8.1. Настройка зон

Зона в UGMC - это логическое объединение сетевых интерфейсов. Политики безопасности UGMC используют зоны интерфейсов, а не непосредственно интерфейсы.

Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например, зона LAN-интерфейсов, зона интернет-интерфейсов, зона интерфейсов управления.

По умолчанию UGMC поставляется со следующими зонами:

Наименование

Описание

Management

Зона для подключения доверенных сетей, из которых разрешено управление UGMC.

Trusted

Зона для подключения управляемых устройств и получения доступ в сеть интернет.

Для работы UGMC достаточно одного настроенного интерфейса. Разделение функций управления устройством и управления МЭ UserGate на разные сетевые интерфейсы рекомендовано для обеспечения безопасности, но не является жестким требованием.

Администраторы UGMC могут изменять настройки зон, созданных по умолчанию, а также создавать дополнительные зоны.

Примечание

Можно создать не более 255 зон.

Для создания зоны необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать зону

Нажать на кнопку Добавить и дать название зоне.

Шаг 2. Настроить параметры защиты зоны от DoS (опционально)

Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:

  • Порог уведомления - при превышении количества запросов с одного IP-адреса над указанным значением происходит запись события в системный журнал.

  • Порог отбрасывания пакетов - при превышении количества запросов с одного IP-адреса над указанным значением UGMC начинает отбрасывать пакеты, поступившие с этого IP-адреса, и записывает данное событие в системный журнал.

Рекомендованные значения для порога уведомления - 300 запросов в секунду, для порога отбрасывания пакетов - 600 запросов в секунду.

Исключения защиты от DoS - позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для шлюзов UserGate, которые могут слать большой объем данных на сервера LogAn.

Шаг 3. Настроить параметры контроля доступа зоны (опционально)

Указать предоставляемые UGMC сервисы, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все сервисы.

Сервисы:

  • Ping - позволяет пинговать UGMC.

  • Консоль администрирования - доступ к веб-консоли управления (TCP 8010 и 8300).

  • XML-RPC для управления - позволяет управлять продуктом по API (TCP 4040).

  • VRRP - сервис, необходимый для объединения нескольких МЭ UserGate в отказоустойчивый кластер (IP протокол 112).

  • Кластер - сервис, необходимый для объединения нескольких МЭ UserGate в кластер (TCP 4369, TCP 9000-9100).

  • CLI по SSH - доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.

  • Сервис UserGate Management Center -- сервис подключения МЭ UserGate и UserGate LogAn (TCP 2022, 9712).

Подробнее о требованиях сетевой доступности читайте в Приложение 1. Требования к сетевому окружению.

Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально)

Атаки на основе IP-спуфинга позволяют передать пакет из одной сети, например, из Trusted, в другую, например, в Management. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес необходимой сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес.

Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников, отличными от указанных, будут отброшены.

С помощью галочки Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 и включить опцию Инвертировать.