Halo, is e seo an dàrna artaigil mu fhuasgladh NGFW bhon chompanaidh . Is e adhbhar an artaigil seo sealltainn mar a stàlaicheas tu balla-teine UserGate air siostam brìgheil (cleachdaidh mi bathar-bog virtualization VMware Workstation) agus dèan a rèiteachadh tùsail (leig le ruigsinneachd bhon lìonra ionadail tro gheata UserGate chun eadar-lìn).
1. Ro-ràdh
Airson tòiseachadh, bheir mi cunntas air na diofar dhòighean air a’ gheata seo a chur an gnìomh don lìonra. Bu mhath leam a thoirt fa-near, a rèir an roghainn ceangail a chaidh a thaghadh, gur dòcha nach bi gnìomhachd sònraichte den gheata ri fhaighinn. Tha fuasgladh UserGate a’ toirt taic do na modhan ceangail a leanas:
-
balla-teine L3-L7
-
L2 drochaid fhollaiseach
-
L3 drochaid fhollaiseach
-
Cha mhòr a-steach don bheàrn, a’ cleachdadh protocol WCCCP
-
Cha mhòr sa bheàrn, a’ cleachdadh Routing Stèidhichte air Poileasaidh
-
Router air bata
-
Neach-ionaid WEB air a shònrachadh gu soilleir
-
UserGate mar an geata bunaiteach
-
Sgrùdadh port sgàthan
Tha UserGate a’ toirt taic do 2 sheòrsa de chlàran:
-
Suidheachadh buidheann. Bidh nodan còmhla ann am buidheann rèiteachaidh a’ cumail shuidheachaidhean cunbhalach air feadh a’ bhuidheann.
-
Cnuasach failover. Faodar suas ri 4 nodan cnuasachaidh rèiteachaidh a chur còmhla ann am buidheann fàilligeadh a bheir taic do ghnìomhachd ann am modh Active-Active no Active-Passive. Tha e comasach grunn bhuidhnean teip a chruinneachadh.
2. Stàladh
Mar a chaidh ainmeachadh san artaigil roimhe, tha UserGate air a thoirt seachad mar phasgan bathar-cruaidh is bathar-bog no air a chleachdadh ann an àrainneachd bhrìgheil. Bhon chunntas pearsanta agad air an làrach-lìn luchdaich sìos an ìomhaigh ann an OVF (Open Virtualization Format), tha an cruth seo freagarrach airson luchd-reic VMWare agus Oracle Virtualbox. Tha ìomhaighean diosc inneal mas-fhìor air an toirt seachad airson Microsoft Hyper-v agus KVM.
A rèir làrach-lìn UserGate, airson an inneal brìgheil obrachadh gu ceart, thathas a’ moladh co-dhiù 8Gb de RAM agus pròiseasar brìgheil 2-cridhe a chleachdadh. Feumaidh an hypervisor taic a thoirt do shiostaman obrachaidh 64-bit.
Bidh an stàladh a’ tòiseachadh le bhith a’ toirt a-steach an ìomhaigh a-steach don hypervisor taghte (VirtualBox agus VMWare). A thaobh Microsoft Hyper-v agus KVM, feumaidh tu inneal brìgheil a chruthachadh agus an ìomhaigh a chaidh a luchdachadh sìos a shònrachadh mar an diosc, agus an uairsin seirbheisean amalachaidh a dhì-cheadachadh ann an roghainnean an inneal brìgheil cruthaichte.
Gu gnàthach, às deidh a thoirt a-steach do VMWare, thèid inneal brìgheil a chruthachadh leis na roghainnean a leanas:
Mar a chaidh a sgrìobhadh gu h-àrd, feumaidh co-dhiù 8Gb de RAM a bhith ann agus a bharrachd air sin feumaidh tu 1Gb a chuir ris airson gach 100 neach-cleachdaidh. Is e 100Gb am meud cruth cruaidh àbhaisteach, ach mar as trice chan eil seo gu leòr airson a h-uile log agus suidheachadh a stòradh. Is e am meud a thathar a’ moladh 300Gb no barrachd. Mar sin, ann am feartan an inneal brìgheil, bidh sinn ag atharrachadh meud an diosc chun fhear a tha thu ag iarraidh. An toiseach, thig Virtual UserGate UTM le ceithir eadar-aghaidh air an sònrachadh gu sònaichean:
Riaghladh - a’ chiad eadar-aghaidh den inneal brìgheil, sòn airson lìonraidhean earbsach a cheangal às a bheil riaghladh UserGate ceadaichte.
