Silav, ev gotara duyemîn di derbarê çareseriya NGFW de ji pargîdaniyê ye . Mebesta vê gotarê ev e ku nîşan bide ka meriv çawa dîwarê dîwarê UserGate-ê li ser pergalek virtual saz dike (ez ê nermalava virtualîzasyona VMware Workstation bikar bînim) û veavakirina wê ya destpêkê pêk bîne (destûrê bide gihîştina ji tora herêmî bi navgîniya deriyê UserGate-a Înternetê).
1. Destpêk
Ji bo destpêkê, ez ê awayên cûrbecûr ji bo pêkanîna vê dergehê di nav torê de diyar bikim. Ez dixwazim bibînim ku li gorî vebijarka girêdana hilbijartî, dibe ku hin fonksiyonên dergehê peyda nebe. Çareseriya UserGate modên pêwendiya jêrîn piştgirî dike:
-
L3-L7 firewall
-
pira şefaf L2
-
pira şefaf L3
-
Bi rastî di nav valahiyê de, bi karanîna protokola WCCP
-
Bi rastî di valahiyê de, Rêvekirina Bingeha Siyasetê bikar tîne
-
Router li ser Stick
-
Proxy WEB-ê bi eşkere hatî destnîşan kirin
-
UserGate wekî deriyê xwerû
-
Çavdêriya portê Mirror
UserGate 2 celeb koman piştgirî dike:
-
Veavakirina komê. Nodên ku di nav komek mîhengê de têne hev kirin, li seranserê komê mîhengên domdar diparêzin.
-
Cluster Failover. Zêdetirî 4 girêkên komê yên vesazkirinê dikarin di nav komek têkçûyî de werin berhev kirin ku operasyona di moda Çalak-Çal an Çalak-Pasîf de piştgirî dike. Mimkun e ku çend komikên têkçûyî werin berhev kirin.
2. Sazkirin
Wekî ku di gotara berê de hate gotin, UserGate wekî pakêtek hardware û nermalavê tête peyda kirin an jî di hawîrdorek virtual de tête bicîh kirin. Ji hesabê weya kesane li ser malperê wêneyê bi OVF (Forma Virtualîzasyona Vekirî) dakêşin, ev format ji bo firoşkarên VMWare û Oracle Virtualbox minasib e. Wêneyên dîska makîneya virtual ji bo Microsoft Hyper-v û KVM têne peyda kirin.
Li gorî malpera UserGate, ji bo ku makîneya virtual rast bixebite, tê pêşniyar kirin ku bi kêmî ve 8 GB RAM û pêvajoyek virtual ya 2-core bikar bînin. Pêdivî ye ku hypervisor pergalên xebitandinê yên 64-bit piştgirî bike.
Sazkirin bi anîna wêneyê li hîpervisorê hilbijartî (VirtualBox û VMWare) dest pê dike. Di doza Microsoft Hyper-v û KVM de, hûn hewce ne ku makîneyek virtual biafirînin û wêneya dakêşandî wekî dîskê diyar bikin, û dûv re di mîhengên makîneya virtual ya hatî afirandin de karûbarên entegrasyonê neçalak bikin.
Ji hêla xwerû ve, piştî ku têxe nav VMWare, makîneyek virtual bi mîhengên jêrîn tê afirandin:
Wekî ku li jor hate nivîsandin, divê herî kêm 8 GB RAM hebe û ji bilî vê yekê hûn hewce ne ku ji bo her 1 bikarhêneran 100 GB lê zêde bikin. Mezinahiya dîskê ya xwerû 100 Gb e, lê ev bi gelemperî têr nake ku hemî têketin û mîhengan hilîne. Mezinahiya pêşniyarkirî 300 Gb an jî zêdetir e. Ji ber vê yekê, di taybetmendiyên makîneya virtual de, em mezinahiya dîskê li ya xwestinê diguhezînin. Di destpêkê de, virtual UserGate UTM bi çar navgînên ku ji deveran re hatine destnîşankirin tê:
Rêvebir - pêwendiya yekem a makîneya virtual, herêmek ji bo girêdana torên pêbawer ên ku rêveberiya UserGate jê destûr e.
Trusted navgîniya duyemîn a makîneya virtual e, herêmek ji bo girêdana torên pêbawer, mînakî, torên LAN.
Untrusted navbeynkariya sêyemîn a makîneya virtual e, herêmek ji bo navberên ku bi torên nebawer ve girêdayî ne, mînakî, bi Înternetê.
DMZ navbeynkariya çaremîn a makîneya virtual e, herêmek ji bo pêwendiyên ku bi tora DMZ ve girêdayî ye.
