Зоны

ID статьи: 798
Последнее обновление: 26 мар, 2024
Documentation:
Product: NGFW
Version: 7.1.0

Данный раздел находится на уровне network zone. Команда для создания новой зоны:

Admin@nodename# create network zone

Далее необходимо указать параметры зоны:

Параметр

Описание

name

Название зоны.

description

Описание зоны.

dos-protection-syn

Защита зоны от сетевого флуда для протокола TCP (SYN-flood):

  • enabled: включение/отключение защиты.

    • on.

    • off.

  • aggregate:

    • on — считаются все пакеты, входящие в интерфейсы данной зоны.

    • off — пакеты считаются отдельно для каждого IP-адреса.

  • alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.

  • drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.

  • excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.

dos-protection-udp

Защита зоны от сетевого флуда для протокола UDP:

  • enabled: включение/отключение защиты.

    • on.

    • off.

  • aggregate:

    • on — считаются все пакеты, входящие в интерфейсы данной зоны.

    • off — пакеты считаются отдельно для каждого IP-адреса.

  • alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.

  • drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.

  • excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.

dos-protection-icmp

Защита зоны от сетевого флуда для протокола ICMP:

  • enabled: включение/отключение защиты.

    • on.

    • off.

  • aggregate:

    • on — считаются все пакеты, входящие в интерфейсы данной зоны.

    • off — пакеты считаются отдельно для каждого IP-адреса.

  • alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.

  • drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.

  • excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.

enabled-services

Параметры контроля доступа зоны:

  • "Any ICMP": разрешение использования команды ping адреса UserGate.

  • SNMP: доступ к UserGate по протоколу SNMP (UDP 161).

  • response-pages: разрешение для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002).

  • rpc: XML-RPC для управления - позволяет управлять продуктом по API (TCP 4040).

  • ha: сервис, необходимый для объединения нескольких узлов UserGate в кластер (TCP 4369, TCP 9000-9100).

  • VRRP: сервис, необходимый для объединения нескольких узлов UserGate в отказоустойчивый кластер (IP протокол 112).

  • "Admin Console": доступ к веб-консоли управления (TCP 8001).

  • DNS: доступ к сервису DNS-прокси (TCP 53, UDP 53).

  • "HTTP Proxy": доступ к сервису HTTP(S)-прокси (TCP 8090).

  • "Authorization agent": доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).

  • "SMTP Proxy": сервис фильтрации SMTP-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.

  • "POP3 Proxy": сервис фильтрации POP3-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.

  • "CLI over SSH": доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.

  • VPN: доступ к серверу для подключения к нему клиентов L2TP VPN (UDP 500, 4500).

  • SCADA: сервис фильтрации АСУ ТП-трафика. Необходим только при контроле АСУ ТП-трафика.

  • "REVERSE PROXY": сервис, необходимый для публикации внутренних ресурсов с помощью Reverse-прокси.

  • "PROXY PORTAL": сервис, необходимый для публикации внутренних ресурсов с помощью SSL VPN.

  • L7 DNS: детектирование трафика DNS на уровне приложений.  

  • L7 NTP: детектирование трафика NTP на уровне приложений.

  • "SAML SERVER": выбор SAML-сервера в списке сервисов зоны и общих настройках UserGate.

  • "Log Analyzer": сервис анализатора журналов Log analyzer. Необходимо включить его, если планируется использовать данный сервер UserGate в качестве Log analyzer (TCP 2023 и 9713).

  • "Dynamic routing OSPF": сервис динамической маршрутизации OSPF.

  • "Dynamic routing BGP": сервис динамической маршрутизации BGP.

  • "SNMP Proxy": сервис используется для построения распределённой системы мониторинга (позволяет регулировать нагрузку и организовывать мониторинг распределённой сетевой инфраструктуры).

  • "SSH Proxy": сервис, использующийся для инициирования трафика SSH.

  • Multicast: сервис мультикастинга.

  • NTP: доступ к сервису точного времени, запущенному на сервере UserGate.

  • "Dynamic routing RIP": сервис динамической маршрутизации RIP.

  • UserID agent: сервис для осуществления прозрачной аутентификации. В качестве источника данных аутентификации используются журналы ActiveDirectory и Syslog. 

  • BFD: сервис Bidirectonal Forwarding Detection для быстрого обнаружения сетевых ошибок. 

service-addresses

Указание разрешённых IP-адресов для сервисов:

  • service: выбор сервисов (список соответствует enabled-services).

  • allowed-addresses: разрешённые IP-адреса:

    • geoip — код GeoIP.

    • ip-list — заранее созданный в библиотеке элементов список IP-адресов.

antispoof-enabled

Включение/отключение защиты от IP-спуфинга:

  • on.

  • off.

antispoof-negate

Возможные значения:

  • on.

  • off.

При antispoof-negate on адреса источников, указанные в значении ip-spoofing-networks, будут являться адресами, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными IP-адресами источников.

sessions-limit-enabled

Включение ограничения количества одновременных сессий с одного IP-адреса:

  • on.

  • off.

sessions-limit-exclusions

Добавление списка IP-адресов, для которых ограничение на количество одновременных сессий не будет действовать.

sessions-limit-threshold

Максимально возможное количество одновременных сессий с одного IP-адреса.

geoip

Коды GeoIP, которые используются в защите от IP-спуфинга.

ip-list

Список IP-адресов, которые используются в защите от IP-спуфинга.

Пример создания новой зоны:

Admin@nodename# create network zone name Test_zone description "Test_zone description" antispoof-enable on enabled-services [ "Any ICMP" DNS ] dos-protection-icmp enabled on

Для редактирования параметров зоны:

Admin@nodename# set network zone <zone-name>

Пример редактирования параметров зоны:

Admin@nodename# set network zone Test_zone dos-protection-syn enabled on

Команда удаления зоны или её параметров:

Admin@nodename# delete network zone <zone-name>

Параметры, доступные для удаления:

Параметр

Описание

dos-protection-syn

Защита зоны от сетевого флуда для протокола TCP (SYN-flood):

  • excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.

dos-protection-udp

Защита зоны от сетевого флуда для протокола UDP:

  • excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.

dos-protection-icmp

Защита зоны от сетевого флуда для протокола ICMP:

  • excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.

enabled-services

Установленные ранее параметры контроля доступа в данной зоне

geoip

Kоды GeoIP, которые используются в защите от IP-спуфинга.

ip-list

Cписок IP-адресов, которые используются в защите от IP-спуфинга.

Следующая команда отобразит настройки зоны:

Admin@nodename# show network zone <zone-name>

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 798
Последнее обновление: 26 мар, 2024
Ревизия: 12
Просмотры: 5103
Комментарии: 0
Теги

Также опубликовано в