Helo, dyma'r ail erthygl am ateb NGFW gan y cwmni . Pwrpas yr erthygl hon yw dangos sut i osod wal dân UserGate ar system rithwir (byddaf yn defnyddio meddalwedd rhithwiroli VMware Workstation) a pherfformio ei ffurfweddiad cychwynnol (caniatáu mynediad o'r rhwydwaith lleol trwy borth UserGate i'r Rhyngrwyd).
1. Cyflwyniad
I ddechrau, byddaf yn disgrifio'r gwahanol ffyrdd o gyflwyno'r porth hwn i'r rhwydwaith. Hoffwn nodi, yn dibynnu ar yr opsiwn cysylltiad a ddewiswyd, efallai na fydd rhai swyddogaethau'r porth ar gael. Mae datrysiad UserGate yn cefnogi'r dulliau cysylltu canlynol:
-
wal dân L3-L7
-
Pont dryloyw L2
-
Pont dryloyw L3
-
Bron yn unol, gan ddefnyddio protocol WCCCP
-
Bron i mewn i'r bwlch, gan ddefnyddio Llwybro ar Sail Polisi
-
Llwybrydd ar Ffyn
-
Gosod dirprwy WE yn benodol
-
UserGate fel porth rhagosodedig
-
Monitro porthladd drych
Mae UserGate yn cefnogi 2 fath o glwstwr:
-
clwstwr cyfluniad. Mae nodau sy'n cael eu grwpio i glwstwr cyfluniad yn cynnal gosodiadau unffurf ar draws y clwstwr.
-
Clwstwr methiant. Gellir cyfuno hyd at 4 nod o'r clwstwr cyfluniad yn glwstwr methiant sy'n cefnogi gweithrediad yn y modd Active-Active neu Active-Goddefol. Mae'n bosibl adeiladu clystyrau methiant lluosog.
2. Gosod
Fel y soniwyd yn yr erthygl flaenorol, mae UserGate yn cael ei gyflwyno fel cyfadeilad meddalwedd caledwedd neu ei ddefnyddio mewn amgylchedd rhithwir. O'ch cyfrif personol ar y wefan lawrlwythwch y ddelwedd mewn fformat OVF (Fformat Rhithwiroli Agored), mae'r fformat hwn yn addas ar gyfer gwerthwyr VMWare ac Oracle Virtualbox. Ar gyfer Microsoft Hyper-v a KVM, darperir delweddau disg peiriant rhithwir.
Yn ôl gwefan UserGate, ar gyfer gweithrediad cywir y peiriant rhithwir, argymhellir defnyddio o leiaf 8Gb o RAM a phrosesydd rhithwir 2-graidd. Rhaid i'r hypervisor gefnogi systemau gweithredu 64-bit.
Mae'r gosodiad yn dechrau trwy fewnforio'r ddelwedd i'r hypervisor a ddewiswyd (VirtualBox a VMWare). Yn achos Microsoft Hyper-v a KVM, mae angen i chi greu peiriant rhithwir a nodi'r ddelwedd wedi'i lawrlwytho fel disg, ac yna analluogi gwasanaethau integreiddio yng ngosodiadau'r peiriant rhithwir a grëwyd.
Yn ddiofyn, ar ôl mewnforio i VMWare, crëir peiriant rhithwir gyda'r gosodiadau canlynol:
Fel y'i hysgrifennwyd uchod, dylai'r RAM fod o leiaf 8Gb ac yn ogystal mae angen ichi ychwanegu 1Gb ar gyfer pob 100 o ddefnyddwyr. Maint y disg caled rhagosodedig yw 100Gb, ond fel arfer nid yw hyn yn ddigon i storio'r holl logiau a gosodiadau. Y maint a argymhellir yw 300Gb neu fwy. Felly, ym mhhriodweddau'r peiriant rhithwir, newidiwch faint y ddisg i'r un a ddymunir. I ddechrau, daw'r rhithwir UserGate UTM gyda phedwar rhyngwyneb wedi'u neilltuo i barthau:
Rheolaeth - rhyngwyneb cyntaf y peiriant rhithwir, parth ar gyfer cysylltu rhwydweithiau dibynadwy y caniateir rheolaeth UserGate ohono.
