Зона в UserGate - это логическое объединение сетевых интерфейсов. Политики безопасности UserGate используют зоны интерфейсов, а не непосредственно интерфейсы. Это дает необходимую гибкость политикам безопасности, а также существенно упрощает управление отказоустойчивым кластером. Зоны одинаковы на всех узлах кластера, то есть данная настройка является глобальной для кластера.
Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например, зона LAN-интерфейсов, зона интернет-интерфейсов, зона интерфейсов, подключенных к сети партнера и т.п.
По умолчанию UserGate поставляется со следующими зонами:
Наименование |
Описание |
---|---|
Management |
Зона для подключения доверенных сетей, из которых разрешено управление UserGate |
Trusted |
Зона для подключения доверенных сетей, например, LAN-сетей |
Untrusted |
Зона для интерфейсов, подключенных к недоверенным сетям, например, к интернету |
DMZ |
Зона для интерфейсов, подключенных к сети DMZ |
Cluster |
Зона для интерфейсов, используемых для работы кластера |
VPN for Site-to-Site |
Зона, в которую помещаются все клиенты типа Офис-Офис, подключаемые к UserGate по VPN |
VPN for remote access |
Зона, в которую помещаются все мобильные пользователи, подключаемые к UserGate по VPN |
Администраторы UserGate могут изменять настройки зон, созданных по умолчанию, а также создавать дополнительные зоны.
Примечание
Можно создать не более 15 зон.
Для создания зоны необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Создать зону |
Нажать на кнопку Добавить и дать название зоне |
Шаг 2. Настроить параметры защиты зоны от DoS (опционально) |
Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
Рекомендованные значения для порога уведомления - 300 запросов в секунду, для порога отбрасывания пакетов - 600 запросов в секунду. Рекомендуется включать защиту от флуда на всех интерфейсах, за исключением интерфейсов зоны Cluster. Необходимо увеличить пороговое значение отбрасывания пакетов для протокола UDP, если через интерфейсы зоны проходит трафик таких сервисов, как IP-телефония или L2TP VPN. Исключения защиты от DoS - позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для сервиса IP-телефонии, так как он шлет большое количество UDP-пакетов. Важно! UserGate позволят произвести более гранулированную защиту от DoS атак. Для получения дополнительной информации обратитесь в раздел Защита от DoS атак. |
Шаг 3. Настроить параметры контроля доступа зоны (опционально) |
Указать предоставляемые UserGate сервисы, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все сервисы. Сервисы:
|
Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально) |
Атаки на основе IP-спуфинга позволяют передать пакет из внешней сети, например, из Untrusted, во внутреннюю, например, в Trusted. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес внутренней сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес. Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников отличных от указанных будут отброшены. С помощью галочки Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, для зоны Untrusted можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0./16 и включить опцию Инвертировать. |