2. UserGate ເລີ່ມຕົ້ນ. ຄວາມຕ້ອງການ, ການຕິດຕັ້ງ

ສະບາຍດີ, ນີ້ແມ່ນບົດຄວາມທີສອງກ່ຽວກັບການແກ້ໄຂ NGFW ຈາກບໍລິສັດ UserGate. ຈຸດປະສົງຂອງບົດຄວາມນີ້ແມ່ນເພື່ອສະແດງວິທີການຕິດຕັ້ງ Firewall UserGate ໃນລະບົບ virtual (ຂ້ອຍຈະໃຊ້ໂປແກຼມ virtualization VMware Workstation) ແລະປະຕິບັດການຕັ້ງຄ່າເບື້ອງຕົ້ນຂອງມັນ (ອະນຸຍາດໃຫ້ເຂົ້າເຖິງຈາກເຄືອຂ່າຍທ້ອງຖິ່ນຜ່ານປະຕູ UserGate ກັບອິນເຕີເນັດ).   

1. ບົດແນະ ນຳ

ເພື່ອເລີ່ມຕົ້ນ, ຂ້າພະເຈົ້າຈະອະທິບາຍວິທີການຕ່າງໆເພື່ອປະຕິບັດປະຕູນີ້ເຂົ້າໄປໃນເຄືອຂ່າຍ. ຂ້າພະເຈົ້າຢາກຈະສັງເກດວ່າຂຶ້ນຢູ່ກັບທາງເລືອກການເຊື່ອມຕໍ່ທີ່ເລືອກ, ຫນ້າທີ່ສະເພາະໃດຫນຶ່ງຂອງ gateway ອາດຈະບໍ່ສາມາດໃຊ້ໄດ້. ການແກ້ໄຂ UserGate ສະຫນັບສະຫນູນຮູບແບບການເຊື່ອມຕໍ່ຕໍ່ໄປນີ້: 

• ໄຟວໍ L3-L7

• ຂົວໂປ່ງໃສ L2

• ຂົວໂປ່ງໃສ L3

• ເກືອບເຂົ້າໄປໃນຊ່ອງຫວ່າງ, ການນໍາໃຊ້ WCCP protocol

• ເກືອບຢູ່ໃນຊ່ອງຫວ່າງ, ການນໍາໃຊ້ເສັ້ນທາງໂດຍອີງໃສ່ນະໂຍບາຍ

• Router ໃນ Stick

• WEB proxy ລະບຸຢ່າງຊັດເຈນ

• UserGate ເປັນປະຕູເລີ່ມຕົ້ນ

• ການກວດສອບພອດກະຈົກ

UserGate ຮອງຮັບ 2 ປະເພດຂອງກຸ່ມ:

1. ການຕັ້ງຄ່າກຸ່ມ. ໂນດທີ່ລວມເຂົ້າກັນເປັນກຸ່ມການຕັ້ງຄ່າຮັກສາການຕັ້ງຄ່າທີ່ສອດຄ່ອງໃນທົ່ວກຸ່ມ.

2. ກຸ່ມຄົນລົ້ມເຫລວ. ສູງສຸດ 4 nodes cluster ການຕັ້ງຄ່າສາມາດຖືກລວມເຂົ້າກັນເປັນກຸ່ມ failover ທີ່ສະຫນັບສະຫນູນການດໍາເນີນງານໃນໂຫມດ Active-Active ຫຼື Active-Passive. ມັນເປັນໄປໄດ້ທີ່ຈະປະກອບກຸ່ມທີ່ລົ້ມເຫລວຫຼາຍກຸ່ມ.

2. ການຕິດຕັ້ງ

ດັ່ງທີ່ໄດ້ກ່າວໄວ້ໃນບົດຄວາມທີ່ຜ່ານມາ, UserGate ໄດ້ຖືກສະຫນອງໃຫ້ເປັນຊຸດຮາດແວແລະຊອບແວຫຼືຖືກນໍາໄປໃຊ້ໃນສະພາບແວດລ້ອມ virtual. ຈາກບັນຊີສ່ວນຕົວຂອງທ່ານໃນເວັບໄຊທ໌ UserGate ດາວໂຫລດຮູບພາບໃນ OVF (Open Virtualization Format), ຮູບແບບນີ້ແມ່ນເຫມາະສົມສໍາລັບຜູ້ຂາຍ VMWare ແລະ Oracle Virtualbox. ຮູບພາບແຜ່ນ virtual ຂອງເຄື່ອງຈັກແມ່ນສະຫນອງໃຫ້ສໍາລັບ Microsoft Hyper-v ແລະ KVM.

