2. UserGate ආරම්භ කිරීම. අවශ්යතා, ස්ථාපනය

ආයුබෝවන්, මෙය සමාගමෙන් NGFW විසඳුම පිළිබඳ දෙවන ලිපියයි UserGate. මෙම ලිපියේ අරමුණ වන්නේ අථත්‍ය පද්ධතියක UserGate ෆයර්වෝල් ස්ථාපනය කරන්නේ කෙසේද යන්න පෙන්වීමයි (මම VMware Workstation virtualization මෘදුකාංගය භාවිතා කරමි) සහ එහි මූලික වින්‍යාසය සිදු කිරීම (UserGate gateway හරහා අන්තර්ජාලයට පිවිසීමට ඉඩ දෙන්න).   

1. හැඳින්වීම

ආරම්භ කිරීම සඳහා, ජාලය තුළට මෙම ද්වාරය ක්රියාත්මක කිරීමට විවිධ ක්රම විස්තර කරමි. තෝරාගත් සම්බන්ධතා විකල්පය මත පදනම්ව, ද්වාරයෙහි යම් ක්‍රියාකාරීත්වයක් නොතිබිය හැකි බව මම සටහන් කිරීමට කැමැත්තෙමි. UserGate විසඳුම පහත සම්බන්ධතා මාතයන් සඳහා සහය දක්වයි: 

• L3-L7 ගිනි පවුර

• L2 විනිවිද පෙනෙන පාලම

• L3 විනිවිද පෙනෙන පාලම

• WCCP ප්‍රොටෝකෝලය භාවිතයෙන් ප්‍රායෝගිකව පරතරය තුළට

• ප්‍රතිපත්ති පාදක මාර්ගගත කිරීම භාවිතා කරමින් ප්‍රායෝගිකව පරතරය තුළ

• සැරයටිය මත රවුටරය

• පැහැදිලිව සඳහන් කර ඇති WEB ප්‍රොක්සි

• UserGate පෙරනිමි ද්වාරය ලෙස

• දර්පණ වරාය අධීක්ෂණය

UserGate පොකුරු වර්ග 2කට සහය දක්වයි:

1. පොකුරු වින්යාසය. වින්‍යාස පොකුරකට ඒකාබද්ධ වූ නෝඩ් පොකුර පුරා ස්ථාවර සැකසුම් පවත්වාගෙන යයි.

2. අසාර්ථක පොකුර. වින්‍යාස පොකුරු නෝඩ් 4ක් දක්වා සක්‍රීය-ක්‍රියාකාරී හෝ සක්‍රීය-නිෂ්ක්‍රීය ආකාරයෙන් ක්‍රියා කිරීමට සහාය වන අසාර්ථක පොකුරක් බවට ඒකාබද්ධ කළ හැක. අසාර්ථක පොකුරු කිහිපයක් එකලස් කළ හැකිය.

2. ස්ථාපනය

පෙර ලිපියේ සඳහන් කළ පරිදි, UserGate දෘඩාංග සහ මෘදුකාංග පැකේජයක් ලෙස සපයා ඇත හෝ අතථ්‍ය පරිසරයක යොදවා ඇත. වෙබ් අඩවියේ ඔබගේ පුද්ගලික ගිණුමෙන් UserGate OVF (විවෘත අථත්‍යකරණ ආකෘතිය) හි රූපය බාගන්න, මෙම ආකෘතිය VMWare සහ Oracle Virtualbox වෙළෙන්දන් සඳහා සුදුසු වේ. Microsoft Hyper-v සහ KVM සඳහා අතථ්‍ය යන්ත්‍ර තැටි රූප ලබා දී ඇත.

UserGate වෙබ් අඩවියට අනුව, අථත්‍ය යන්ත්‍රය නිවැරදිව ක්‍රියාත්මක වීමට නම්, අවම වශයෙන් 8Gb RAM සහ 2-core virtual processor එකක් භාවිතා කිරීම රෙකමදාරු කරනු ලැබේ. හයිපර්වයිසර් 64-බිට් මෙහෙයුම් පද්ධති සඳහා සහය විය යුතුය.

ස්ථාපනය ආරම්භ වන්නේ තෝරාගත් හයිපර්වයිසර් (VirtualBox සහ VMWare) වෙත රූපය ආයාත කිරීමෙනි. මයික්‍රොසොෆ්ට් හයිපර්-වී සහ කේවීඑම් වලදී, ඔබට අථත්‍ය යන්ත්‍රයක් සාදා බාගත කළ රූපය තැටිය ලෙස සඳහන් කළ යුතු අතර පසුව සාදන ලද අථත්‍ය යන්ත්‍රයේ සැකසුම් තුළ ඒකාබද්ධ සේවා අක්‍රීය කරන්න.

