Dia duit, is é seo an dara alt faoi réiteach NGFW ón gcuideachta . Is é cuspóir an ailt seo a thaispeáint conas balla dóiteáin UserGate a shuiteáil ar chóras fíorúil (úsáidfidh mé bogearraí fíorúlaithe VMware Workstation) agus comhlíonfaidh sé a chumraíocht tosaigh (cead rochtain ón líonra áitiúil trí gheata UserGate chuig an Idirlíon).
1. Réamhrá
Chun tús a chur leis, déanfaidh mé cur síos ar na bealaí éagsúla chun an geata seo a chur i bhfeidhm sa líonra. Ba mhaith liom a thabhairt faoi deara, ag brath ar an rogha nasctha roghnaithe, go bhféadfadh sé nach mbeadh feidhmiúlacht áirithe den gheata ar fáil. Tacaíonn réiteach UserGate leis na modhanna ceangail seo a leanas:
-
balla dóiteáin L3-L7
-
L2 droichead trédhearcach
-
L3 droichead trédhearcach
-
Beagnach isteach sa bhearna, ag baint úsáide as an prótacal WCCP
-
Beagnach sa bhearna, ag baint úsáide as Routing Beartais Bunaithe
-
Ródaire ar bata
-
Seachfhreastalaí WEB sonraithe go soiléir
-
UserGate mar gheata réamhshocraithe
-
Monatóireacht calafoirt scáthán
Tacaíonn UserGate le 2 chineál braisle:
-
Cumraíocht braisle. Coinníonn nóid a chuirtear le chéile i mbraisle cumraíochta socruithe comhsheasmhacha ar fud an bhraisle.
-
braisle faille. Is féidir suas le 4 nód braisle cumraíochta a chomhcheangal i mbraisle teip a thacaíonn le hoibriú i mód Gníomhach-Gníomhach nó Gníomhach-Éighníomhach. Is féidir roinnt braislí teip a chur le chéile.
2. Suiteáil
Mar a luadh san alt roimhe seo, soláthraítear UserGate mar phacáiste crua-earraí agus bogearraí nó imscartar i dtimpeallacht fhíorúil. Ó do chuntas pearsanta ar an láithreán gréasáin íoslódáil an íomhá in OVF (Formáid Fíorúilithe Oscailte), tá an fhormáid seo oiriúnach do dhíoltóirí VMWare agus Oracle Virtualbox. Cuirtear íomhánna diosca meaisíní fíorúla ar fáil do Microsoft Hyper-v agus KVM.
De réir láithreán gréasáin UserGate, chun an meaisín fíorúil a oibriú i gceart, moltar 8Gb RAM ar a laghad agus próiseálaí fíorúil 2-lárnach a úsáid. Caithfidh an hypervisor tacú le córais oibriúcháin 64-giotán.
Tosaíonn an tsuiteáil tríd an íomhá a allmhairiú isteach sa hypervisor roghnaithe (VirtualBox agus VMWare). I gcás Microsoft Hyper-v agus KVM, ní mór duit meaisín fíorúil a chruthú agus an íomhá íoslódála a shonrú mar an diosca, agus ansin seirbhísí comhtháthú a dhíchumasú i socruithe an mheaisín fíorúil cruthaithe.
De réir réamhshocraithe, tar éis é a allmhairiú isteach i VMWare, cruthaítear meaisín fíorúil leis na socruithe seo a leanas:
Mar a scríobhadh thuas, ní mór go mbeadh 8Gb RAM ar a laghad ann agus ina theannta sin ní mór duit 1Gb a chur leis do gach 100 úsáideoir. Is é méid réamhshocraithe an tiomántáin chrua ná 100Gb, ach de ghnáth ní leor é seo chun na logaí agus na socruithe go léir a stóráil. Is é an méid molta 300Gb nó níos mó. Dá bhrí sin, in airíonna an mheaisín fíorúil, athraíonn muid an méid diosca go dtí an ceann atá ag teastáil. Ar dtús, tagann UserGate fíorúil UTM le ceithre chomhéadain a shanntar do chriosanna:
Bainistíocht - an chéad chomhéadan den mheaisín fíorúil, crios chun líonraí iontaofa a nascadh óna gceadaítear bainistíocht UserGate.
Is é Trusted an dara comhéadan den mheaisín fíorúil, crios chun líonraí iontaofa a nascadh, mar shampla, líonraí LAN.
Is é neamhiontaofa an tríú comhéadan den mheaisín fíorúil, crios le haghaidh comhéadain atá nasctha le líonraí neamhiontaofa, mar shampla, leis an Idirlíon.
Is é DMZ an ceathrú comhéadan den mheaisín fíorúil, crios le haghaidh comhéadain atá ceangailte leis an líonra DMZ.
