2. የተጠቃሚ ጌት መጀመር። መስፈርቶች, መጫኛ

ጤና ይስጥልኝ, ይህ ከኩባንያው ስለ NGFW መፍትሄ ሁለተኛው መጣጥፍ ነው የተጠቃሚ ጌት. የዚህ ጽሁፍ አላማ የ UserGate ፋየርዎልን በቨርቹዋል ሲስተም ላይ እንዴት እንደሚጭን ማሳየት ነው (የቪኤምዌር ዎርክስቴሽን ቨርችዋል ሶፍትዌሮችን እጠቀማለሁ) እና የመጀመሪያ ውቅሩን ማከናወን (ከአካባቢው አውታረ መረብ በ UserGate መግቢያ ወደ በይነመረብ መድረስን ይፍቀዱ)።   

1. መግቢያ

ለመጀመር፣ ይህንን መግቢያ ወደ አውታረ መረቡ ለመተግበር የተለያዩ መንገዶችን እገልጻለሁ። በተመረጠው የግንኙነት አማራጭ ላይ በመመስረት የመግቢያ መንገዱ የተወሰኑ ተግባራት ላይገኙ እንደሚችሉ ማስተዋል እፈልጋለሁ። የ UserGate መፍትሔ የሚከተሉትን የግንኙነት ሁነታዎች ይደግፋል። 

• L3-L7 ፋየርዎል

• L2 ግልጽ ድልድይ

• L3 ግልጽ ድልድይ

• የWCCP ፕሮቶኮልን በመጠቀም ወደ ክፍተት ማለት ይቻላል።

• በፖሊሲ ላይ የተመሰረተ ራውቲንግ በመጠቀም ማለት ይቻላል ክፍተቱ ውስጥ ነው።

• ራውተር በስቲክ ላይ

• በግልጽ የተገለጸ የWEB ፕሮክሲ

• UserGate እንደ ነባሪ መግቢያ በር

• የመስታወት ወደብ ክትትል

UserGate 2 አይነት ስብስቦችን ይደግፋል፡-

1. የክላስተር ውቅር። ወደ ውቅር ዘለላ የተዋሃዱ አንጓዎች በክላስተር ውስጥ ወጥነት ያላቸው ቅንብሮችን ያቆያሉ።

2. ያልተሳካ ክላስተር። እስከ 4 የሚደርሱ የውቅረት ክላስተር ኖዶች በActive-Active ወይም Active-Passive ሁነታ ውስጥ ሥራን ወደ ሚደግፍ ያልተሳካ ክላስተር ሊጣመሩ ይችላሉ። ብዙ ያልተሳካላቸው ስብስቦችን መሰብሰብ ይቻላል.

2. መጫን

ባለፈው መጣጥፍ ላይ እንደተጠቀሰው፣ UserGate እንደ ሃርድዌር እና ሶፍትዌር ጥቅል ወይም በምናባዊ አካባቢ ውስጥ ተዘርግቷል። በድር ጣቢያው ላይ ካለው የግል መለያዎ የተጠቃሚ ጌት ምስሉን በኦቪኤፍ (Open Virtualization Format) ያውርዱ፣ ይህ ቅርጸት ለ VMWare እና Oracle Virtualbox አቅራቢዎች ተስማሚ ነው። የቨርቹዋል ማሽን ዲስክ ምስሎች ለማክሮሶፍት Hyper-v እና KVM ተሰጥተዋል።

እንደ UserGate ድህረ ገጽ ከሆነ ቨርቹዋል ማሽኑ በትክክል እንዲሰራ ቢያንስ 8ጂቢ RAM እና ባለ 2-ኮር ቨርቹዋል ፕሮሰሰር እንዲጠቀሙ ይመከራል። ሃይፐርቫይዘር ባለ 64-ቢት ኦፕሬቲንግ ሲስተሞችን መደገፍ አለበት።

መጫኑ የሚጀምረው ምስሉን ወደ ተመረጠው ሃይፐርቫይዘር (VirtualBox እና VMWare) በማስመጣት ነው። በማይክሮሶፍት Hyper-v እና KVM ላይ ቨርቹዋል ማሽን መፍጠር እና የወረደውን ምስል እንደ ዲስክ መግለጽ እና በተፈጠረው ምናባዊ ማሽን ቅንጅቶች ውስጥ የመዋሃድ አገልግሎቶችን ማሰናከል ያስፈልግዎታል።

