Salve, hic est secundus articulus solutionis NGFW e societatis . Propositum huius articuli est ostendere quomodo UserGate firewall in systemate virtuali instituere (utar programmate VMware Workstation virtualizatione) et eius configurationem initialem conficere (permittere accessum e network locali per portae UserGate ad Interreti).
1. introduction
Incipere, varios modos ad hanc portam in retia conficiendam describam. Notare vellem in optione connexionis selectae consistere, portae quaedam functiones praesto esse non posse. UserGate solutionem modorum nexum sequentem sustinet:
-
L3-L7 firewall
-
L2 pontis perlucidus
-
L3 pontis perlucidus
-
Prope in hiatum, protocollo WCCP adhibito
-
Virtute in gap, utens Policy Substructio Routing
-
Iter in baculo
-
Diserte certa procuratorem VUL
-
UserGate ut default porta
-
Speculum portum magna
UserGate sustinet 2 genera botri;
-
Configuratio Botri. Nodi in conformationem botrum conglobati constantes occasus per botrum conservant.
-
Botrus failover. Usque ad 4 conformationem nodi botri coniungi possunt in botrum defectivum qui operationem sustinet in modo activo vel activo-passivo. Plures racemos failover colligi potest.
2. Institutionem
Ut in superiori articulo, UserGate ut ferramenta et sarcina software praebetur vel in ambitu virtuali explicatur. Ex propria ratione in website imaginem in OVF (Open Forma Virtualization), haec forma apta est VMWare et Oraculum Virtualbox venditoribus. Apparatus orbis virtualis imagines praebentur Microsoft Hyper-v et KVM.
Iuxta locum UserGate, pro machina virtuali recte operandi, commendatur ut saltem 8Gb of RAM et 2-coro processus virtualis. Hypervisor 64 frenum systematis operantis sustentare debet.
Institutionem incipit ab importando imaginem hypervisoris in electum (VirtualBox et VMWare). Microsoft Hyper-v et KVM in casu, virtualem machinam creare debes et imaginem orbis receptam denota, ac deinde officia integrationis in uncinis machinae virtualis creatae inactivare.
Defalta, in VMWare importata, machina virtualis creatur cum sequentibus fundis:
Ut supra scriptum est, saltem 8Gb de RAM esse debet et praeterea 1Gb singulis 100 utentibus addere debes. Congue ferreus coegi amplitudo 100Gb est, sed hoc plerumque non sufficit ad omnia ligna et unctiones reponenda. Commendatur magnitudo 300Gb vel plura. Ergo in proprietatibus machinae virtualis, mutamus orbis magnitudinem ad desideratum. Initio virtualis UserGate UTM venit cum quattuor interfaces zonulis assignatis;
Procuratio - prima machina virtualis machinae, zona ad retiacula iungenda, ex qua UserGate administratio permittitur.
Confisa est secunda machina virtualis machina, zona pro reticulis iunctis creditis, exempli gratia, retiacula LAN.
Tertium medium machinae virtualis creditum est, zona pro interfaces missis retiacula connexa, exempli gratia, interreti.
DMZ quartum interfacies apparatus virtualis est, zona pro interfaces cum DMZ retis connectitur.
Deinde machinam virtualem deducimus, licet manuale dicat opus esse instrumenta subsidiaria et Factory reset UTM eligere, sed ut videre potes, una tantum est electio (UTM Primum Boot). Per hunc gradum, UTM adaptatores retis conformat et magnitudinem ferrei coegi partitionem auget ad plenam orbis magnitudinem;
Coniungere ad interfacem UserGate, inire debes per zonam Management, hoc est officium interfaciei eth0, quod configuratur ipso facto IP inscriptionem obtinere (DHCP). Si non potest assignari electronica pro DHCP interface Management automatice utendo, tunc explicite explicari potest utendo CLI (manda linea interface). Ad hoc faciendum, debes in CLI inire utens usoris et tesserae cum iura plena administratoris (Admin cum litteris capitalibus per defaltam). Si UserGate machinam initializationem initialem non subiit, tunc ad CLI accedere debet, uti Admin ut usoris et utm ut tessera. Et typus mandatum ut iface config -name eth0 -ipv4 192.168.1.254/24 -enable verum - modum statice. Postea ad UserGate consolatorium in inscriptione certa itur, aliquid simile inspicere debet:https://UserGateIPaddress:8001:
In console interretialem institutionem continuamus, linguam instrumenti interfaciendi (momento Russico vel Anglico) eligere debemus, zona temporis, deinde legere et consentire ad consensum licentiae. Pone rationem et clavem ut stipes in administratione instrumenti interretialis.
3. Setup
Post institutionem, haec est quae in fenestra interfaciei suggestu procuratio similis est:
Tunc debes interfaces retis configurare. Ad hoc faciendum in sectione "Interfaces" quod eis efficere debes, recta IP inscriptiones pone et zonas opportunis tribue.