Dûv re, em makîneya virtual dest pê dikin, her çend destan dibêje ku hûn hewce ne ku Amûrên Piştgiriyê hilbijêrin û UTM-ya Vesazkirina Fabrîkî pêk bînin, lê wekî ku hûn dibînin, tenê vebijarkek heye (UTM First Boot). Di vê gavê de, UTM adapterên torê mîheng dike û mezinahiya dabeşkirina dîskê bi tevahî mezinahiya dîskê zêde dike:
Ji bo girêdana bi navgîniya webê ya UserGate, divê hûn bi navgîniya qada Rêvebiriyê têkevin; ev berpirsiyariya pêwendiya eth0 e, ku ji bo wergirtina navnîşana IP-ya bixweber (DHCP) hatî mîheng kirin. Ger ne gengaz be ku navnîşek ji bo navbeynkariya Rêvebiriyê bixweber bi karanîna DHCP-ê were veqetandin, wê hingê ew dikare bi eşkere bi karanîna CLI (Navenda Rêza Fermandariyê) were danîn. Ji bo kirina vê yekê, hûn hewce ne ku bi karanîna navek bikarhêner û şîfreyek bi mafên rêveberê tevahî (Rêveber bi tîpa Sermiyanî ya xwerû) têkevin CLI-yê. Ger cîhaza UserGate di destpêka destpêkê de derbas nebûbe, wê hingê ji bo gihîştina CLI-yê divê hûn Admin wekî navê bikarhêner û utm wekî şîfre bikar bînin. Û fermanek mîna iface config -navê eth0 -ipv4 192.168.1.254/24 binivîsin -rast -mode statîk çalak bike. Dûv re em diçin konsolê malperê UserGate li navnîşana destnîşankirî, divê ew tiştek wusa xuya bike:https://UserGateIPaddress:8001:
Di konsolê webê de em sazkirinê didomînin, pêdivî ye ku em zimanê navbeynkariyê (niha ew rûsî an îngilîzî ye), qada demjimêr hilbijêrin, dûv re peymana lîsansê bixwînin û bipejirînin. Têketin û şîfreyê bicîh bikin ku têkevin navrûya rêveberiya malperê.
3. Sazkirin
Piştî sazkirinê, pencereya navbeynkariya webê ya rêveberiya platformê bi vî rengî xuya dike:
Dûv re hûn hewce ne ku pêwendiyên torê mîheng bikin. Ji bo vê yekê, di beşa "Navber" de hûn hewce ne ku wan çalak bikin, navnîşanên IP-ya rast destnîşan bikin û deverên guncan destnîşan bikin.
Beşa "Navber" hemî navgînên laşî û virtual yên ku di pergalê de peyda dibin destnîşan dike, dihêle hûn mîhengên wan biguhezînin û navgînên VLAN zêde bikin. Di heman demê de ew hemî navgînên her girêkek komê jî nîşan dide. Mîhengên navberê ji bo her girêkek taybetî ne, ango ew ne gerdûnî ne.
Di taybetmendiyên navberê de:
-
Navberê çalak bike an neçalak bike
-
Tîpa pêwendiyê diyar bikin - Layer 3 an Mirror
-
Deverek bi navgînek veqetînin
-
Profîlek Netflow destnîşan bikin ku daneyên statîstîkî ji berhevkarê Netflow re bişîne
-
Parametreyên laşî yên navberê biguhezînin - navnîşana MAC û mezinahiya MTU
-
Cûreya peywira navnîşana IP-yê hilbijêrin - navnîşan tune, navnîşana IP-ya statîk an bi DHCP-ê ve hatî wergirtin
-
Li ser pêwendiya hilbijartî releya DHCP-ê mîheng bikin.
Bişkojka "lê zêde bike" dihêle hûn cûreyên jêrîn ên navgînên mentiqî lê zêde bikin:
-
VLANs
-
Ferzîye
-
Pira
-
PPPoE
-
VPN
-
Tûnêl
Ji bilî deverên ku berê hatine navnîş kirin ku wêneya Usergate bi wan re tê şandin, sê celebên pêşdebirkirî yên din jî hene:
Cluster - qada ji bo navberên ku ji bo xebata komê têne bikar anîn
VPN ji bo Malper-to-Malper - navçeyek ku tê de hemî xerîdarên Office-Office bi navgîniya VPN ve bi UserGate ve girêdayî ne.
VPN ji bo gihîştina ji dûr ve - herêmek ku hemî bikarhênerên mobîl ên ku bi navgîniya VPN ve bi UserGate ve girêdayî ne vedigire
Rêvebirên UserGate dikarin mîhengên deverên xwerû biguhezînin û her weha deverên din jî biafirînin, lê wekî ku di manuala guhertoya 5-ê de hatî destnîşan kirin, herî zêde 15 herêm dikarin werin afirandin. Ji bo guhertin an afirandina wan, hûn hewce ne ku biçin beşa zone. Ji bo her deverê, hûn dikarin bendek avêtina pakêtê saz bikin; SYN, UDP, ICMP têne piştgirî kirin. Kontrola gihîştina karûbarên Usergate jî tê mîheng kirin, û parastina li dijî xapandinê çalak e.
