2. UserGate શરૂઆત કરવી. જરૂરીયાતો, સ્થાપન

હેલો, કંપની તરફથી NGFW સોલ્યુશન વિશે આ બીજો લેખ છે યુઝરગેટ. આ લેખનો હેતુ વર્ચ્યુઅલ સિસ્ટમ પર યુઝરગેટ ફાયરવોલ કેવી રીતે ઇન્સ્ટોલ કરવું તે બતાવવાનો છે (હું VMware વર્કસ્ટેશન વર્ચ્યુઅલાઈઝેશન સોફ્ટવેરનો ઉપયોગ કરીશ) અને તેનું પ્રારંભિક રૂપરેખાંકન (સ્થાનિક નેટવર્કથી યુઝરગેટ ગેટવે દ્વારા ઇન્ટરનેટને ઍક્સેસ કરવાની મંજૂરી આપો).   

1. પરિચય

શરૂ કરવા માટે, હું નેટવર્કમાં આ ગેટવેને અમલમાં મૂકવાની વિવિધ રીતોનું વર્ણન કરીશ. હું એ નોંધવા માંગુ છું કે પસંદ કરેલ કનેક્શન વિકલ્પના આધારે, ગેટવેની ચોક્કસ કાર્યક્ષમતા ઉપલબ્ધ ન હોઈ શકે. યુઝરગેટ સોલ્યુશન નીચેના કનેક્શન મોડ્સને સપોર્ટ કરે છે: 

• L3-L7 ફાયરવોલ

• L2 પારદર્શક પુલ

• L3 પારદર્શક પુલ

• WCCP પ્રોટોકોલનો ઉપયોગ કરીને વર્ચ્યુઅલ રીતે ગેપમાં

• પોલિસી આધારિત રૂટીંગનો ઉપયોગ કરીને વર્ચ્યુઅલ રીતે ગેપમાં

• લાકડી પર રાઉટર

• સ્પષ્ટપણે ઉલ્લેખિત WEB પ્રોક્સી

• ડિફોલ્ટ ગેટવે તરીકે UserGate

• મિરર પોર્ટ મોનીટરીંગ

યુઝરગેટ 2 પ્રકારના ક્લસ્ટરોને સપોર્ટ કરે છે:

1. ક્લસ્ટર ગોઠવણી. રૂપરેખાંકન ક્લસ્ટરમાં જોડાયેલા નોડ્સ સમગ્ર ક્લસ્ટરમાં સુસંગત સેટિંગ્સ જાળવી રાખે છે.

2. ફેલઓવર ક્લસ્ટર. 4 જેટલા રૂપરેખાંકન ક્લસ્ટર નોડ્સને ફેલઓવર ક્લસ્ટરમાં જોડી શકાય છે જે સક્રિય-સક્રિય અથવા સક્રિય-નિષ્ક્રિય મોડમાં કામગીરીને સપોર્ટ કરે છે. ઘણા ફેલઓવર ક્લસ્ટરોને એસેમ્બલ કરવાનું શક્ય છે.

2. સ્થાપન

અગાઉના લેખમાં જણાવ્યા મુજબ, UserGate હાર્ડવેર અને સોફ્ટવેર પેકેજ તરીકે પૂરા પાડવામાં આવે છે અથવા વર્ચ્યુઅલ પર્યાવરણમાં જમાવવામાં આવે છે. વેબસાઇટ પરના તમારા અંગત ખાતામાંથી યુઝરગેટ OVF (ઓપન વર્ચ્યુઅલાઈઝેશન ફોર્મેટ) માં ઈમેજ ડાઉનલોડ કરો, આ ફોર્મેટ VMWare અને Oracle Virtualbox વિક્રેતાઓ માટે યોગ્ય છે. વર્ચ્યુઅલ મશીન ડિસ્ક ઈમેજીસ Microsoft Hyper-v અને KVM માટે પૂરી પાડવામાં આવે છે.