በነባሪ፣ ወደ VMWare ከገባ በኋላ፣ ቨርቹዋል ማሽን ከሚከተሉት መቼቶች ጋር ይፈጠራል።

ከላይ እንደተፃፈው ቢያንስ 8ጂቢ ራም መኖር አለበት እና በተጨማሪ ለእያንዳንዱ 1 ተጠቃሚ 100Gb መጨመር ያስፈልግዎታል። ነባሪው የሃርድ ድራይቭ መጠን 100Gb ነው, ነገር ግን ይህ አብዛኛውን ጊዜ ሁሉንም ምዝግቦች እና መቼቶች ለማከማቸት በቂ አይደለም. የሚመከረው መጠን 300Gb ወይም ከዚያ በላይ ነው። ስለዚህ, በቨርቹዋል ማሽኑ ባህሪያት ውስጥ የዲስክን መጠን ወደ ተፈላጊው እንለውጣለን. መጀመሪያ ላይ፣ ቨርቹዋል ተጠቃሚ ጌት ዩቲኤም ለዞኖች ከተመደቡ አራት በይነገጾች ጋር ​​አብሮ ይመጣል።

አስተዳደር - የቨርቹዋል ማሽን የመጀመሪያ በይነገጽ ፣ የተጠቃሚ ጌት አስተዳደር የተፈቀደለት የታመኑ አውታረ መረቦችን ለማገናኘት ዞን።

የታመነ የቨርቹዋል ማሽን ሁለተኛ በይነገጽ ነው፣ የታመኑ አውታረ መረቦችን ለማገናኘት ዞን ፣ ለምሳሌ ፣ LAN አውታረ መረቦች።

የማይታመን ሦስተኛው የቨርቹዋል ማሽን በይነገጽ ነው፣ ከማይታመኑ አውታረ መረቦች ጋር የተገናኙ በይነገጾች ዞን፣ ለምሳሌ ከበይነመረቡ ጋር።

DMZ የቨርቹዋል ማሽን አራተኛው በይነገጽ ነው፣ ከዲኤምዚዝ አውታረመረብ ጋር የተገናኙ በይነገጾች ዞን።

በመቀጠል ቨርቹዋል ማሽኑን እናስጀምረዋለን ምንም እንኳን መመሪያው የድጋፍ መሳሪያዎችን መምረጥ እና የፋብሪካ ዳግም ማስጀመሪያ ዩቲኤም ማከናወን እንዳለቦት ቢገልጽም ግን እንደሚመለከቱት አንድ ምርጫ ብቻ ነው (UTM First Boot)። በዚህ ደረጃ ዩቲኤም የአውታረ መረብ አስማሚዎችን ያዋቅራል እና የሃርድ ድራይቭ ክፍልፍልን ወደ ሙሉ የዲስክ መጠን ይጨምራል።

ከUserGate ድረ-ገጽ ጋር ለመገናኘት በማኔጅመንት ዞን በኩል መግባት አለብህ፤ ይህ የ eth0 በይነገጽ ሃላፊነት ነው፣ እሱም የአይ ፒ አድራሻን በራስ ሰር (DHCP) ለማግኘት የተዋቀረ ነው። DHCP ን በመጠቀም ለማኔጅመንት በይነገጽ አድራሻን በራስ ሰር ለመመደብ የማይቻል ከሆነ CLI (Command Line Interface) በመጠቀም በግልፅ ሊዘጋጅ ይችላል። ይህንን ለማድረግ ሙሉ የአስተዳዳሪ መብቶች (አስተዳዳሪ በካፒታል ፊደል በነባሪ) የተጠቃሚ ስም እና የይለፍ ቃል በመጠቀም ወደ CLI መግባት አለብዎት። የ UserGate መሳሪያ የመጀመሪያ አጀማመር ካላደረገ፣ ከዚያ CLIን ለማግኘት Admin እንደ የተጠቃሚ ስም እና utm እንደ የይለፍ ቃል መጠቀም አለቦት። እና እንደ iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static ያለ ትእዛዝ ይተይቡ። በኋላ በተጠቀሰው አድራሻ ወደ UserGate ድር ኮንሶል እንሄዳለን፣ እንደዚህ ያለ ነገር መምሰል አለበት። https://UserGateIPaddress:8001:

