هيلو، هي ڪمپني کان NGFW حل بابت ٻيو مضمون آهي . هن آرٽيڪل جو مقصد اهو ڏيکارڻ آهي ته ڪيئن انسٽال ڪجي يوزر گيٽ فائر وال کي ورچوئل سسٽم تي (مان استعمال ڪندس VMware ورڪ اسٽيشن ورچوئلائيزيشن سافٽ ويئر) ۽ ان جي شروعاتي تشڪيل انجام ڏيان (مقامي نيٽ ورڪ کان رسائي جي اجازت ڏيو UserGate گيٽ وي ذريعي انٽرنيٽ تائين).
1. تعارف
شروع ڪرڻ لاءِ، مان بيان ڪندس مختلف طريقن کي لاڳو ڪرڻ جا هن گيٽ وي نيٽ ورڪ ۾. مان نوٽ ڪرڻ چاهيان ٿو ته چونڊيل ڪنيڪشن آپشن تي منحصر ڪري، گيٽ وي جي ڪجهه ڪارڪردگي دستياب نه ٿي سگھي. UserGate حل ھيٺ ڏنل ڪنيڪشن طريقن کي سپورٽ ڪري ٿو:
-
L3-L7 فائر وال
-
L2 شفاف پل
-
L3 شفاف پل
-
عملي طور تي خلا ۾، WCCP پروٽوڪول استعمال ڪندي
-
عملي طور تي خلا ۾، پاليسي جي بنياد تي روٽنگ استعمال ڪندي
-
هڪ لٺ تي روٽر
-
واضح طور تي بيان ڪيل WEB پراکسي
-
UserGate بطور ڊفالٽ گيٽ وي
-
آئيني پورٽ مانيٽرنگ
UserGate ڪلستر جي 2 قسمن کي سپورٽ ڪري ٿو:
-
ڪلستر جي جوڙجڪ. نوڊس ھڪڙي ترتيب واري ڪلستر ۾ گڏيل ڪلستر ۾ مسلسل سيٽنگون برقرار رکنديون آھن.
-
ناڪامي ڪلستر. 4 کنفيگريشن ڪلستر نوڊس تائين گڏيل ٿي سگھي ٿو ناڪامي ڪلستر ۾ جيڪو فعال-فعال يا فعال-غير فعال موڊ ۾ آپريشن کي سپورٽ ڪري ٿو. اهو ڪيترن ئي ناڪامي ڪلستر کي گڏ ڪرڻ ممڪن آهي.
2. تنصيب
جيئن اڳئين مضمون ۾ ذڪر ڪيو ويو آهي، UserGate هڪ هارڊويئر ۽ سافٽ ويئر پيڪيج جي طور تي فراهم ڪئي وئي آهي يا هڪ مجازي ماحول ۾ ترتيب ڏني وئي آهي. ويب سائيٽ تي توهان جي ذاتي اڪائونٽ مان تصوير کي OVF (اوپن ورچوئلائيزيشن فارميٽ) ۾ ڊائون لوڊ ڪريو، هي فارميٽ VMWare ۽ Oracle Virtualbox وينڊرز لاءِ موزون آهي. ورچوئل مشين ڊسڪ تصويرون مهيا ڪيون ويون آهن Microsoft Hyper-v ۽ KVM لاءِ.
يوزر گيٽ ويب سائيٽ موجب، ورچوئل مشين کي صحيح طريقي سان هلائڻ لاءِ، گهٽ ۾ گهٽ 8 جي بي ريم ۽ 2-ڪور ورچوئل پروسيسر استعمال ڪرڻ جي صلاح ڏني وئي آهي. هائپرائزر کي 64-bit آپريٽنگ سسٽم کي سپورٽ ڪرڻ گهرجي.
انسٽاليشن شروع ٿئي ٿي تصوير کي درآمد ڪندي منتخب ٿيل هائپر ويزر (VirtualBox ۽ VMWare). Microsoft Hyper-v ۽ KVM جي صورت ۾، توهان کي هڪ ورچوئل مشين ٺاهڻ جي ضرورت آهي ۽ ڊائون لوڊ ڪيل تصوير کي ڊسڪ جي طور تي بيان ڪرڻ جي ضرورت آهي، ۽ پوء ٺهيل ورچوئل مشين جي سيٽنگن ۾ انٽيگريشن سروسز کي غير فعال ڪريو.
