2. Hoʻomaka ʻia ka UserGate. Nā koi, hoʻokomo

Aloha ʻoe, ʻo kēia ka ʻatikala ʻelua e pili ana i ka hoʻonā NGFW mai ka hui UserGate. ʻO ke kumu o kēia ʻatikala e hōʻike i ke ʻano o ka hoʻokomo ʻana i ka pā ahi UserGate ma kahi ʻōnaehana virtual (e hoʻohana wau i ka polokalamu virtualization VMware Workstation) a hana i kāna hoʻonohonoho mua (e ʻae i ke komo ʻana mai ka pūnaewele kūloko ma o ka ʻīpuka UserGate i ka Pūnaewele).   

1. Hoʻomau

No ka hoʻomaka, e wehewehe wau i nā ʻano like ʻole e hoʻokō ai i kēia ʻīpuka i loko o ka pūnaewele. Makemake au e hoʻomaopopo ma muli o ke koho pili i koho ʻia, ʻaʻole i loaʻa kekahi mau hana o ka ʻīpuka. Kākoʻo ʻo UserGate solution i kēia mau ʻano pili: 

• L3-L7 pā ahi

• L2 alahaka alohilohi

• L3 alahaka alohilohi

• Kokoke i loko o ke āpau, me ka hoʻohana ʻana i ka protocol WCCP

• Ma kahi kokoke i ke āpau, me ka hoʻohana ʻana i ka Policy Based Routing

• Alaula ma ka Laau

• Mea koho WEB i wehewehe maopopo ʻia

• UserGate ma ke ʻano he ʻīpuka paʻamau

• Nānā awa aniani

Kākoʻo ʻo UserGate i 2 mau ʻano hui:

1. Hoʻonohonoho pūʻulu. ʻO nā nodes i hui ʻia i loko o kahi pūʻulu hoʻonohonoho e mālama i nā hoʻonohonoho kūlike ma waena o ka pūʻulu.

2. Huina Failover. Hiki ke hoʻohui ʻia a hiki i 4 mau puʻupuʻu puʻupuʻu hoʻonohonoho i loko o kahi pūʻulu failover e kākoʻo ana i ka hana ma ke ʻano Active-Active a i ʻole Active-Passive mode. Hiki ke hoʻohui i kekahi mau puʻupuʻu failover.

2. Hoʻokomo

E like me ka mea i ʻōlelo ʻia ma ka ʻatikala ma mua, ua hoʻolako ʻia ʻo UserGate ma ke ʻano he hāmeʻa a me ka lako polokalamu a i ʻole i hoʻonohonoho ʻia i loko o kahi kaiapuni virtual. Mai kāu moʻokāki pilikino ma ka pūnaewele UserGate hoʻoiho i ke kiʻi ma OVF (Open Virtualization Format), kūpono kēia ʻano no nā mea kūʻai aku ʻo VMWare a me Oracle Virtualbox. Hāʻawi ʻia nā kiʻi diski mīkini virtual no Microsoft Hyper-v a me KVM.

Wahi a ka pūnaewele UserGate, no ka hana pono ʻana o ka mīkini virtual, ua ʻōlelo ʻia e hoʻohana ma ka liʻiliʻi o 8Gb o RAM a me kahi kaʻina hana virtual 2-core. Pono ka hypervisor e kākoʻo i nā ʻōnaehana hana 64-bit.

Hoʻomaka ka hoʻokomo ʻana i ke kiʻi i loko o ka hypervisor i koho ʻia (VirtualBox a me VMWare). I ka hihia o Microsoft Hyper-v a me KVM, pono ʻoe e hana i kahi mīkini virtual a kuhikuhi i ke kiʻi i hoʻoiho ʻia e like me ka disk, a laila hoʻopau i nā lawelawe hoʻohui i nā hoʻonohonoho o ka mīkini virtual i hana ʻia.