በድር ኮንሶል ውስጥ መጫኑን እንቀጥላለን ፣ የበይነገጽ ቋንቋን መምረጥ አለብን (በአሁኑ ጊዜ ሩሲያኛ ወይም እንግሊዝኛ ነው) ፣ የሰዓት ሰቅ ፣ ከዚያ ያንብቡ እና የፍቃድ ስምምነቱን ይስማሙ። ወደ የድር አስተዳደር በይነገጽ ለመግባት መግቢያ እና የይለፍ ቃል ያዘጋጁ።

3. ማዋቀር

ከተጫነ በኋላ የመድረክ አስተዳደር የድር በይነገጽ መስኮቱ ይህንን ይመስላል።

ከዚያ የአውታረ መረብ መገናኛዎችን ማዋቀር ያስፈልግዎታል. ይህንን ለማድረግ በ "በይነገጽ" ክፍል ውስጥ እነሱን ማንቃት, ትክክለኛዎቹን የአይፒ አድራሻዎች ማዘጋጀት እና ተገቢውን ዞኖች መመደብ ያስፈልግዎታል.

የ "በይነገጽ" ክፍል በሲስተሙ ውስጥ የሚገኙትን ሁሉንም አካላዊ እና ምናባዊ በይነገጾች ያሳያል, ቅንብሮቻቸውን እንዲቀይሩ እና የ VLAN በይነገጾችን እንዲጨምሩ ያስችልዎታል. እንዲሁም የእያንዳንዱን ክላስተር መስቀለኛ መንገድ ሁሉንም መገናኛዎች ያሳያል። የበይነገጽ ቅንጅቶች ለእያንዳንዱ መስቀለኛ መንገድ የተወሰኑ ናቸው፣ ማለትም፣ ዓለም አቀፋዊ አይደሉም።

