Ndewo, nke a bụ isiokwu nke abụọ gbasara ngwọta NGFW sitere na ụlọ ọrụ ahụ . Ebumnuche nke isiokwu a bụ igosi otu esi etinye ọkụ ọkụ UserGate na sistemụ mebere (M ga-eji VMware Workstation virtualization software) wee rụọ nhazi mbụ ya (kwe ka ịnweta netwọk mpaghara site na ọnụ ụzọ UserGate gaa na Ịntanetị).
1. Okwu mmeghe
Iji malite, m ga-akọwa ụzọ dị iche iche iji mejuputa ọnụ ụzọ a n'ime netwọk. Ọ ga-amasị m ịmara na dabere na nhọrọ njikọ ahọpụtara, ụfọdụ ọrụ nke ọnụ ụzọ ámá nwere ike ọ gaghị adị. Ihe ngwọta UserGate na-akwado ụdị njikọ ndị a:
-
Ọkụ ọkụ L3-L7
-
L2 transperent akwa
-
L3 transperent akwa
-
Ọ fọrọ nke nta ka ọ bụrụ oghere ahụ, na-eji usoro WCCP
-
Fọrọ nke nta ka ọ dị na oghere ahụ, na-eji usoro iwu dabere na iwu
-
Router na mkpisi
-
Onye nnọchi anya WEB akọwapụtara nke ọma
-
UserGate dị ka ọnụ ụzọ ndabara
-
Nleba anya ọdụ ụgbọ mmiri enyo
UserGate na-akwado ụdị ụyọkọ abụọ:
-
Nhazi ụyọkọ. Ọnụ ọnụ jikọtara n'ime ụyọkọ nhazi na-edobe ntọala na-agbanwe agbanwe n'ofe ụyọkọ ahụ.
-
Ụyọkọ emezughị. Enwere ike ijikọta ọnụ ụyọkọ nhazi 4 ka ọ bụrụ ụyọkọ na-ada ada nke na-akwado ọrụ na Active-Active ma ọ bụ Active-Passive mode. Ọ ga-ekwe omume ikpokọta ọtụtụ ụyọkọ ọdịda.
2. Nwụnye
Dịka e kwuru n'isiokwu gara aga, a na-enye UserGate dị ka ngwaike na ngwungwu ngwanrọ ma ọ bụ ebuga ya na gburugburu mebere. Site na akaụntụ nkeonwe gị na webụsaịtị budata onyonyo a na OVF (Open Virtualization Format), usoro a dabara adaba maka ndị na-ere VMWare na Oracle Virtualbox. E wetara onyonyo diski igwe mebere maka Microsoft Hyper-v na KVM.
Dịka weebụsaịtị UserGate si kwuo, maka igwe mebere ka ọ rụọ ọrụ nke ọma, a na-atụ aro ka iji opekata mpe 8Gb nke RAM yana 2-core virtual processor. Hypervisor ga-akwado sistemụ arụmọrụ 64-bit.
Nwụnye na-amalite site na ibubata onyonyo n'ime hypervisor ahọpụtara (VirtualBox na VMWare). N'ihe banyere Microsoft Hyper-v na KVM, ịkwesịrị ịmepụta igwe mebere ma kọwaa onyonyo ebudatara dị ka diski, wee gbanyụọ ọrụ ntinye na ntọala nke igwe mebere mebere.