ອີງຕາມເວັບໄຊທ໌ UserGate, ສໍາລັບເຄື່ອງ virtual ເຮັດວຽກຢ່າງຖືກຕ້ອງ, ມັນແນະນໍາໃຫ້ໃຊ້ຢ່າງຫນ້ອຍ 8Gb ຂອງ RAM ແລະໂປເຊດເຊີ virtual 2-core. hypervisor ຕ້ອງຮອງຮັບລະບົບປະຕິບັດການ 64-bit.

ການຕິດຕັ້ງເລີ່ມຕົ້ນໂດຍການນໍາເຂົ້າຮູບພາບເຂົ້າໄປໃນ hypervisor ທີ່ເລືອກ (VirtualBox ແລະ VMWare). ໃນກໍລະນີຂອງ Microsoft Hyper-v ແລະ KVM, ທ່ານຈໍາເປັນຕ້ອງສ້າງເຄື່ອງ virtual ແລະລະບຸຮູບພາບທີ່ດາວໂຫລດເປັນແຜ່ນ, ແລະຫຼັງຈາກນັ້ນປິດການບໍລິການປະສົມປະສານໃນການຕັ້ງຄ່າຂອງເຄື່ອງ virtual ທີ່ສ້າງຂຶ້ນ.

ໂດຍຄ່າເລີ່ມຕົ້ນ, ຫຼັງຈາກນໍາເຂົ້າເຂົ້າໄປໃນ VMWare, ເຄື່ອງ virtual ໄດ້ຖືກສ້າງຂື້ນດ້ວຍການຕັ້ງຄ່າຕໍ່ໄປນີ້:

ດັ່ງທີ່ໄດ້ຂຽນໄວ້ຂ້າງເທິງ, ຕ້ອງມີຢ່າງຫນ້ອຍ 8Gb ຂອງ RAM ແລະນອກຈາກນັ້ນ, ທ່ານຈໍາເປັນຕ້ອງເພີ່ມ 1Gb ສໍາລັບທຸກໆ 100 ຜູ້ໃຊ້. ຂະຫນາດຮາດດິດເລີ່ມຕົ້ນແມ່ນ 100Gb, ແຕ່ປົກກະຕິແລ້ວນີ້ບໍ່ພຽງພໍທີ່ຈະເກັບຮັກສາບັນທຶກແລະການຕັ້ງຄ່າທັງຫມົດ. ຂະຫນາດທີ່ແນະນໍາແມ່ນ 300Gb ຫຼືຫຼາຍກວ່ານັ້ນ. ດັ່ງນັ້ນ, ໃນຄຸນສົມບັດຂອງເຄື່ອງ virtual, ພວກເຮົາປ່ຽນຂະຫນາດແຜ່ນເປັນທີ່ຕ້ອງການ. ໃນເບື້ອງຕົ້ນ, Virtual UserGate UTM ມາພ້ອມກັບສີ່ການໂຕ້ຕອບທີ່ຖືກມອບຫມາຍໃຫ້ເຂດ:

ການຈັດການ - ການໂຕ້ຕອບທໍາອິດຂອງເຄື່ອງ virtual, ເຂດສໍາລັບການເຊື່ອມຕໍ່ເຄືອຂ່າຍທີ່ເຊື່ອຖືໄດ້ຈາກການຄຸ້ມຄອງ UserGate ແມ່ນອະນຸຍາດໃຫ້.

ທີ່ເຊື່ອຖືໄດ້ແມ່ນການໂຕ້ຕອບທີສອງຂອງເຄື່ອງ virtual, ເຂດສໍາລັບການເຊື່ອມຕໍ່ເຄືອຂ່າຍທີ່ເຊື່ອຖືໄດ້, ຕົວຢ່າງ, ເຄືອຂ່າຍ LAN.

