Salama, ity no lahatsoratra faharoa momba ny vahaolana NGFW avy amin'ny orinasa . Ny tanjon'ity lahatsoratra ity dia ny hampiseho ny fomba fametrahana ny firewall UserGate amin'ny rafitra virtoaly (hampiasa rindrambaiko virtoaly VMware Workstation aho) ary manatanteraka ny fanamafisana voalohany azy (avelao ny fidirana amin'ny tambajotra eo an-toerana amin'ny alΓ lan'ny vavahadin'ny UserGate mankany amin'ny Internet).
1. Fampidirana
Hanombohana, hamariparitra ny fomba isan-karazany amin'ny fampiharana ity vavahady ity amin'ny tambajotra aho. Tiako ny manamarika fa miankina amin'ny safidy fifandraisana voafantina dia mety tsy misy ny fiasa sasany amin'ny vavahady. Ny vahaolana UserGate dia manohana ireto fomba fifandraisana manaraka ireto:
-
L3-L7 firewall
-
L2 tetezana mangarahara
-
L3 tetezana mangarahara
-
Saika ao anatin'ny banga, mampiasa ny protocol WCCP
-
Saika ao anatin'ny banga, mampiasa Routing mifototra amin'ny politika
-
Ny router amin'ny Stick
-
Proxy WEB voafaritra mazava
-
UserGate ho vavahady default
-
Fanaraha-maso seranan-tsambo
UserGate dia manohana karazana cluster 2:
-
Fanofanana vondrona. Ny node mitambatra ao anaty kluster config dia mitazona firindrana tsy miovaova manerana ny kluster.
-
Failover cluster. Hatrany amin'ny 4 node cluster configuration dia azo atambatra ao anaty cluster failover izay manohana ny fiasa amin'ny fomba Active-Active na Active-Passive. Azo atao ny manangona cluster failover maromaro.
2. Fametrahana
Araka ny voalaza ao amin'ny lahatsoratra teo aloha, ny UserGate dia omena ho fonosana hardware sy rindrambaiko na napetraka amin'ny tontolo virtoaly. Avy amin'ny kaontinao manokana amin'ny tranokala misintona ny sary amin'ny OVF (Open Virtualization Format), ity format ity dia mety amin'ny mpivarotra VMWare sy Oracle Virtualbox. Ny sary kapila milina virtoaly dia omena ho an'ny Microsoft Hyper-v sy KVM.
Araka ny tranokalan'ny UserGate, mba hiasa tsara ny milina virtoaly, dia asaina mampiasa farafahakeliny 8Gb RAM sy processeur virtoaly 2-core. Ny hypervisor dia tsy maintsy manohana rafitra fiasa 64-bit.
Ny fametrahana dia manomboka amin'ny fampidirana ny sary ao amin'ny hypervisor voafantina (VirtualBox sy VMWare). Raha ny Microsoft Hyper-v sy KVM, mila mamorona milina virtoaly ianao ary mamaritra ny sary alaina ho toy ny kapila, ary avy eo dia esory ny serivisy fampidirana ao amin'ny toetry ny milina virtoaly noforonina.
Amin'ny alΓ lan'ny default, aorian'ny fampidirana ao amin'ny VMWare, dia misy milina virtoaly noforonina miaraka amin'ireto toe-javatra manaraka ireto:
Araka ny voasoratra etsy ambony dia tsy maintsy misy 8Gb RAM farafahakeliny ary ankoatra izany dia mila manampy 1Gb ho an'ny mpampiasa 100 rehetra ianao. Ny haben'ny kapila mafy default dia 100Gb, saingy matetika izany dia tsy ampy hitehirizana ny logs sy ny fandrindrana rehetra. Ny haben'ny soso-kevitra dia 300Gb na mihoatra. Noho izany, amin'ny fananan'ny milina virtoaly, dia manova ny haben'ny kapila amin'ny tiana. Tamin'ny voalohany, virtoaly UserGate UTM dia tonga miaraka amin'ny interface efatra voatendry ho an'ny faritra:
Fitantanana - ny interface voalohany amin'ny milina virtoaly, faritra mampifandray ireo tambajotra azo itokisana izay ahafahan'ny UserGate fitantanana.