පෙරනිමියෙන්, VMWare වෙත ආයාත කිරීමෙන් පසු, පහත සැකසුම් සමඟ අථත්‍ය යන්ත්‍රයක් සාදනු ලැබේ:

ඉහත ලියා ඇති පරිදි, අවම වශයෙන් 8Gb RAM එකක් තිබිය යුතු අතර ඊට අමතරව ඔබ සෑම පරිශීලකයින් 1 දෙනෙකු සඳහාම 100Gb එකතු කළ යුතුය. පෙරනිමි දෘඪ තැටියේ ප්‍රමාණය 100Gb වේ, නමුත් මෙය සාමාන්‍යයෙන් සියලුම ලඝු-සටහන් සහ සැකසුම් ගබඩා කිරීමට ප්‍රමාණවත් නොවේ. නිර්දේශිත ප්‍රමාණය 300Gb හෝ ඊට වැඩි වේ. එබැවින්, අථත්ය යන්ත්රයේ ගුණාංගවලදී, අපි අවශ්ය ප්රමාණයට තැටියේ ප්රමාණය වෙනස් කරමු. මුලදී, virtual UserGate UTM කලාපවලට පවරා ඇති අතුරුමුහුණත් හතරක් සමඟ පැමිණේ:

කළමනාකරණය - අථත්‍ය යන්ත්‍රයේ පළමු අතුරු මුහුණත, UserGate කළමනාකරණයට අවසර දී ඇති විශ්වාසදායක ජාල සම්බන්ධ කිරීමේ කලාපයකි.

විශ්වාසදායක යනු අථත්‍ය යන්ත්‍රයේ දෙවන අතුරු මුහුණත, විශ්වාසදායක ජාල සම්බන්ධ කිරීම සඳහා කලාපයක්, උදාහරණයක් ලෙස, LAN ජාල.

අවිශ්වාසය යනු අථත්‍ය යන්ත්‍රයේ තුන්වන අතුරුමුහුණත, විශ්වාස නොකළ ජාලවලට සම්බන්ධ අතුරුමුහුණත් සඳහා කලාපයකි, උදාහරණයක් ලෙස අන්තර්ජාලයට.

DMZ යනු අථත්‍ය යන්ත්‍රයේ සිව්වන අතුරු මුහුණත, DMZ ජාලයට සම්බන්ධ අතුරුමුහුණත් සඳහා කලාපයකි.

ඊළඟට, අපි අතථ්‍ය යන්ත්‍රය දියත් කරන්නෙමු, නමුත් ඔබට උපකාරක මෙවලම් තෝරාගෙන කර්මාන්තශාලා යළි පිහිටුවීමේ UTM සිදු කළ යුතු බව අත්පොතෙහි සඳහන් වුවද, ඔබට පෙනෙන පරිදි, ඇත්තේ එක් තේරීමක් පමණි (UTM පළමු ඇරඹුම). මෙම පියවරේදී, UTM ජාල ඇඩැප්ටර වින්‍යාස කර දෘඪ තැටි කොටසේ ප්‍රමාණය සම්පූර්ණ තැටි ප්‍රමාණයට වැඩි කරයි:

UserGate වෙබ් අතුරු මුහුණතට සම්බන්ධ වීමට, ඔබ කළමනාකරණ කලාපය හරහා ලොග් විය යුතුය; මෙය ස්වයංක්‍රීයව IP ලිපිනයක් (DHCP) ලබා ගැනීමට වින්‍යාස කර ඇති eth0 අතුරු මුහුණතේ වගකීම වේ. DHCP භාවිතයෙන් ස්වයංක්‍රීයව කළමනාකරණ අතුරුමුහුණත සඳහා ලිපිනයක් පැවරීමට නොහැකි නම්, එය CLI (විධාන රේඛා අතුරුමුහුණත) භාවිතයෙන් පැහැදිලිවම සැකසිය හැක. මෙය සිදු කිරීම සඳහා, ඔබ සම්පූර්ණ පරිපාලක අයිතිවාසිකම් සහිත පරිශීලක නාමයක් සහ මුරපදයක් භාවිතා කර CLI වෙත පිවිසිය යුතුය (පෙරනිමියෙන් ලොකු අකුරක් සහිත පරිපාලක). UserGate උපාංගය මූලික ආරම්භයට භාජනය වී නොමැති නම්, CLI වෙත ප්‍රවේශ වීමට ඔබ පරිපාලක පරිශීලක නාමය ලෙසත් utm මුරපදය ලෙසත් භාවිතා කළ යුතුය. සහ iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static වැනි විධානයක් ටයිප් කරන්න. පසුව අපි නිශ්චිත ලිපිනයෙහි UserGate වෙබ් කොන්සෝලය වෙත යන්නෙමු, එය මේ වගේ දෙයක් විය යුතුය: https://UserGateIPaddress:8001:

වෙබ් කොන්සෝලය තුළ අපි ස්ථාපනය දිගටම කරගෙන යන්නෙමු, අපි අතුරු මුහුණත භාෂාව (මේ මොහොතේ එය රුසියානු හෝ ඉංග්‍රීසි), කාල කලාපය තෝරාගත යුතුය, පසුව බලපත්‍ර ගිවිසුම කියවා එකඟ වන්න. වෙබ් කළමනාකරණ අතුරුමුහුණතට ලොග් වීමට පිවිසුම් සහ මුරපදය සකසන්න.

3. පිහිටුවීම

ස්ථාපනය කිරීමෙන් පසු, වේදිකා කළමනාකරණ වෙබ් අතුරු මුහුණත කවුළුව පෙනෙන්නේ මෙයයි:

එවිට ඔබට ජාල අතුරුමුහුණත් වින්‍යාසගත කළ යුතුය. මෙය සිදු කිරීම සඳහා, "අතුරුමුහුණත්" කොටසෙහි ඔබ ඒවා සක්රිය කළ යුතුය, නිවැරදි IP ලිපින සකස් කර සුදුසු කලාප පැවරිය යුතුය.

"අතුරුමුහුණත්" කොටස මඟින් පද්ධතියේ පවතින සියලුම භෞතික සහ අථත්ය අතුරුමුහුණත් පෙන්වයි, ඒවායේ සැකසුම් වෙනස් කිරීමට සහ VLAN අතුරුමුහුණත් එකතු කිරීමට ඔබට ඉඩ සලසයි. එය එක් එක් පොකුරු නෝඩයේ සියලුම අතුරුමුහුණත් පෙන්වයි. අතුරු මුහුණත් සැකසුම් එක් එක් නෝඩයට විශේෂිත වේ, එනම් ඒවා ගෝලීය නොවේ.

අතුරු මුහුණත් ගුණාංග තුළ:

• අතුරු මුහුණත සක්රිය හෝ අක්රිය කරන්න 

• අතුරුමුහුණත වර්ගය සඳහන් කරන්න - 3 වන ස්ථරය හෝ දර්පණය

• අතුරු මුහුණතකට කලාපයක් පවරන්න

• Netflow එකතුකරන්නා වෙත සංඛ්‍යාන දත්ත යැවීමට Netflow පැතිකඩක් පවරන්න

• අතුරු මුහුණතේ භෞතික පරාමිතීන් වෙනස් කරන්න - MAC ලිපිනය සහ MTU ප්රමාණය

• IP ලිපින පැවරුම් වර්ගය තෝරන්න - ලිපිනයක් නැත, ස්ථිතික IP ලිපිනයක් හෝ DHCP හරහා ලබා ගන්න

• තෝරාගත් අතුරු මුහුණත මත DHCP රිලේ වින්‍යාස කරන්න.

"එකතු කරන්න" බොත්තම ඔබට පහත ආකාරයේ තාර්කික අතුරුමුහුණත් එකතු කිරීමට ඉඩ දෙයි:

• VLANs

• බැඳුම්කරය

• පාලම

• PPPoE

• අතාත්වික පෞද්ගලික ජාලය

• උමග

යූසර්ගේට් රූපය නැව්ගත කරන කලින් ලැයිස්තුගත කර ඇති කලාපවලට අමතරව, තවත් පූර්ව නිශ්චිත වර්ග තුනක් තිබේ:

පොකුරු - පොකුරු මෙහෙයුම සඳහා භාවිතා කරන අතුරුමුහුණත් සඳහා කලාපය

වෙබ් අඩවියෙන් අඩවියට VPN - VPN හරහා UserGate වෙත සම්බන්ධ සියලුම කාර්යාල-කාර්යාල සේවාලාභීන් ස්ථානගත කර ඇති කලාපයකි.

