Сайн байна уу, энэ бол тус компанийн NGFW шийдлийн тухай хоёр дахь нийтлэл юм . Энэ нийтлэлийн зорилго нь виртуал систем дээр UserGate галт ханыг хэрхэн суулгахыг харуулах (би VMware Workstation виртуалчлалын програм хангамжийг ашиглах болно) болон түүний анхны тохиргоог хийх (Интернэтийн UserGate гарцаар дамжуулан дотоод сүлжээнээс нэвтрэхийг зөвшөөрөх).
1. Оршил
Эхлэхийн тулд би энэ гарцыг сүлжээнд нэвтрүүлэх янз бүрийн арга замыг тайлбарлах болно. Сонгосон холболтын сонголтоос хамааран гарцын зарим функц ажиллахгүй байж болохыг анхаарна уу. UserGate шийдэл нь дараах холболтын горимуудыг дэмждэг:
-
L3-L7 галт хана
-
L2 ил тод гүүр
-
L3 ил тод гүүр
-
WCCP протоколыг ашиглан бараг цоорхой руу
-
Бодлого дээр суурилсан чиглүүлэлт ашиглан бараг л завсар байна
-
Stick дээрх чиглүүлэгч
-
Тодорхой заасан WEB прокси
-
UserGate нь анхдагч гарц юм
-
Толин тусгал портын хяналт
UserGate нь 2 төрлийн кластерийг дэмждэг:
-
Кластерийн тохиргоо. Тохируулгын кластерт нэгтгэгдсэн зангилаанууд нь кластер даяар тогтвортой тохиргоог хадгалдаг.
-
Гүйцэтгэх кластер. 4 хүртэлх тохиргооны кластерийн зангилаануудыг Идэвхтэй-Идэвхтэй эсвэл Идэвхтэй-Идэвхгүй горимд ажиллахыг дэмждэг бүтэлгүйтлийн кластерт нэгтгэж болно. Хэд хэдэн бүтэлгүйтлийн кластеруудыг угсрах боломжтой.
2. Суурилуулалт
Өмнөх нийтлэлд дурдсанчлан, UserGate нь техник хангамж, програм хангамжийн багц хэлбэрээр нийлүүлэгдсэн эсвэл виртуал орчинд байрлуулсан. Вэбсайт дээрх хувийн данснаас OVF (Нээлттэй Виртуалчлалын Формат) дээр зургийг татаж аваарай, энэ формат нь VMWare болон Oracle Virtualbox үйлдвэрлэгчдэд тохиромжтой. Microsoft Hyper-v болон KVM-д зориулсан виртуал машины дискний дүрсийг нийлүүлсэн.
UserGate вэбсайтаас үзэхэд виртуал машиныг зөв ажиллуулахын тулд дор хаяж 8 Гб RAM болон 2 цөмт виртуал процессор ашиглахыг зөвлөж байна. Гипервизор нь 64 битийн үйлдлийн системийг дэмжих ёстой.
Суулгац нь сонгосон гипервизорт (VirtualBox болон VMWare) зургийг импортлох замаар эхэлдэг. Microsoft Hyper-v болон KVM-ийн хувьд та виртуал машин үүсгэж, татаж авсан зургийг диск болгон зааж өгөх хэрэгтэй бөгөөд дараа нь үүсгэсэн виртуал машины тохиргоонд нэгтгэх үйлчилгээг идэвхгүй болгох хэрэгтэй.
Анхдагч байдлаар, VMWare-д импорт хийсний дараа виртуал машиныг дараах тохиргоогоор үүсгэнэ.
Дээр бичсэнчлэн дор хаяж 8 Гб RAM байх ёстой бөгөөд үүнээс гадна 1 хэрэглэгч тутамд 100 Гб нэмэх шаардлагатай. Анхдагч хатуу дискний хэмжээ нь 100 Гб боловч энэ нь ихэвчлэн бүх бүртгэл, тохиргоог хадгалахад хангалтгүй юм. Санал болгож буй хэмжээ нь 300 Гб ба түүнээс дээш. Тиймээс виртуал машины шинж чанарт бид дискний хэмжээг хүссэн болгон өөрчилдөг. Эхлээд виртуал UserGate UTM нь бүсэд хуваарилагдсан дөрвөн интерфейстэй ирдэг.