Dibynadwy - ail ryngwyneb y peiriant rhithwir, parth ar gyfer cysylltu rhwydweithiau dibynadwy, er enghraifft, rhwydweithiau LAN.
Untrusted - trydydd rhyngwyneb y peiriant rhithwir, parth ar gyfer rhyngwynebau sy'n gysylltiedig â rhwydweithiau di-ymddiried, megis y Rhyngrwyd.
DMZ - Pedwerydd rhyngwyneb y peiriant rhithwir, parth ar gyfer rhyngwynebau sy'n gysylltiedig â rhwydwaith DMZ.
Nesaf, rydym yn cychwyn y peiriant rhithwir, er bod y llawlyfr yn dweud bod angen i chi ddewis Offer Cymorth a pherfformio ailosod Ffatri UTM, ond fel y gwelwch, dim ond un dewis sydd (UTM First Boot). Yn ystod y cam hwn, mae UTM yn ffurfweddu'r addaswyr rhwydwaith ac yn tyfu'r rhaniad ar y gyriant caled i faint llawn y gyriant:
I gysylltu â rhyngwyneb gwe UserGate, mae angen i chi fynd trwy'r parth Rheoli, y rhyngwyneb eth0 sy'n gyfrifol am hyn, sydd wedi'i ffurfweddu i dderbyn cyfeiriad IP yn y modd awtomatig (DHCP). Os nad yw'n bosibl aseinio cyfeiriad ar gyfer y rhyngwyneb Rheoli yn awtomatig gan ddefnyddio DHCP, yna gellir ei osod yn benodol gan ddefnyddio'r CLI (Rhyngwyneb Llinell Orchymyn). I wneud hyn, mae angen i chi fewngofnodi i'r CLI gan ddefnyddio'r enw defnyddiwr a'r cyfrinair gyda hawliau gweinyddwr Llawn (yn ddiofyn, Gweinyddwr gyda Phriflythyren). Os nad yw'r ddyfais UserGate wedi pasio'r cychwyniad cychwynnol, yna i gael mynediad i'r CLI, rhaid i chi ddefnyddio Admin fel yr enw defnyddiwr ac utm fel y cyfrinair. A theipiwch orchymyn fel iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Yn ddiweddarach rydyn ni'n mynd i gonsol gwe UserGate yn y cyfeiriad penodedig, dylai edrych fel hyn:https://UserGateIPaddress:8001:
Yn y consol gwe, rydym yn parhau â'r gosodiad, mae angen i ni ddewis iaith y rhyngwyneb (rwsieg neu Saesneg ydyw ar hyn o bryd), y parth amser, yna rydym yn darllen ac yn cytuno i'r cytundeb trwydded. Gosodwch y mewngofnodi a'r cyfrinair i fynd i mewn i'r rhyngwyneb rheoli gwe.
3. Gosod
Ar ôl ei osod, mae ffenestr rhyngwyneb gwe rheoli platfform yn edrych fel hyn:
Yna mae angen i chi ffurfweddu'r rhyngwynebau rhwydwaith. I wneud hyn, yn yr adran "Rhyngwynebau", mae angen i chi eu galluogi, gosod y cyfeiriadau IP cywir a phennu'r parthau priodol.
Mae'r adran "Rhyngwynebau" yn dangos yr holl ryngwynebau ffisegol a rhithwir sydd ar gael yn y system, yn caniatáu ichi newid eu gosodiadau ac ychwanegu rhyngwynebau VLAN. Mae hefyd yn dangos holl ryngwynebau pob nod clwstwr. Mae gosodiadau rhyngwyneb yn benodol i bob un o'r nodau, hynny yw, nid ydynt yn rhai byd-eang.