VPN දුරස්ථ ප්‍රවේශය සඳහා VPN - VPN හරහා UserGate වෙත සම්බන්ධ සියලුම ජංගම පරිශීලකයින් ඇතුළත් කලාපයකි

UserGate පරිපාලකයින්ට පෙරනිමි කලාපවල සැකසුම් වෙනස් කිරීමට සහ අමතර කලාප සෑදිය හැක, නමුත් 5 අනුවාදයේ අත්පොතෙහි දක්වා ඇති පරිදි, උපරිම කලාප 15 ක් සෑදිය හැකිය. ඒවා වෙනස් කිරීමට හෝ නිර්මාණය කිරීමට, ඔබ කලාප අංශයට යා යුතුය. එක් එක් කලාපය සඳහා, ඔබට පැකට් පහත වැටීමේ සීමාවක් සැකසිය හැක; SYN, UDP, ICMP සහය දක්වයි. Usergate සේවාවන් වෙත ප්‍රවේශ පාලනය ද වින්‍යාස කර ඇති අතර, වංචාවට එරෙහිව ආරක්ෂාව සබල කර ඇත.

අතුරුමුහුණත් වින්‍යාස කිරීමෙන් පසු, ඔබට "ගේට්වේස්" කොටසේ පෙරනිමි මාර්ගය වින්‍යාසගත කළ යුතුය. එම. UserGate අන්තර්ජාලයට සම්බන්ධ කිරීම සඳහා, ඔබ ද්වාර එකක හෝ වැඩි ගණනක IP ලිපිනය සඳහන් කළ යුතුය. අන්තර්ජාලයට සම්බන්ධ වීමට ඔබ සපයන්නන් කිහිපයක් භාවිතා කරන්නේ නම්, ඔබ ද්වාර කිහිපයක් සඳහන් කළ යුතුය. එක් එක් පොකුරු නෝඩය සඳහා ද්වාර වින්‍යාසය අනන්‍ය වේ. ද්වාර දෙකක් හෝ වැඩි ගණනක් සඳහන් කර ඇත්නම්, විකල්ප 2ක් හැකි ය:

1. ගේට්වේ අතර ගමනාගමනය තුලනය කිරීම.

2. අමතර එකකට මාරුවීම සමඟ ප්‍රධාන ද්වාරය.

ද්වාර තත්ත්වය (තිබේ - කොළ, නොමැති - රතු) පහත පරිදි තීරණය වේ:

1. ජාල පරීක්ෂා කිරීම අක්‍රිය කර ඇත - ARP ඉල්ලීමක් භාවිතයෙන් UserGate හට එහි MAC ලිපිනය ලබා ගත හැකි නම් ද්වාරයකට ප්‍රවේශ විය හැකි යැයි සැලකේ. මෙම ද්වාරය හරහා අන්තර්ජාල ප්‍රවේශය සඳහා පරීක්ෂාවක් නොමැත. ද්වාරයෙහි MAC ලිපිනය තීරණය කළ නොහැකි නම්, ද්වාරය වෙත ළඟා විය නොහැකි ලෙස සලකනු ලැබේ.

2. ජාල පරීක්ෂා කිරීම සක්‍රීය කර ඇත - ද්වාරයට ප්‍රවේශ විය හැකි නම්:

• UserGate හට ARP ඉල්ලීමක් භාවිතයෙන් එහි MAC ලිපිනය ලබාගත හැක.

• මෙම ද්වාරය හරහා අන්තර්ජාල ප්‍රවේශය සඳහා පරීක්ෂා කිරීම සාර්ථකව නිම කරන ලදී.

එසේ නොමැති නම්, ද්වාරය නොමැති බව සලකනු ලැබේ.

"DNS" කොටසේ ඔබ UserGate භාවිතා කරන DNS සේවාදායකයන් එක් කළ යුතුය. මෙම සැකසුම පද්ධති DNS සේවාදායක ප්‍රදේශයේ දක්වා ඇත. පහත දැක්වෙන්නේ පරිශීලකයින්ගෙන් DNS ඉල්ලීම් කළමනාකරණය කිරීම සඳහා වන සැකසුම් ය. UserGate ඔබට DNS ප්‍රොක්සියක් භාවිතා කිරීමට ඉඩ සලසයි. DNS ප්‍රොක්සි සේවාව මඟින් පරිශීලකයන්ගෙන් DNS ඉල්ලීම්වලට බාධා කිරීමට සහ පරිපාලකගේ අවශ්‍යතා අනුව ඒවා වෙනස් කිරීමට ඉඩ සලසයි. DNS ප්‍රොක්සි රීති විශේෂිත වසම් සඳහා වන ඉල්ලීම් ඉදිරිපත් කරන DNS සේවාදායකයන් සඳහන් කිරීමට භාවිතා කළ හැක. ඊට අමතරව, DNS ප්‍රොක්සියක් භාවිතයෙන්, ඔබට ධාරක වර්ගයේ (A වාර්තාවක්) ස්ථිතික වාර්තා සැකසිය හැක.