ڊفالٽ طور، VMWare ۾ درآمد ڪرڻ کان پوء، هڪ مجازي مشين ٺاهي وئي آهي هيٺين سيٽنگن سان:
جيئن مٿي لکيو ويو آهي، گهٽ ۾ گهٽ 8Gb ريم هجڻ گهرجي ۽ ان کان علاوه توهان کي هر 1 استعمال ڪندڙن لاءِ 100Gb شامل ڪرڻو پوندو. ڊفالٽ هارڊ ڊرائيو سائيز 100Gb آهي، پر اهو عام طور تي سڀني لاگ ۽ سيٽنگن کي ذخيرو ڪرڻ لاء ڪافي ناهي. تجويز ڪيل سائيز 300Gb يا وڌيڪ آهي. تنهن ڪري، مجازي مشين جي ملڪيت ۾، اسان ڊسڪ جي سائيز کي گهربل هڪ ڏانهن تبديل ڪريون ٿا. شروعات ۾، ورچوئل UserGate UTM چار انٽرفيس سان گڏ اچي ٿو زونن کي مقرر ڪيو ويو آهي:
انتظام - مجازي مشين جو پهريون انٽرفيس، قابل اعتماد نيٽ ورڪن کي ڳنڍڻ لاء هڪ زون جنهن مان UserGate انتظام جي اجازت آهي.
قابل اعتماد مجازي مشين جو ٻيو انٽرفيس آهي، قابل اعتماد نيٽ ورڪن کي ڳنڍڻ لاء هڪ زون، مثال طور، LAN نيٽ ورڪ.
ناقابل اعتماد ورچوئل مشين جو ٽيون انٽرفيس آهي، ناقابل اعتماد نيٽ ورڪ سان ڳنڍيل انٽرفيس لاء هڪ زون، مثال طور، انٽرنيٽ سان.
DMZ ورچوئل مشين جو چوٿون انٽرفيس آهي، جيڪو DMZ نيٽ ورڪ سان ڳنڍيل انٽرفيس لاءِ هڪ زون آهي.
اڳيون، اسان ورچوئل مشين کي لانچ ڪيو، جيتوڻيڪ دستياب چوي ٿو ته توهان کي سپورٽ اوزار چونڊڻ جي ضرورت آهي ۽ فيڪٽري ري سيٽ UTM کي انجام ڏيڻ جي ضرورت آهي، پر جيئن توهان ڏسي سگهو ٿا، اتي صرف هڪ انتخاب آهي (UTM پهريون بوٽ). هن قدم دوران، UTM نيٽ ورڪ ايڊاپٽرز کي ترتيب ڏئي ٿو ۽ هارڊ ڊرائيو ورهاڱي جي سائيز کي مڪمل ڊسڪ سائيز تائين وڌائي ٿو:
UserGate ويب انٽرفيس سان ڳنڍڻ لاءِ، توهان کي مئنيجمينٽ زون ذريعي لاگ ان ٿيڻو پوندو؛ هي eth0 انٽرفيس جي ذميواري آهي، جيڪو خود بخود IP پتو (DHCP) حاصل ڪرڻ لاءِ ترتيب ڏنو ويو آهي. جيڪڏهن DHCP استعمال ڪندي خودڪار طريقي سان مينيجمينٽ انٽرفيس لاءِ ايڊريس تفويض ڪرڻ ممڪن ناهي، ته پوءِ اهو واضح طور تي CLI (ڪمانڊ لائن انٽرفيس) استعمال ڪندي سيٽ ڪري سگهجي ٿو. هن کي ڪرڻ لاءِ، توهان کي لاگ ان ٿيڻ جي ضرورت آهي CLI ۾ استعمال ڪندي يوزرنيم ۽ پاس ورڊ سان مڪمل ايڊمنسٽريٽر جي حقن سان (ايڊمن سان ڪيپيٽل ليٽر سان). جيڪڏهن UserGate ڊيوائس شروعاتي شروعات نه ڪئي آهي، ته پوءِ CLI تائين رسائي حاصل ڪرڻ لاءِ توهان کي ايڊمن کي استعمال ڪرڻ گهرجي صارف نالو ۽ utm کي پاسورڊ طور. ۽ هڪ حڪم ٽائيپ ڪريو جهڙوڪ iface config -name eth0 -ipv4 192.168.1.254/24 - فعال ڪريو صحيح موڊ جامد. بعد ۾ اسان وڃون ٿا UserGate ويب ڪنسول مخصوص ايڊريس تي، ان کي ڪجهه هن طرح ڏسڻ گهرجي:https://UserGateIPaddress:8001:
ويب ڪنسول ۾ اسان انسٽاليشن کي جاري رکون ٿا، اسان کي انٽرفيس جي ٻولي چونڊڻ جي ضرورت آهي (هن وقت اهو روسي يا انگريزي آهي)، ٽائيم زون، پوء پڙهو ۽ لائسنس جي معاهدي تي متفق آهيو. ويب مينيجمينٽ انٽرفيس ۾ لاگ ان ٿيڻ لاءِ لاگ ان ۽ پاسورڊ سيٽ ڪريو.
