Зона в UserGate LogAn - это логическое объединение сетевых интерфейсов. Политики безопасности UserGate LogAn используют зоны интерфейсов, а не непосредственно интерфейсы.
Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например, зона LAN-интерфейсов, зона интернет-интерфейсов, зона интерфейсов управления.
По умолчанию UserGate LogAn поставляется со следующими зонами:
Наименование |
Описание |
---|---|
Management |
Зона для подключения доверенных сетей, из которых разрешено управление UserGate LogAn. |
Trusted |
Зона для подключения доверенных сетей, например, LAN-сетей. Предполагается, что через зону Trusted LogAn будет подключен в сеть, через которую шлюзы UserGate будут отсылать на него журналы, а также через которую LogAn получит доступ в интернет. |
Для работы UserGate LogAn достаточно одного настроенного интерфейса. Разделение функций управления устройством и сбора данных на разные сетевые интерфейсы рекомендовано для обеспечения безопасности, но не является жестким требованием.
Администраторы UserGate LogAn могут изменять настройки зон, созданных по умолчанию, а также создавать дополнительные зоны.
Примечание
Можно создать не более 255 зон.
Для создания зоны необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Создать зону |
Нажать на кнопку Добавить и дать название зоне. |
Шаг 2. Настроить параметры защиты зоны от DoS (опционально) |
Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
Рекомендованные значения для порога уведомления - 300 запросов в секунду, для порога отбрасывания пакетов - 600 запросов в секунду. Исключения защиты от DoS - позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для шлюзов UserGate, которые могут слать большой объем данных на сервера LogAn. |
Шаг 3. Настроить параметры контроля доступа зоны (опционально) |
Указать предоставляемые UserGate LogAn сервисы, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все сервисы. Сервисы:
Подробнее о требованиях сетевой доступности читайте в Приложение 1. Требования к сетевому окружению. |
Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально) |
Атаки на основе IP-спуфинга позволяют передать пакет из одной сети, например, из Trusted, в другую, например, в Management. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес необходимой сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес. Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников, отличными от указанных, будут отброшены. С помощью чекбокса Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 и включить опцию Инвертировать. |