"NAT සහ Routing" කොටසේ ඔබට අවශ්‍ය NAT නීති නිර්මාණය කළ යුතුය. විශ්වාසදායක ජාලයේ පරිශීලකයින් විසින් අන්තර්ජාලයට ප්‍රවේශ වීම සඳහා, NAT රීතිය දැනටමත් නිර්මාණය කර ඇත - "විශ්වාසවන්ත-> විශ්වාස නොකළ", ඉතිරිව ඇත්තේ එය සක්‍රීය කිරීම පමණි. කොන්සෝලයේ ලැයිස්තුගත කර ඇති අනුපිළිවෙලෙහි ඉහළ සිට පහළට රීති යොදනු ලැබේ. රීතියේ දක්වා ඇති කොන්දේසි සැමවිටම ක්‍රියාත්මක වන පළමු රීතිය පමණි. රීතිය ක්‍රියාත්මක වීමට නම්, රීති පරාමිතිවල දක්වා ඇති සියලුම කොන්දේසි ගැලපිය යුතුය. UserGate විසින් සාමාන්‍ය NAT රීති නිර්මාණය කිරීම නිර්දේශ කරයි, උදාහරණයක් ලෙස, දේශීය ජාලයකින් (සාමාන්‍යයෙන් විශ්වාසනීය කලාපයක්) අන්තර්ජාලයට (සාමාන්‍යයෙන් විශ්වාස නොකළ කලාපයක්) NAT රීතියක් සහ ෆයර්වෝල් රීති භාවිතයෙන් පරිශීලකයින්, සේවා සහ යෙදුම් වෙත ප්‍රවේශය සීමා කිරීම.

DNAT නීති, වරාය ඉදිරියට යැවීම, ප්‍රතිපත්ති මත පදනම් වූ මාර්ගගත කිරීම, ජාල සිතියම්ගත කිරීම වැනි දේ නිර්මාණය කිරීමට ද හැකිය.

මෙයින් පසු, "ෆයර්වෝල්" කොටසේ ඔබ ෆයර්වෝල් නීති නිර්මාණය කළ යුතුය. විශ්වාසදායී ජාලය භාවිතා කරන්නන් සඳහා අන්තර්ජාලයට අසීමිත ප්‍රවේශය සඳහා, ෆයර්වෝල් රීතියක් ද දැනටමත් නිර්මාණය කර ඇත - "විශ්වාසවන්තයින් සඳහා අන්තර්ජාලය" සහ සක්‍රීය කළ යුතුය. ෆයර්වෝල් රීති භාවිතා කරමින්, පරිපාලකයාට UserGate හරහා ගමන් කරන ඕනෑම ආකාරයක සංක්‍රමණ ජාල ගමනාගමනයකට ඉඩ දීමට හෝ ප්‍රතික්ෂේප කිරීමට හැකිය. රීති කොන්දේසි වලට කලාප සහ මූලාශ්‍ර/ගමනාන්ත IP ලිපින, පරිශීලකයින් සහ කණ්ඩායම්, සේවා සහ යෙදුම් ඇතුළත් විය හැක. නීති "NAT සහ Routing" කොටසේ ඇති ආකාරයටම අදාළ වේ, i.e. ඉහළ සිට පහළට. නීති කිසිවක් නිර්මාණය කර නොමැති නම්, UserGate හරහා ඕනෑම සංක්‍රමණ ගමනාගමනය තහනම් වේ.

4. නිගමනය

මෙය ලිපිය අවසන් කරයි. අපි UserGate ෆයර්වෝලය අතථ්‍ය යන්ත්‍රයක ස්ථාපනය කර විශ්වාසදායී ජාලයේ අන්තර්ජාලයට වැඩ කිරීමට අවශ්‍ය අවම සැකසුම් සකස් කළෙමු. අපි ඊළඟ ලිපිවල තවදුරටත් වින්‍යාස කිරීම සලකා බලමු.

අපගේ නාලිකා වල යාවත්කාලීන සඳහා රැඳී සිටින්න (විදුලි පණිවුඩ, ෆේස්බුක්, VK, TS විසඳුම් බ්ලොගය)!

මූලාශ්රය: www.habr.com