2. د UserGate پیل کول. اړتیاوې، نصب کول

سلام، دا د شرکت څخه د NGFW حل په اړه دویمه مقاله ده UserGate. د دې مقالې هدف دا دی چې وښیې چې څنګه په مجازی سیسټم کې د UserGate فایر وال نصب کړئ (زه به د VMware ورک سټیشن مجازی کولو سافټویر وکاروم) او د دې لومړني تشکیلات ترسره کړم (انټرنېټ ته د UserGate دروازې له لارې د محلي شبکې څخه لاسرسي ته اجازه ورکړئ).   

1. پیژندنه

د پیل کولو لپاره، زه به په شبکه کې د دې دروازې پلي کولو مختلفې لارې تشریح کړم. زه غواړم یادونه وکړم چې د غوره شوي پیوستون اختیار پورې اړه لري، د ګیټ وے ځینې فعالیت ممکن شتون ونلري. د UserGate حل د لاندې پیوستون حالتونو ملاتړ کوي: 

• L3-L7 فائر وال

• L2 شفاف پل

• L3 شفاف پل

• په حقیقت کې تشې ته، د WCCP پروتوکول په کارولو سره

• په حقیقت کې په خلا کې، د پالیسۍ پر بنسټ روټینګ کارول

• روټر په لرګی کې

• په ښکاره ډول مشخص شوی WEB پراکسي

• UserGate د ډیفالټ دروازې په توګه

• د عکس بندر څارنه

UserGate د 2 ډوله کلسترونو ملاتړ کوي:

1. د کلستر ترتیب. نوډونه د ترتیب کولو کلستر کې یوځای شوي په ټول کلستر کې ثابت ترتیبات ساتي.

2. د ناکامۍ کلستر. تر 4 پورې د ترتیب کولو کلستر نوډونه د ناکامۍ کلستر کې یوځای کیدی شي چې په فعال - فعال یا فعال - غیر فعال حالت کې د عملیاتو ملاتړ کوي. دا ممکنه ده چې د ډیری ناکامۍ کلسترونه راټول کړئ.

2. نصب کول

لکه څنګه چې په تیره مقاله کې یادونه وشوه، یوزر ګیټ د هارډویر او سافټویر کڅوړې په توګه چمتو شوی یا په مجازی چاپیریال کې ځای پرځای شوی. په ویب پاڼه کې ستاسو د شخصي حساب څخه UserGate انځور په OVF کې ډاونلوډ کړئ (د خلاص مجازی بڼه)، دا بڼه د VMWare او Oracle Virtualbox پلورونکو لپاره مناسبه ده. د مجازی ماشین ډیسک عکسونه د مایکروسافټ هایپر-v او KVM لپاره چمتو شوي.

د UserGate ویب پاڼې په وینا، د مجازی ماشین په سمه توګه کار کولو لپاره، دا سپارښتنه کیږي چې لږترلږه 8 جی بی RAM او د 2 کور مجازی پروسیسر وکاروئ. Hypervisor باید د 64-bit عملیاتي سیسټمونو ملاتړ وکړي.

نصب کول په ټاکل شوي هایپروایزر (VirtualBox او VMWare) کې د عکس واردولو سره پیل کیږي. د مایکروسافټ هایپر-v او KVM په حالت کې ، تاسو اړتیا لرئ یو مجازی ماشین رامینځته کړئ او ډاونلوډ شوی عکس د ډیسک په توګه مشخص کړئ ، او بیا د رامینځته شوي مجازی ماشین تنظیماتو کې د ادغام خدمات غیر فعال کړئ.

په ډیفالټ ډول ، VMWare ته د واردولو وروسته ، یو مجازی ماشین د لاندې تنظیماتو سره رامینځته کیږي:

لکه څنګه چې پورته لیکل شوي، لږترلږه 8Gb باید رام ولري او سربیره پردې تاسو اړتیا لرئ د هر 1 کاروونکو لپاره 100Gb اضافه کړئ. د ډیفالټ هارډ ډرایو اندازه 100Gb ده ، مګر دا معمولا د ټولو لاګونو او تنظیماتو ذخیره کولو لپاره کافي ندي. وړاندیز شوی اندازه 300Gb یا ډیر دی. له همدې امله، د مجازی ماشین په ځانګړتیاو کې، موږ د ډیسک اندازه مطلوب ته بدلوو. په پیل کې، مجازی UserGate UTM د څلورو انٹرفیسونو سره راځي چې زونونو ته ټاکل شوي:

مدیریت - د مجازی ماشین لومړی انٹرفیس، د باوري شبکو د نښلولو لپاره یو زون چې له هغې څخه د UserGate مدیریت اجازه لري.