የበይነገጽ ባህሪያት፡-

• በይነገጹን አንቃ ወይም አሰናክል 

• የበይነገጽ አይነት ይግለጹ - ንብርብር 3 ወይም መስተዋት

• ለአንድ በይነገጽ ዞን መድብ

• ስታቲስቲካዊ መረጃን ወደ Netflow ሰብሳቢ ለመላክ የNetflow መገለጫ ይመድቡ

• የበይነገጽ አካላዊ መለኪያዎችን ይቀይሩ - MAC አድራሻ እና MTU መጠን

• የአይፒ አድራሻ ምደባ አይነት ይምረጡ - አድራሻ የለም፣ የማይንቀሳቀስ አይፒ አድራሻ ወይም በDHCP የተገኘ

• በተመረጠው በይነገጽ ላይ የDHCP ማስተላለፊያውን ያዋቅሩ።

የ “አክል” ቁልፍ የሚከተሉትን የሎጂክ በይነገጾች ዓይነቶች እንዲያክሉ ይፈቅድልዎታል።

• ቪላን

• ቦንድ

• ድልድይ

• PPPoE

• የ VPN

• ዋሻ

የ Usergate ምስል ከሚጓጓዘው ቀደም ሲል ከተዘረዘሩት ዞኖች በተጨማሪ፣ ሦስት ተጨማሪ አስቀድሞ የተገለጹ ዓይነቶች አሉ፡

ክላስተር - ለክላስተር አሠራር ጥቅም ላይ ለሚውሉ መገናኛዎች ዞን

ቪፒኤን ከሳይት-ወደ ሳይት - ከተጠቃሚ ጌት ጋር በቪፒኤን የተገናኙ ሁሉም የቢሮ-ቢሮ ደንበኞች የሚቀመጡበት ዞን

ቪፒኤን ለርቀት መዳረሻ - ከተጠቃሚ ጌት ጋር በቪፒኤን የተገናኙትን ሁሉንም የሞባይል ተጠቃሚዎች ያካተተ ዞን

የተጠቃሚ ጌት አስተዳዳሪዎች የነባሪ ዞኖችን መቼት መቀየር እና ተጨማሪ ዞኖችን መፍጠር ይችላሉ ነገርግን በስሪት 5 ማኑዋል ላይ እንደተገለጸው ቢበዛ 15 ዞኖች ሊፈጠሩ ይችላሉ። እነሱን ለመለወጥ ወይም ለመፍጠር ወደ ዞን ክፍል መሄድ ያስፈልግዎታል. ለእያንዳንዱ ዞን የፓኬት መውረድ ገደብ ማዘጋጀት ይችላሉ፡ SYN፣ UDP፣ ICMP ይደገፋሉ። የUsergate አገልግሎቶችን የመዳረሻ መቆጣጠሪያም ተዋቅሯል፣ እና ከመጥፎ መከላከል ነቅቷል።

መገናኛዎችን ካዋቀሩ በኋላ በ "ጌትዌይስ" ክፍል ውስጥ ያለውን ነባሪ መንገድ ማዋቀር ያስፈልግዎታል. እነዚያ። UserGate ን ከበይነመረቡ ጋር ለማገናኘት የአንድ ወይም ከዚያ በላይ የመግቢያ መንገዶችን IP አድራሻ መግለጽ አለብዎት። ከበይነመረቡ ጋር ለመገናኘት ብዙ አቅራቢዎችን ከተጠቀሙ ብዙ መግቢያ መንገዶችን መግለጽ አለብዎት። የመግቢያ መንገዱ ውቅረት ለእያንዳንዱ የክላስተር መስቀለኛ መንገድ ልዩ ነው። ሁለት ወይም ከዚያ በላይ በሮች ከተገለጹ 2 አማራጮች ሊኖሩ ይችላሉ።

1. በበር መካከል ያለውን ትራፊክ ማመጣጠን።

2. ወደ መለዋወጫ ከመቀየር ጋር ዋናው መግቢያ።

የመግቢያው ሁኔታ (የሚገኝ - አረንጓዴ ፣ የማይገኝ - ቀይ) እንደሚከተለው ተወስኗል።

1. የአውታረ መረብ መፈተሽ ተሰናክሏል - ተጠቃሚ ጌት የኤአርፒ ጥያቄን በመጠቀም የማክ አድራሻውን ማግኘት ከቻለ ፍኖት ተደራሽ እንደሆነ ይቆጠራል። በዚህ መግቢያ በር የኢንተርኔት አገልግሎት ለማግኘት ምንም ፍተሻ የለም። የመተላለፊያ መንገዱ MAC አድራሻ ሊታወቅ ካልቻለ፣ በረኛው ሊደረስ እንደማይችል ይቆጠራል።

2. የአውታረ መረብ ፍተሻ ነቅቷል - በረኛው ተደራሽ እንደሆነ ይቆጠራል፦

• UserGate የኤአርፒ ጥያቄን በመጠቀም የማክ አድራሻውን ማግኘት ይችላል።

• በዚህ ፍኖት በኩል ያለው የበይነመረብ መዳረሻ ፍተሻ በተሳካ ሁኔታ ተጠናቋል።

አለበለዚያ የመግቢያ መንገዱ እንደማይገኝ ይቆጠራል።

በ "ዲ ኤን ኤስ" ክፍል ውስጥ UserGate የሚጠቀሙባቸውን የዲ ኤን ኤስ አገልጋዮች ማከል ያስፈልግዎታል. ይህ ቅንብር በስርዓት ዲ ኤን ኤስ አገልጋዮች አካባቢ ውስጥ ተገልጿል. ከዚህ በታች የተጠቃሚዎችን የዲ ኤን ኤስ ጥያቄዎችን ለማስተዳደር ቅንጅቶች አሉ። UserGate የዲ ኤን ኤስ ፕሮክሲ እንድትጠቀም ይፈቅድልሃል። የዲ ኤን ኤስ ተኪ አገልግሎት ከተጠቃሚዎች የሚቀርቡትን የዲኤንኤስ ጥያቄዎችን እንድትጠልፉ እና እንደ አስተዳዳሪው ፍላጎት እንዲቀይሩ ያስችልዎታል። የዲ ኤን ኤስ ተኪ ደንቦች የዲኤንኤስ አገልጋዮችን ለየትኛው ጎራዎች የሚቀርቡ ጥያቄዎችን ለመለየት ጥቅም ላይ ሊውል ይችላል። በተጨማሪም፣ የዲ ኤን ኤስ ፕሮክሲ በመጠቀም፣ የአስተናጋጁ አይነት (ኤ ሪከርድ) የማይለዋወጡ መዝገቦችን ማዘጋጀት ይችላሉ።

