati yi nọmba ibudo ti iṣẹ ti a tẹjade pada
-
Itọnisọna ti o da lori eto imulo - Gba awọn apo-iwe IP laaye lati ni ipalọlọ ti o da lori alaye ilọsiwaju, gẹgẹbi awọn iṣẹ, awọn adirẹsi MAC, tabi awọn olupin (adirẹsi IP).
-
Iṣaworan agbaye - Gba ọ laaye lati rọpo orisun tabi awọn adirẹsi IP opin irin ajo ti nẹtiwọki kan pẹlu nẹtiwọọki miiran.
Lẹhin yiyan iru ofin ti o yẹ, awọn eto yoo wa.
Ni aaye SNAT IP (adirẹsi ita), a fihan ni gbangba ni adiresi IP si eyiti adiresi orisun yoo rọpo. Aaye yii nilo ti awọn adirẹsi IP pupọ wa ti a sọtọ si awọn atọkun ti agbegbe ibi-ajo. Ti o ba fi aaye yii silẹ ni ofo, eto naa yoo lo adirẹsi laileto lati atokọ ti awọn adirẹsi IP ti o wa ti a yàn si awọn atọkun agbegbe ibi-ajo. UserGate ṣeduro pato SNAT IP lati mu iṣẹ ṣiṣe ogiriina dara si.
Gẹgẹbi apẹẹrẹ, Emi yoo ṣe atẹjade iṣẹ SSH kan lori olupin Windows ti o wa ni agbegbe “DMZ” ni lilo ofin “fifiranṣẹ ibudo”. Lati ṣe eyi, tẹ bọtini “Fikun-un” ki o kun taabu “Gbogbogbo”, pato orukọ ofin “SSH si Windows” ati iru “Fifiranṣẹ ibudo”:
Lori taabu “Orisun”, yan agbegbe “Aigbẹkẹle” ki o lọ si taabu “Idari awọn ibudo”. Nibi a gbọdọ pato ilana “TCP” (awọn aṣayan mẹrin wa - TCP, UDP, SMTP, SMTPS). Ibudo opin irin ajo atilẹba jẹ 9922 - nọmba ibudo eyiti awọn olumulo fi awọn ibeere ranṣẹ (awọn ibudo ko ṣee lo: 2200, 8001, 4369, 9000-9100). Ibudo opin irin ajo tuntun (22) - nọmba ibudo si eyiti olumulo n beere si olupin ti a tẹjade ti inu yoo firanṣẹ siwaju.
Lori taabu "DNAT", ṣeto adiresi IP ti kọnputa lori nẹtiwọki agbegbe, eyiti a tẹjade lori Intanẹẹti (192.168.3.2). Ati ni yiyan o le mu SNAT ṣiṣẹ, lẹhinna UserGate yoo yi adirẹsi orisun pada ninu awọn apo-iwe lati nẹtiwọọki ita si adiresi IP rẹ.
Lẹhin gbogbo awọn eto, o gba ofin kan ti o fun ọ laaye lati ni iraye si lati agbegbe “Aigbẹkẹle” si olupin pẹlu adiresi IP 192.168.3.2 nipasẹ SSH, lilo adiresi UserGate ita nigbati o ba sopọ.
Bandiwidi
Yi apakan pato awọn ofin fun ìṣàkóso bandiwidi. Wọn le ṣee lo lati ṣe idinwo ikanni ti awọn olumulo kan, awọn ogun, awọn iṣẹ, awọn ohun elo.
Nigbati o ba ṣẹda ofin, awọn ipo lori awọn taabu pinnu ijabọ si eyiti awọn ihamọ waye. O le yan bandiwidi lati awọn ti a nṣe, tabi ṣeto ti ara rẹ. Nigbati o ba ṣẹda bandiwidi, o le pato kan DSCP aami ayokuro ijabọ. Apeere ti igba ti awọn aami DSCP ti wa ni lilo: nipa sisọ asọye ni ofin kan ninu eyiti o ti lo ofin yii, lẹhinna ofin yii le yi awọn aami wọnyi pada laifọwọyi. Apeere miiran ti bii iwe afọwọkọ naa ṣe n ṣiṣẹ: ofin yoo ṣiṣẹ fun olumulo nikan nigbati a ba rii ṣiṣan kan tabi iye ijabọ ti kọja opin kan pato. A fọwọsi awọn taabu to ku ni ọna kanna bi ninu awọn eto imulo miiran, da lori iru ijabọ si eyiti o yẹ ki o lo ofin naa.
ipari
Ninu nkan yii, Mo wo awọn ofin ṣiṣẹda ni awọn apakan “Firewall”, “NAT and Routing” ati “Bandiwidi” apakan. Ati ni ibẹrẹ akọkọ ti nkan naa, Mo ṣe apejuwe awọn ofin fun ṣiṣẹda awọn eto imulo UserGate, ati ipilẹ ti iṣẹ ti awọn ipo nigba ṣiṣẹda ofin kan.
Duro si aifwy fun awọn imudojuiwọn ninu awọn ikanni wa (, , , )!
orisun: www.habr.com