باوري د مجازی ماشین دوهم انٹرفیس دی، د باوري شبکو د نښلولو لپاره یو زون، د بیلګې په توګه، د LAN شبکې.

بې اعتباره د مجازی ماشین دریم انٹرفیس دی، د انټرفیسونو لپاره یو زون چې د بې باوره شبکو سره وصل دی، د بیلګې په توګه، انټرنیټ ته.

DMZ د مجازی ماشین څلورم انٹرفیس دی، د DMZ شبکې سره وصل د انٹرفیسونو لپاره زون.

بیا ، موږ مجازی ماشین لانچ کوو ، که څه هم لارښود وايي چې تاسو اړتیا لرئ د ملاتړ وسیلې غوره کړئ او د فابریکې ریسیټ UTM ترسره کړئ ، مګر لکه څنګه چې تاسو لیدلی شئ ، یوازې یو انتخاب شتون لري (UTM لومړی بوټ). د دې مرحلې په جریان کې، UTM د شبکې اډاپټرونه تنظیموي او د هارډ ډرایو ویش اندازه د بشپړ ډیسک اندازې ته زیاتوي:

د یوزر ګیټ ویب انٹرفیس سره وصل کیدو لپاره ، تاسو باید د مدیریت زون له لارې لاګ ان شئ؛ دا د eth0 انٹرفیس مسؤلیت دی ، کوم چې په اتوماتيک ډول د IP پتې ترلاسه کولو لپاره تنظیم شوی (DHCP). که دا ممکنه نه وي چې د DHCP په کارولو سره په اتوماتيک ډول د مدیریت انٹرفیس لپاره پته وټاکئ ، نو دا د CLI (د کمانډ لاین انٹرفیس) په کارولو سره په واضح ډول تنظیم کیدی شي. د دې کولو لپاره ، تاسو اړتیا لرئ د بشپړ مدیر حقونو سره د کارونکي نوم او پټنوم په کارولو سره CLI ته ننوځئ (د ډیفالټ لخوا د لوی لیک سره اداره). که چیرې د کارن ګیټ وسیله ابتدايي نه وي ترسره شوي، نو CLI ته د لاسرسي لپاره تاسو باید Admin د کارن نوم او utm د پټنوم په توګه وکاروئ. او یو کمانډ ټایپ کړئ لکه iface config –name eth0 –ipv4 192.168.1.254/24 – د ریښتیني موډ سټیټیک فعال کړئ. وروسته موږ په ټاکل شوي پته کې د UserGate ویب کنسول ته ځو، دا باید داسې ښکاري: https://UserGateIPaddress:8001:

په ویب کنسول کې موږ نصبولو ته دوام ورکوو، موږ اړتیا لرو چې د انٹرفیس ژبه غوره کړو (دا مهال دا روسی یا انګلیسي ده)، د وخت زون، بیا د جواز تړون ولولئ او موافقه وکړئ. د ویب مدیریت انٹرفیس ته د ننوتلو لپاره ننوتل او پټنوم تنظیم کړئ.

3. ترتیب کول

د نصبولو وروسته، دا هغه څه دي چې د پلیټ فارم مدیریت ویب انٹرفیس کړکۍ داسې ښکاري:

بیا تاسو اړتیا لرئ د شبکې انٹرفیس تنظیم کړئ. د دې کولو لپاره ، د "انټرفیس" برخه کې تاسو اړتیا لرئ دوی فعال کړئ ، سم IP پتې تنظیم کړئ او مناسب زونونه وټاکئ.

د "انټرفیس" برخه په سیسټم کې موجود ټول فزیکي او مجازی انٹرفیسونه ښیې ، تاسو ته اجازه درکوي د دوی تنظیمات بدل کړئ او د VLAN انٹرفیسونه اضافه کړئ. دا د هر کلستر نوډ ټول انٹرفیس هم ښیې. د انٹرفیس ترتیبات د هر نوډ لپاره ځانګړي دي، دا دی، دوی نړیوال ندي.