3. سيٽ اپ
انسٽاليشن کان پوء، هي ڇا آهي پليٽ فارم مئنيجمينٽ ويب انٽرفيس ونڊو ڏسڻ جهڙو آهي:
پوء توهان کي نيٽ ورڪ انٽرفيس ترتيب ڏيڻ جي ضرورت آهي. هن کي ڪرڻ لاء، "انٽرفيس" سيڪشن ۾ توهان کي انهن کي فعال ڪرڻ جي ضرورت آهي، صحيح IP پتي کي سيٽ ڪريو ۽ مناسب زونون تفويض ڪريو.
"انٽرفيس" سيڪشن ڏيکاري ٿو سسٽم ۾ موجود سڀئي جسماني ۽ ورچوئل انٽرفيس، توهان کي انهن جي سيٽنگون تبديل ڪرڻ ۽ VLAN انٽرفيس شامل ڪرڻ جي اجازت ڏئي ٿو. اهو هر ڪلستر نوڊ جي سڀني انٽرفيس کي پڻ ڏيکاري ٿو. انٽرفيس سيٽنگون هر نوڊ لاءِ مخصوص آهن، يعني اهي گلوبل نه آهن.
انٽرفيس خاصيتن ۾:
-
انٽرفيس کي فعال يا غير فعال ڪريو
-
وضاحت ڪريو انٽرفيس جو قسم - پرت 3 يا آئيني
-
هڪ انٽرفيس کي زون مقرر ڪريو
-
Netflow ڪليڪٽر ڏانهن شمارياتي ڊيٽا موڪلڻ لاءِ Netflow پروفائل مقرر ڪريو
-
انٽرفيس جي جسماني پيٽرولن کي تبديل ڪريو - MAC پتو ۽ MTU سائيز
-
IP پتي جي تفويض جو قسم چونڊيو - ڪوبه پتو، جامد IP پتو يا DHCP ذريعي حاصل ڪيل
-
منتخب ٿيل انٽرفيس تي DHCP رلي کي ترتيب ڏيو.
"شامل ڪريو" بٽڻ توھان کي ھيٺ ڏنل قسم جا منطقي انٽرفيس شامل ڪرڻ جي اجازت ڏئي ٿو:
-
وي ايلان
-
بانڊ
-
پل
-
PPPoE
-
VPN
-
سرنگهه
اڳئين درج ٿيل زونن کان علاوه جيڪي صارف گيٽ تصوير ٻيڙيون سان گڏ آھن، اتي ٽي وڌيڪ اڳواٽ بيان ڪيل قسم آھن:
ڪلستر - ڪلستر آپريشن لاءِ استعمال ٿيندڙ انٽرفيس لاءِ زون
VPN for Site-to-Site - هڪ زون جنهن ۾ سڀ Office-Office ڪلائنٽ رکيا ويا آهن يوزر گيٽ سان VPN ذريعي.