Is e earbsach an dàrna eadar-aghaidh den inneal brìgheil, sòn airson lìonraidhean earbsach a cheangal, mar eisimpleir, lìonraidhean LAN.
Is e neo-earbsach an treas eadar-aghaidh den inneal brìgheil, sòn airson eadar-aghaidh ceangailte ri lìonraidhean neo-earbsach, mar eisimpleir, ris an eadar-lìn.
Is e DMZ an ceathramh eadar-aghaidh den inneal brìgheil, sòn airson eadar-aghaidh ceangailte ris an lìonra DMZ.
An ath rud, bidh sinn a ’cur air bhog an inneal brìgheil, ged a tha an leabhar-làimhe ag ràdh gum feum thu Innealan Taic a thaghadh agus ath-shuidheachadh Factaraidh UTM a dhèanamh, ach mar a chì thu, chan eil ann ach aon roghainn (UTM First Boot). Rè a 'cheum seo, bidh UTM a' rèiteachadh na h-innealan-atharrachaidh lìonra agus a 'meudachadh meud an sgaradh cruaidh-chruaidh gu meud an diosg iomlan:
Gus ceangal ris an eadar-aghaidh lìn UserGate, feumaidh tu logadh a-steach tron sòn Riaghlaidh; tha seo an urra ris an eadar-aghaidh eth0, a tha air a rèiteachadh gus seòladh IP fhaighinn gu fèin-ghluasadach (DHCP). Mura h-urrainnear seòladh a shònrachadh airson an eadar-aghaidh Riaghlaidh gu fèin-ghluasadach a’ cleachdadh DHCP, faodar a shuidheachadh gu soilleir a’ cleachdadh an CLI (Command Line Interface). Gus seo a dhèanamh, feumaidh tu logadh a-steach don CLI a’ cleachdadh ainm-cleachdaidh agus facal-faire le làn chòraichean rianadair (Rianachd le litir calpa gu bunaiteach). Mura deach an inneal UserGate a thòiseachadh an toiseach, an uairsin gus faighinn chun CLI feumaidh tu Admin a chleachdadh mar an t-ainm-cleachdaidh agus utm mar am facal-faire. Agus dèan seòrsa àithne mar iface config -name eth0 -ipv4 192.168.1.254 / 24 - comasach air fìor -mode static. Nas fhaide air adhart thèid sinn gu consol lìn UserGate aig an t-seòladh ainmichte, bu chòir dha coimhead air rudeigin mar seo:https://UserGateIPaddress:8001:
Anns a’ chonsail lìn leanaidh sinn air adhart leis an stàladh, feumaidh sinn cànan an eadar-aghaidh a thaghadh (is e Ruisis no Beurla a th’ ann an-dràsta), sòn ùine, an uairsin leugh agus aontaich ris an aonta ceadachais. Suidhich an logadh a-steach agus am facal-faire gus logadh a-steach don eadar-aghaidh riaghlaidh lìn.
3. Gnàthachadh
Às deidh an stàladh, is e seo an coltas a tha air an uinneag eadar-aghaidh lìn riaghlaidh àrd-ùrlar:
An uairsin feumaidh tu an eadar-aghaidh lìonra a rèiteachadh. Gus seo a dhèanamh, anns an earrainn "Interfaces" feumaidh tu an comas, na seòlaidhean IP ceart a shuidheachadh agus na sònaichean iomchaidh a shònrachadh.
Tha an roinn “Interfaces” a’ taisbeanadh a h-uile eadar-aghaidh fiosaigeach is brìgheil a tha ri fhaighinn san t-siostam, a’ leigeil leat na roghainnean aca atharrachadh agus eadar-aghaidh VLAN a chur ris. Bidh e cuideachd a’ sealltainn a h-uile eadar-aghaidh de gach nód braisle. Tha suidheachaidhean eadar-aghaidh sònraichte do gach nód, is e sin, chan eil iad cruinneil.
