3. UserGate Getting Started. Политики сети20.10.2020 10:18

ff5b0e89b31aa5ff22cd82bec55511cc

Приветствую читателей в третьей статье цикла статей UserGate Getting Started, где рассказывается о NGFW решении от компании UserGate. В прошлой статье был описан процесс установки межсетевого экрана и была произведена его первоначальная настройка. Сейчас же мы более подробно рассмотрим создание правил в разделах, таких как «Межсетевой экран», «NAT и маршрутизация» и «Пропускная способность».

Идеология работы правил UserGate, такая что правила выполняются сверху вниз, до первого сработавшего. Исходя из вышеописанного следует, что более специфичные правила должны, быть выше более общих правил. Но следует заметить, так как правила проверяются по порядку, то в плане производительности лучше создавать общие правила. Условия при создании любого правила применяются согласно логике «И». Если необходимо использовать логику «ИЛИ», то это достигается путем создания нескольких правил. Так что описанное в данной статье применимо и к другим политикам UserGate.

Межсетевой экран

После установки UserGate в разделе «Межсетевой экран» уже есть простая политика. Первые два правила запрещают трафик для бот-сетей. Далее следуют примеры правил доступа из различных зон. Последнее правило всегда называется «Блокировать все» и помечено символом замка (он означает что правило нельзя удалить, изменить, переместить, отключить, для него можно только включить опцию журналирования). Таким образом из-за этого правила весь явно не разрешенный трафик будет блокироваться последним правилом. Если нужно разрешить весь трафик через UserGate (хотя это настоятельно не рекомендуется), всегда можно создать предпоследнее правило «Разрешить все».

9b4159e846e35179c913139beb957a43

При редактировании или создании правила для межсетевого экрана первая вкладка «Общие», на ней нужно выполнить следующие действия:  

  • Чекбоксом «Вкл» включить или выключить правило.

  • ввести название правила.

  • задать описание правила.

  • выбрать из двух действий:

    • Запретить — блокирует трафик (при задании данного условия есть возможность посылать ICMP host unreachable, нужно всего лишь установить соответствующий чекбокс).

    • Разрешить — разрешает трафик.

  • Пункт сценарий — позволяет выбрать сценарий, который является дополнительным условием для срабатывания правила. Так компания UserGate реализует концепцию SOAR (Security Orchestration, Automation and Response).

  • Журналирование — записать в журнал информацию о трафике при срабатывании правила. Возможны варианты:

    • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

    • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

  • Применить правило к:

  • При создании нового правила можно выбрать место в политике.

Следующая вкладка «Источник». Здесь мы указываем источник трафика это может быть зона, с которой поступает трафик, либо можно указать список или конкретный ip-адрес (Geoip). Практически во всех правилах, которые можно задать в устройстве объект можно создать из правила, например не переходя в раздел «Зоны» можно кнопкой «Создать и добавить новый объект» создать нужную нам зону. Также часто встречается чекбокс «Инвертировать», он меняет в условии правила действие на противоположное, что аналогично логическому действию отрицание. Вкладка «Назначение» похожа на вкладку источник, только вместо источника трафика задаем назначение трафика. Вкладка «Пользователи» — в этом месте можно добавить список пользователей или групп, для которых применяется данное правило. Вкладка «Сервис» — выбираем тип сервиса из уже предопределенного или можно задать свой собственный. Вкладка «Приложение» — здесь выбираются конкретные приложения, либо группы приложений. И вкладка «Время» указываем время, когда данное правило активно. 

С прошлого урока у нас есть правило для выхода в интернет из зоны «Trust», теперь я покажу в качестве примера как создать запрещающее правило для ICMP трафика из зоны «Trust» в зону «Untrusted».

Для начала создаем правило нажав на кнопку «Добавить». В открывшемся окне на вкладке общие заполняем название (Запрет ICMP из trusted в untrusted), устанавливаем галочку в чекбокс «Вкл», выбираем действие запретить и самое главное правильно выбираем место расположения данного правила. В соответствии с моей политикой, это правило должно располагаться выше правила «Allow trusted to untrusted»:

7da61b6a1a73c7375f5a23a9b8f22f6b

На вкладке «Источник» для моей задачи возможно два варианта:

  • Выбрав зону «Trusted»

  • Выбрав все зоны кроме «Trusted» и поставив галочку в чекбоксе «Инвертировать»

93efdc68bef97a3b02e4afd094c76238bfa8d59b87163d4c4c54080495991827

Вкладка «Назначение» настраивается аналогично вкладке «Источник».

