Приветствую читателей в третьей статье цикла статей UserGate Getting Started, где рассказывается о NGFW решении от компании UserGate. В прошлой статье был описан процесс установки межсетевого экрана и была произведена его первоначальная настройка. Сейчас же мы более подробно рассмотрим создание правил в разделах, таких как “Межсетевой экран”, “NAT и маршрутизация” и “Пропускная способность”.
Идеология работы правил UserGate, такая что правила выполняются сверху вниз, до первого сработавшего. Исходя из вышеописанного следует, что более специфичные правила должны, быть выше более общих правил. Но следует заметить, так как правила проверяются по порядку, то в плане производительности лучше создавать общие правила. Условия при создании любого правила применяются согласно логике “И”. Если необходимо использовать логику “ИЛИ”, то это достигается путем создания нескольких правил. Так что описанное в данной статье применимо и к другим политикам UserGate.
Межсетевой экран
После установки UserGate в разделе “Межсетевой экран“ уже есть простая политика. Первые два правила запрещают трафик для бот-сетей. Далее следуют примеры правил доступа из различных зон. Последнее правило всегда называется “Блокировать все” и помечено символом замка (он означает что правило нельзя удалить, изменить, переместить, отключить, для него можно только включить опцию журналирования). Таким образом из-за этого правила весь явно не разрешенный трафик будет блокироваться последним правилом. Если нужно разрешить весь трафик через UserGate (хотя это настоятельно не рекомендуется), всегда можно создать предпоследнее правило “Разрешить все”.
При редактировании или создании правила для межсетевого экрана первая вкладка “Общие”, на ней нужно выполнить следующие действия:
Чекбоксом “Вкл” включить или выключить правило.
ввести название правила.
задать описание правила.
выбрать из двух действий:
Запретить — блокирует трафик (при задании данного условия есть возможность посылать ICMP host unreachable, нужно всего лишь установить соответствующий чекбокс).
Разрешить — разрешает трафик.
Пункт сценарий — позволяет выбрать сценарий, который является дополнительным условием для срабатывания правила. Так компания UserGate реализует концепцию SOAR (Security Orchestration, Automation and Response).
Журналирование — записать в журнал информацию о трафике при срабатывании правила. Возможны варианты:
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.
Применить правило к:
Всем пакетам
к фрагментированным пакетам
к нефрагментированным пакетам
При создании нового правила можно выбрать место в политике.
Следующая вкладка “Источник”. Здесь мы указываем источник трафика это может быть зона, с которой поступает трафик, либо можно указать список или конкретный ip-адрес (Geoip). Практически во всех правилах, которые можно задать в устройстве объект можно создать из правила, например не переходя в раздел “Зоны” можно кнопкой “Создать и добавить новый объект” создать нужную нам зону. Также часто встречается чекбокс “Инвертировать”, он меняет в условии правила действие на противоположное, что аналогично логическому действию отрицание. Вкладка "Назначение" похожа на вкладку источник, только вместо источника трафика задаем назначение трафика. Вкладка "Пользователи" — в этом месте можно добавить список пользователей или групп, для которых применяется данное правило. Вкладка "Сервис" — выбираем тип сервиса из уже предопределенного или можно задать свой собственный. Вкладка "Приложение" — здесь выбираются конкретные приложения, либо группы приложений. И вкладка "Время" указываем время, когда данное правило активно.
С прошлого урока у нас есть правило для выхода в интернет из зоны “Trust”, теперь я покажу в качестве примера как создать запрещающее правило для ICMP трафика из зоны “Trust” в зону “Untrusted”.
Для начала создаем правило нажав на кнопку “Добавить”. В открывшемся окне на вкладке общие заполняем название (Запрет ICMP из trusted в untrusted), устанавливаем галочку в чекбокс “Вкл”, выбираем действие запретить и самое главное правильно выбираем место расположения данного правила. В соответствии с моей политикой, это правило должно располагаться выше правила “Allow trusted to untrusted”:
На вкладке “Источник” для моей задачи возможно два варианта:
Выбрав зону “Trusted”
Выбрав все зоны кроме “Trusted” и поставив галочку в чекбоксе “Инвертировать”
Вкладка “Назначение” настраивается аналогично вкладке “Источник”.