Менежмент - виртуал машины анхны интерфэйс, UserGate менежментийг зөвшөөрдөг итгэмжлэгдсэн сүлжээг холбох бүс.
Итгэмжлэгдсэн нь виртуал машины хоёр дахь интерфейс, итгэмжлэгдсэн сүлжээг, жишээлбэл, LAN сүлжээг холбох бүс юм.
Итгэмжгүй гэдэг нь виртуал машины гурав дахь интерфэйс бөгөөд найдваргүй сүлжээнд, жишээлбэл, интернетэд холбогдсон интерфэйсүүдийн бүс юм.
DMZ нь виртуал машины дөрөв дэх интерфейс бөгөөд DMZ сүлжээнд холбогдсон интерфэйсүүдийн бүс юм.
Дараа нь бид виртуал машиныг ажиллуулж байгаа боловч гарын авлагад та Support Tools-ийг сонгоод UTM-г үйлдвэрийн тохиргоонд дахин тохируулах хэрэгтэй гэж бичсэн байгаа боловч таны харж байгаагаар зөвхөн нэг сонголт байна (UTM First Boot). Энэ үе шатанд UTM нь сүлжээний адаптеруудыг тохируулж, хатуу дискний хуваалтын хэмжээг бүрэн дискний хэмжээнд хүртэл нэмэгдүүлдэг.
UserGate вэб интерфэйстэй холбогдохын тулд та Удирдлагын бүсээр нэвтрэх шаардлагатай бөгөөд энэ нь IP хаягийг автоматаар (DHCP) авахаар тохируулагдсан eth0 интерфейсийн үүрэг юм. Хэрэв DHCP ашиглан удирдлагын интерфейсийн хаягийг автоматаар өгөх боломжгүй бол CLI (Command Line Interface) ашиглан тодорхой тохируулж болно. Үүнийг хийхийн тулд та бүрэн администраторын эрхтэй хэрэглэгчийн нэр, нууц үгээ ашиглан CLI-д нэвтрэх шаардлагатай (Анхдагчаар том үсгээр бичсэн админ). Хэрэв UserGate төхөөрөмж анхны тохиргоонд ороогүй бол CLI-д хандахын тулд та Admin-ыг хэрэглэгчийн нэр, utm-г нууц үг болгон ашиглах ёстой. Мөн iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static гэх мэт команд бичнэ үү. Дараа нь бид заасан хаягаар UserGate вэб консол руу очиход энэ нь иймэрхүү харагдах ёстой.https://UserGateIPaddress:8001:
Вэб консол дээр бид суулгацыг үргэлжлүүлж, интерфейсийн хэлийг (одоогоор энэ нь Орос эсвэл Англи хэл), цагийн бүсийг сонгоод лицензийн гэрээг уншиж, зөвшөөрнө. Вэб удирдлагын интерфейс рүү нэвтрэхийн тулд нэвтрэх болон нууц үгээ тохируулна уу.
3. Тохиргоо
Суулгасны дараа платформ удирдлагын вэб интерфэйсийн цонх дараах байдалтай байна.
Дараа нь та сүлжээний интерфейсүүдийг тохируулах хэрэгтэй. Үүнийг хийхийн тулд "Интерфейс" хэсэгт тэдгээрийг идэвхжүүлж, зөв IP хаягуудыг тохируулж, тохирох бүсүүдийг хуваарилах хэрэгтэй.
"Интерфейс" хэсэг нь системд байгаа бүх физик болон виртуал интерфэйсүүдийг харуулдаг бөгөөд тэдгээрийн тохиргоог өөрчлөх, VLAN интерфэйсүүдийг нэмэх боломжийг олгодог. Энэ нь мөн кластерийн зангилаа бүрийн бүх интерфейсийг харуулдаг. Интерфейсийн тохиргоо нь зангилаа тус бүрд зориулагдсан байдаг, өөрөөр хэлбэл тэдгээр нь глобал биш юм.