Ansin, seolann muid an meaisín fíorúil, cé go ndeir an lámhleabhar gur gá duit Uirlisí Tacaíochta a roghnú agus UTM a athshocrú Monarcha, ach mar a fheiceann tú, níl ach rogha amháin ann (UTM First Boot). Le linn na céime seo, cumraíonn UTM na hoiriúnóirí líonra agus méadaíonn sé méid deighilt an dhiosca crua go dtí méid iomlán an diosca:
Chun ceangal le comhéadan gréasáin UserGate, ní mór duit logáil isteach tríd an gcrios Bainistíochta; is é seo an fhreagracht ar an gcomhéadan eth0, atá cumraithe chun seoladh IP a fháil go huathoibríoch (DHCP). Mura féidir seoladh a shannadh don Chomhéadan Bainistíochta go huathoibríoch ag baint úsáide as DHCP, ansin is féidir é a shocrú go sainráite ag baint úsáide as an CLI (Comhéadan Líne Ordú). Chun seo a dhéanamh, ní mór duit logáil isteach sa CLI ag baint úsáide as ainm úsáideora agus pasfhocal le cearta riarthóir iomlán (Riarachán le litir Chaipitil de réir réamhshocraithe). Mura ndearnadh an gléas UserGate a thosú ar dtús, ansin chun rochtain a fháil ar an CLI ní mór duit Riarachán a úsáid mar an t-ainm úsáideora agus utm mar an focal faire. Agus clóscríobh ordú cosúil le iface config –name eth0 –ipv4 192.168.1.254/24 –cumasaigh fíor –mód statach. Níos déanaí téann muid chuig consól gréasáin UserGate ag an seoladh sonraithe, ba cheart go mbeadh cuma air mar seo:https://UserGateIPaddress:8001:
Sa chonsól gréasáin leanaimid ar aghaidh leis an tsuiteáil, ní mór dúinn an teanga comhéadan a roghnú (is é Rúisis nó Béarla é faoi láthair), crios ama, ansin léigh an comhaontú ceadúnais agus aontú leis. Socraigh an logáil isteach agus do phasfhocal chun logáil isteach sa chomhéadan bainistíochta gréasáin.
3. Socrú
Tar éis a shuiteáil, is é seo an chuma atá ar fhuinneog comhéadan gréasáin bainistíochta an ardáin:
Ansin ní mór duit na comhéadain líonra a chumrú. Chun seo a dhéanamh, sa rannán “Comhéadain” ní mór duit iad a chumasú, na seoltaí IP cearta a shocrú agus na criosanna cuí a shannadh.
Taispeánann an rannán “Comhéadain” na comhéadain fhisiceacha agus fhíorúla go léir atá ar fáil sa chóras, ligeann sé duit a socruithe a athrú agus comhéadain VLAN a chur leis. Taispeánann sé freisin na comhéadain go léir de gach nód braisle. Tá socruithe comhéadain sainiúil do gach nód, is é sin, níl siad domhanda.
In airíonna an chomhéadain:
-
Cumasaigh nó díchumasaigh an comhéadan
-
Sonraigh an cineál comhéadan - Ciseal 3 nó Scáthán
-
Sann crios do chomhéadan
-
Sann próifíl Netflow chun sonraí staidrimh a sheoladh chuig an mbailitheoir Netflow
-
Athraigh paraiméadair fhisiceacha an chomhéadain - seoladh MAC agus méid MTU
-
Roghnaigh an cineál sannadh seoladh IP - gan aon seoladh, seoladh IP statach nó a fhaightear trí DHCP
-
Cumraigh an sealaíocht DHCP ar an gcomhéadan roghnaithe.
Ligeann an cnaipe “Add” duit na cineálacha comhéadain loighciúla seo a leanas a chur leis:
-
VLANanna
-
banna
-
Droichead
-
PPPoE
-
VPN
-
Tollán
Chomh maith leis na criosanna a liostaítear roimhe seo a sheolann íomhá Usergate leo, tá trí chineál réamhshainithe eile ann:
Cnuasach - crios le haghaidh comhéadain a úsáidtear le haghaidh oibriú braisle
VPN do Shuíomh go Suíomh - crios ina gcuirtear gach cliant Oifig-Oifig atá nasctha le UserGate via VPN
VPN le haghaidh cianrochtain - crios a chuimsíonn gach úsáideoir soghluaiste atá ceangailte le UserGate via VPN
Is féidir le riarthóirí UserGate socruithe na gcriosanna réamhshocraithe a athrú agus criosanna breise a chruthú freisin, ach mar a dúradh sa lámhleabhar leagan 5, is féidir uasmhéid de 15 chrios a chruthú. Chun iad a athrú nó a chruthú, ní mór duit dul chuig an rannán crios. I gcás gach crios, is féidir leat tairseach titime paicéad a shocrú; tacaítear le SYN, UDP, ICMP. Tá rialú rochtana ar sheirbhísí Usergate cumraithe freisin, agus tá cosaint in aghaidh spoofing cumasaithe.