Untrusted ແມ່ນສ່ວນຕິດຕໍ່ທີສາມຂອງ virtual machine, ເຂດສໍາລັບການໂຕ້ຕອບທີ່ເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍທີ່ບໍ່ຫນ້າເຊື່ອຖື, ຕົວຢ່າງ, ກັບອິນເຕີເນັດ.

DMZ ແມ່ນສ່ວນຕິດຕໍ່ສີ່ຂອງເຄື່ອງ virtual, ເຂດສໍາລັບການໂຕ້ຕອບທີ່ເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍ DMZ.

ຕໍ່ໄປ, ພວກເຮົາເປີດຕົວເຄື່ອງ virtual, ເຖິງແມ່ນວ່າຄູ່ມືບອກວ່າທ່ານຈໍາເປັນຕ້ອງເລືອກ Support Tools ແລະດໍາເນີນການ Factory reset UTM, ແຕ່ຕາມທີ່ເຈົ້າເຫັນ, ມີທາງເລືອກດຽວ (UTM First Boot). ໃນລະຫວ່າງຂັ້ນຕອນນີ້, UTM ຕັ້ງຄ່າຕົວອະແດບເຕີເຄືອຂ່າຍແລະເພີ່ມຂະຫນາດຂອງຮາດດິດແບ່ງສ່ວນເປັນຂະຫນາດເຕັມຂອງແຜ່ນ:

ເພື່ອເຊື່ອມຕໍ່ກັບອິນເຕີເຟດເວັບ UserGate, ທ່ານຈໍາເປັນຕ້ອງເຂົ້າສູ່ລະບົບໂດຍຜ່ານເຂດການຄຸ້ມຄອງ, ການໂຕ້ຕອບ eth0 ແມ່ນຮັບຜິດຊອບສໍາລັບການນີ້, ເຊິ່ງຖືກຕັ້ງຄ່າເພື່ອໃຫ້ໄດ້ທີ່ຢູ່ IP ອັດຕະໂນມັດ (DHCP). ຖ້າມັນບໍ່ສາມາດກໍານົດທີ່ຢູ່ສໍາລັບການໂຕ້ຕອບການຄຸ້ມຄອງອັດຕະໂນມັດໂດຍໃຊ້ DHCP, ຫຼັງຈາກນັ້ນ, ມັນສາມາດຖືກກໍານົດຢ່າງຊັດເຈນໂດຍໃຊ້ CLI (Command Line Interface). ເພື່ອເຮັດສິ່ງນີ້, ທ່ານຈໍາເປັນຕ້ອງເຂົ້າສູ່ລະບົບ CLI ໂດຍໃຊ້ຊື່ຜູ້ໃຊ້ແລະລະຫັດຜ່ານທີ່ມີສິດທິຜູ້ບໍລິຫານເຕັມ (Admin ກັບຕົວພິມໃຫຍ່ໂດຍຄ່າເລີ່ມຕົ້ນ). ຖ້າອຸປະກອນ UserGate ບໍ່ໄດ້ຜ່ານການເລີ່ມຕົ້ນເບື້ອງຕົ້ນ, ຫຼັງຈາກນັ້ນເພື່ອເຂົ້າຫາ CLI ທ່ານຕ້ອງໃຊ້ Admin ເປັນຊື່ຜູ້ໃຊ້ແລະ utm ເປັນລະຫັດຜ່ານ. ແລະພິມຄໍາສັ່ງເຊັ່ນ iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. ຕໍ່ມາພວກເຮົາໄປຫາ UserGate web console ໃນທີ່ຢູ່ທີ່ລະບຸໄວ້, ມັນຄວນຈະມີລັກສະນະນີ້: https://UserGateIPaddress:8001:

ໃນ web console ພວກເຮົາສືບຕໍ່ການຕິດຕັ້ງ, ພວກເຮົາຈໍາເປັນຕ້ອງເລືອກພາສາການໂຕ້ຕອບ (ໃນປັດຈຸບັນມັນເປັນພາສາລັດເຊຍຫຼືພາສາອັງກິດ), ເຂດເວລາ, ຫຼັງຈາກນັ້ນອ່ານແລະຕົກລົງເຫັນດີກັບສັນຍາໃບອະນຸຍາດ. ກໍານົດການເຂົ້າສູ່ລະບົບແລະລະຫັດຜ່ານເພື່ອເຂົ້າສູ່ລະບົບໃນການໂຕ້ຕອບການຄຸ້ມຄອງເວັບໄຊຕ໌.