Site na ndabara, mgbe ibubata na VMWare, a na-emepụta igwe mebere ya na ntọala ndị a:
Dị ka e dere n'elu, a ga-enwerịrị opekata mpe 8Gb nke RAM na mgbakwunye na ị ga-agbakwunye 1Gb maka ndị ọrụ 100 ọ bụla. Ogo draịvụ ike ndabara bụ 100Gb, mana nke a anaghị ezuru iji chekwaa ndekọ na ntọala niile. Nha akwadoro bụ 300Gb ma ọ bụ karịa. Ya mere, na akụrụngwa nke igwe mebere, anyị na-agbanwe nha diski na nke achọrọ. Na mbụ, Virtual UserGate UTM na-abịa na oghere anọ ekenyere na mpaghara:
Njikwa - nke mbụ interface nke igwe mebere, mpaghara maka ijikọ netwọk ntụkwasị obi nke ejiri na-anabata njikwa UserGate.
ntụkwasị obi bụ interface nke abụọ nke igwe mebere, mpaghara maka ijikọ netwọk ndị tụkwasịrị obi, dịka ọmụmaatụ, netwọkụ LAN.
Untrusted bụ interface nke atọ nke igwe mebere, mpaghara maka interfaces ejikọrọ na netwọk enweghị ntụkwasị obi, dịka ọmụmaatụ, na ịntanetị.
DMZ bụ interface nke anọ nke igwe mebere, mpaghara maka oghere ejikọrọ na netwọk DMZ.
Ọzọ, anyị na-amalite igwe mebere, ọ bụ ezie na akwụkwọ ntuziaka na-ekwu na ịkwesịrị ịhọrọ Ngwá Ọrụ Nkwado ma rụọ ọrụ nrụpụta ụlọ ọrụ UTM, mana dịka ị na-ahụ, enwere naanị otu nhọrọ (UTM First Boot). N'oge usoro a, UTM na-ahazi ihe nkwụnye netwọkụ ma na-abawanye nha nke diski ike na nha diski zuru oke:
Iji jikọọ na interface weebụ UserGate, ị ga-abanye na mpaghara njikwa; nke a bụ ọrụ nke interface eth0, nke ahaziri iji nweta adreesị IP na-akpaghị aka (DHCP). Ọ bụrụ na ọ gaghị ekwe omume ịnye adreesị maka njikwa njikwa na-akpaghị aka site na iji DHCP, mgbe ahụ enwere ike ịtọ ya nke ọma site na iji CLI (Command Line Interface). Iji mee nke a, ịkwesịrị ịbanye na CLI site na iji aha njirimara na paswọọdụ nwere ikike nchịkwa zuru oke (Admin nwere mkpụrụedemede ukwu na ndabara). Ọ bụrụ na ngwaọrụ UserGate emebeghị mmalite mbụ, yabụ iji nweta CLI ị ga-eji Admin dị ka aha njirimara na utm dị ka paswọọdụ. Ma pịnye iwu dị ka iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Mgbe e mesịrị, anyị na-aga UserGate webụ console na adreesị akọwapụtara, ọ kwesịrị ịdị ka nke a:https://UserGateIPaddress:8001:
Na njikwa weebụ anyị na-aga n'ihu nrụnye, anyị kwesịrị ịhọrọ asụsụ interface (n'oge ọ bụ Russian ma ọ bụ Bekee), mpaghara oge, wee gụọ ma kwenye na nkwekọrịta ikike. Tọọ nbanye na paswọọdụ iji banye n'ime interface njikwa weebụ.
3. Nhazi
Mgbe echichi gasịrị, nke a bụ ihe windo interface njikwa ikpo okwu dị ka:
Mgbe ahụ ịkwesịrị ịhazi oghere netwọkụ. Iji mee nke a, na ngalaba "Interfaces" ịkwesịrị ime ka ha nwee ike, dozie adreesị IP ziri ezi ma kenye mpaghara kwesịrị ekwesị.
Ngalaba "Interfaces" na-egosiputa ihe niile nke anụ ahụ na nke mebere dị na sistemụ ahụ, na-enye gị ohere ịgbanwe ntọala ha wee gbakwunye oghere VLAN. Ọ na-egosikwa oghere niile nke ọnụ ụyọkọ ọ bụla. Ntọala interface akọwapụtara na ọnụ ọnụ nke ọ bụla, ya bụ, ha abụghị nke zuru ụwa ọnụ.