Mewn priodweddau rhyngwyneb:
-
Galluogi neu analluogi'r rhyngwyneb
-
Nodwch y math o ryngwyneb - Haen 3 neu Drych
-
Neilltuo parth i ryngwyneb
-
Neilltuo proffil Netflow i anfon data ystadegol i gasglwr Netflow
-
Newid paramedrau ffisegol y rhyngwyneb - cyfeiriad MAC a maint MTU
-
Dewiswch y math o aseiniad cyfeiriad IP - dim cyfeiriad, cyfeiriad IP statig neu a gafwyd trwy DHCP
-
Ffurfweddu gweithrediad y ras gyfnewid DHCP ar y rhyngwyneb a ddewiswyd.
Mae'r botwm Ychwanegu yn caniatáu ichi ychwanegu'r mathau canlynol o ryngwynebau rhesymegol:
-
VLANs
-
bond
-
Pont
-
PPPoE
-
VPN
-
Twnnel
Yn ogystal â'r parthau a restrwyd yn flaenorol y mae delwedd Usergate yn dod gyda nhw, mae tri math arall o rai wedi'u diffinio ymlaen llaw:
Clwstwr - parth ar gyfer rhyngwynebau a ddefnyddir ar gyfer gweithrediad clwstwr
VPN ar gyfer Safle-i-Safle - parth lle mae'r holl gleientiaid Swyddfa-i-Swyddfa sy'n gysylltiedig â UserGate trwy VPN wedi'u gosod
VPN ar gyfer mynediad o bell - parth lle mae'r holl ddefnyddwyr symudol sy'n gysylltiedig â UserGate trwy VPN wedi'u gosod
Gall gweinyddwyr UserGate newid gosodiadau parthau a grëwyd yn ddiofyn, yn ogystal â chreu parthau ychwanegol, ond fel y nodir yn y llawlyfr ar gyfer fersiwn 5, ni allwch greu mwy na 15 parth. I'w golygu neu eu creu, ewch i'r adran parth. Ar gyfer pob parth, gallwch osod y trothwy ar gyfer gollwng pecynnau, cefnogir SYN, CDU, ICMP. Mae rheolaeth mynediad i wasanaethau Usergate hefyd wedi'i ffurfweddu, ac mae amddiffyniad ffug wedi'i alluogi.
Ar ôl ffurfweddu'r rhyngwynebau, mae angen i chi ffurfweddu'r llwybr rhagosodedig yn yr adran "Pyrth". Y rhai. i gysylltu UserGate â'r Rhyngrwyd, rhaid i chi nodi cyfeiriad IP un neu fwy o byrth. Os defnyddir sawl darparwr i gysylltu â'r Rhyngrwyd, yna rhaid nodi sawl porth. Mae'r gosodiad porth yn unigryw ar gyfer pob un o'r nodau clwstwr. Os nodir dau borth neu fwy, mae 2 opsiwn ar gyfer gweithio:
-
Cydbwyso traffig rhwng pyrth.
-
Y prif borth gyda newid i un sbâr.
Diffinnir statws porth (ar gael - gwyrdd, ddim ar gael - coch) fel a ganlyn:
-
Gwiriad rhwydwaith wedi'i analluogi - ystyrir bod porth ar gael os gall UserGate gael ei gyfeiriad MAC gan ddefnyddio cais ARP. Nid yw mynediad i'r rhyngrwyd drwy'r porth hwn yn cael ei wirio. Os na ellir pennu cyfeiriad MAC y porth, ystyrir bod y porth yn anghyraeddadwy.
-
Gwiriad Rhwydwaith wedi'i Galluogi - Ystyrir bod Gateway ar gael os:
-
Gall UserGate gael ei gyfeiriad MAC gan ddefnyddio cais ARP.
-
Roedd gwirio am fynediad i'r Rhyngrwyd drwy'r porth hwn yn llwyddiannus.
