ProHoster > Pūnaewele > Nā Administration > 3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

Aloha au i ka poʻe heluhelu i ke kolu o ka ʻatikala ma ka UserGate Getting Started article series, e kamaʻilio ana e pili ana i ka hopena NGFW mai ka hui. UserGate. Ma ka ʻatikala hope loa, ua wehewehe ʻia ke kaʻina hana o ka hoʻokomo ʻana i kahi pā ahi a ua hana ʻia kāna hoʻonohonoho mua. I kēia manawa, e nānā pono mākou i ka hana ʻana i nā lula ma nā ʻāpana e like me Firewall, NAT a me Routing, a me Bandwidth.

ʻO ka manaʻo o nā lula UserGate, e hana ʻia nā lula mai luna a lalo, a hiki i ka hana mua. Ma muli o ka ʻōlelo ma luna, ʻoi aku ka nui o nā lula kikoʻī ma mua o nā lula maʻamau. Akā, pono e hoʻomaopopoʻia, no ka mea e nānā ponoʻia nā rula,ʻoi aku ka maikaʻi ma keʻano o ka hana e hana i nā rula maʻamau. I ka hana ʻana i kekahi lula, hoʻohana ʻia nā kūlana e like me ka logic "AND". Inā pono e hoʻohana i ka logic "OR", a laila loaʻa kēia ma ka hana ʻana i nā lula. No laila, pili ka mea i wehewehe ʻia ma kēia ʻatikala i nā kulekele UserGate ʻē aʻe.

Pākuʻi ahi

Ma hope o ka hoʻokomo ʻana iā UserGate, aia kahi kulekele maʻalahi i ka ʻāpana "Firewall". ʻO nā lula mua ʻelua e pāpā i ke kaʻa ʻana no nā botnets. Eia nā laʻana o nā lula komo mai nā ʻāpana like ʻole. ʻO ka lula hope loa i kapa ʻia ʻo "Block all" a ua kaha ʻia me kahi hōʻailona laka (ʻo ia hoʻi, ʻaʻole hiki ke hoʻopau ʻia ke kānāwai, hoʻololi, neʻe, hoʻopau ʻia, hiki ke hoʻohana ʻia no ke koho logging). No laila, ma muli o kēia lula, e ālai ʻia nā kaʻa a pau i ʻae ʻole ʻia e ke kānāwai hope loa. Inā makemake ʻoe e ʻae i nā kaʻa āpau ma o UserGate (ʻoiai ʻaʻole ikaika kēia), hiki iā ʻoe ke hana mau i ka lula penultimate "Allow All".

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

I ka hoʻoponopono ʻana a i ʻole ka hana ʻana i ka lula ahi, ʻo ka mea mua Pepa laulā, pono ʻoe e hana i kēia: 

  • Hoʻopau a hoʻopau paha i ka lula ka pahu koho "On".

  • e hookomo i ka inoa o ka rula.

  • hoʻonoho i ka wehewehe ʻana o ka lula.

  • koho mai ʻelua mau hana:

    • Hōʻole - poloka i ke kaʻa (i ka wā e hoʻonohonoho ai i kēia kūlana, hiki ke hoʻouna i ka host ICMP i hiki ʻole ke loaʻa, pono ʻoe e hoʻonohonoho i ka pahu pahu kūpono).

    • ʻAe - hiki i ke kaʻa.

  • ʻImi hiʻohiʻona - hiki iā ʻoe ke koho i kahi hiʻohiʻona, ʻo ia kahi kūlana hou no ke ahi e puhi. ʻO kēia keʻano o ka hoʻokōʻana o UserGate i ka manaʻo o SOAR (Security Orchestration, Automation and Response).

  • Hoʻopaʻa inoa - e hoʻopaʻa i ka ʻike e pili ana i ke kaʻa i ka wā i hoʻomaka ʻia ai kahi lula. Hiki ke koho:

    • E hoʻopaʻa inoa i ka hoʻomaka o ke kau. I kēia hihia, e kākau wale ʻia ka ʻike e pili ana i ka hoʻomaka ʻana o ke kau (ka ʻeke mua) i ka log traffic. ʻO kēia ke koho logging i ʻōlelo ʻia.

    • E hoʻopaʻa inoa i kēlā me kēia ʻeke. I kēia hihia, e hoʻopaʻa ʻia ka ʻike e pili ana i kēlā me kēia ʻeke pūnaewele i hoʻouna ʻia. No kēia ʻano, ʻōlelo ʻia e hiki i ka palena hoʻopaʻa inoa e pale i ka ukana kiʻekiʻe.

  • E hoʻohana i ka lula i:

    • ʻO nā pūʻolo āpau

    • i nā ʻeke ʻāpana

    • i nā pūʻolo wehe ʻole ʻia

  • I ka hana ʻana i kahi lula hou, hiki iā ʻoe ke koho i kahi i loko o ke kulekele.