UserGate વેબસાઈટ અનુસાર, વર્ચ્યુઅલ મશીન યોગ્ય રીતે ઓપરેટ કરવા માટે, ઓછામાં ઓછી 8Gb RAM અને 2-કોર વર્ચ્યુઅલ પ્રોસેસરનો ઉપયોગ કરવાની ભલામણ કરવામાં આવે છે. હાઇપરવાઇઝરએ 64-બીટ ઓપરેટિંગ સિસ્ટમ્સને સમર્થન આપવું આવશ્યક છે.

ઇમેજને પસંદ કરેલ હાઇપરવાઇઝર (વર્ચ્યુઅલબોક્સ અને VMWare) માં આયાત કરીને ઇન્સ્ટોલેશન શરૂ થાય છે. Microsoft Hyper-v અને KVM ના કિસ્સામાં, તમારે વર્ચ્યુઅલ મશીન બનાવવાની અને ડાઉનલોડ કરેલી છબીને ડિસ્ક તરીકે નિર્દિષ્ટ કરવાની જરૂર છે, અને પછી બનાવેલ વર્ચ્યુઅલ મશીનની સેટિંગ્સમાં એકીકરણ સેવાઓને અક્ષમ કરો.

મૂળભૂત રીતે, VMWare માં આયાત કર્યા પછી, નીચેની સેટિંગ્સ સાથે વર્ચ્યુઅલ મશીન બનાવવામાં આવે છે:

ઉપર લખ્યા મુજબ, ઓછામાં ઓછી 8Gb RAM હોવી જોઈએ અને વધુમાં તમારે દર 1 વપરાશકર્તાઓ માટે 100Gb ઉમેરવાની જરૂર છે. ડિફૉલ્ટ હાર્ડ ડ્રાઇવનું કદ 100Gb છે, પરંતુ આ સામાન્ય રીતે બધા લૉગ્સ અને સેટિંગ્સ સ્ટોર કરવા માટે પૂરતું નથી. ભલામણ કરેલ કદ 300Gb અથવા વધુ છે. તેથી, વર્ચ્યુઅલ મશીનના ગુણધર્મોમાં, અમે ડિસ્કનું કદ ઇચ્છિતમાં બદલીએ છીએ. શરૂઆતમાં, વર્ચ્યુઅલ યુઝરગેટ યુટીએમ ઝોનને સોંપેલ ચાર ઇન્ટરફેસ સાથે આવે છે:

મેનેજમેન્ટ - વર્ચ્યુઅલ મશીનનું પ્રથમ ઇન્ટરફેસ, વિશ્વસનીય નેટવર્ક્સને કનેક્ટ કરવા માટેનો એક ઝોન જેમાંથી UserGate મેનેજમેન્ટને મંજૂરી છે.

વિશ્વસનીય એ વર્ચ્યુઅલ મશીનનું બીજું ઇન્ટરફેસ છે, વિશ્વસનીય નેટવર્ક્સને કનેક્ટ કરવા માટેનો ઝોન, ઉદાહરણ તરીકે, LAN નેટવર્ક્સ.

અવિશ્વસનીય એ વર્ચ્યુઅલ મશીનનું ત્રીજું ઈન્ટરફેસ છે, અવિશ્વસનીય નેટવર્ક્સ સાથે જોડાયેલા ઈન્ટરફેસ માટેનો ઝોન, ઉદાહરણ તરીકે, ઈન્ટરનેટ સાથે.

DMZ એ વર્ચ્યુઅલ મશીનનું ચોથું ઈન્ટરફેસ છે, જે DMZ નેટવર્ક સાથે જોડાયેલા ઈન્ટરફેસ માટેનું ઝોન છે.