3. ຕັ້ງຄ່າ

ຫຼັງ​ຈາກ​ການ​ຕິດ​ຕັ້ງ​, ນີ້​ແມ່ນ​ສິ່ງ​ທີ່​ປ່ອງ​ຢ້ຽມ​ການ​ໂຕ້​ຕອບ​ຂອງ​ເວັບ​ໄຊ​ຕ​໌​ການ​ຄຸ້ມ​ຄອງ​ເວ​ທີ​ຄ້າຍ​ຄື​:

ຫຼັງຈາກນັ້ນ, ທ່ານຈໍາເປັນຕ້ອງ configure ການໂຕ້ຕອບເຄືອຂ່າຍ. ເພື່ອເຮັດສິ່ງນີ້, ໃນສ່ວນ "ການໂຕ້ຕອບ" ທ່ານຈໍາເປັນຕ້ອງເປີດໃຊ້ພວກມັນ, ກໍານົດທີ່ຢູ່ IP ທີ່ຖືກຕ້ອງແລະກໍານົດເຂດທີ່ເຫມາະສົມ.

ພາກສ່ວນ "ການໂຕ້ຕອບ" ສະແດງທຸກການໂຕ້ຕອບທາງດ້ານຮ່າງກາຍແລະ virtual ທີ່ມີຢູ່ໃນລະບົບ, ອະນຸຍາດໃຫ້ທ່ານປ່ຽນການຕັ້ງຄ່າຂອງພວກເຂົາແລະເພີ່ມການໂຕ້ຕອບ VLAN. ມັນຍັງສະແດງໃຫ້ເຫັນການໂຕ້ຕອບທັງຫມົດຂອງແຕ່ລະ node cluster. ການຕັ້ງຄ່າການໂຕ້ຕອບແມ່ນສະເພາະກັບແຕ່ລະ node, ນັ້ນແມ່ນ, ພວກເຂົາບໍ່ແມ່ນທົ່ວໂລກ.

ໃນຄຸນສົມບັດການໂຕ້ຕອບ:

• ເປີດໃຊ້ຫຼືປິດການໂຕ້ຕອບ 

• ລະບຸປະເພດການໂຕ້ຕອບ - ຊັ້ນ 3 ຫຼືກະຈົກ

• ກຳນົດເຂດໃຫ້ກັບສ່ວນຕິດຕໍ່

• ກຳນົດໂປຣໄຟລ໌ Netflow ເພື່ອສົ່ງຂໍ້ມູນສະຖິຕິໄປຫາຕົວເກັບກຳ Netflow

• ປ່ຽນຕົວກໍານົດການທາງດ້ານຮ່າງກາຍຂອງການໂຕ້ຕອບ - ທີ່ຢູ່ MAC ແລະຂະຫນາດ MTU

• ເລືອກປະເພດຂອງການມອບຫມາຍທີ່ຢູ່ IP - ບໍ່ມີທີ່ຢູ່, ທີ່ຢູ່ IP ຄົງທີ່ຫຼືໄດ້ຮັບຜ່ານ DHCP

• ຕັ້ງຄ່າການສົ່ງຕໍ່ DHCP ໃນສ່ວນຕິດຕໍ່ທີ່ເລືອກ.

ປຸ່ມ "ຕື່ມ" ຊ່ວຍໃຫ້ທ່ານສາມາດເພີ່ມປະເພດຂອງການໂຕ້ຕອບທີ່ມີເຫດຜົນຕໍ່ໄປນີ້:

• VLANs

• ພັນທະບັດ

• ຂົວ

• PPPoE

• VPN

• ອຸໂມງ

ນອກເໜືອໄປຈາກເຂດທີ່ລະບຸໄວ້ກ່ອນໜ້ານີ້ທີ່ຮູບພາບຂອງ Usergate ສົ່ງໄປ, ມີສາມປະເພດທີ່ກຳນົດໄວ້ລ່ວງໜ້າຕື່ມອີກ:

Cluster - ເຂດສໍາລັບການໂຕ້ຕອບທີ່ໃຊ້ສໍາລັບການເຮັດວຽກຂອງກຸ່ມ

VPN ສໍາລັບ Site-to-Site - ເຂດທີ່ລູກຄ້າ Office-Office ທັງຫມົດທີ່ເຊື່ອມຕໍ່ກັບ UserGate ຜ່ານ VPN ຖືກວາງໄວ້