Trusted no interface faharoa an'ny milina virtoaly, faritra iray hampifandraisana ireo tambajotra azo itokisana, ohatra, ny tambajotra LAN.
Ny Untrusted no interface fahatelo an'ny milina virtoaly, faritra ho an'ny fifandraisana mifandray amin'ny tambajotra tsy azo itokisana, ohatra, amin'ny Internet.
DMZ no interface fahefatra amin'ny milina virtoaly, faritra ho an'ny fifandraisana mifandray amin'ny tambajotra DMZ.
Manaraka, manomboka ny milina virtoaly izahay, na dia milaza aza ny boky fa mila misafidy ny fitaovana fanohanana ianao ary manatanteraka Factory reset UTM, fa araka ny hitanao dia tsy misy afa-tsy safidy iray (UTM First Boot). Mandritra io dingana io, ny UTM dia manamboatra ny adaptatera tambajotra ary mampitombo ny haben'ny fizarazarana fiara mafy amin'ny haben'ny kapila feno:
Raha te hifandray amin'ny mpampiasa tranonkala UserGate ianao dia mila miditra amin'ny alΓ lan'ny faritra fitantanana, ny interface eth0 dia tompon'andraikitra amin'izany, izay namboarina mba hahazoana adiresy IP ho azy (DHCP). Raha tsy azo atao ny manendry adiresy ho an'ny interface Management ho azy amin'ny fampiasana DHCP, dia azo apetraka mazava tsara amin'ny alalan'ny CLI (Command Line Interface). Mba hanaovana izany dia mila miditra ao amin'ny CLI ianao amin'ny fampiasana solon'anarana sy tenimiafina miaraka amin'ny zon'ny mpitantana feno (Admin miaraka amin'ny litera kapitaly raha default). Raha tsy nandalo fanombohana voalohany ny fitaovana UserGate, dia tsy maintsy mampiasa Admin ho solon'anarana sy utm ho tenimiafina ianao raha te hiditra amin'ny CLI. Ary soraty ny baiko toy ny iface config βname eth0 βipv4 192.168.1.254/24 βenable true βmode static. Avy eo dia mandeha any amin'ny tranokalan'ny UserGate izahay amin'ny adiresy voatondro, tokony ho toy izao izany:https://UserGateIPaddress:8001:
Ao amin'ny fampiononana tranonkala dia manohy ny fametrahana isika, mila misafidy ny fiteny interface (amin'izao fotoana izao dia Rosiana na anglisy), faritra fotoana, dia mamaky sy manaiky ny fifanarahana fahazoan-dΓ lana. Ampidiro ny fidirana sy ny tenimiafina mba hidirana amin'ny seha-pifandraisana fitantanana tranonkala.
3. Fametrahana
Aorian'ny fametrahana dia toy izao ny endriky ny varavarankelin'ny tranonkala fitantanana sehatra:
Avy eo dia mila manitsy ny fifandraisana amin'ny tambajotra ianao. Mba hanaovana izany, ao amin'ny fizarana "Interfaces" dia mila mamela azy ireo ianao, mametraka ny adiresy IP marina ary manendry ny faritra mety.
Ny fizarana "Interfaces" dia mampiseho ny fifandraisana ara-batana sy virtoaly rehetra misy ao amin'ny rafitra, ahafahanao manova ny toe-javatra ary manampy ny interface VLAN. Izy io koa dia mampiseho ny fifandraisana rehetra amin'ny node cluster tsirairay. Ny firafitry ny interface dia voafaritra manokana amin'ny node tsirairay, izany hoe tsy manerantany izy ireo.
