欢迎读者阅读 UserGate 入门文章系列的第三篇文章,其中讨论了该公司的 NGFW 解决方案 。 在上一篇文章中,描述了安装防火墙的过程并进行了初始配置。 现在,我们将仔细研究在防火墙、NAT 和路由以及带宽等部分中创建规则。
UserGate 规则的思想是,规则从上到下执行,直到第一个有效。 基于上述,更具体的规则应该高于更一般的规则。 但应该注意的是,由于规则是按顺序检查的,因此创建通用规则在性能方面会更好。 创建任何规则时,都会根据“AND”逻辑应用条件。 如果需要使用逻辑“OR”,那么可以通过创建多个规则来实现。 因此,本文中描述的内容也适用于其他 UserGate 策略。
防火墙
安装UserGate后,“防火墙”部分已经有一个简单的策略。 前两条规则禁止僵尸网络的流量。 以下是不同区域的访问规则示例。 最后一条规则始终称为“阻止全部”并标有锁定符号(这意味着该规则无法删除、修改、移动、禁用,只能为日志记录选项启用)。 因此,由于此规则,所有明确不允许的流量都将被最后一条规则阻止。 如果您想允许所有流量通过 UserGate(尽管强烈建议不要这样做),您始终可以创建倒数第二条规则“全部允许”。
编辑或创建防火墙规则时,首先 常规选项卡,您需要执行以下操作:
-
复选框“打开”启用或禁用该规则。
-
输入规则的名称。
-
设置规则的描述。
-
从两个操作中选择:
-
拒绝 - 阻止流量(设置此条件时,有可能发送 ICMP 主机不可达,您只需设置相应的复选框即可)。
-
允许 - 允许流量。
-
-
场景项 - 允许您选择场景,这是触发规则的附加条件。 这就是 UserGate 实现 SOAR(安全编排、自动化和响应)概念的方式。
-
日志记录 — 触发规则时将有关流量的信息写入日志。 可能的选项:
-
记录会话的开始。 在这种情况下,只有有关会话开始(第一个数据包)的信息才会写入流量日志。 这是推荐的日志记录选项。
-
记录每个数据包。 在这种情况下,每个传输的网络数据包的信息都会被记录。 对于此模式,建议启用日志记录限制以防止设备负载过高。
-
-
将规则应用于:
-
所有套餐
-
分片数据包
-
到未碎片化的包
-
-
创建新规则时,您可以在策略中选择一个位置。
下一个 来源选项卡。 这里我们指出流量的来源,它可以是流量来自的区域,也可以指定列表或特定的 IP 地址 (Geoip)。 在几乎所有可以在设备中设置的规则中,都可以从规则创建对象,例如,无需进入“区域”部分,您可以使用“创建并添加新对象”按钮来创建区域我们需要。 “反转”复选框也很常见,它反转规则条件下的动作,类似于逻辑动作否定。 目的地选项卡 与“源”选项卡类似,但我们设置的不是流量源,而是流量目的地。 用户选项卡 - 在此位置您可以添加适用此规则的用户或组的列表。 服务选项卡 - 从已预定义的服务类型中选择服务类型,或者您可以设置自己的服务类型。 应用选项卡 - 此处选择特定应用程序或应用程序组。 和 时间选项卡 指定该规则生效的时间。
自从上一课以来,我们已经有了从“信任”区域访问互联网的规则,现在我将举例说明如何为从“信任”区域到“不信任”区域的 ICMP 流量创建拒绝规则。
首先,单击“添加”按钮创建规则。 在打开的窗口中的常规选项卡上,填写名称(将 ICMP 从受信任限制为不受信任),选中“打开”复选框,选择禁用操作,最重要的是,为此规则选择正确的位置。 根据我的策略,该规则应放置在“允许受信任到不受信任”规则之上:
在我的任务的“源”选项卡上,有两个选项:
-
通过选择“受信任”区域
-
通过选择除“受信任”之外的所有区域并勾选“反转”复选框
“目标”选项卡的配置与“源”选项卡类似。
接下来,转到“服务”选项卡,因为 UserGate 有一个针对 ICMP 流量的预定义服务,然后通过单击“添加”按钮,我们从建议列表中选择一个名为“Any ICMP”的服务:
也许这就是 UserGate 创建者的意图,但我设法创建了几个完全相同的规则。 尽管只会执行列表中的第一条规则,但我认为,当多个设备管理员工作时,创建具有相同名称但功能不同的规则的能力可能会导致混乱。
NAT 和路由
创建 NAT 规则时,我们会看到几个类似的选项卡,例如防火墙。 “类型”字段出现在“常规”选项卡上,它允许您选择此规则将负责的内容:
-
NAT - 网络地址转换。
-
DNAT - 将流量重定向到指定的 IP 地址。
-
端口转发 - 将流量重定向到指定的 IP 地址,但允许您更改已发布服务的端口号
-
基于策略的路由 - 允许您根据扩展信息(例如服务、MAC 地址或服务器(IP 地址))路由 IP 数据包。
-
网络映射 - 允许您将一个网络的源或目标 IP 地址替换为另一网络。
选择适当的规则类型后,其设置将可用。
在 SNAT IP(外部地址)字段中,我们明确指定源地址将替换为的 IP 地址。 如果有多个 IP 地址分配给目标区域中的接口,则需要此字段。 如果将此字段留空,系统将使用分配给目标区域接口的可用 IP 地址列表中的随机地址。 UserGate 建议指定 SNAT IP 以提高防火墙性能。
例如,我将使用“端口转发”规则发布位于“DMZ”区域的Windows服务器的SSH服务。 为此,单击“添加”按钮并填写“常规”选项卡,指定规则名称“SSH to Windows”并输入“端口转发”:
在“源”选项卡上,选择“不受信任”区域,然后转到“端口转发”选项卡。 这里我们必须指定“TCP”协议(有四个选项可用 - TCP、UDP、SMTP、SMTPS)。 原始目的端口 9922 — 用户发送请求的端口号(端口:2200、8001、4369、9000-9100 不能使用)。 新的目标端口 (22) 是将向内部发布服务器发出的用户请求转发到的端口号。
在“DNAT”选项卡上,设置计算机在本地网络上的 IP 地址,该地址在 Internet 上发布(192.168.3.2)。 并且您可以选择启用 SNAT,然后 UserGate 会将来自外部网络的数据包中的源地址更改为自己的 IP 地址。
完成所有设置后,将获得一条规则,允许从“不受信任”区域通过 SSH 协议访问 IP 地址为 192.168.3.2 的服务器,连接时使用外部 UserGate 地址。
容量
本节定义了带宽控制的规则。 它们可用于限制某些用户、主机、服务、应用程序的通道。
创建规则时,选项卡上的条件确定要应用限制的流量。 带宽可以从建议中选择,也可以自行设置。 创建带宽时,可以指定DSCP流量优先级标签。 应用DSCP标签的示例:通过在规则中指定该规则的应用场景,则该规则可以自动更改这些标签。 该脚本如何工作的另一个示例:仅当检测到 torrent 或流量超过指定限制时,该规则才对用户起作用。 其余选项卡的填充方式与其他策略中的填充方式相同,具体取决于应应用规则的流量类型。
结论
在本文中,我介绍了防火墙、NAT 和路由以及带宽部分中规则的创建。 并且在文章的一开始,他描述了创建UserGate策略的规则,以及创建规则时的条件原则。
请继续关注我们频道的更新(, , , )!
来源: habr.com