Далее переходим на вкладку “Сервис”, так как в UserGate есть предопределенный сервис для ICMP трафика, то мы, нажимая кнопку "Добавить" выбираем из предложенного списка сервис с названием “Any ICMP”:
Возможно, так и задумывалось создателями UserGate, но у меня получалось создавать несколько полностью одинаковых правил. Хотя и будет выполнятся только первое правило из списка, но возможность создать разные по функционалу правила с одинаковым названием думаю могут вызвать путаницу при работе нескольких администраторов устройства.
NAT и маршрутизация
При создании правил NAT мы видем несколько похожих вкладок, как и для межсетевого экрана. На вкладке “Общие” появилось поле “Тип”, оно позволяет выбрать за что будет отвечать данное правило:
NAT - Преобразование сетевых адресов.
DNAT - Перенаправляет трафик на указанный IP-адрес.
Порт-форвардинг - Перенаправляет трафик на указанный IP-адрес, но позволяет изменять номер порта публикуемого сервиса
Policy-based routing - Позволяет маршрутизировать IP-пакеты на основе расширенной информации, например, сервисов, MAC-адресов или серверов (IP-адресов).
Network mapping - Позволяет произвести замену IP-адресов источника или назначения одной сети на другую сеть.
После выбора соответствующего типа правила будут доступны настройки к нему.
В поле SNAT IP (внешний адрес) мы явно указываем IP-адрес, на который будет заменен адрес источника. Данное поле нужно при наличии нескольких IP-адресов, назначенных интерфейсам зоны назначения. Если оставить это поле пустым, то система будет использовать произвольный адрес из списка доступных IP-адресов, назначенных интерфейсам зоны назначения. UserGate рекомендует указывать SNAT IP для повышения производительности работы межсетевого экрана.
Для примера опубликую SSH сервис сервера Windows, находящегося в зоне “DMZ” при помощи правила “порт-форвардинг”. Для этого нажимаем кнопку “Добавить” и заполняем вкладку “Общие”, указываем название правила “SSH to Windows” и тип “Порт-форвардинг”:
На вкладке “Источник” выбираем зону “Untrusted” и переходим к вкладке “Порт-форвардинг”. Здесь мы должны указать протокол “TCP” (доступно четыре варианта - TCP, UDP, SMTP, SMTPS). Оригинальный порт назначения 9922 - номер порта, на который пользователи шлют запросы (нельзя использовать порты: 2200, 8001, 4369, 9000-9100). Новый порт назначения (22) - номер порта, на который будут пересылаться запросы пользователей на внутренний публикуемый сервер.
На вкладке “DNAT” задаем ip-адрес компьютера в локальной сети, который публикуется в интернете (192.168.3.2). И опционально можно включить SNAT, тогда UserGate будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.
После всех настроек получается правило, которое позволяет получить доступ из зоны “Untrusted” к серверу с ip-адресом 192.168.3.2 по протоколу SSH, используя при подключении внешний адрес UserGate.
Пропускная способность
В данном разделе задаются правила для управления пропускной способностью. Они могут использоваться для ограничения канала определенных пользователей, хостов, сервисов, приложений.
При создании правила условиями на вкладках определяем трафик, к которому применяются ограничения. Полосу пропускания можно выбрать из предложенных, либо задать свою. При создании полосы пропускания можно указать метку приоритезации трафика DSCP. Пример того, когда применяется метки DSCP: указав в правиле сценарий, при котором применяется данное правило, то данное правило может автоматически изменить эти метки. Еще один пример работы сценария: правило сработает для пользователя только когда обнаружен торрент или объем трафика превысит заданный предел. Остальные вкладки заполняем, так же, как и в других политиках, исходя из типа трафика, к которому должно быть применено правило.
Заключение
В данной статье я рассмотрел создание правил в разделах “Межсетевой экран”, “NAT и маршрутизация” и “Пропускная способность”. И в самом начале статьи описал правила создания политик UserGate, а также принцип работы условий при создании правила.
Следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!