આગળ, અમે વર્ચ્યુઅલ મશીન લૉન્ચ કરીએ છીએ, જો કે મેન્યુઅલ કહે છે કે તમારે સપોર્ટ ટૂલ્સ પસંદ કરવાની અને ફેક્ટરી રીસેટ UTM કરવાની જરૂર છે, પરંતુ તમે જોઈ શકો છો, ત્યાં માત્ર એક જ પસંદગી છે (UTM ફર્સ્ટ બૂટ). આ પગલા દરમિયાન, UTM નેટવર્ક એડેપ્ટરોને ગોઠવે છે અને હાર્ડ ડ્રાઈવ પાર્ટીશનના કદને સંપૂર્ણ ડિસ્ક કદમાં વધારો કરે છે:

UserGate વેબ ઈન્ટરફેસ સાથે જોડાવા માટે, તમારે મેનેજમેન્ટ ઝોન દ્વારા લૉગ ઇન કરવું આવશ્યક છે; આ eth0 ઈન્ટરફેસની જવાબદારી છે, જે IP સરનામું આપમેળે (DHCP) મેળવવા માટે ગોઠવેલ છે. જો DHCP નો ઉપયોગ કરીને મેનેજમેન્ટ ઈન્ટરફેસ માટે સરનામું આપમેળે સોંપવું શક્ય ન હોય, તો તે CLI (કમાન્ડ લાઇન ઈન્ટરફેસ) નો ઉપયોગ કરીને સ્પષ્ટપણે સેટ કરી શકાય છે. આ કરવા માટે, તમારે સંપૂર્ણ એડમિનિસ્ટ્રેટર અધિકારો સાથે યુઝરનેમ અને પાસવર્ડનો ઉપયોગ કરીને CLI માં લોગ ઇન કરવાની જરૂર છે (ડિફોલ્ટ રૂપે કેપિટલ લેટર સાથે એડમિન). જો UserGate ઉપકરણમાં આરંભ ન થયો હોય, તો CLI ને ઍક્સેસ કરવા માટે તમારે વપરાશકર્તાનામ તરીકે Admin અને પાસવર્ડ તરીકે utm નો ઉપયોગ કરવો આવશ્યક છે. અને iface config –name eth0 –ipv4 192.168.1.254/24 જેવા આદેશ ટાઈપ કરો – true –mode static સક્ષમ કરો. પછીથી અમે ઉલ્લેખિત સરનામાં પર યુઝરગેટ વેબ કન્સોલ પર જઈએ છીએ, તે કંઈક આના જેવું દેખાવું જોઈએ: https://UserGateIPaddress:8001:

વેબ કન્સોલમાં આપણે ઇન્સ્ટોલેશન ચાલુ રાખીએ છીએ, અમારે ઇન્ટરફેસ ભાષા (આ ક્ષણે તે રશિયન અથવા અંગ્રેજી છે), સમય ઝોન પસંદ કરવાની જરૂર છે, પછી લાયસન્સ કરાર વાંચો અને સંમત થાઓ. વેબ મેનેજમેન્ટ ઇન્ટરફેસમાં લૉગ ઇન કરવા માટે લૉગિન અને પાસવર્ડ સેટ કરો.

3. સેટઅપ

ઇન્સ્ટોલેશન પછી, પ્લેટફોર્મ મેનેજમેન્ટ વેબ ઇન્ટરફેસ વિન્ડો આના જેવી દેખાય છે:

પછી તમારે નેટવર્ક ઇન્ટરફેસને ગોઠવવાની જરૂર છે. આ કરવા માટે, "ઇન્ટરફેસ" વિભાગમાં તમારે તેમને સક્ષમ કરવાની જરૂર છે, સાચા IP સરનામાઓ સેટ કરો અને યોગ્ય ઝોન સોંપો.