ʻO ka lā aʻe Papa punawai. Maanei mākou e hōʻike ai i ke kumu o ke kaʻa, hiki iā ia ke kaona kahi e hele mai ai ke kaʻa, a i ʻole hiki iā ʻoe ke kuhikuhi i kahi papa inoa a i ʻole kahi ip-address (Geoip). Ma kahi kokoke i nā lula āpau i hiki ke hoʻonohonoho ʻia i loko o ka hāmeʻa, hiki ke hana ʻia kahi mea mai kahi lula, no ka laʻana, me ka hele ʻole i ka ʻāpana "Zones", hiki iā ʻoe ke hoʻohana i ka pihi "Create and add a new object" e hana i ka ʻāpana. pono mākou. ʻIke pinepine ʻia ka pahu pahu "Invert", hoʻohuli ia i ka hana ma ke ʻano o ka lula, e like me ka negation hana logical. ʻO ka papa kuhikuhi e like me ka ʻaoʻao kumu, akā ma kahi o ke kumu kaʻa, hoʻonohonoho mākou i ka huakaʻi hele. Pahu mea hoʻohana - ma kēia wahi hiki iā ʻoe ke hoʻohui i kahi papa inoa o nā mea hoʻohana a i ʻole nā ​​hui e pili ana kēia lula. Papa lawelawe - koho i ke ʻano o ka lawelawe mai ka mea i koho mua ʻia a i ʻole hiki iā ʻoe ke hoʻonohonoho iā ʻoe iho. Papa Hoʻohana - koho ʻia nā noi kikoʻī a i ʻole nā ​​hui o nā noi ma aneʻi. A ME Papa manawa e kuhikuhi i ka manawa e hana ai keia rula. 

Mai ka haʻawina hope loa, loaʻa iā mākou ke kānāwai no ke komo ʻana i ka Pūnaewele mai ka "Trust" zone, i kēia manawa e hōʻike wau i kumu hoʻohālike pehea e hana ai i kahi lula hōʻole no ka ICMP traffic mai ka "Trust" zone a i ka "Untrusted" zone.

ʻO ka mea mua, e hana i kahi lula ma ke kaomi ʻana i ka pihi "Add". Ma ka puka aniani e wehe ai, ma ka ʻaoʻao ākea, e hoʻopiha i ka inoa (E hoʻopaʻa i ka ICMP mai ka hilinaʻi ʻole ʻia), e nānā i ka pahu "On", koho i ka hana hoʻopau, a, ʻo ka mea nui, koho pololei i kahi o kēia lula. Wahi a kaʻu kulekele, pono ke kau ʻia kēia lula ma luna o ka lula "Allow trusted to untrusted":

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

Ma ka ʻaoʻao "Source" no kaʻu hana, ʻelua mau koho:

  • Ma ke koho ʻana i ka ʻāpana "Trusted".

  • Ma ke koho ʻana i nā ʻāpana āpau koe wale ʻo "Trusted" a me ke kaomi ʻana i ka pahu "Invert".

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

Hoʻonohonoho ʻia ka ʻaoʻao Destination e like me ka tab Source.

A laila, e hele i ka "Service" tab, no ka mea he lawelawe i koho mua ʻia ʻo UserGate no ka ICMP traffic, a laila ma ke kaomi ʻana i ka pihi "Add", koho mākou i kahi lawelawe me ka inoa "Any ICMP" mai ka papa inoa i manaʻo ʻia:

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

ʻO ia paha ka manaʻo o nā mea hana o UserGate, akā ua hiki iaʻu ke hana i nā lula like ʻole. ʻOiai ʻo ka lula mua wale nō e hoʻokō ʻia mai ka papa inoa, manaʻo wau ʻo ka hiki ke hana i nā lula me ka inoa like ʻokoʻa i ka hana hiki ke hoʻohālikelike i ka wā e hana ai kekahi mau mea hoʻokele.

NAT a me ke alahele

I ka hana ʻana i nā lula NAT, ʻike mākou i nā ʻāpana like ʻole, e like me ka pā ahi. Ua ʻike ʻia ke kahua "Type" ma ka pā "General", hiki iā ʻoe ke koho i ke kuleana o kēia lula:

  • NAT - Unuhi Wahi Pūnaewele.

  • DNAT - Hoʻohuli hou i ke kaʻa i ka helu IP i kuhikuhi ʻia.

  • Port forwarding - Hoʻihoʻi hou i ke kaʻa i ka helu IP i kuhikuhi ʻia, akā hiki iā ʻoe ke hoʻololi i ka helu awa o ka lawelawe i paʻi ʻia

  • Ka hoʻokele kulekele - E ʻae iā ʻoe e hoʻokele i nā ʻeke IP e pili ana i ka ʻike lōʻihi, e like me nā lawelawe, nā helu MAC, a i ʻole nā ​​kikowaena (nā leka uila IP).

  • Ka palapala 'āina - E 'ae iā 'oe e ho'ololi i ke kumu a i 'ole ka helu wahi IP o ka pūnaewele me kekahi pūnaewele.