Piştî mîhengkirina navberan, hûn hewce ne ku di beşa "Gateways" de riya xwerû mîheng bikin. Ewan. Ji bo girêdana UserGate bi Înternetê re, divê hûn navnîşana IP-ya yek an çend derwazeyan diyar bikin. Heke hûn ji bo girêdana bi Înternetê gelek pêşkêşvanan bikar tînin, divê hûn çend dergeh diyar bikin. Veavakirina dergehê ji bo her girêka komê yekta ye. Ger du an bêtir dergeh têne destnîşan kirin, 2 vebijark mimkun in:
-
Balansa trafîka di navbera dergehan de.
-
Deriyê sereke bi guheztina yekî yedek.
Rewşa dergehê (berdest - kesk, ne berdest - sor) bi vî rengî tê destnîşankirin:
-
Kontrolkirina torê neçalak e - ger UserGate bikaribe bi karanîna daxwazek ARP-ê navnîşana MAC-a xwe bistîne, dergehek tê hesibandin. Ji bo gihîştina Înternetê bi vê dergehê ve kontrol tune. Ger navnîşana MAC-ê ya dergehê nekare were destnîşankirin, derî bêdestpêk tê hesibandin.
-
Kontrolkirina torê çalak e - dergeh tê hesibandin heke:
-
UserGate dikare bi karanîna daxwaznameyek ARP-ê navnîşana MAC-a xwe bistîne.
-
Kontrola gihîştina Înternetê ya bi riya vê dergehê bi serfirazî qediya.
Wekî din, dergeh ne berdest tê hesibandin.
Di beşa "DNS" de hûn hewce ne ku serverên DNS-ê yên ku UserGate bikar bînin zêde bikin. Ev mîheng di qada Pêşkêşkerên Sîstema DNS de tête diyar kirin. Li jêr mîhengên ji bo birêvebirina daxwazên DNS ji bikarhêneran hene. UserGate destûrê dide te ku hûn proxyek DNS bikar bînin. Karûbarê proxy DNS destûrê dide we ku hûn daxwazên DNS-ê ji bikarhêneran bişopînin û li gorî hewcedariyên rêveberê wan biguhezînin. Rêbazên proxy DNS dikarin bêne bikar anîn da ku pêşkêşkerên DNS-ê yên ku daxwazên domên taybetî têne şandin diyar bikin. Wekî din, bi karanîna proxyek DNS, hûn dikarin tomarên statîk ên celebê mêvandar (A tomar) saz bikin.
Di beşa "NAT û Rêwît" de hûn hewce ne ku qaîdeyên NAT-ê yên pêwîst biafirînin. Ji bo gihîştina Înternetê ji hêla bikarhênerên tora pêbawer ve, qaîdeya NAT-ê jixwe hatî afirandin - "Trusted-> Untrusted", ya ku dimîne ev e ku meriv wê çalak bike. Rêgez ji serî heta binî bi rêza ku di konsolê de hatine rêz kirin têne sepandin. Tenê qaîdeya yekem a ku ji bo şertên ku di rêzika qaîdeyê de hatine destnîşan kirin her gav têne bicîh kirin. Ji bo ku qaîdeyek were destnîşan kirin, divê hemî şertên ku di pîvanên qaîdeyê de hatine destnîşan kirin li hev bikin. UserGate pêşniyar dike ku qaîdeyên giştî yên NAT-ê biafirînin, mînakî, qaîdeyek NAT ji torgilokek herêmî (bi gelemperî herêmek pêbawer) berbi Înternetê (bi gelemperî herêmek Bêbawer), û gihandina bikarhêner, karûbar û sepanan bi karanîna qaîdeyên dîwarê agir ve sînordar bike.
Di heman demê de gengaz e ku meriv qaîdeyên DNAT, şandina portê, rêvekirina li ser bingeha siyasetê, nexşeya torê jî biafirîne.
Piştî vê yekê, di beşa "Firewall" de hûn hewce ne ku qaîdeyên firewall biafirînin. Ji bo gihîştina bêsînor a Înternetê ji bo bikarhênerên tora pêbawer, qaîdeyek dîwarê agir jî jixwe hatîye afirandin - "Internet ji bo pêbawer" û divê were çalak kirin. Bi karanîna qaîdeyên dîwarê agir, rêveber dikare her cûre seyrûsefera torê ya transît ku di nav UserGate re derbas dibe destûr bide an red bike. Mercên qaîdeyê dikarin navçe û navnîşanên IP-ya çavkanî/mebest, bikarhêner û kom, karûbar û serîlêdanan pêk bînin. Rêgez bi heman awayî wekî di beşa "NAT û Rêwît" de derbas dibin, ango. jor jêr. Ger rêgez nehatibe afirandin, wê hingê her seyrûsefera derbasbûnê bi navgîniya UserGate ve qedexe ye.
4. Encam
Ev gotara bi dawî dike. Me dîwarê dîwarê UserGate li ser makîneyek virtual saz kir û ji bo ku Înternet li ser tora pêbawer bixebite mîhengên herî hindik ên pêwîst çêkir. Em ê di gotarên jêrîn de veavakirina bêtir bifikirin.
Li kanalên me li benda nûvekirinan bin (, , , )!
Source: www.habr.com