"ઇન્ટરફેસ" વિભાગ સિસ્ટમમાં ઉપલબ્ધ તમામ ભૌતિક અને વર્ચ્યુઅલ ઇન્ટરફેસ દર્શાવે છે, તમને તેમની સેટિંગ્સ બદલવા અને VLAN ઇન્ટરફેસ ઉમેરવાની મંજૂરી આપે છે. તે દરેક ક્લસ્ટર નોડના તમામ ઇન્ટરફેસ પણ બતાવે છે. ઈન્ટરફેસ સેટિંગ્સ દરેક નોડ માટે વિશિષ્ટ છે, એટલે કે, તે વૈશ્વિક નથી.

ઇન્ટરફેસ ગુણધર્મોમાં:

• ઈન્ટરફેસને સક્ષમ અથવા અક્ષમ કરો 

• ઈન્ટરફેસ પ્રકાર સ્પષ્ટ કરો - સ્તર 3 અથવા મિરર

• ઇન્ટરફેસને ઝોન સોંપો

• નેટફ્લો કલેક્ટરને આંકડાકીય માહિતી મોકલવા માટે નેટફ્લો પ્રોફાઇલ સોંપો

• ઇન્ટરફેસના ભૌતિક પરિમાણો બદલો - MAC સરનામું અને MTU કદ

• IP સરનામું સોંપણીનો પ્રકાર પસંદ કરો - કોઈ સરનામું નથી, સ્થિર IP સરનામું નથી અથવા DHCP દ્વારા મેળવેલ છે

• પસંદ કરેલ ઈન્ટરફેસ પર DHCP રિલે રૂપરેખાંકિત કરો.

"ઉમેરો" બટન તમને નીચેના પ્રકારના લોજિકલ ઇન્ટરફેસ ઉમેરવાની મંજૂરી આપે છે:

• વી.એલ.એન.એન.

• બોન્ડ

• બ્રિજ

• PPPoE

• વીપીએન

• ટનલ

અગાઉ સૂચિબદ્ધ ઝોન ઉપરાંત કે જેની સાથે Usergate ઇમેજ શિપ કરે છે, ત્યાં ત્રણ વધુ પૂર્વવ્યાખ્યાયિત પ્રકારો છે:

ક્લસ્ટર - ક્લસ્ટર ઓપરેશન માટે ઉપયોગમાં લેવાતા ઇન્ટરફેસ માટેનો ઝોન

સાઇટ-ટુ-સાઇટ માટે VPN - એક ઝોન કે જેમાં VPN મારફતે UserGate સાથે જોડાયેલા તમામ Office-Office ક્લાયંટ મૂકવામાં આવે છે.

રિમોટ એક્સેસ માટે VPN - એક ઝોન જેમાં VPN દ્વારા UserGate સાથે જોડાયેલા તમામ મોબાઇલ યુઝર્સનો સમાવેશ થાય છે

યુઝરગેટ એડમિનિસ્ટ્રેટર્સ ડિફૉલ્ટ ઝોનની સેટિંગ્સ બદલી શકે છે અને વધારાના ઝોન પણ બનાવી શકે છે, પરંતુ વર્ઝન 5 મેન્યુઅલમાં જણાવ્યા મુજબ, વધુમાં વધુ 15 ઝોન બનાવી શકાય છે. તેમને બદલવા અથવા બનાવવા માટે, તમારે ઝોન વિભાગમાં જવાની જરૂર છે. દરેક ઝોન માટે, તમે પેકેટ ડ્રોપ થ્રેશોલ્ડ સેટ કરી શકો છો; SYN, UDP, ICMP સપોર્ટેડ છે. યુઝરગેટ સેવાઓનો ઍક્સેસ નિયંત્રણ પણ ગોઠવેલ છે, અને સ્પૂફિંગ સામે રક્ષણ સક્ષમ છે.