Ann an feartan eadar-aghaidh:
-
Dèan comas no cuir à comas an eadar-aghaidh
-
Sònraich an seòrsa eadar-aghaidh - Sreath 3 no Mirror
-
Sònraich sòn gu eadar-aghaidh
-
Sònraich pròifil Netflow gus dàta staitistigeil a chuir chun neach-cruinneachaidh Netflow
-
Atharraich crìochan fiosaigeach an eadar-aghaidh - seòladh MAC agus meud MTU
-
Tagh an seòrsa sònrachadh seòladh IP - gun seòladh, seòladh IP statach no a gheibhear tro DHCP
-
Dèan rèiteachadh air an t-sealaidheachd DHCP air an eadar-aghaidh taghte.
Leigidh am putan “Cuir ris” leat na seòrsaichean eadar-aghaidh loidsigeach a leanas a chur ris:
-
VLANn
-
Bond
-
Drochaid
-
PPPE
-
VPN
-
An tunail
A bharrachd air na sònaichean a chaidh ainmeachadh roimhe leis a bheil an ìomhaigh Usergate a’ giùlan, tha trì seòrsaichean ro-mhìnichte eile ann:
Cluster - sòn airson eadar-aghaidh air a chleachdadh airson obrachadh brabhsair
VPN airson Làrach-gu-Làrach - sòn anns am bi a h-uile neach-dèiligidh Office-Office ceangailte ri UserGate tro VPN air an cur
VPN airson ruigsinneachd iomallach - sòn anns a bheil a h-uile neach-cleachdaidh gluasadach ceangailte ri UserGate tro VPN
Faodaidh luchd-rianachd UserGate roghainnean nan sònaichean bunaiteach atharrachadh agus cuideachd sònaichean a bharrachd a chruthachadh, ach mar a chaidh a ràdh ann an leabhar-làimhe dreach 5, faodar sònaichean 15 aig a’ char as àirde a chruthachadh. Gus an atharrachadh no an cruthachadh, feumaidh tu a dhol chun roinn sòn. Airson gach sòn, faodaidh tu stairsneach tuiteam pacaid a shuidheachadh; tha SYN, UDP, ICMP a’ faighinn taic. Tha smachd ruigsinneachd gu seirbheisean Usergate air a rèiteachadh cuideachd, agus tha dìon an aghaidh spoofing air a chomasachadh.
Às deidh dhut an eadar-aghaidh a rèiteachadh, feumaidh tu an t-slighe àbhaisteach a rèiteachadh anns an roinn “Gateways”. An fheadhainn sin. Gus UserGate a cheangal ris an eadar-lìn, feumaidh tu seòladh IP aon gheata no barrachd a shònrachadh. Ma chleachdas tu grunn sholaraichean gus ceangal ris an eadar-lìn, feumaidh tu grunn gheataichean a shònrachadh. Tha rèiteachadh a’ gheata gun samhail airson gach nód cnuasachaidh. Ma tha dà gheata no barrachd air an sònrachadh, tha 2 roghainn comasach:
-
Cothromachadh trafaic eadar geataichean.
-
Am prìomh dhoras le tionndadh gu fear a bharrachd.
Tha inbhe geata (ri fhaighinn - uaine, nach eil ri fhaighinn - dearg) air a dhearbhadh mar a leanas:
-
Tha sgrùdadh lìonra ciorramach - thathas den bheachd gu bheil geata ruigsinneach ma gheibh UserGate an seòladh MAC aige a’ cleachdadh iarrtas ARP. Chan eil seic airson ruigsinneachd eadar-lìn tron gheata seo. Mura h-urrainnear seòladh MAC a’ gheata a dhearbhadh, thathas den bheachd nach gabh an geata ruighinn.
-
Tha sgrùdadh lìonra air a chomasachadh - thathas den bheachd gu bheil an geata ruigsinneach ma tha:
-
Faodaidh UserGate an seòladh MAC aige fhaighinn le bhith a’ cleachdadh iarrtas ARP.