د انٹرفیس ملکیتونو کې:

• انٹرفیس فعال یا غیر فعال کړئ 

• د انٹرفیس ډول مشخص کړئ - پرت 3 یا عکس

• یو انٹرفیس ته زون وټاکئ

• د نیټ فلو پروفایل وټاکئ ترڅو د نیټ فلو راټولونکي ته احصایوي معلومات واستوئ

• د انٹرفیس فزیکي پیرامیټونه بدل کړئ - MAC پته او د MTU اندازه

• د IP پتې د دندې ډول وټاکئ - هیڅ پته، جامد IP پته یا د DHCP له لارې ترلاسه شوی

• په ټاکل شوي انٹرفیس کې د DHCP ریلي تنظیم کړئ.

د "Add" تڼۍ تاسو ته اجازه درکوي چې لاندې ډول منطقي انٹرفیسونه اضافه کړئ:

• VLANs

• بانډ

• پل

• پی پی پی ای ای

• VPN

• تونل

د مخکینیو لیست شویو زونونو سربیره چې د کارن ګیټ عکس یې لیږدوي، درې نور وړاندې شوي ډولونه شتون لري:

کلستر - د کلستر عملیاتو لپاره کارول شوي انٹرفیس لپاره زون

د سایټ څخه سایټ لپاره VPN - یو زون چې په هغه کې د دفتر - دفتر ټول پیرودونکي د VPN له لارې د UserGate سره وصل شوي دي

VPN د لرې لاسرسي لپاره - یو زون چې پکې ټول ګرځنده کارونکي شامل دي چې د VPN له لارې UserGate سره وصل شوي

د UserGate مدیران کولی شي د ډیفالټ زونونو تنظیمات بدل کړي او اضافي زونونه هم رامینځته کړي ، مګر لکه څنګه چې په نسخه 5 لارښود کې ویل شوي ، اعظمي حد 15 زونونه رامینځته کیدی شي. د دوی د بدلولو یا جوړولو لپاره، تاسو اړتیا لرئ د زون برخې ته لاړ شئ. د هر زون لپاره، تاسو کولی شئ د پاکټ ډراپ حد وټاکئ؛ SYN، UDP، ICMP ملاتړ کیږي. د Usergate خدماتو ته د لاسرسي کنټرول هم ترتیب شوی، او د سپوفینګ پروړاندې محافظت فعال شوی.

د انٹرفیسونو تنظیم کولو وروسته ، تاسو اړتیا لرئ د "ګیټ ویز" برخه کې ډیفالټ لاره تنظیم کړئ. هغوی. د یوزر ګیټ انټرنیټ سره وصل کولو لپاره ، تاسو باید د یو یا ډیرو ګیټس IP پته مشخص کړئ. که تاسو د انټرنیټ سره وصل کولو لپاره ډیری چمتو کونکي کاروئ، تاسو باید څو دروازې مشخص کړئ. د دروازې ترتیب د هر کلستر نوډ لپاره ځانګړی دی. که دوه یا ډیرې دروازې مشخصې شي، 2 اختیارونه ممکن دي:

1. د دروازې تر منځ د ترافیک توازن.

2. د اضافې په بدلولو سره اصلي دروازه.

د دروازې حالت (د شتون - شنه، شتون نلري - سور) په لاندې ډول ټاکل کیږي:

1. د شبکې چک کول غیر فعال دي - یوه دروازه د لاسرسي وړ ګڼل کیږي که چیرې UserGate کولی شي د ARP غوښتنې په کارولو سره خپل MAC پته ترلاسه کړي. د دې دروازې له لارې د انټرنیټ لاسرسي لپاره هیڅ چیک نشته. که چیرې د دروازې MAC پته ونه ټاکل شي، دروازه د لاسرسي وړ نه ګڼل کیږي.

2. د شبکې چک کول فعال شوي - دروازه د لاسرسي وړ ګڼل کیږي که:

• UserGate کولی شي د ARP غوښتنې په کارولو سره خپل MAC پته ترلاسه کړي.