N'ime njirimara interface:
-
Kwado ma ọ bụ gbanyụọ interface ahụ
-
Ezipụta ụdị interface - Layer 3 ma ọ bụ mirror
-
Kenye mpaghara na interface
-
Kenye profaịlụ Netflow ka izipu data ndekọ aha na onye nchịkọta Netflow
-
Gbanwee paramita anụ ahụ nke interface - adreesị MAC na nha MTU
-
Họrọ ụdị ọrụ adreesị IP - enweghị adreesị, adreesị IP static ma ọ bụ nweta site na DHCP
-
Hazie mgbanaka DHCP na interface ahọpụtara.
Bọtịnụ “Tinye” na-enye gị ohere ịtinye ụdị ntụgharị uche ezi uche dị na ya:
-
VLAN
-
Bond
-
Akwa
-
PPPoE
-
Okwey
-
Ọwara
Na mgbakwunye na mpaghara edepụtara na mbụ nke ihe onyonyo Usergate na-ebugharị, enwere ụdị atọ akọwapụtagoro mbụ:
Ụyọkọ - mpaghara maka interfaces eji arụ ọrụ ụyọkọ
VPN maka saịtị-na-saịtị - mpaghara ebe a na-edobe ndị ahịa Office-Office niile jikọtara na UserGate site na VPN.
VPN maka ohere ime ime - mpaghara gụnyere ndị ọrụ mkpanaka niile ejikọrọ na UserGate site na VPN
Ndị nchịkwa UserGate nwere ike ịgbanwe ntọala nke mpaghara ndabara ma mepụta mpaghara ndị ọzọ, mana dịka ekwuru na akwụkwọ ntuziaka 5, enwere ike ịmepụta mpaghara 15 kacha. Iji gbanwee ma ọ bụ mepụta ha, ịkwesịrị ịga na mpaghara mpaghara. Maka mpaghara ọ bụla, ị nwere ike ịtọ ụzọ nkwụsị nke ngwugwu; SYN, UDP, ICMP na-akwado. A na-ahazikwa njikwa ịnweta ọrụ Usergate, na-akwadokwa nchebe pụọ na nsị.
Mgbe ahazi interfaces, ịkwesịrị ịhazi ụzọ ndabara na ngalaba "Gateways". Ndị ahụ. Iji jikọọ UserGate na ịntanetị, ị ga-ezipụta adreesị IP nke otu ọnụ ụzọ ma ọ bụ karịa. Ọ bụrụ na ijiri ọtụtụ ndị na-eweta ka jikọọ na ịntanetị, ị ga-akọwarịrị ọtụtụ ọnụ ụzọ ámá. Nhazi ọnụ ụzọ ámá pụrụ iche maka ọnụ ụyọkọ ọ bụla. Ọ bụrụ na akọwapụtara ọnụ ụzọ ámá abụọ ma ọ bụ karịa, nhọrọ 2 ga-ekwe omume:
-
Ịhazi okporo ụzọ n'etiti ọnụ ụzọ ámá.
-
Ọnụ ụzọ ámá bụ isi na ịtụgharị gaa na nke mapụtara.
A na-ekpebi ọkwa ọnụ ụzọ ámá (dị - akwụkwọ ndụ akwụkwọ ndụ, adịghị adị - uhie) dị ka ndị a:
-
Akwụsịla ịlele netwọkụ - a na-ahụta ọnụ ụzọ ámá ma ọ bụrụ na UserGate nwere ike nweta adreesị MAC ya site na iji arịrịọ ARP. Enweghị nlele maka ịnweta ịntanetị site na ọnụ ụzọ a. Ọ bụrụ na enweghị ike ikpebi adreesị MAC nke ọnụ ụzọ ámá, a na-ewere ọnụ ụzọ ámá ahụ enweghị ike iru.