Далее переходим на вкладку «Сервис», так как в UserGate есть предопределенный сервис для ICMP трафика, то мы, нажимая кнопку «Добавить» выбираем из предложенного списка сервис с названием «Any ICMP»:

2a9ac19313d9964483c0e5f40560ed22

Возможно, так и задумывалось создателями UserGate, но у меня получалось создавать несколько полностью одинаковых правил. Хотя и будет выполнятся только первое правило из списка, но возможность создать разные по функционалу правила с одинаковым названием думаю могут вызвать путаницу при работе нескольких администраторов устройства.

NAT и маршрутизация

При создании правил NAT мы видем несколько похожих вкладок, как и для межсетевого экрана. На вкладке «Общие» появилось поле «Тип», оно позволяет выбрать за что будет отвечать данное правило:

  • NAT — Преобразование сетевых адресов.

  • DNAT — Перенаправляет трафик на указанный IP-адрес.

  • Порт-форвардинг — Перенаправляет трафик на указанный IP-адрес, но позволяет изменять номер порта публикуемого сервиса

  • Policy-based routing — Позволяет маршрутизировать IP-пакеты на основе расширенной информации, например, сервисов, MAC-адресов или серверов (IP-адресов).

  • Network mapping — Позволяет произвести замену IP-адресов источника или назначения одной сети на другую сеть.

После выбора соответствующего типа правила будут доступны настройки к нему.

В поле SNAT IP (внешний адрес) мы явно указываем IP-адрес, на который будет заменен адрес источника. Данное поле нужно при наличии нескольких IP-адресов, назначенных интерфейсам зоны назначения. Если оставить это поле пустым, то система будет использовать произвольный адрес из списка доступных IP-адресов, назначенных интерфейсам зоны назначения. UserGate рекомендует указывать SNAT IP для повышения производительности работы межсетевого экрана.

Для примера опубликую SSH сервис сервера Windows, находящегося в зоне «DMZ» при помощи правила «порт-форвардинг». Для этого нажимаем кнопку «Добавить» и заполняем вкладку «Общие», указываем название правила «SSH to Windows» и тип «Порт-форвардинг»:

299450f244ad6570381aa4d625e3221a

На вкладке «Источник» выбираем зону «Untrusted» и переходим к вкладке «Порт-форвардинг». Здесь мы должны указать протокол «TCP» (доступно четыре варианта — TCP, UDP, SMTP, SMTPS). Оригинальный порт назначения 9922 — номер порта, на который пользователи шлют запросы (нельзя использовать порты: 2200, 8001, 4369, 9000–9100). Новый порт назначения (22) — номер порта, на который будут пересылаться запросы пользователей на внутренний публикуемый сервер.

f498f903501d24fe6f5215c975e8b04a

На вкладке «DNAT» задаем ip-адрес компьютера в локальной сети, который публикуется в интернете (192.168.3.2). И опционально можно включить SNAT, тогда UserGate будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.

91dab7842d8adf5723f999340e26d068

После всех настроек получается правило, которое позволяет получить доступ из зоны «Untrusted» к серверу с ip-адресом 192.168.3.2 по протоколу SSH, используя при подключении внешний адрес UserGate.

ffc0c9a3bf09699b067895bb355c64f2

Пропускная способность

В данном разделе задаются правила для управления пропускной способностью. Они могут использоваться для ограничения канала определенных пользователей, хостов, сервисов, приложений.

d4a3e2eeb8a894ea89971ef3fda33773

При создании правила условиями на вкладках определяем трафик, к которому применяются ограничения. Полосу пропускания можно выбрать из предложенных, либо задать свою. При создании полосы пропускания можно указать метку приоритезации трафика DSCP. Пример того, когда применяется метки DSCP: указав в правиле сценарий, при котором применяется данное правило, то данное правило может автоматически изменить эти метки. Еще один пример работы сценария: правило сработает для пользователя только когда обнаружен торрент или объем трафика превысит заданный предел. Остальные вкладки заполняем, так же, как и в других политиках, исходя из типа трафика, к которому должно быть применено правило.

79f7cc22d46d014df952ff51f25e3e61

Заключение

В данной статье я рассмотрел создание правил в разделах «Межсетевой экран», «NAT и маршрутизация» и «Пропускная способность». И в самом начале статьи описал правила создания политик UserGate, а также принцип работы условий при создании правила. 

Следите за обновлениями в наших каналах (Telegram,  Facebook,  VK,  TS Solution Blog)!

© Habrahabr.ru