• د دې دروازې له لارې د انټرنیټ لاسرسي لپاره چک په بریالیتوب سره بشپړ شو.

که نه نو، دروازه شتون نلري.

د "DNS" برخه کې تاسو اړتیا لرئ د DNS سرورونه اضافه کړئ چې UserGate به یې کاروي. دا ترتیب د سیسټم DNS سرورونو ساحه کې مشخص شوی. لاندې د کاروونکو څخه د DNS غوښتنو اداره کولو لپاره تنظیمات دي. UserGate تاسو ته اجازه درکوي د DNS پراکسي وکاروئ. د DNS پراکسي خدمت تاسو ته اجازه درکوي چې د کاروونکو څخه د DNS غوښتنې مداخله وکړي او د مدیر اړتیاو پورې اړه ولري. د DNS پراکسي قواعد د DNS سرورونو مشخص کولو لپاره کارول کیدی شي کوم چې د ځانګړي ډومینونو لپاره غوښتنې لیږل کیږي. سربیره پردې ، د DNS پراکسي په کارولو سره ، تاسو کولی شئ د کوربه ډول (A ریکارډ) جامد ریکارډونه تنظیم کړئ.

د "NAT او روټینګ" برخه کې تاسو اړتیا لرئ د NAT اړین قواعد رامینځته کړئ. د باوري شبکې کاروونکو لخوا انټرنیټ ته د لاسرسي لپاره، د NAT قانون لا دمخه رامینځته شوی - "باور شوی->بې باوره"، ټول هغه څه چې پاتې دي د دې فعالول دي. قواعد له پورته څخه ښکته پورې په ترتیب سره پلي کیږي چې دوی په کنسول کې لیست شوي. یوازې لومړی قاعده چې د قاعدې په میچ کې مشخص شوي شرایط تل اجرا کیږي. د دې لپاره چې قاعده پیل شي، ټول شرایط باید د قواعدو پیرامیټونو کې مشخص شي. UserGate وړاندیز کوي چې د NAT عمومي قواعد رامینځته کړي، د بیلګې په توګه، انټرنیټ ته د محلي شبکې (عموما یو باوري زون) څخه د NAT قواعد (معمولا یو غیر باوري زون)، او د فایروال قواعدو په کارولو سره د کاروونکو، خدماتو، او غوښتنلیکونو لخوا د لاسرسي محدودول.

دا هم امکان لري چې د DNAT قواعد رامینځته کړئ ، د پورټ فارورډینګ ، د پالیسۍ پراساس روټینګ ، د شبکې نقشه کول.

له دې وروسته ، د "فیروال" برخه کې تاسو اړتیا لرئ د فایر وال مقررات رامینځته کړئ. د باوري شبکې کاروونکو لپاره انټرنیټ ته د لامحدود لاسرسي لپاره ، د فایر وال قانون لا دمخه رامینځته شوی - "د باور وړ انټرنیټ" او باید فعال شي. د فایر وال مقرراتو په کارولو سره ، مدیر کولی شي د هر ډول ټرانزیټ شبکې ترافیک ته اجازه ورکړي یا رد کړي چې د UserGate له لارې تیریږي. د قواعدو شرایطو کې ممکن زونونه او سرچینې / منزل IP پتې، کاروونکي او ډلې، خدمات او غوښتنلیکونه شامل وي. مقررات په ورته ډول پلي کیږي لکه څنګه چې د "NAT او روټینګ" برخه کې، د بیلګې په توګه. پورته ښکته که چیرې کوم مقررات ندي رامینځته شوي ، نو بیا د UserGate له لارې هر ډول ټرانسپورټ منع دی.

4. پایله

دا مقاله پای ته رسوي. موږ په مجازی ماشین کې د UserGate فایر وال نصب کړ او د باور وړ شبکې کې د کار کولو لپاره د انټرنیټ لپاره لږترلږه اړین ترتیبات مو جوړ کړل. موږ به په لاندې مقالو کې نور تشکیلات په پام کې ونیسو.

د تازه معلوماتو لپاره زموږ په چینلونو کې پاتې شئ (Telegram, فیسبوک, VK, د TS حل بلاګ)!

سرچینه: www.habr.com