Ma hope o ke koho ʻana i ke ʻano lula kūpono, e loaʻa nā hoʻonohonoho no ia.

Ma ka SNAT IP (external address) kahua, hōʻike maopopo mākou i ka IP address kahi e pani ʻia ai ka helu kumu. Pono kēia kahua inā loaʻa nā helu IP he nui i hāʻawi ʻia i nā pilina ma ka wahi e hele ai. Inā haʻalele ʻoe i kēia kīhāpai, e hoʻohana ka ʻōnaehana i kahi leka uila mai ka papa inoa o nā helu IP i loaʻa i hāʻawi ʻia i nā kikowaena wahi e hele ai. Manaʻo ʻo UserGate e kuhikuhi i ka SNAT IP e hoʻomaikaʻi i ka hana o ke ahi.

No ka laʻana, e hoʻolaha wau i ka lawelawe SSH o kahi kikowaena Windows aia ma ka "DMZ" zone me ka hoʻohana ʻana i ka lula "port-forwarding". No ka hana ʻana i kēia, kaomi i ka pihi "Add" a hoʻopiha i ka pā "General", e kuhikuhi i ka inoa o ka lula "SSH to Windows" a me ke ʻano "Port forwarding":

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

Ma ka "Source" tab, koho i ka "Untrusted" zone a hele i ka "Port forwarding" tab. Maanei pono mākou e kuhikuhi i ka protocol "TCP" (ʻehā mau koho - TCP, UDP, SMTP, SMTPS). 9922 awa kumu mua — helu awa kahi e hoʻouna ai nā mea hoʻohana i nā noi (nā awa: 2200, 8001, 4369, 9000-9100 ʻaʻole hiki ke hoʻohana). ʻO ke awa huakaʻi hou (22) ʻo ia ka helu awa kahi e hoʻouna ʻia ai nā noi o ka mea hoʻohana i ke kikowaena paʻi kūloko.

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

Ma ka ʻaoʻao "DNAT", e hoʻonohonoho i ka ip-address o ke kamepiula ma ka pūnaewele kūloko, i paʻi ʻia ma ka Pūnaewele (192.168.3.2). A hiki iā ʻoe ke koho i ka SNAT, a laila e hoʻololi ʻo UserGate i ka helu kumu i loko o nā ʻeke mai ka pūnaewele waho i kāna helu IP ponoʻī.

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

Ma hope o nā hoʻonohonoho āpau, loaʻa kahi lula e hiki ai ke komo mai ka "Untrusted" zone i ka kikowaena me ka ip-address 192.168.3.2 ma o ka protocol SSH, me ka hoʻohana ʻana i ka helu UserGate waho i ka wā e hoʻopili ai.

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

Kāhea

Hōʻike kēia ʻāpana i nā lula no ka mana bandwidth. Hiki ke hoʻohana ʻia e hoʻopaʻa i ke kahawai o kekahi mau mea hoʻohana, host, lawelawe, nā noi.

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

I ka hana ʻana i kahi lula, ʻo nā kūlana ma nā pā e hoʻoholo ai i ke kaʻa i kau ʻia ai nā palena. Hiki ke koho ʻia ka bandwidth mai ka mea i manaʻo ʻia, a i ʻole e hoʻonohonoho iā ʻoe iho. I ka hana ʻana i ka bandwidth, hiki iā ʻoe ke kuhikuhi i kahi lepili hoʻonohonoho mua o ka DSCP traffic. ʻO kahi laʻana o ka hoʻohana ʻana i nā lepili DSCP: ma ka wehewehe ʻana i ke ʻano o ke ʻano i hoʻohana ʻia ai kēia lula, a laila hiki i kēia lula ke hoʻololi i kēia mau lepili. ʻO kekahi hiʻohiʻona o ka hana ʻana o ka palapala: e hana ka lula no ka mea hoʻohana ke ʻike ʻia kahi kahawai a i ʻole ka nui o ke kaʻa ma mua o ka palena i kuhikuhi ʻia. Hoʻopiha ʻia nā ʻaoʻao i koe e like me nā kulekele ʻē aʻe, e pili ana i ke ʻano o ke kaʻa e hoʻopili ʻia ai ka lula.

3. Hoʻomaka ka UserGate. Nā Kulekele Pūnaewele

hopena

Ma kēia ʻatikala, ua uhi au i ka hana ʻana i nā lula ma nā ʻāpana Firewall, NAT a me Routing, a me Bandwidth. A i ka hoʻomaka mua o ka ʻatikala, ua wehewehe ʻo ia i nā lula no ka hoʻokumu ʻana i nā kulekele UserGate, a me ke kumu o nā kūlana i ka wā e hana ai i kahi lula. 

E hoʻomau no nā mea hou i kā mākou kahawai (TelegramFacebookVKTS Solution Blog)!

Source: www.habr.com

Pākuʻi i ka manaʻo hoʻopuka