በ "NAT and Routing" ክፍል ውስጥ አስፈላጊውን የ NAT ደንቦችን መፍጠር ያስፈልግዎታል. በታመነ አውታረመረብ ተጠቃሚዎች ወደ በይነመረብ ለመድረስ የ NAT ደንቡ ቀድሞውኑ ተፈጥሯል - “የታመነ-> ያልታመነ” ፣ የቀረው እሱን ማንቃት ነው። በኮንሶል ውስጥ በተዘረዘሩት ቅደም ተከተል ህጎች ከላይ እስከ ታች ይተገበራሉ። በደንቡ ግጥሚያ ውስጥ የተገለጹት ሁኔታዎች ሁልጊዜ የሚፈጸሙበት የመጀመሪያው ህግ ብቻ ነው። ደንቡ እንዲነቃነቅ, በደንቡ መለኪያዎች ውስጥ የተገለጹት ሁሉም ሁኔታዎች መመሳሰል አለባቸው. UserGate አጠቃላይ የNAT ደንቦችን መፍጠርን ይመክራል፣ ለምሳሌ፣ NAT ደንብ ከአካባቢያዊ አውታረ መረብ (በተለምዶ የታመነ ዞን) ወደ በይነመረብ (ብዙውን ጊዜ የማይታመን ዞን) እና የተጠቃሚዎችን ፣ አገልግሎቶችን እና መተግበሪያዎችን የፋየርዎል ህጎችን በመጠቀም መድረስን መገደብ።

እንዲሁም የDNAT ደንቦችን፣ ወደብ ማስተላለፍ፣ በፖሊሲ ላይ የተመሰረተ ማዘዋወር፣ የኔትወርክ ካርታ መስራት ይቻላል።

ከዚህ በኋላ በ "ፋየርዎል" ክፍል ውስጥ የፋየርዎል ደንቦችን መፍጠር ያስፈልግዎታል. ለታማኝ አውታረመረብ ተጠቃሚዎች ያልተገደበ የበይነመረብ መዳረሻ፣ የፋየርዎል ህግ አስቀድሞ ተፈጥሯል - “ኢንተርኔት ለታማኝ” እና መንቃት አለበት። የፋየርዎል ደንቦችን በመጠቀም አስተዳዳሪው ማንኛውንም አይነት የመጓጓዣ አውታር ትራፊክ በ UserGate በኩል መፍቀድ ወይም መከልከል ይችላል። የደንብ ሁኔታዎች ዞኖችን እና ምንጭ/መዳረሻ አይፒ አድራሻዎችን፣ ተጠቃሚዎችን እና ቡድኖችን፣ አገልግሎቶችን እና መተግበሪያዎችን ሊያካትቱ ይችላሉ። ደንቦቹ በ "NAT and Routing" ክፍል ውስጥ በተመሳሳይ መንገድ ይተገበራሉ, ማለትም. ከላይ ወደታች. ምንም ህጎች ካልተፈጠሩ በተጠቃሚ ጌት በኩል የሚደረግ ማንኛውም የመጓጓዣ ትራፊክ የተከለከለ ነው።

4. ማጠቃለያ

ይህ ጽሑፉን ያበቃል. የ UserGate ፋየርዎልን በቨርቹዋል ማሽን ላይ ጫንን እና በበይነመረቡ ታማኝ አውታረመረብ ላይ እንዲሰራ አነስተኛውን አስፈላጊ ቅንጅቶች አድርገናል። በሚቀጥሉት ጽሁፎች ውስጥ ተጨማሪ ውቅረትን እንመለከታለን.

በቻናሎቻችን ላይ አዳዲስ መረጃዎችን ይጠብቁ (ቴሌግራም, Facebook, VK, TS መፍትሔ ብሎግ)!

ምንጭ: hab.com