Tar éis duit na comhéadain a chumrú, ní mór duit an bealach réamhshocraithe a chumrú sa roinn “Geatways”. Iad siúd. Chun UserGate a nascadh leis an Idirlíon, ní mór duit seoladh IP geata amháin nó níos mó a shonrú. Má úsáideann tú roinnt soláthraithe chun nascadh leis an Idirlíon, ní mór duit roinnt geataí a shonrú. Tá cumraíocht an gheata uathúil do gach nód braisle. Má shonraítear dhá gheata nó níos mó, tá 2 rogha indéanta:
-
Trácht a chothromú idir geataí.
-
An príomh-gheata le haistriú chuig ceann spártha.
Socraítear an stádas geata (ar fáil - glas, nach bhfuil ar fáil - dearg) mar seo a leanas:
-
Tá seiceáil líonra díchumasaithe - meastar go bhfuil geata inrochtana más féidir le UserGate a sheoladh MAC a fháil trí iarratas ARP a úsáid. Níl aon seiceáil le haghaidh rochtain Idirlín tríd an tairseach seo. Mura féidir seoladh MAC an gheata a chinneadh, meastar nach féidir an geata a bhaint amach.
-
Tá seiceáil líonra cumasaithe - meastar go bhfuil an geata inrochtana:
-
Is féidir le UserGate a sheoladh MAC a fháil trí iarratas ARP a úsáid.
-
Críochnaíodh an tseiceáil ar rochtain Idirlín tríd an tairseach seo go rathúil.
Seachas sin, meastar nach bhfuil an geata ar fáil.
Sa rannán “DNS” ní mór duit na freastalaithe DNS a úsáidfidh UserGate a chur leis. Tá an socrú seo sonraithe i limistéar Freastalaithe DNS an Chórais. Anseo thíos tá socruithe chun iarratais DNS ó úsáideoirí a bhainistiú. Ligeann UserGate duit seachfhreastalaí DNS a úsáid. Ceadaíonn an tseirbhís seachfhreastalaí DNS duit iarratais DNS ó úsáideoirí a thascradh agus iad a athrú ag brath ar riachtanais an riarthóra. Is féidir rialacha seachfhreastalaí DNS a úsáid chun na freastalaithe DNS a shonrú a gcuirtear ceisteanna maidir le fearainn ar leith ar aghaidh chucu. Ina theannta sin, ag baint úsáide as seachfhreastalaí DNS, is féidir leat taifid statacha den chineál óstach (taifead A) a shocrú.
Sa rannán “NAT agus Ródú” ní mór duit na rialacha TAN riachtanacha a chruthú. Le go mbeidh rochtain ag úsáideoirí an líonra Iontaofa ar an Idirlíon, tá an riail NAT cruthaithe cheana féin - “Iontaofa-> Neamhiontaofa”, níl fágtha ach é a chumasú. Cuirtear rialacha i bhfeidhm ó bhun go barr san ord ina bhfuil siad liostaithe sa chonsól. Ní dhéantar ach an chéad riail a ndéantar na coinníollacha a shonraítear sa mheaitseáil riail a fhorghníomhú i gcónaí ina leith. Chun an riail a chur i ngníomh, ní mór na coinníollacha go léir a shonraítear sna paraiméadair riail a mheaitseáil. Molann UserGate rialacha ginearálta NAT a chruthú, mar shampla, riail NAT ó líonra áitiúil (crios Iontaofa de ghnáth) chuig an Idirlíon (crios Neamhiontaofa de ghnáth), agus srian a chur ar rochtain úsáideoirí, seirbhísí agus feidhmchláir a úsáideann rialacha balla dóiteáin.
Is féidir freisin rialacha DNAT, cur ar aghaidh calafoirt, ródú bunaithe ar bheartas, mapáil Líonra a chruthú.
Ina dhiaidh sin, sa chuid "Balla Dóiteáin" ní mór duit rialacha balla dóiteáin a chruthú. Chun rochtain neamhtheoranta ar an Idirlíon d'úsáideoirí an líonra Trusted, tá riail balla dóiteáin cruthaithe cheana féin - "Internet for Trusted" agus ní mór a bheith cumasaithe. Ag baint úsáide as rialacha balla dóiteáin, is féidir leis an riarthóir aon chineál tráchta líonra idirthurais a théann trí UserGate a cheadú nó a dhiúltú. Is féidir criosanna agus seoltaí IP foinse/cinn scríbe, úsáideoirí agus grúpaí, seirbhísí agus feidhmchláir a áireamh i gcoinníollacha na rialacha. Tá feidhm ag na rialacha ar an mbealach céanna agus atá sa rannán “NAT agus Ródú”, i.e. bharr anuas. Mura bhfuil aon rialacha cruthaithe, tá cosc ar aon trácht idirthurais trí UserGate.
4. Conclúid
Críochnaíonn sé seo an t-alt. Shuiteálamar balla dóiteáin UserGate ar mheaisín fíorúil agus rinneamar na socruithe íosta is gá chun go n-oibreodh an tIdirlíon ar an líonra Trusted. Déanfaimid breithniú ar chumraíocht bhreise sna hailt seo a leanas.
Lean ár gcainéal le haghaidh nuashonruithe (, , , )!
Foinse: will.com