Ma ka maʻamau, ma hope o ka hoʻokomo ʻana i VMWare, hana ʻia kahi mīkini virtual me kēia mau hoʻonohonoho:

E like me ka mea i kākau ʻia ma luna, pono ka liʻiliʻi o 8Gb o RAM a pono ʻoe e hoʻohui i 1Gb no kēlā me kēia 100 mea hoʻohana. ʻO 100Gb ka nui paʻakikī paʻa, akā ʻaʻole lawa kēia no ka mālama ʻana i nā lāʻau a me nā hoʻonohonoho. ʻO ka nui i manaʻo ʻia he 300Gb a ʻoi aku paha. No laila, i nā waiwai o ka mīkini virtual, hoʻololi mākou i ka nui o ka disk i ka mea i makemake ʻia. I ka hoʻomaka ʻana, hele mai ka Virtual UserGate UTM me ʻehā mau kikowaena i hāʻawi ʻia i nā ʻāpana:

Manaʻo - ke kikowaena mua o ka mīkini virtual, kahi wahi no ka hoʻopili ʻana i nā pūnaewele hilinaʻi kahi e ʻae ʻia ai ka hoʻokele UserGate.

ʻO ka hilinaʻi ka lua o ka mīkini virtual, kahi wahi no ka hoʻopili ʻana i nā pūnaewele hilinaʻi, no ka laʻana, nā pūnaewele LAN.

ʻO Untrusted ke kolu o ka ʻaoʻao o ka mīkini virtual, kahi ʻāpana no nā pilina pili i nā pūnaewele hilinaʻi ʻole, no ka laʻana, i ka Pūnaewele.

ʻO DMZ ka hā o ka mīkini makamae, kahi wahi no nā pilina pili i ka pūnaewele DMZ.

A laila, hoʻomaka mākou i ka mīkini virtual, ʻoiai ke ʻōlelo nei ka manual e pono ʻoe e koho i nā mea kākoʻo a hana i ka Factory reset UTM, akā e like me kāu e ʻike ai, hoʻokahi wale nō koho (UTM First Boot). I loko o kēia kaʻina, hoʻonohonoho ʻo UTM i nā mea hoʻopili pūnaewele a hoʻonui i ka nui o ka ʻāpana paʻa paʻa i ka nui disk piha:

No ka hoʻopiliʻana i ka pūnaewele pūnaewele UserGate, ponoʻoe e komo i loko o ka Management zone,ʻo ka eth0 interface ke kuleana no kēia, i hoʻonohonohoʻia e loaʻa i kahi IP address aunoa (DHCP). Inā ʻaʻole hiki ke hāʻawi i kahi helu no ka interface Management me ka hoʻohana ʻana i ka DHCP, a laila hiki ke hoʻonohonoho pono ʻia me ka hoʻohana ʻana i ka CLI (Command Line Interface). No ka hana ʻana i kēia, pono ʻoe e hoʻopaʻa inoa i ka CLI me ka hoʻohana ʻana i ka inoa inoa a me ka ʻōlelo huna me nā kuleana hoʻokele piha (Admin me kahi leka nui ma ka paʻamau). Inā ʻaʻole i hoʻomaka mua ka mea UserGate, a laila e komo i ka CLI pono ʻoe e hoʻohana iā Admin ma ke ʻano he inoa inoa a me ka utm e like me ka ʻōlelo huna. A paʻi i kahi kauoha e like me iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Ma hope e hele mākou i ka punaewele punaewele UserGate ma ka helu wahi i ʻōlelo ʻia, pono e like me kēia: https://UserGateIPaddress:8001:

Ma ka punaewele punaewele mākou e hoʻomau i ka hoʻonohonoho ʻana, pono mākou e koho i ka ʻōlelo interface (i kēia manawa ʻo Rūsia a i ʻole English), ka manawa manawa, a laila heluhelu a ʻae i ka ʻaelike laikini. E hoʻonoho i ka inoa inoa a me ka ʻōlelo huna e komo i loko o ka hoʻokele hoʻokele pūnaewele.

3. Hoʻonohonoho

Ma hope o ka hoʻouka ʻana, ʻo ia ke ʻano o ka puka makani hoʻokele pūnaewele hoʻokele platform:

A laila pono ʻoe e hoʻonohonoho i nā kikowaena pūnaewele. No ka hana ʻana i kēia, ma ka ʻāpana "Interfaces" pono ʻoe e hiki iā lākou, e hoʻonohonoho i nā helu IP kūpono a hāʻawi i nā ʻāpana kūpono.

Hōʻike ka ʻāpana "Interfaces" i nā pili kino a me ka virtual i loaʻa i ka ʻōnaehana, hiki iā ʻoe ke hoʻololi i kā lākou hoʻonohonoho a hoʻohui i nā interface VLAN. Hōʻike pū ia i nā pilina āpau o kēlā me kēia node cluster. Hoʻonohonoho kikoʻī nā hoʻonohonoho interface i kēlā me kēia node, ʻo ia hoʻi, ʻaʻole lākou honua.