Интерфейсийн шинж чанарт:
-
Интерфэйсийг идэвхжүүлэх эсвэл идэвхгүй болгох
-
Интерфейсийн төрлийг зааж өгнө үү - Layer 3 эсвэл Mirror
-
Интерфэйсэд бүс оноох
-
Netflow цуглуулагч руу статистик мэдээллийг илгээхийн тулд Netflow профайлыг оноож өгнө үү
-
Интерфейсийн физик параметрүүдийг өөрчлөх - MAC хаяг ба MTU хэмжээ
-
IP хаягийн хуваарилалтын төрлийг сонгоно уу - хаяггүй, статик IP хаяг эсвэл DHCP-ээр авсан
-
Сонгосон интерфэйс дээр DHCP релейг тохируулна уу.
"Нэмэх" товч нь дараах төрлийн логик интерфэйсүүдийг нэмэх боломжийг танд олгоно.
-
VLAN-ууд
-
Бонд
-
Гүүр
-
PPPoE
-
VPN
-
Хонгил
Usergate дүрсний өмнө жагсаасан бүсүүдээс гадна урьдчилан тодорхойлсон гурван төрөл байдаг:
Кластер - кластерын үйл ажиллагаанд ашигладаг интерфейсүүдийн бүс
Site-to-Site-д зориулсан VPN - VPN-ээр UserGate-д холбогдсон бүх Office-Office клиентүүдийг байрлуулсан бүс.
Алсын зайнаас нэвтрэх VPN - VPN-ээр UserGate-д холбогдсон бүх гар утасны хэрэглэгчдийг багтаасан бүс
UserGate администраторууд анхдагч бүсийн тохиргоог өөрчлөхөөс гадна нэмэлт бүс үүсгэх боломжтой боловч 5-р хувилбарын гарын авлагад дурдсанчлан дээд тал нь 15 бүс үүсгэж болно. Тэдгээрийг өөрчлөх эсвэл үүсгэхийн тулд та бүсийн хэсэг рүү очих хэрэгтэй. Бүс бүрийн хувьд та пакет унах босгыг тохируулж болно; SYN, UDP, ICMP дэмжигддэг. Usergate үйлчилгээнүүдийн хандалтын хяналтыг мөн тохируулсан бөгөөд хуурамчаар үйлдэхээс хамгаалах хамгаалалтыг идэвхжүүлсэн.
Интерфейсүүдийг тохируулсны дараа та "Гарц" хэсэгт анхдагч маршрутыг тохируулах хэрэгтэй. Тэдгээр. UserGate-г интернетэд холбохын тулд та нэг буюу хэд хэдэн гарцын IP хаягийг зааж өгөх ёстой. Хэрэв та интернетэд холбогдохын тулд хэд хэдэн үйлчилгээ үзүүлэгч ашигладаг бол хэд хэдэн гарцыг зааж өгөх ёстой. Гарцын тохиргоо нь кластерын зангилаа бүрийн хувьд өвөрмөц байдаг. Хэрэв хоёр ба түүнээс дээш гарцыг зааж өгсөн бол 2 сонголт хийх боломжтой:
-
Гарц хоорондын урсгалыг тэнцвэржүүлэх.
-
Сэлбэг рүү шилжих гол гарц.
Гарцын төлөвийг (боломжтой - ногоон, боломжгүй - улаан) дараах байдлаар тодорхойлно.
-
Сүлжээг шалгахыг идэвхгүй болгосон - UserGate нь ARP хүсэлтийг ашиглан MAC хаягаа авч чадвал гарцыг ашиглах боломжтой гэж үзнэ. Энэ гарцаар дамжуулан интернетийн хандалтыг шалгах боломжгүй. Хэрэв гарцын MAC хаягийг тодорхойлох боломжгүй бол уг гарцыг холбогдох боломжгүй гэж үзнэ.
-
Сүлжээг шалгахыг идэвхжүүлсэн - гарцыг дараах тохиолдолд ашиглах боломжтой гэж үзнэ.
-
UserGate нь ARP хүсэлтийг ашиглан MAC хаягаа авах боломжтой.
-
Энэ гарцаар дамжуулан интернетийн хандалтыг шалгах ажиллагаа амжилттай дууссан.