ઇન્ટરફેસને ગોઠવ્યા પછી, તમારે "ગેટવે" વિભાગમાં ડિફોલ્ટ રૂટને ગોઠવવાની જરૂર છે. તે. UserGate ને ઈન્ટરનેટ સાથે જોડવા માટે, તમારે એક અથવા વધુ ગેટવેનું IP સરનામું સ્પષ્ટ કરવું આવશ્યક છે. જો તમે ઈન્ટરનેટથી કનેક્ટ થવા માટે ઘણા પ્રદાતાઓનો ઉપયોગ કરો છો, તો તમારે કેટલાક ગેટવેનો ઉલ્લેખ કરવો આવશ્યક છે. દરેક ક્લસ્ટર નોડ માટે ગેટવે રૂપરેખાંકન અનન્ય છે. જો બે અથવા વધુ ગેટવેનો ઉલ્લેખ કરવામાં આવ્યો હોય, તો 2 વિકલ્પો શક્ય છે:

1. ગેટવે વચ્ચે ટ્રાફિક સંતુલિત.

2. ફાજલ એક પર સ્વિચ કરવા સાથેનો મુખ્ય પ્રવેશદ્વાર.

ગેટવેની સ્થિતિ (ઉપલબ્ધ - લીલો, અનુપલબ્ધ - લાલ) નીચે પ્રમાણે નક્કી કરવામાં આવે છે:

1. નેટવર્ક ચેકિંગ અક્ષમ છે - જો UserGate ARP વિનંતીનો ઉપયોગ કરીને તેનું MAC સરનામું મેળવી શકે તો ગેટવે ઍક્સેસિબલ માનવામાં આવે છે. આ ગેટવે દ્વારા ઈન્ટરનેટ એક્સેસ માટે કોઈ ચેક નથી. જો ગેટવેનું MAC સરનામું નક્કી કરી શકાતું નથી, તો ગેટવે અગમ્ય માનવામાં આવે છે.

2. નેટવર્ક તપાસ સક્ષમ છે - ગેટવે સુલભ માનવામાં આવે છે જો:

• યુઝરગેટ એઆરપી વિનંતીનો ઉપયોગ કરીને તેનું MAC સરનામું મેળવી શકે છે.

• આ ગેટવે દ્વારા ઈન્ટરનેટ એક્સેસ માટેની તપાસ સફળતાપૂર્વક પૂર્ણ થઈ.

નહિંતર, ગેટવે અનુપલબ્ધ માનવામાં આવે છે.

"DNS" વિભાગમાં તમારે DNS સર્વર્સ ઉમેરવાની જરૂર છે જેનો ઉપયોગ UserGate કરશે. આ સેટિંગ સિસ્ટમ DNS સર્વર્સ વિસ્તારમાં ઉલ્લેખિત છે. નીચે વપરાશકર્તાઓ તરફથી DNS વિનંતીઓનું સંચાલન કરવા માટેની સેટિંગ્સ છે. યુઝરગેટ તમને DNS પ્રોક્સીનો ઉપયોગ કરવાની મંજૂરી આપે છે. DNS પ્રોક્સી સેવા તમને વપરાશકર્તાઓની DNS વિનંતીઓને અટકાવવા અને એડમિનિસ્ટ્રેટરની જરૂરિયાતોને આધારે તેમને બદલવાની મંજૂરી આપે છે. DNS પ્રોક્સી નિયમોનો ઉપયોગ DNS સર્વર્સનો ઉલ્લેખ કરવા માટે થઈ શકે છે કે જેના પર ચોક્કસ ડોમેન્સ માટેની વિનંતીઓ ફોરવર્ડ કરવામાં આવે છે. વધુમાં, DNS પ્રોક્સીનો ઉપયોગ કરીને, તમે યજમાન પ્રકાર (A રેકોર્ડ) ના સ્થિર રેકોર્ડ્સ સેટ કરી શકો છો.