I loko o nā waiwai pili:

• E hoʻā a hoʻopau paha i ka interface 

• E wehewehe i ke ʻano o ka pilina - Layer 3 a i ʻole Mirror

• Hāʻawi i kahi ʻāpana i kahi interface

• E hāʻawi i kahi ʻaoʻao Netflow e hoʻouna i ka ʻikepili helu i ka ʻohi Netflow

• E hoʻololi i nā ʻāpana kino o ka interface - ka helu MAC a me ka nui MTU

• E koho i ke ʻano o ka hāʻawi ʻia ʻana o ka IP address - ʻaʻohe helu, helu IP static a i loaʻa paha ma o DHCP

• E hoʻonohonoho i ka relay DHCP ma ke kikowaena i koho ʻia.

ʻO ka pihi "Add" hiki iā ʻoe ke hoʻohui i kēia mau ʻano o nā pilina pili:

• Nā VLAN

• Bond

• Pākuʻi

• PPPoE

• VPN

• Alanui

Ma waho aʻe o nā ʻāpana i helu mua ʻia e kiʻi ʻia e ka Usergate kiʻi, aia ʻekolu mau ʻano i koho mua ʻia:

Cluster - wahi no nā loulou i hoʻohana ʻia no ka hana pūʻulu

VPN no Site-to-Site - kahi wahi i hoʻokomo ʻia ai nā mea kūʻai aku o ke Keʻena Office a pau i UserGate ma o VPN.

VPN no ke komo mamao - kahi ʻāpana e pili ana i nā mea hoʻohana kelepona āpau i pili iā UserGate ma o VPN

Hiki i nā luna hoʻomalu o UserGate ke hoʻololi i nā hoʻonohonoho o nā ʻāpana paʻamau a hana pū kekahi i nā ʻāpana ʻē aʻe, akā e like me ka mea i ʻōlelo ʻia ma ka manual 5 version, hiki ke hana ʻia kahi kiʻekiʻe o 15 mau ʻāpana. No ka hoʻololi a hana paha iā lākou, pono ʻoe e hele i ka ʻāpana zone. No kēlā me kēia wahi, hiki iā ʻoe ke hoʻonohonoho i kahi paepae hāʻule packet; Kākoʻo ʻia ʻo SYN, UDP, ICMP. Hoʻonohonoho pū ʻia ka mana komo i nā lawelawe Usergate, a hiki ke pale aku i ka spoofing.

Ma hope o ka hoʻonohonoho ʻana i nā loulou, pono ʻoe e hoʻonohonoho i ke ala paʻamau ma ka ʻāpana "Gateways". ʻO kēlā mau. No ka hoʻopili ʻana i ka UserGate i ka Pūnaewele, pono ʻoe e kuhikuhi i ka IP address o hoʻokahi a ʻoi aku paha nā puka. Inā hoʻohana ʻoe i kekahi mau mea hoʻolako e hoʻopili i ka Pūnaewele, pono ʻoe e kuhikuhi i kekahi mau ʻīpuka. He ʻokoʻa ka hoʻonohonoho ʻīpuka no kēlā me kēia node cluster. Inā ʻelua a ʻoi aku paha nā puka puka, hiki ke koho ʻia nā koho 2:

1. Ke kaulike ʻana i nā kaʻa ma waena o nā ʻīpuka.

2. ʻO ka ʻīpuka nui me ka hoʻololi ʻana i kahi kaʻawale.

Hoʻoholo ʻia ke kūlana puka (loaʻa - ʻōmaʻomaʻo, loaʻa ʻole - ʻulaʻula) penei:

1. Hoʻopaʻa ʻia ka nānā ʻana i ka pūnaewele - manaʻo ʻia kahi ʻīpuka inā hiki iā UserGate ke loaʻa i kāna helu MAC me ka hoʻohana ʻana i kahi noi ARP. ʻAʻohe māka no ka loaʻa ʻana o ka Pūnaewele ma kēia ʻīpuka. Inā ʻaʻole hiki ke hoʻoholo ʻia ka helu MAC o ka ʻīpuka, manaʻo ʻia ʻaʻole hiki ke kiʻi ʻia ka ʻīpuka.

2. Hoʻohana ʻia ka nānā ʻana i ka pūnaewele - manaʻo ʻia ka ʻīpuka hiki ke komo inā:

• Hiki iā UserGate ke loaʻa i kāna helu MAC me ka hoʻohana ʻana i kahi noi ARP.