Ao amin'ny fananana interface tsara:
-
Alefaso na esory ny interface
-
Lazao ny karazana interface tsara - Layer 3 na Mirror
-
Manendre faritra ho an'ny interface
-
Manendre piraofilina Netflow handefasana angona statistika amin'ny mpanangona Netflow
-
Hanova ny masontsivana ara-batana ny interface tsara - adiresy MAC sy ny haben'ny MTU
-
Safidio ny karazana fanendrena adiresy IP - tsy misy adiresy, adiresy IP static na azo amin'ny DHCP
-
Ampifanaraho amin'ny interface voafantina ny fampitana DHCP.
Ny bokotra "Add" dia ahafahanao manampy ireto karazana fifandraisana lojika manaraka ireto:
-
VLANs
-
Bond
-
tetezana
-
PPPoE
-
VPN
-
tonelina
Ho fanampin'ireo faritra voatanisa teo aloha izay alefan'ny sary Usergate dia misy karazany telo hafa efa voafaritra mialoha:
Cluster - faritra ho an'ny interface ampiasaina amin'ny fiasan'ny cluster
VPN ho an'ny Site-to-Site - faritra iray ametrahana ny mpanjifa Office-Office rehetra mifandray amin'ny UserGate amin'ny alΓ lan'ny VPN
VPN ho an'ny fidirana lavitra - faritra ahitana mpampiasa finday rehetra mifandray amin'ny UserGate amin'ny alΓ lan'ny VPN
Ny administratera UserGate dia afaka manova ny toeran'ny faritra default ary mamorona faritra fanampiny ihany koa, saingy araka ny voalaza ao amin'ny boky 5 version, dia azo atao ny mamorona faritra 15 ambony indrindra. Raha hanova na hamorona azy ireo dia mila mandeha any amin'ny faritra faritra ianao. Ho an'ny faritra tsirairay, azonao atao ny mametraka tokonam-pamokarana fonosana; SYN, UDP, ICMP dia tohanana. Ny fanaraha-maso ny fidirana amin'ny serivisy Usergate dia natsangana ihany koa, ary alefa ny fiarovana amin'ny fanambakana.
Rehefa avy nanamboatra ny interface ianao dia mila manitsy ny lalana mahazatra ao amin'ny fizarana "Gateways". Ireo. Mba hampifandraisana ny UserGate amin'ny Internet dia tsy maintsy mamaritra ny adiresy IP amin'ny vavahady iray na maromaro ianao. Raha mampiasa mpamatsy maromaro ianao hifandraisana amin'ny Internet, dia tsy maintsy mamaritra vavahady maromaro ianao. Ny fandrindrana vavahady dia miavaka ho an'ny node cluster tsirairay. Raha misy vavahady roa na maromaro voafaritra dia misy safidy 2 azo atao:
-
Mampifandanja ny fifamoivoizana eo anelanelan'ny vavahady.
-
Ny vavahady lehibe miaraka amin'ny fifindrana mankany amin'ny tokana.
Ny satan'ny vavahady (misy - maitso, tsy misy - mena) dia voafaritra toy izao manaraka izao:
-
Ny fanaraha-maso ny tambajotra dia kilemaina - ny vavahady dia heverina ho azo idirana raha afaka mahazo ny adiresy MAC-ny ny UserGate amin'ny alΓ lan'ny fangatahana ARP. Tsy misy fisavana ny fidirana amin'ny Internet amin'ity vavahady ity. Raha tsy azo faritana ny adiresy MAC an'ny vavahady dia heverina ho tsy azo tratrarina ilay vavahady.
-
Avela ny fisavana tambajotra - heverina ho azo idirana ny vavahady raha:
-
Ny UserGate dia afaka mahazo ny adiresy MAC amin'ny alΓ lan'ny fangatahana ARP.
-
Vita soa aman-tsara ny fisavana ny fidirana aterineto amin'ity vavahady ity.