"NAT અને રૂટીંગ" વિભાગમાં તમારે જરૂરી NAT નિયમો બનાવવાની જરૂર છે. વિશ્વસનીય નેટવર્કના વપરાશકર્તાઓ દ્વારા ઇન્ટરનેટ ઍક્સેસ કરવા માટે, NAT નિયમ પહેલેથી જ બનાવવામાં આવ્યો છે - "વિશ્વસનીય->અવિશ્વસનીય", જે બાકી છે તે તેને સક્ષમ કરવાનું છે. નિયમો તેઓ કન્સોલમાં સૂચિબદ્ધ છે તે ક્રમમાં ઉપરથી નીચે સુધી લાગુ કરવામાં આવે છે. માત્ર પ્રથમ નિયમ કે જેના માટે નિયમ મેચમાં ઉલ્લેખિત શરતો હંમેશા એક્ઝિક્યુટ કરવામાં આવે છે. નિયમ ટ્રિગર થવા માટે, નિયમના પરિમાણોમાં ઉલ્લેખિત તમામ શરતો મેળ ખાતી હોવી જોઈએ. યુઝરગેટ સામાન્ય NAT નિયમો બનાવવાની ભલામણ કરે છે, ઉદાહરણ તરીકે, સ્થાનિક નેટવર્ક (સામાન્ય રીતે વિશ્વસનીય ઝોન) થી ઇન્ટરનેટ (સામાન્ય રીતે અવિશ્વસનીય ઝોન) પર NAT નિયમ, અને ફાયરવોલ નિયમોનો ઉપયોગ કરીને વપરાશકર્તાઓ, સેવાઓ અને એપ્લિકેશનો દ્વારા ઍક્સેસને પ્રતિબંધિત કરે છે.

DNAT નિયમો, પોર્ટ ફોરવર્ડિંગ, પોલિસી-આધારિત રૂટીંગ, નેટવર્ક મેપિંગ બનાવવાનું પણ શક્ય છે.

આ પછી, "ફાયરવોલ" વિભાગમાં તમારે ફાયરવોલ નિયમો બનાવવાની જરૂર છે. વિશ્વસનીય નેટવર્કના વપરાશકર્તાઓ માટે ઇન્ટરનેટની અમર્યાદિત ઍક્સેસ માટે, એક ફાયરવોલ નિયમ પણ પહેલેથી જ બનાવવામાં આવ્યો છે - "વિશ્વસનીય માટે ઇન્ટરનેટ" અને તે સક્ષમ હોવું આવશ્યક છે. ફાયરવોલ નિયમોનો ઉપયોગ કરીને, એડમિનિસ્ટ્રેટર યુઝરગેટમાંથી પસાર થતા કોઈપણ પ્રકારના ટ્રાન્ઝિટ નેટવર્ક ટ્રાફિકને મંજૂરી આપી શકે છે અથવા નકારી શકે છે. નિયમોની શરતોમાં ઝોન અને સ્ત્રોત/ગંતવ્ય IP સરનામાં, વપરાશકર્તાઓ અને જૂથો, સેવાઓ અને એપ્લિકેશનોનો સમાવેશ થઈ શકે છે. નિયમો "NAT અને રૂટીંગ" વિભાગની જેમ જ લાગુ પડે છે, એટલે કે. ઉપરથી નીચે. જો કોઈ નિયમો બનાવવામાં આવ્યા નથી, તો પછી UserGate દ્વારા કોઈપણ પરિવહન ટ્રાફિક પ્રતિબંધિત છે.

4. નિષ્કર્ષ

આ લેખ સમાપ્ત કરે છે. અમે વર્ચ્યુઅલ મશીન પર UserGate ફાયરવોલ ઇન્સ્ટોલ કર્યું છે અને વિશ્વસનીય નેટવર્ક પર ઇન્ટરનેટ કામ કરવા માટે ન્યૂનતમ જરૂરી સેટિંગ્સ બનાવી છે. અમે નીચેના લેખોમાં વધુ રૂપરેખાંકન પર વિચાર કરીશું.

અમારી ચેનલોમાં અપડેટ્સ માટે ટ્યુન રહો (Telegram, ફેસબુક, VK, ટીએસ સોલ્યુશન બ્લોગ)!

સોર્સ: www.habr.com