
歡迎讀者閱讀 UserGate 入門文章系列的第三篇文章,該文章講述了該公司的 NGFW 解決方案 . 在上一篇文章中,描述了安裝防火牆的過程並進行了初始配置。 現在,我們將仔細研究在防火牆、NAT 和路由以及帶寬等部分中創建規則。
UserGate 規則的意識形態,使得規則從上到下執行,直到第一個起作用。 基於以上所述,更具體的規則應該高於更一般的規則。 但需要注意的是,由於規則是按順序檢查的,所以創建通用規則在性能上會更好。 創建任何規則時,根據“AND”邏輯應用條件。 如果有必要使用邏輯“或”,則可以通過創建多個規則來實現。 因此,本文中描述的內容也適用於其他 UserGate 策略。
防火牆
安裝 UserGate 後,“防火牆”部分已經有了一個簡單的策略。 前兩條規則禁止殭屍網絡的流量。 以下是來自不同區域的訪問規則示例。 最後一條規則始終稱為“全部阻止”並標有鎖定符號(這意味著該規則不能被刪除、修改、移動、禁用,只能為日誌記錄選項啟用)。 因此,由於這條規則,所有明確不允許的流量都將被最後一條規則阻止。 如果您想允許所有流量通過 UserGate(儘管強烈建議不要這樣做),您始終可以創建倒數第二條規則“Allow All”。

編輯或創建防火牆規則時,第一個 常規選項卡,您需要執行以下操作:
-
複選框“開”啟用或禁用規則。
-
輸入規則的名稱。
-
設置規則的描述。
-
從兩個動作中選擇:
-
拒絕 - 阻止流量(設置此條件時,可以發送 ICMP 主機不可達,您只需設置適當的複選框)。
-
允許 - 允許流量。
-
-
場景項 - 允許您選擇一個場景,這是觸發規則的附加條件。 這就是 UserGate 實現 SOAR(安全編排、自動化和響應)概念的方式。
-
日誌記錄——當規則被觸發時,將有關流量的信息寫入日誌。 可能的選擇:
-
記錄會話的開始。 在這種情況下,只有有關會話開始(第一個數據包)的信息才會寫入流量日誌。 這是推薦的日誌記錄選項。
-
記錄每個數據包。 在這種情況下,將記錄有關每個傳輸的網絡數據包的信息。 對於此模式,建議啟用日誌記錄限制以防止高設備負載。
-
-
將規則應用於:
-
所有套餐
-
到碎片包
-
到未分段的包
-
-
創建新規則時,您可以在策略中選擇一個位置。
下一個 來源選項卡. 這裡我們指出流量的來源,它可以是流量來自的區域,或者您可以指定一個列表或特定的 ip 地址 (Geoip)。 在幾乎所有可以在設備中設置的規則中,都可以根據規則創建對象,例如,無需轉到“區域”部分,您可以使用“創建並添加新對象”按鈕來創建區域我們需要。 “反轉”複選框也經常出現,它反轉規則條件下的動作,類似於邏輯動作否定。 目的地選項卡 與來源選項卡類似,但我們設置的不是流量來源,而是流量目的地。 用戶選項卡 - 在此位置,您可以添加適用此規則的用戶或組列表。 服務選項卡 - 從已經預定義的服務類型中選擇服務類型,或者您可以設置自己的服務類型。 應用選項卡 - 在此選擇特定的應用程序或應用程序組。 和 時間選項卡 指定此規則處於活動狀態的時間。
自上一課以來,我們已經有了從“Trust”區域訪問 Internet 的規則,現在我將舉例說明如何為從“Trust”區域到“Untrusted”區域的 ICMP 流量創建拒絕規則。
首先,通過單擊“添加”按鈕創建規則。 在打開的窗口中,在常規選項卡上,填寫名稱(將 ICMP 從受信任限制為不受信任),選中“打開”複選框,選擇禁用操作,最重要的是,為該規則選擇正確的位置。 根據我的政策,這條規則應該放在“允許信任到不信任”規則之上:

在我的任務的“源”選項卡上,有兩個選項:
-
通過選擇“受信任”區域
-
通過選擇除“Trusted”之外的所有區域並勾選“Invert”複選框


Destination 選項卡的配置類似於 Source 選項卡。
接下來,轉到“服務”選項卡,因為 UserGate 有一個預定義的 ICMP 流量服務,然後單擊“添加”按鈕,我們從建議的列表中選擇一個名為“Any ICMP”的服務:

也許這就是 UserGate 的創建者的意圖,但我設法創建了幾個完全相同的規則。 雖然只會執行列表中的第一條規則,但我認為創建具有相同名稱但功能不同的規則的能力可能會在多個設備管理員工作時造成混淆。
NAT 和路由
創建 NAT 規則時,我們會看到幾個與防火牆類似的選項卡。 “類型”字段出現在“常規”選項卡上,它允許您選擇此規則將負責的內容:
-
NAT - 網絡地址轉換。
-
DNAT - 將流量重定向到指定的 IP 地址。
-
端口轉發 - 將流量重定向到指定的 IP 地址,但允許您更改已發布服務的端口號
-
基於策略的路由 - 允許您根據服務、MAC 地址或服務器(IP 地址)等擴展信息來路由 IP 數據包。
-
網絡映射 - 允許您將一個網絡的源或目標 IP 地址替換為另一個網絡。
選擇適當的規則類型後,即可進行設置。
在 SNAT IP(外部地址)字段中,我們明確指定源地址將被替換為的 IP 地址。 如果有多個 IP 地址分配給目標區域中的接口,則此字段是必需的。 如果將此字段留空,系統將使用分配給目標區域接口的可用 IP 地址列表中的隨機地址。 UserGate 建議指定 SNAT IP 以提高防火牆性能。
例如,我將發布 SSH 伺服器服務。 Windows位於「DMZ」區域中,使用「連接埠轉送」規則。為此,請按一下「新增」按鈕,然後填寫「常規」選項卡,並將規則名稱指定為「SSH 到」。 Windows和“連接埠轉送”類型:

在“源”選項卡上,選擇“不受信任”區域並轉到“端口轉發”選項卡。 在這裡我們必須指定協議“TCP”(有四個選項可用 - TCP、UDP、SMTP、SMTPS)。 原始目的端口9922——用戶向其發送請求的端口號(端口:2200、8001、4369、9000-9100不能使用)。 新目標端口 (22) 是用戶對內部發布服務器的請求將轉發到的端口號。

在“DNAT”選項卡上,設置計算機在本地網絡上的 ip 地址,該地址發佈在 Internet 上 (192.168.3.2)。 並且您可以選擇啟用 SNAT,然後 UserGate 會將來自外部網絡的數據包中的源地址更改為自己的 IP 地址。

完成所有設置後,將獲得一條規則,允許通過 SSH 協議從“Untrusted”區域訪問 IP 地址為 192.168.3.2 的服務器,連接時使用外部 UserGate 地址。

容量
本節定義帶寬控制規則。 它們可用於限制某些用戶、主機、服務、應用程序的通道。

創建規則時,選項卡上的條件決定了應用限制的流量。 可以從建議的帶寬中選擇,或設置您自己的帶寬。 創建帶寬時,您可以指定 DSCP 流量優先級標籤。 應用DSCP標籤的例子:通過在規則中指定應用該規則的場景,則該規則可以自動更改這些標籤。 腳本如何工作的另一個例子:只有當檢測到種子或流量超過指定限制時,規則才會對用戶起作用。 其餘選項卡的填寫方式與其他策略相同,具體取決於應應用規則的流量類型。

結論
在本文中,我介紹了防火牆、NAT 和路由以及帶寬部分中規則的創建。 並且在文章的開頭,他描述了創建UserGate策略的規則,以及創建規則時的條件原則。
請繼續關注我們頻道的更新(, , , )!
來源: www.habr.com