VPN ສໍາລັບການເຂົ້າເຖິງຫ່າງໄກສອກຫຼີກ - ເຂດທີ່ປະກອບມີຜູ້ໃຊ້ມືຖືທັງຫມົດທີ່ເຊື່ອມຕໍ່ກັບ UserGate ຜ່ານ VPN

ຜູ້ບໍລິຫານ UserGate ສາມາດປ່ຽນການຕັ້ງຄ່າຂອງເຂດເລີ່ມຕົ້ນແລະສ້າງເຂດເພີ່ມເຕີມ, ແຕ່ຕາມທີ່ລະບຸໄວ້ໃນຄູ່ມືສະບັບ 5, ສາມາດສ້າງໄດ້ສູງສຸດ 15 ເຂດ. ເພື່ອປ່ຽນຫຼືສ້າງພວກມັນ, ທ່ານຈໍາເປັນຕ້ອງໄປຫາພາກສ່ວນເຂດ. ສໍາລັບແຕ່ລະເຂດ, ທ່ານສາມາດກໍານົດຂອບເຂດການຫຼຸດລົງຂອງຊອງ; SYN, UDP, ICMP ໄດ້ຮັບການສະຫນັບສະຫນູນ. ການ​ຄວບ​ຄຸມ​ການ​ເຂົ້າ​ເຖິງ​ການ​ບໍ​ລິ​ການ Usergate ຍັງ​ໄດ້​ຮັບ​ການ​ຕັ້ງ​ຄ່າ, ແລະ​ການ​ປົກ​ປັກ​ຮັກ​ສາ​ຕ້ານ​ການ​ປອມ​ແປງ​ແມ່ນ​ໄດ້​ຮັບ​ການ​ເປີດ​ໃຊ້​ງານ.

ຫຼັງຈາກການຕັ້ງຄ່າການໂຕ້ຕອບ, ທ່ານຈໍາເປັນຕ້ອງກໍານົດເສັ້ນທາງເລີ່ມຕົ້ນໃນສ່ວນ "Gateways". ເຫຼົ່ານັ້ນ. ເພື່ອເຊື່ອມຕໍ່ UserGate ກັບອິນເຕີເນັດ, ທ່ານຕ້ອງລະບຸທີ່ຢູ່ IP ຂອງຫນຶ່ງຫຼືຫຼາຍກວ່າ gateways. ຖ້າທ່ານໃຊ້ຜູ້ໃຫ້ບໍລິການຫຼາຍໆຄົນເພື່ອເຊື່ອມຕໍ່ກັບອິນເຕີເນັດ, ທ່ານຕ້ອງລະບຸ gateways ຫຼາຍອັນ. ການຕັ້ງຄ່າປະຕູແມ່ນເປັນເອກະລັກສໍາລັບແຕ່ລະ node cluster. ຖ້າມີສອງປະຕູຫຼືຫຼາຍກວ່ານັ້ນຖືກກໍານົດ, 2 ທາງເລືອກແມ່ນເປັນໄປໄດ້:

1. ການດຸ່ນດ່ຽງການຈະລາຈອນລະຫວ່າງປະຕູ.

2. ປະຕູຫຼັກດ້ວຍການປ່ຽນເປັນບ່ອນຫວ່າງ.

ສະຖານະຂອງປະຕູ (ມີ - ສີຂຽວ, ບໍ່ມີ - ສີແດງ) ຖືກກໍານົດດັ່ງຕໍ່ໄປນີ້:

1. ການກວດສອບເຄືອຂ່າຍຖືກປິດໃຊ້ງານ - ປະຕູແມ່ນຖືວ່າສາມາດເຂົ້າເຖິງໄດ້ຖ້າ UserGate ສາມາດໄດ້ຮັບທີ່ຢູ່ MAC ຂອງມັນໂດຍໃຊ້ຄໍາຮ້ອງຂໍ ARP. ບໍ່ມີການກວດສອບການເຂົ້າເຖິງອິນເຕີເນັດຜ່ານປະຕູນີ້. ຖ້າທີ່ຢູ່ MAC ຂອງ gateway ບໍ່ສາມາດກໍານົດໄດ້, gateway ແມ່ນຖືວ່າບໍ່ສາມາດເຂົ້າຫາໄດ້.