Үгүй бол гарцыг ашиглах боломжгүй гэж үзнэ.
"DNS" хэсэгт та UserGate-ийн ашиглах DNS серверүүдийг нэмэх хэрэгтэй. Энэ тохиргоог Системийн DNS серверийн хэсэгт зааж өгсөн болно. Хэрэглэгчийн DNS хүсэлтийг удирдах тохиргоог доор харуулав. UserGate нь DNS прокси ашиглах боломжийг танд олгоно. DNS прокси үйлчилгээ нь хэрэглэгчийн DNS хүсэлтийг таслан зогсоох, администраторын хэрэгцээ шаардлагаас хамааран өөрчлөх боломжийг олгодог. DNS прокси дүрмүүд нь тодорхой домэйны хүсэлтийг дамжуулах DNS серверүүдийг тодорхойлоход ашиглаж болно. Нэмж дурдахад, DNS прокси ашиглан та хост төрлийн статик бичлэгүүдийг тохируулж болно (A бичлэг).
"NAT ба чиглүүлэлт" хэсэгт та шаардлагатай NAT дүрмийг бий болгох хэрэгтэй. Итгэмжлэгдсэн сүлжээний хэрэглэгчид интернетэд нэвтрэхийн тулд NAT дүрмийг аль хэдийн үүсгэсэн - "Итгэмжлэгдсэн->Итгэмжгүй", үүнийг идэвхжүүлэхэд л үлддэг. Дүрмүүд нь консол дээр жагсаасан дарааллаар дээрээс доошоо хэрэгжинэ. Зөвхөн дүрэмд заасан нөхцөлүүд үргэлж биелдэг эхний дүрэм. Дүрмийг эхлүүлэхийн тулд дүрмийн параметрүүдэд заасан бүх нөхцөл тохирч байх ёстой. UserGate нь NAT-ийн ерөнхий дүрмийг бий болгохыг зөвлөж байна, жишээлбэл, дотоод сүлжээнээс (ихэвчлэн итгэмжлэгдсэн бүс) Интернэт рүү (ихэвчлэн итгэмжгүй бүс) NAT дүрмийг бий болгох, галт ханын дүрмийг ашиглан хэрэглэгчид, үйлчилгээ, програмын хандалтыг хязгаарлахыг зөвлөж байна.
Мөн DNAT дүрэм, порт дамжуулах, Бодлогод суурилсан чиглүүлэлт, Сүлжээний зураглал үүсгэх боломжтой.
Үүний дараа "Галт хана" хэсэгт та галт ханын дүрмийг бий болгох хэрэгтэй. Итгэмжлэгдсэн сүлжээний хэрэглэгчдэд интернетэд хязгааргүй нэвтрэхийн тулд "Итгэмжлэгдсэн интернет" галт ханын дүрмийг аль хэдийн бий болгосон бөгөөд үүнийг идэвхжүүлсэн байх ёстой. Галт ханын дүрмийг ашиглан администратор нь UserGate-ээр дамжин өнгөрөх ямар ч төрлийн транзит сүлжээний урсгалыг зөвшөөрөх эсвэл үгүйсгэх боломжтой. Дүрмийн нөхцөл нь бүсүүд болон эх/очих газрын IP хаяг, хэрэглэгчид болон бүлгүүд, үйлчилгээ болон програмуудыг багтааж болно. Дүрмүүд нь "NAT ба чиглүүлэлт" хэсгийн нэгэн адил хэрэгжинэ, өөрөөр хэлбэл. дээрээс доош. Хэрэв ямар ч дүрэм гараагүй бол UserGate-ээр дамжин өнгөрөх аливаа урсгалыг хориглоно.
4. Дүгнэлт
Энэ нийтлэлийг төгсгөж байна. Бид UserGate галт ханыг виртуал машин дээр суулгаж, Итгэмжлэгдсэн сүлжээнд ажиллахын тулд интернетэд шаардлагатай хамгийн бага тохиргоог хийсэн. Бид дараагийн нийтлэлд нэмэлт тохиргоог авч үзэх болно.
Манай сувгуудын шинэчлэлтүүдийг хүлээж байгаарай (, , , )!
Эх сурвалж: www.habr.com