Fel arall, ystyrir bod y porth yn anghyraeddadwy.
Yn yr adran "DNS", mae angen ichi ychwanegu'r gweinyddwyr DNS y bydd UserGate yn eu defnyddio. Mae'r gosodiad hwn wedi'i nodi yn ardal gweinyddwyr System DNS. Isod mae'r gosodiadau ar gyfer rheoli ymholiadau DNS gan ddefnyddwyr. Mae UserGate yn caniatáu ichi ddefnyddio dirprwyon DNS. Mae'r gwasanaeth dirprwy DNS yn caniatáu ichi ryng-gipio ceisiadau DNS gan ddefnyddwyr a'u haddasu yn dibynnu ar anghenion y gweinyddwr. Gan ddefnyddio rheolau dirprwy DNS, gallwch chi nodi'r gweinyddwyr DNS y mae ymholiadau am barthau penodol yn cael eu hanfon atynt. Yn ogystal, gan ddefnyddio dirprwy DNS, gallwch osod cofnodion statig o'r math gwesteiwr (cofnod A).
Yn yr adran "NAT a Llwybro", mae angen i chi greu'r rheolau NAT angenrheidiol. Er mwyn cael mynediad i'r Rhyngrwyd i ddefnyddwyr y rhwydwaith Trusted, mae'r rheol NAT eisoes wedi'i chreu - "Ymddiried -> Untrusted", dim ond i'w alluogi y mae'n parhau. Cymhwysir rheolau o'r top i'r gwaelod yn y drefn y maent yn ymddangos yn y consol. Dim ond y rheol gyntaf sy'n cael ei gweithredu bob amser, y mae'r amodau a nodir yn y rheol yn cyd-fynd ar eu cyfer. Er mwyn i'r rheol gael ei sbarduno, rhaid i'r holl amodau a bennir yn y paramedrau rheol gydweddu. Mae UserGate yn argymell creu rheolau NAT cyffredinol, er enghraifft, rheol NAT o'r rhwydwaith lleol (y parth Trusted fel arfer) i'r Rhyngrwyd (y parth Untrusted fel arfer), a chyfyngu mynediad gan ddefnyddwyr, gwasanaethau, cymwysiadau gan ddefnyddio rheolau wal dân.
Mae hefyd yn bosibl creu rheolau DNAT, anfon porthladdoedd ymlaen, llwybro ar sail polisi, mapio Rhwydwaith.
Ar ôl hynny, yn yr adran "Firewall", mae angen i chi greu rheolau wal dân. Ar gyfer mynediad diderfyn i'r Rhyngrwyd i ddefnyddwyr y rhwydwaith Trusted, mae rheol wal dân eisoes wedi'i chreu - “Internet for Trusted” a rhaid ei galluogi. Gan ddefnyddio rheolau wal dân, gall y gweinyddwr ganiatáu neu wadu unrhyw fath o draffig rhwydwaith tramwy sy'n mynd trwy UserGate. Gall amodau rheolau fod yn barthau a chyfeiriadau IP ffynhonnell/cyrchfan, defnyddwyr a grwpiau, gwasanaethau a chymwysiadau. Cymhwysir y rheolau yn yr un modd ag yn yr adran "NAT and Routing", h.y. brig i lawr. Os na chaiff rheolau eu creu, yna gwaherddir unrhyw draffig cludo trwy UserGate.
4. Casgliad
Mae'r erthygl hon wedi dod i ben. Fe wnaethom osod wal dân UserGate ar y peiriant rhithwir a gwneud y gosodiadau angenrheidiol lleiaf i'r Rhyngrwyd weithio yn y rhwydwaith Trusted. Bydd cyfluniad pellach yn cael ei ystyried yn yr erthyglau canlynol.
Cadwch lygad am ddiweddariadau yn ein sianeli (, , , )!
Ffynhonnell: hab.com