2. ການ​ກວດ​ສອບ​ເຄືອ​ຂ່າຍ​ໄດ້​ຖືກ​ເປີດ​ໃຊ້​ງານ - gateway ແມ່ນ​ພິ​ຈາ​ລະ​ນາ​ສາ​ມາດ​ເຂົ້າ​ເຖິງ​ຖ້າ​ຫາກ​ວ່າ​:

• UserGate ສາມາດໄດ້ຮັບທີ່ຢູ່ MAC ຂອງມັນໂດຍໃຊ້ຄໍາຮ້ອງຂໍ ARP.

• ການກວດສອບການເຂົ້າເຖິງອິນເຕີເນັດຜ່ານປະຕູນີ້ໄດ້ຖືກສໍາເລັດຢ່າງສໍາເລັດຜົນ.

ຖ້າບໍ່ດັ່ງນັ້ນ, ປະຕູແມ່ນຖືວ່າບໍ່ສາມາດໃຊ້ໄດ້.

ໃນສ່ວນ "DNS" ທ່ານຈໍາເປັນຕ້ອງເພີ່ມເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ UserGate ຈະໃຊ້. ການຕັ້ງຄ່ານີ້ຖືກລະບຸໄວ້ໃນພື້ນທີ່ເຊີບເວີ DNS ຂອງລະບົບ. ຂ້າງລຸ່ມນີ້ແມ່ນການຕັ້ງຄ່າສໍາລັບການຄຸ້ມຄອງການຮ້ອງຂໍ DNS ຈາກຜູ້ໃຊ້. UserGate ອະນຸຍາດໃຫ້ທ່ານໃຊ້ DNS proxy. ບໍລິການ DNS proxy ອະນຸຍາດໃຫ້ທ່ານສາມາດຂັດຂວາງການຮ້ອງຂໍ DNS ຈາກຜູ້ໃຊ້ແລະປ່ຽນແປງມັນຂຶ້ນກັບຄວາມຕ້ອງການຂອງຜູ້ບໍລິຫານ. ກົດລະບຽບ DNS proxy ສາມາດຖືກນໍາໃຊ້ເພື່ອກໍານົດເຄື່ອງແມ່ຂ່າຍ DNS ທີ່ຈະສົ່ງຕໍ່ຄໍາຮ້ອງຂໍສໍາລັບໂດເມນສະເພາະ. ນອກຈາກນັ້ນ, ການນໍາໃຊ້ຕົວແທນ DNS, ທ່ານສາມາດກໍານົດການບັນທຶກແບບຄົງທີ່ຂອງປະເພດເຈົ້າພາບ (ບັນທຶກ A).

ໃນສ່ວນ "NAT ແລະເສັ້ນທາງ" ທ່ານຈໍາເປັນຕ້ອງສ້າງກົດລະບຽບ NAT ທີ່ຈໍາເປັນ. ສໍາລັບການເຂົ້າເຖິງອິນເຕີເນັດໂດຍຜູ້ໃຊ້ຂອງເຄືອຂ່າຍທີ່ເຊື່ອຖືໄດ້, ກົດລະບຽບ NAT ໄດ້ຖືກສ້າງຂື້ນແລ້ວ - "Trusted-> Untrusted", ທັງຫມົດທີ່ຍັງເຫຼືອແມ່ນເພື່ອເປີດໃຊ້ມັນ. ກົດ​ລະ​ບຽບ​ແມ່ນ​ໄດ້​ນໍາ​ໃຊ້​ຈາກ​ເທິງ​ລົງ​ລຸ່ມ​ໃນ​ຄໍາ​ສັ່ງ​ທີ່​ພວກ​ເຂົາ​ເຈົ້າ​ໄດ້​ລະ​ບຸ​ໄວ້​ໃນ console ໄດ້​. ພຽງແຕ່ກົດລະບຽບທໍາອິດທີ່ເງື່ອນໄຂທີ່ລະບຸໄວ້ໃນກົດລະບຽບຖືກປະຕິບັດສະເຫມີ. ສໍາລັບກົດລະບຽບທີ່ຈະກະຕຸ້ນ, ເງື່ອນໄຂທັງຫມົດທີ່ລະບຸໄວ້ໃນພາລາມິເຕີກົດລະບຽບຕ້ອງກົງກັນ. UserGate ແນະນໍາໃຫ້ສ້າງກົດລະບຽບ NAT ທົ່ວໄປ, ສໍາລັບການຍົກຕົວຢ່າງ, ກົດລະບຽບ NAT ຈາກເຄືອຂ່າຍທ້ອງຖິ່ນ (ປົກກະຕິແລ້ວເປັນເຂດທີ່ເຊື່ອຖືໄດ້) ກັບອິນເຕີເນັດ (ປົກກະຕິແລ້ວເປັນເຂດທີ່ບໍ່ຫນ້າເຊື່ອຖື), ແລະຈໍາກັດການເຂົ້າເຖິງໂດຍຜູ້ໃຊ້, ບໍລິການ, ແລະຄໍາຮ້ອງສະຫມັກການນໍາໃຊ້ກົດລະບຽບໄຟວໍ.