Raha tsy izany dia heverina ho tsy misy ny vavahady.
Ao amin'ny fizarana "DNS" dia mila manampy ireo mpizara DNS izay hampiasain'ny UserGate ianao. Ity toe-javatra ity dia voafaritra ao amin'ny faritra System DNS Servers. Ireto ambany ireto ny firafitry ny fitantanana ny fangatahana DNS avy amin'ny mpampiasa. UserGate dia ahafahanao mampiasa proxy DNS. Ny serivisy proxy DNS dia ahafahanao manakana ny fangatahana DNS avy amin'ny mpampiasa ary manova azy ireo arakaraka ny filan'ny mpitantana. Ny fitsipika proxy DNS dia azo ampiasaina hamaritana ireo mpizara DNS izay handefasana ny fangatahana sehatra manokana. Ankoatra izany, amin'ny fampiasana proxy DNS, azonao atao ny mametraka firaketana static amin'ny karazana mpampiantrano (rakitra A).
Ao amin'ny fizarana "NAT sy Routing" dia mila mamorona fitsipika NAT ilaina ianao. Ho an'ny fidirana amin'ny Internet ho an'ireo mpampiasa ny tambajotra azo itokisana, ny fitsipika NAT dia efa noforonina - "Trusted-> Untrusted", ny hany sisa tavela dia ny mamela azy. Ny fitsipika dia ampiharina avy any ambony ka hatrany ambany araka ny filaharany voatanisa ao amin'ny console. Ny fitsipika voalohany ihany no mifanaraka amin'ny fepetra voalaza ao amin'ny fitsipika. Mba hanombohan'ny fitsipika dia tsy maintsy mifanandrify ny fepetra rehetra voalaza ao amin'ny mari-pamantarana fitsipika. Ny UserGate dia manoro hevitra ny hamorona fitsipika ankapobeny NAT, ohatra, fitsipika NAT avy amin'ny tambajotra eo an-toerana (matetika faritra azo itokisana) mankany amin'ny Internet (faritra tsy azo itokisana matetika), ary mametra ny fidirana amin'ny mpampiasa, serivisy ary fampiharana mampiasa fitsipika firewall.
Azo atao ihany koa ny mamorona fitsipika ADN, fandefasana seranan-tsambo, lalana mifototra amin'ny politika, sarintany tambajotra.
Aorian'izany, ao amin'ny fizarana "Firewall" dia mila mamorona fitsipika firewall ianao. Ho an'ny fidirana tsy misy fetra amin'ny Internet ho an'ireo mpampiasa ny tambajotra azo itokisana, dia efa nisy ihany koa ny fitsipika firewall - "Internet for Trusted" ary tsy maintsy alefa. Amin'ny fampiasana ny fitsipiky ny firewall, ny mpandrindra dia afaka mamela na mandΓ izay karazana fifamoivoizana amin'ny tambajotran'ny fitaterana mandalo amin'ny UserGate. Ny fepetran'ny fitsipika dia mety ahitana faritra sy loharano/fitetezana adiresy IP, mpampiasa sy vondrona, serivisy ary fampiharana. Ny fitsipika dia mihatra amin'ny fomba mitovy amin'ny fizarana "NAT sy Routing", izany hoe. avy any ambony. Raha tsy nisy fitsipika noforonina, dia voarara ny fifamoivoizana amin'ny alΓ lan'ny UserGate.
4. Fehiny
Izany no mamarana ny lahatsoratra. Napetrakay teo amin'ny milina virtoaly ny rindrina UserGate ary nanao ny fepetra faran'izay ilaina indrindra ho an'ny Internet mba hiasa amin'ny tambajotra azo itokisana. Hodinihintsika ao amin'ny lahatsoratra manaraka ny fanitsiana fanampiny.
Araho hatrany ny fanavaozana ao amin'ny fantsonay (, , , )!
Source: www.habr.com