Зона позволяет объединить несколько сетевых интерфейсов в единый логический объект. Политики безопасности UserGate NGFW применяются к зонам, что исключает необходимость настраивать правила для каждого интерфейса отдельно.
Использование зон обеспечивает:
более гибкую настройку политик безопасности;
упрощение администрирования;
удобную работу с отказоустойчивыми кластерами.
Зоны одинаковы на всех узлах кластера и настраиваются централизованно.
Рекомендуется создавать зоны на основе функционального назначения интерфейсов, например для локальной сети (LAN), интернета (WAN), сети партнера или DMZ.
UserGate NGFW поставляется со следующими зонами, созданными по умолчанию:
Зона
Описание
Management
Зона для подключения доверенных сетей, из которых разрешено управление UserGate NGFW
Trusted
Зона для подключения доверенных сетей, например, LAN-сетей
Untrusted
Зона для интерфейсов, подключенных к недоверенным сетям, например, к интернету
DMZ
Зона для интерфейсов, подключенных к сети DMZ
Cluster
Зона для интерфейсов, используемых для работы кластера
Администратор UserGate NGFW может изменять настройки зон, созданных по умолчанию, или создавать дополнительные зоны.
ПримечаниеМожно создать не более 255 зон.
Для создания зоны необходимо выполнить следующие шаги:
Шаг
Описание
1. Создайте зону.
В разделе Настройки ➜ Сеть ➜ Зоны нажмите Добавить и укажите название зоны
2. Настройте параметры защиты зоны от DoS (опционально).
Укажите параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
Агрегировать — если установлено, то считаются все пакеты, входящие в интерфейсы данной зоны. Если не установлено, то считаются пакеты отдельно для каждого IP-адреса.
Порог уведомления — при превышении количества запросов над указанным значением происходит запись события в системный журнал.
Порог отбрасывания пакетов — при превышении количества запросов над указанным значением UserGate NGFW начинает отбрасывать пакеты и записывает это событие в системный журнал.
Рекомендованные значения для порога уведомления — 3000 запросов в секунду, для порога отбрасывания пакетов — 6000 запросов в секунду. Рекомендуется включать защиту от флуда на всех интерфейсах, за исключением интерфейсов зоны Cluster.
Необходимо увеличить пороговое значение отбрасывания пакетов для протокола UDP, если через интерфейсы зоны проходит трафик таких сервисов, как IP-телефония или L2TP VPN.
Исключения защиты от DoS — позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для сервиса IP-телефонии, так как он шлет большое количество UDP-пакетов.
Важно!UserGate NGFW позволят произвести более гранулированную защиту от DoS-атак. Подробнее — в разделе «Защита от DoS атак»
3. Настройте параметры контроля доступа зоны (опционально).
Укажите предоставляемые UserGate NGFW сервисы, которые будут доступны клиентам, подключенным к зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все неиспользуемые сервисы.
Сервисы:
Ping — позволяет пинговать UserGate NGFW.
SNMP — доступ к UserGate NGFW по протоколу SNMP (UDP 161).
Captive-портал и страница блокировки — необходимы для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002, 8043).
API XML RPC поверх HTTP — доступ к API поверх HTTP (TCP 4040).
Кластер — сервис, необходимый для объединения нескольких узлов UserGate NGFW в кластер (TCP 4369, TCP 9000-9100).
VRRP — сервис, необходимый для объединения нескольких узлов UserGate NGFW в отказоустойчивый кластер (IP протокол 112).
Консоль администрирования — доступ к веб-консоли управления (TCP 8001).
DNS — доступ к сервису DNS-прокси (TCP 53, UDP 53).
HTTP(S)-прокси — доступ к сервису HTTP(S)-прокси (TCP 8090).
Агент авторизации — доступ к UserGate NGFW, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).
SMTP(S)-прокси — сервис фильтрации SMTP-трафика от спама. Необходим только при публикации почтового сервера в интернет. Подробнее — в разделе «Защита почтового трафика».
POP3(S)-прокси — сервис фильтрации POP3-трафика от спама. Необходим только при публикации почтового сервера в интернет. Подробнее — в разделе «Защита почтового трафика».
CLI по SSH — доступ к UserGate NGFW для управления с помощью CLI (command line interface), порт TCP 2200.
VPN — доступ к UserGate NGFW для подключения к нему клиентов L2TP VPN (UDP 500, 4500).
4. Настройте параметры защиты от IP-спуфинг атак (опционально).
Атаки на основе IP-спуфинга позволяют передать пакет из внешней сети, например, из Untrusted, во внутреннюю, например, в Trusted. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес внутренней сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес.
Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников, отличными от указанных, будут отброшены.
С помощью чекбокса Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, для зоны Untrusted можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 и включить опцию Инвертировать
Ограничение количества одновременных подключений с одного IP-адреса — это мера безопасности, которая ограничивает количество активных соединений сети, исходящих от одного и того же IP-адреса. Это делается по нескольким причинам:
Защита от атак: злоумышленники могут использовать большое количество одновременных подключений с одного IP-адреса для проведения DDoS-атак (распределенные атаки, целью которых является отказ системы в обслуживании). Ограничение количества подключений помогает снизить риск таких атак, уменьшая нагрузку на сеть или сервер.
Предотвращение злоупотреблений: некоторые пользователи могут пытаться злоупотреблять ресурсами, путем создания множества одновременных подключений. Ограничение подключений помогает предотвратить избыточное использование ресурсов и поддерживать равномерное распределение нагрузки.
Сохранение доступности: предотвращение ситуаций, когда один пользователь занимает все доступные ресурсы, оставляя мало места для других пользователей. Введение ограничений способствует поддержанию доступности ресурсов для всех пользователей.
Управление ресурсами: более эффективное управление сетевыми и серверными ресурсами, обеспечивая более стабильную и предсказуемую производительность.
Для ограничения количества одновременных подключений с одного IP-адреса необходимо:
Активировать чекбокс Включить ограничение сессий на IP-адрес.
Указать максимально возможное количество сессий с одного адреса.
Добавить список IP-адресов, для которых данное ограничение не будет действовать. Подробнее о создании списка — в разделе «IP-адреса»