وي پي اين ريموٽ رسائي لاءِ - هڪ زون جنهن ۾ شامل آهن سڀئي موبائيل استعمال ڪندڙ جيڪي يوزر گيٽ سان ڳنڍيل آهن VPN ذريعي
يوزر گيٽ ايڊمنسٽريٽر ڊفالٽ زونن جي سيٽنگ کي تبديل ڪري سگھن ٿا ۽ اضافي زون پڻ ٺاهي سگھن ٿا، پر جيئن ورزن 5 مينوئل ۾ بيان ڪيو ويو آھي، وڌ ۾ وڌ 15 زونون ٺاھي سگھجن ٿيون. انھن کي تبديل ڪرڻ يا ٺاھڻ لاء، توھان کي زون سيڪشن ڏانھن وڃڻ جي ضرورت آھي. هر زون لاءِ، توهان سيٽ ڪري سگهو ٿا پيڪيٽ ڊراپ جي حد؛ SYN، UDP، ICMP سپورٽ آهن. Usergate خدمتن تائين رسائي ڪنٽرول پڻ ترتيب ڏني وئي آهي، ۽ اسپفنگ جي خلاف تحفظ کي فعال ڪيو ويو آهي.
انٽرفيس کي ترتيب ڏيڻ کان پوء، توهان کي "گيٽ ويز" سيڪشن ۾ ڊفالٽ رستو ترتيب ڏيڻ جي ضرورت آهي. اهي. UserGate کي انٽرنيٽ سان ڳنڍڻ لاءِ، توھان کي ھڪ يا وڌيڪ گيٽ ويز جو IP پتو بيان ڪرڻ گھرجي. جيڪڏھن توھان انٽرنيٽ سان ڳنڍڻ لاءِ ڪيترائي مهيا ڪندڙ استعمال ڪريو ٿا، توھان کي گھڻن گيٽ ويز جي وضاحت ڪرڻ گھرجي. گيٽ وي جي جوڙجڪ هر ڪلستر نوڊ لاء منفرد آهي. جيڪڏهن ٻه يا وڌيڪ گيٽ ويز بيان ڪيا ويا آهن، 2 آپشن ممڪن آهن:
-
گيٽ ويز جي وچ ۾ ٽرئفڪ کي توازن ڪرڻ.
-
مکيه گيٽ وي سان هڪ اسپيئر هڪ ڏانهن سوئچ ڪرڻ سان.
گيٽ وي جي حيثيت (دستياب - سائو، غير دستياب - ڳاڙهو) ھيٺ ڏنل آھي:
-
نيٽ ورڪ چيڪنگ کي غير فعال ڪيو ويو آهي - هڪ گيٽ وي کي قابل رسائی سمجهيو ويندو آهي جيڪڏهن UserGate حاصل ڪري سگهي ٿو پنهنجي MAC ايڊريس هڪ ARP درخواست استعمال ڪندي. هن گيٽ وي ذريعي انٽرنيٽ جي رسائي جي ڪا به چيڪ ناهي. جيڪڏهن گيٽ وي جي MAC ايڊريس جو تعين نٿو ڪري سگهجي، گيٽ وي کي ناقابل رسيد سمجهيو ويندو آهي.
-
نيٽ ورڪ چيڪنگ کي فعال ڪيو ويو آهي - گيٽ وي کي قابل رسائي سمجهيو ويندو آهي جيڪڏهن:
-
UserGate حاصل ڪري سگھي ٿو پنھنجي MAC پتي کي استعمال ڪندي ARP درخواست.
-
ھن گيٽ وي ذريعي انٽرنيٽ جي رسائي جي چڪاس ڪاميابيءَ سان مڪمل ڪئي وئي.
ٻي صورت ۾، گيٽ وي کي دستياب نه سمجهيو ويندو آهي.
"DNS" سيڪشن ۾ توهان کي DNS سرور شامل ڪرڻ جي ضرورت آهي جيڪي صارف گيٽ استعمال ڪندا. هي سيٽنگ سسٽم DNS سرورز واري علائقي ۾ بيان ڪئي وئي آهي. ھيٺ ڏنل سيٽنگون آھن استعمال ڪندڙن کان DNS درخواستن کي منظم ڪرڻ لاءِ. UserGate توهان کي DNS پراکسي استعمال ڪرڻ جي اجازت ڏئي ٿي. DNS پراکسي سروس توهان کي اجازت ڏئي ٿي ته صارفين کان DNS درخواستن کي روڪيو ۽ منتظم جي ضرورتن جي بنياد تي انهن کي تبديل ڪري. DNS پراکسي ضابطا استعمال ڪري سگھجن ٿا DNS سرورن کي بيان ڪرڻ لاءِ جن تي مخصوص ڊومينز لاءِ درخواستون اڳتي وڌيون وڃن ٿيون. اضافي طور تي، هڪ DNS پراکسي استعمال ڪندي، توهان سيٽ ڪري سگهو ٿا جامد رڪارڊ ميزبان جي قسم (A رڪارڊ).