-
Agbanyere nyocha netwọkụ - a na-ahụta ọnụ ụzọ ámá dị ka ịnweta ma ọ bụrụ:
-
UserGate nwere ike nweta adreesị MAC ya site na iji arịrịọ ARP.
-
Emechara nlele maka ịnweta ịntanetị site n'ọnụ ụzọ a nke ọma.
Ma ọ bụghị ya, a na-ewere ọnụ ụzọ ámá adịghị.
Na ngalaba “DNS” ịkwesịrị ịgbakwunye sava DNS nke UserGate ga-eji. A kọwapụtara ntọala a na mpaghara sava DNS Sistemu. N'okpuru bụ ntọala maka ijikwa arịrịọ DNS sitere n'aka ndị ọrụ. UserGate na-enye gị ohere iji proxy DNS. Ọrụ proxy nke DNS na-enye gị ohere igbochi arịrịọ DNS sitere n'aka ndị ọrụ wee gbanwee ya dabere na mkpa nke onye nchịkwa. Enwere ike iji iwu proxy DNS kọwaa sava DNS nke ebugara arịrịọ maka ngalaba akọwapụtara. Na mgbakwunye, na iji proxy DNS, ị nwere ike ịtọ ndekọ static nke ụdị nnabata (A ndekọ).
Na ngalaba "NAT na Routing" ịkwesịrị ịmepụta iwu NAT dị mkpa. Maka ịnweta ịntanetị site n'aka ndị ọrụ nke netwọk Trusted, emebelarị iwu NAT - "Trusted->Atụkwasịghị Obi", naanị ihe fọdụrụ bụ ime ya. A na-etinye iwu site n'elu ruo na ala n'usoro edepụtara ha na njikwa. Naanị iwu mbụ nke a na-eme ihe ndị akọwapụtara na egwuregwu iwu mgbe niile. Ka iwu a ga-akpalite, ọnọdụ niile akọwapụtara na paramita iwu ga-adakọrịrị. UserGate na-akwado imepụta iwu NAT izugbe, dịka ọmụmaatụ, iwu NAT sitere na netwọkụ mpaghara (na-abụkarị mpaghara ntụkwasị obi) gaa na ịntanetị (na-abụkarị mpaghara enweghị ntụkwasị obi), yana machibido ndị ọrụ, ọrụ na ngwa na-eji iwu firewall.
Ọ ga-ekwe omume ịmepụta iwu DNAT, mbugharị ọdụ ụgbọ mmiri, ntụgharị nke dabere na amụma, eserese netwọkụ.
Mgbe nke a gasịrị, na ngalaba "Firewall" ịkwesịrị ịmepụta iwu firewall. Maka ịnweta ịntanetị na-akparaghị ókè maka ndị ọrụ nke netwọk ntụkwasị obi, emebekwala iwu firewall - "Internet for Trusted" na a ga-agbanyerịrị ya. N'iji iwu firewall, onye nchịkwa nwere ike ikwe ma ọ bụ gọnarị ụdị okporo ụzọ netwọk okporo ụzọ na-agafe UserGate. Ọnọdụ iwu nwere ike ịgụnye mpaghara na adreesị IP isi iyi/ebe, ndị ọrụ na otu, ọrụ na ngwa. Iwu a na-emetụta n'otu ụzọ ahụ dị na ngalaba "NAT na Routing", ya bụ. si elu gbadata. Ọ bụrụ na emepụtabeghị iwu, mgbe ahụ, amachibidoro ịfefe site na UserGate.
4. Mmechi
Nke a mechiri isiokwu. Anyị rụnyere firewall UserGate na igwe mebere ma mee ntọala kacha nta dị mkpa maka ịntanetị iji rụọ ọrụ na netwọk ntụkwasị obi. Anyị ga-atụle nhazi ọzọ n'isiokwu ndị na-esonụ.
Nọrọ na nche maka mmelite na ọwa anyị (, , , )!
isi: www.habr.com