Sectio "Interfaces" ostendit omnia interfaces physicas et virtuales quae in systemate praesto sunt, sinit te mutare suos occasus et interfaces VLAN addere. Ostendit etiam interfaces uniuscuiusque nodi omnes. Occasus medius cuique nodi specifici sunt, hoc est, globales non sunt.
in proprietatibus interface;
-
Admitte vel disable in interface
-
Specificare interface genus - Stratum seu Speculum III
-
Tribuo zonam ad interface
-
Assignare Netflow profile mittere statistica notitia ad Netflow collector
-
Mutare parametri corporis interfaciei - MAC oratio et MTU magnitudo
-
Lego genus inscriptionis IP assignationis - nullam inscriptionem electronicam, vel per DHCP habitam IP electronicam obtinendam
-
DHCP Nullam configurare in interface delectis.
The "Adde" conjunctionem permittit ut sequentes rationes instrumentorum logicalium addas:
-
VLANs
-
Vinculum
-
pontem
-
PPPoE
-
VPN
-
Tunnel
Praeter zonas antea enumeratas, quas naves imaginis Usergate cum educunt, tria genera magis praedefinita sunt;
Botrus - zona pro interfaces usus est ad botrum operandi
VPN pro Site-ad-Site - zona in qua omnes clientes Officii-officii connexi UserGate per VPN ponuntur
VPN pro accessu remoto - zona quae includit omnes usores mobiles cum UserGate per VPN conexos
Administratores UserGate occasus zonarum defaultrum mutare possunt et zonas adiectis creare, sed, ut in versione 5 manuali dictum est, maximum 15 zonarum creari potest. Eos mutare vel creare, ad sectionem zonam ire debes. Pro qualibet zona, limen iungi potes, SYN, UDP, ICMP sustinentur. Accessus control ad officia Usergate etiam figuratur, ac tutela contra spoofing valet.
Configurans interfaces, debes configurare defectum itineris in sectione "portae". Illae. Ad UserGate ad Interreti connectere, IP inscriptionem unius vel plurium portarum denotare debes. Si pluribus provisoribus uteris ad Internet coniungere, plures portas debes denota. Configuratio portae singularis est nodi pro quolibet botro. Si duae vel plures portae specificatae sunt, 2 optiones possibilis sunt;
-
Inter portas librans commercium.
-
In consectetur porta magna in molestie.
Status portae (praesto - viridis, unavailable - rubri) determinatur ut sequitur:
-
Retiacula inhibitio debilitata est - porta pervia consideratur si UserGate suam MAC inscriptionem uti petitionem ARP obtinere potest. Nulla ceptum interretialem accessum per hanc portam. Si portae MAC inscriptio definiri non potest, porta impossibilis censetur.
-
Network recognitione capacitas est - porta pervia consideratur si:
-
UserGate suam MAC electronicam utens petitionem ARP obtinere potest.
-
Perscriptio accessus interretialis per hanc portam feliciter confecta est.
Alioquin porta perpendat habetur.
In sectione "DNS" addere debes DNS servientibus quibus UserGate utetur. Hic occasus specificatur in System DNS Server area. Infra sunt occasus ad petitiones DNS administrandi ab utentibus. UserGate te permittit uti procuratorem DNS. DNS ineundo ministerium permittit ut DNS petitiones ab utentibus intercipias et eas secundum necessitates administratoris mutes. DNS procuratoris regulae adhiberi possunt ad DNS servientes specificandos quibus petitiones in certis dominiis transmittuntur. Praeterea, procuratorem DNS utens, tabulas statas generis militiae (A record).
In sectione "NAT et Routing" necessaria praecepta NAT creare debes. Ad Internet accessum ab utentibus retis creditorum, NAT regula iam creata est - "Tusted->Untrusted", omne reliquum est ut id efficiat. Regulae a summo ad imum applicantur ordine, quo in console recensentur. Sola prima regula est, pro qua conditiones in regula certas semper exsecutioni mandandae sunt. Ad regulam urguendam, omnes condiciones quae in regula parametri aequare debent. UserGate generalem NAT regulas creandi suadet, exempli gratia, regula NAT a retis localis (plerumque zona credita) ad Interreti (zonam plerumque intrusam), et accessum ab utentibus, servitiis, applicationibus utentes regulas murorum restringens.
Potest etiam DNAT regulas creare, portum procuret, fundi speculatione fuso, Retiacula destinata.
Post hoc in sectione "Firewall" firewall praecepta creare debes. Infinitus accessus ad Interreti pro usoribus retis creditorum, regula firewall etiam iam creata est - "Internet for Confidit" et praestari debet. Praecepta firewall utens, administrator permittere vel negare potest quodlibet genus negotiationis retis transeundi per UserGate. Condiciones regulae zonas et fontem/destinationis IP inscriptiones, usores et coetus, officia et applicationes includere possunt. Praecepta sunt eodem modo ac in sectione "NAT et Routing", i.e. top down. Si regulae nullae factae sunt, tunc omne commercium transitum per UserGate prohibitum est.
4. conclusioni
Hic concludit articulum. UserGate firewall in virtuali machina constituimus et minima necessaria loca pro Interreti ad operandum in retis creditis constituimus. Plura de schemate videbimus in sequentibus articulis.
Manete modulatum pro updates in canalibus nostris (, , , )!
Source: www.habr.com