Настройка зон

Наименование

Описание

Management

Зона для подключения доверенных сетей, из которых разрешено управление UTM

Trusted

Зона для подключения доверенных сетей, например, LAN-сетей

Untrusted

Зона для интерфейсов, подключенных к недоверенным сетям, например, к интернету

DMZ

Зона для интерфейсов, подключенных к сети DMZ

Cluster

Зона для интерфейсов, используемых для работы кластера

Наименование

Описание

Шаг 1. Создать зону

Нажать на кнопку Добавить и дать название зоне

Шаг 2. Настроить параметры защиты зоны от флуда (опционально)

Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:

* Порог уведомления -- при превышении количества запросов с одного IP-адреса над указанным значением происходит запись события в системный журнал

* Порог отбрасывания пакетов -- при превышении количества запросов с одного IP-адреса над указанным значением UserGate UTM начинает отбрасывать пакеты, поступившие с этого IP-адреса, и записывает данное событие в системный журнал

Рекомендованные значения для порога уведомления -- 300 запросов в секунду, для порога отбрасывания пакетов -- 600 запросов в секунду. Рекомендуется включать защиту от флуда на всех интерфейсах, за исключением интерфейсов зоны Cluster

Поле Исключения защиты от флуда позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для сервиса IP-телефонии, так как он шлет большое количество UDP-пакетов

Шаг 3. Настроить параметры контроля доступа зоны (опционально)

Указать сервисы, предоставляемые UserGate UTM, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все сервисы.

Сервисы:

* Ping -- позволяет пинговать UTM

* SNMP -- доступ к UTM по протоколу SNMP (UDP 161)

* Captive-портал и страница блокировки -- необходим для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002)

* XML-RPC для управления -- позволяет управлять продуктом по API (TCP 4040)

* Кластер -- сервис, необходимый для объединения нескольких узлов UserGate UTM в кластер (TCP 4369, TCP 9000-9100)

* VRRP -- сервис, необходимый для объединения нескольких узлов UserGate UTM в отказоустойчивый кластер (IP протокол 112)

* Консоль администрирования -- доступ к веб-консоли управления (TCP 8001)

* DNS -- доступ к сервису DNS-прокси (TCP 53, UDP 53)

* HTTP(S)-прокси -- доступ к сервису HTTP(S)-прокси (TCP 8090)

* Агент авторизации -- доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813)

* SMTP(S)-прокси -- сервис фильтрации SMTP-трафика от спама и вирусов. Необходим только при публикации почтового сервера в интернет. Более подробно смотрите раздел Защита почтового трафика

* POP3(S)-прокси -- сервис фильтрации POP3-трафика от спама и вирусов. Необходим только при публикации почтового сервера в интернет. Более подробно смотрите раздел Защита почтового трафика

* CLI по SSH -- доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200

Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально)

Атаки на основе IP-спуфинга позволяют передать пакет из внешней сети, например, из Untrusted, во внутреннюю, например, в Trusted. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес внутренней сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес. Для блокировки атак такого типа необходимо указать диапазоны IP-адресов, которые могут подключаться к интерфейсам внутренней зоны. Например, если внутренняя сеть компании построена на диапазоне адресов 10.0.0.0/8, то именно этот диапазон необходимо указать для защиты от IP-спуфинг атак для зоны Trusted