"NAT ۽ روٽنگ" سيڪشن ۾ توهان کي لازمي NAT ضابطا ٺاهڻ جي ضرورت آهي. قابل اعتماد نيٽ ورڪ جي استعمال ڪندڙن جي انٽرنيٽ تائين رسائي لاء، NAT ضابطو اڳ ۾ ئي ٺاهي چڪو آهي - "Trusted->Untrusted"، باقي اهو آهي ته ان کي فعال ڪرڻ لاء. ضابطا مٿي کان هيٺ تائين لاڳو ڪيا ويا آهن ترتيب ۾ اهي ڪنسول ۾ درج ٿيل آهن. صرف پهريون قاعدو جنهن لاءِ ضابطي جي ميچ ۾ بيان ڪيل شرطون هميشه عمل ۾ اچن ٿيون. قاعدي کي شروع ڪرڻ لاء، ضابطي جي پيٽرولن ۾ بيان ڪيل سڀني شرطن کي ملائڻ گهرجي. يوزر گيٽ سفارش ڪري ٿو ته عام NAT ضابطا ٺاهي، مثال طور، مقامي نيٽ ورڪ (عام طور تي هڪ قابل اعتماد زون) کان انٽرنيٽ تائين هڪ NAT قاعدو (عام طور تي هڪ ناقابل اعتماد زون)، ۽ فائر وال ضابطن کي استعمال ڪندي صارفين، خدمتن ۽ ايپليڪيشنن جي رسائي کي محدود ڪرڻ.
اهو پڻ ممڪن آهي ته DNAT ضابطا ٺاهڻ، پورٽ فارورڊنگ، پاليسي تي ٻڌل روٽنگ، نيٽورڪ ميپنگ.
ان کان پوء، "فائر وال" سيڪشن ۾ توهان کي فائر وال قاعدن ٺاهڻ جي ضرورت آهي. قابل اعتماد نيٽ ورڪ جي استعمال ڪندڙن لاءِ انٽرنيٽ تائين لامحدود رسائي حاصل ڪرڻ لاءِ، هڪ فائر وال قاعدو پڻ ٺاهيو ويو آهي - ”انٽرنيٽ فار ٽرسٽيڊ“ ۽ فعال ٿيڻ لازمي آهي. فائر وال قاعدن کي استعمال ڪندي، ايڊمنسٽريٽر ڪنهن به قسم جي ٽرانزٽ نيٽ ورڪ ٽرئفڪ کي UserGate ذريعي گذرڻ جي اجازت يا انڪار ڪري سگهي ٿو. ضابطن جي حالتن ۾ شامل ٿي سگھي ٿو زونون ۽ ماخذ / منزلون IP پتا، استعمال ڪندڙ ۽ گروپ، خدمتون ۽ ايپليڪيشنون. ضابطا ساڳيءَ طرح لاڳو ٿين ٿا جيئن ”NAT ۽ روٽنگ“ سيڪشن ۾، يعني. مٿي کان هيٺ. جيڪڏهن ڪو ضابطو نه ٺاهيو ويو آهي، ته پوءِ UserGate ذريعي ڪنهن به ٽرانزٽ ٽريفڪ ممنوع آهي.
4. نتيجو
هي مضمون ختم ڪري ٿو. اسان يوزر گيٽ فائر وال کي ورچوئل مشين تي انسٽال ڪيو ۽ انٽرنيٽ جي قابل اعتماد نيٽ ورڪ تي ڪم ڪرڻ لاءِ گھٽ ۾ گھٽ ضروري سيٽنگون ڪيون. اسان هيٺ ڏنل مضمونن ۾ وڌيڪ تشڪيل تي غور ڪنداسين.
اسان جي چينلز ۾ تازه ڪاري لاء نظر رکون (, , , )!
جو ذريعو: www.habr.com