• Ua hoʻopau maikaʻi ʻia ka ʻike no ka loaʻa ʻana o ka Pūnaewele ma kēia ʻīpuka.

A i ʻole, manaʻo ʻia ʻaʻole loaʻa ka ʻīpuka.

Ma ka ʻāpana "DNS" pono ʻoe e hoʻohui i nā kikowaena DNS e hoʻohana ai ʻo UserGate. Hoʻonohonoho ʻia kēia hoʻonohonoho ma ka ʻāpana Pūnaewele DNS Servers. Aia ma lalo nā hoʻonohonoho no ka mālama ʻana i nā noi DNS mai nā mea hoʻohana. ʻAe ʻo UserGate iā ʻoe e hoʻohana i kahi proxy DNS. Hāʻawi ka lawelawe proxy DNS iā ʻoe e ʻae i nā noi DNS mai nā mea hoʻohana a hoʻololi iā lākou ma muli o nā pono o ka luna. Hiki ke hoʻohana ʻia nā lula proxy DNS e kuhikuhi i nā kikowaena DNS kahi e hoʻouna ʻia ai nā noi no nā kikowaena kikoʻī. Eia kekahi, me ka hoʻohana ʻana i kahi proxy DNS, hiki iā ʻoe ke hoʻonohonoho i nā moʻolelo static o ke ʻano host (A record).

Ma ka ʻāpana "NAT a me Routing" pono ʻoe e hana i nā lula NAT pono. No ke komo ʻana i ka Pūnaewele e nā mea hoʻohana o ka pūnaewele Trusted, ua hoʻokumu ʻia ke kānāwai NAT - "Trusted-> Untrusted", ʻo ia wale nō ka mea e hiki ai. Hoʻohana ʻia nā lula mai luna a lalo ma ke ʻano i helu ʻia ma ka console. ʻO ke kānāwai mua wale nō e hoʻokō mau ʻia ai nā kūlana i kuhikuhi ʻia i ka lula. No ka hoʻomaka ʻana o ka lula, pono e kūlike nā kūlana a pau i kuhikuhi ʻia i nā ʻāpana lula. Manaʻo ʻo UserGate i ka hoʻokumu ʻana i nā lula NAT maʻamau, no ka laʻana, kahi lula NAT mai kahi pūnaewele kūloko (maʻa mau ʻo Trusted zone) i ka Pūnaewele (ʻo ia ka ʻāpana ʻAʻole hilinaʻi ʻia), a me ka hoʻopaʻa ʻana i ke komo ʻana e nā mea hoʻohana, nā lawelawe, a me nā noi e hoʻohana ana i nā lula ahi.

Hiki nō hoʻi ke hana i nā lula DNAT, ka hoʻouna ʻana i ke awa, ka hoʻokele kulekele, ka palapala ʻāina pūnaewele.

Ma hope o kēia, ma ka ʻāpana "Firewall" pono ʻoe e hana i nā lula firewall. No ke komo palena ʻole i ka Pūnaewele no nā mea hoʻohana o ka pūnaewele Trusted, ua hoʻokumu ʻia kahi lula ahi - "Internet for Trusted" a pono e ʻae ʻia. Ke hoʻohana nei i nā lula o ka pā ahi, hiki i ka luna hoʻomalu ke ʻae a hōʻole paha i kekahi ʻano o ka hele ʻana o ka ʻoihana transit e hele ana ma o UserGate. Hiki i nā kūlana kānāwai ke komo i nā ʻāpana a me nā kumu/kumu wahi IP, nā mea hoʻohana a me nā hui, nā lawelawe a me nā noi. Hoʻohana like nā lula e like me ka ʻāpana "NAT and Routing", i.e. luna ilalo. Inā ʻaʻohe kānāwai i hana ʻia, a laila pāpā ʻia nā kaʻa kaʻa ma o UserGate.

4. Panina

Hoʻopau kēia i ka ʻatikala. Hoʻokomo mākou i ka pā ahi UserGate ma kahi mīkini virtual a hana i nā hoʻonohonoho liʻiliʻi e pono ai no ka Internet e hana ma ka pūnaewele Trusted. E noʻonoʻo mākou i ka hoʻonohonoho hou ʻana ma nā ʻatikala aʻe.

E hoʻomau no nā mea hou i kā mākou kahawai (Telegram, Facebook, VK, TS Solution Blog)!

Source: www.habr.com