ມັນຍັງສາມາດສ້າງກົດລະບຽບ DNAT, ການສົ່ງຕໍ່ພອດ, ເສັ້ນທາງທີ່ອີງໃສ່ນະໂຍບາຍ, ການສ້າງແຜນທີ່ເຄືອຂ່າຍ.

ຫຼັງຈາກນັ້ນ, ໃນສ່ວນ "Firewall" ທ່ານຈໍາເປັນຕ້ອງສ້າງກົດລະບຽບຂອງ Firewall. ສໍາລັບການເຂົ້າເຖິງອິນເຕີເນັດທີ່ບໍ່ຈໍາກັດສໍາລັບຜູ້ໃຊ້ຂອງເຄືອຂ່າຍທີ່ເຊື່ອຖືໄດ້, ກົດລະບຽບໄຟວໍໄດ້ຖືກສ້າງຂື້ນແລ້ວ - "ອິນເຕີເນັດສໍາລັບຄວາມໄວ້ວາງໃຈ" ແລະຕ້ອງໄດ້ຮັບການເປີດໃຊ້. ການນໍາໃຊ້ກົດລະບຽບຂອງ Firewall, ຜູ້ເບິ່ງແຍງລະບົບສາມາດອະນຸຍາດຫຼືປະຕິເສດປະເພດຂອງການສັນຈອນຂອງເຄືອຂ່າຍການຂົນສົ່ງໃດໆທີ່ຜ່ານ UserGate. ເງື່ອນໄຂຂອງກົດລະບຽບສາມາດປະກອບມີເຂດແລະທີ່ຢູ່ IP ແຫຼ່ງ / ປາຍທາງ, ຜູ້ໃຊ້ແລະກຸ່ມ, ບໍລິການແລະແອັບພລິເຄຊັນ. ກົດລະບຽບໃຊ້ໃນແບບດຽວກັນກັບໃນພາກ "NAT ແລະ Routing", i.e. ເທິງລົງລຸ່ມ. ຖ້າບໍ່ມີກົດລະບຽບຖືກສ້າງຂຶ້ນ, ການຈະລາຈອນຜ່ານທາງຜ່ານ UserGate ແມ່ນຖືກຫ້າມ.

4 ສະຫຼຸບ

ນີ້ສະຫຼຸບບົດຄວາມ. ພວກເຮົາໄດ້ຕິດຕັ້ງ Firewall UserGate ຢູ່ໃນເຄື່ອງ virtual ແລະເຮັດການຕັ້ງຄ່າຂັ້ນຕ່ໍາທີ່ຈໍາເປັນສໍາລັບອິນເຕີເນັດເພື່ອເຮັດວຽກຢູ່ໃນເຄືອຂ່າຍທີ່ເຊື່ອຖືໄດ້. ພວກເຮົາຈະພິຈາລະນາການຕັ້ງຄ່າເພີ່ມເຕີມໃນບົດຄວາມຕໍ່ໄປນີ້.

ຕິດຕາມການອັບເດດໃນຊ່ອງຂອງພວກເຮົາ (ໂທລະເລກ, ເຟສບຸກ, VK, TS Solution Blog)!

ແຫຼ່ງຂໍ້ມູນ: www.habr.com