-
Chaidh an t-seic airson ruigsinneachd eadar-lìn tron gheata seo a chrìochnachadh gu soirbheachail.
Rud eile, thathas den bheachd nach eil an geata ri fhaighinn.
Anns an roinn “DNS” feumaidh tu na frithealaichean DNS a chleachdas UserGate a chuir ris. Tha an suidheachadh seo air a shònrachadh ann an raon System DNS Servers. Gu h-ìosal tha roghainnean airson a bhith a’ riaghladh iarrtasan DNS bho luchd-cleachdaidh. Leigidh UserGate leat neach-ionaid DNS a chleachdadh. Leigidh seirbheis proxy DNS leat casg a chuir air iarrtasan DNS bho luchd-cleachdaidh agus an atharrachadh a rèir feumalachdan an rianadair. Faodar riaghailtean proxy DNS a chleachdadh gus na frithealaichean DNS a shònrachadh dha bheil iarrtasan airson raointean sònraichte air an cur air adhart. A bharrachd air an sin, a’ cleachdadh proxy DNS, faodaidh tu clàran statach den t-seòrsa aoigheachd (clàr A) a shuidheachadh.
Anns an roinn “NAT and Routing” feumaidh tu na riaghailtean NAT riatanach a chruthachadh. Airson cothrom air an eadar-lìon le luchd-cleachdaidh an lìonra earbsach, tha riaghailt NAT air a chruthachadh mar-thà - "Trusted-> Untrusted", chan eil air fhàgail ach a chomasachadh. Tha riaghailtean air an cur an sàs bho mhullach gu bonn san òrdugh a tha iad air an liostadh sa chonsail. Is e dìreach a 'chiad riaghailt airson a bheil na cumhaichean a tha air an sònrachadh anns a' gheama riaghailt air an cur gu bàs an-còmhnaidh. Airson an riaghailt a bhith air a phiobrachadh, feumaidh a h-uile suidheachadh a tha air a shònrachadh ann am paramadairean an riaghailt a bhith co-ionnan. Tha UserGate a ’moladh riaghailtean coitcheann NAT a chruthachadh, mar eisimpleir, riaghailt NAT bho lìonra ionadail (mar as trice sòn earbsach) chun eadar-lìn (mar as trice sòn neo-earbsach), agus a’ cuingealachadh ruigsinneachd le luchd-cleachdaidh, seirbheisean, agus tagraidhean a ’cleachdadh riaghailtean balla-teine.
Tha e comasach cuideachd riaghailtean DNAT a chruthachadh, cur air adhart puirt, slighe stèidhichte air poileasaidh, mapadh lìonra.
Às deidh seo, anns an roinn “Calla-teine” feumaidh tu riaghailtean balla-teine a chruthachadh. Airson ruigsinneachd gun chrìoch air an eadar-lìn do luchd-cleachdaidh an lìonra earbsach, chaidh riaghailt balla-teine a chruthachadh mu thràth - “Internet for Trusted” agus feumar a chuir an gnìomh. Le bhith a’ cleachdadh riaghailtean balla-teine, faodaidh an rianaire seòrsa sam bith de thrafaig lìonra gluasaid a’ dol tro UserGate a cheadachadh no a dhiùltadh. Faodaidh cumhachan riaghlaidh a bhith a’ toirt a-steach sònaichean agus seòlaidhean IP stòr/ceann-uidhe, luchd-cleachdaidh agus buidhnean, seirbheisean agus tagraidhean. Tha na riaghailtean a’ buntainn san aon dòigh ’s a tha iad anns an earrainn “NAT and Routing”, i.e. gu h-àrd sìos. Mura h-eil riaghailtean air an cruthachadh, tha casg air trafaic gluasaid sam bith tro UserGate.
4. Co-dhùnadh
Tha seo a’ crìochnachadh an artaigil. Chuir sinn a-steach am balla-teine UserGate air inneal brìgheil agus rinn sinn na roghainnean as lugha a bha riatanach airson an eadar-lìn obrachadh air an lìonra Trusted. Beachdaichidh sinn air tuilleadh rèiteachaidh anns na h-artaigilean a leanas.
Cum sùil air airson ùrachaidhean anns na seanailean againn (, , , )!
Source: www.habr.com