2. Bilaabidda UserGate. Shuruudaha, rakibidda

Hello, tani waa maqaalkii labaad ee ku saabsan xalka NGFW ee shirkadda UserGate. Ujeedada maqaalkani waa in la tuso sida loo rakibo UserGate firewall ee nidaamka farsamada (waxaan isticmaali doonaa VMware Workstation software virtualization) oo aan sameeyo qaabeynteeda bilowga ah (u ogolow marinka shabakada maxaliga ah iyada oo loo marayo albaabka UserGate ee internetka).   

1. Horudhac

Si aan u bilaabo, waxaan sharxi doonaa siyaabaha kala duwan ee loo hirgeliyo albaabkan shabakadda. Waxaan jeclaan lahaa in aan ogaado in ay ku xiran tahay xulashada isku xirka la doortay, shaqeynta albaabka laga yaabo in aan la heli karin. Xalka UserGate wuxuu taageeraa hababka isku xirka ee soo socda: 

• L3-L7 firewall

• L2 buundada hufan

• L3 buundada hufan

• Dhab ahaantii farqiga u dhexeeya, adoo isticmaalaya borotokoolka WCCP

• Dhab ahaantii farqiga u dhexeeya, iyadoo la adeegsanayo Nidaamka Ku-saleysan Dariiqa

• Router on a stick

• Wakiil WEB ah oo si cad loo cayimay

• UserGate sida albaabka caadiga ah

• Kormeerka dekedda muraayadda

UserGate waxay taageertaa 2 nooc oo kooxo ah:

1. Habaynta kooxda Nodes-ka la isku daray koox-qaabayn ayaa ilaalinaysa dejinta joogtada ah ee kutlada oo dhan.

2. Kooxda fashilantay. Ilaa 4 qanjidhada qaabeynta ayaa lagu dari karaa koox guuldaraystay oo taageerta hawlgalka qaabka Firfircoon ama Active-Passive. Waa suurtogal in la isu keeno dhawr kooxood oo guuldarraystay.

2. Rakibaadda

Sida ku xusan maqaalkii hore, UserGate waxaa loo soo bandhigay sidii qalab iyo xirmo software ama waxaa la geeyaa jawi macmal ah. Laga soo bilaabo akoonkaaga gaarka ah ee shabakada UserGate soo deji sawirka OVF (Qaabka Virtualization Furan), qaabkani wuxuu ku habboon yahay iibiyeyaasha VMWare iyo Oracle Virtualbox. Sawirada saxanka mashiinka Virtual waxaa la siiyaa Microsoft Hyper-v iyo KVM.

Sida laga soo xigtay website-ka UserGate, mashiinka farsamada gacanta si uu si sax ah u shaqeeyo, waxaa lagula talinayaa in la isticmaalo ugu yaraan 8Gb ee RAM iyo processor 2-core ah. Hypervisor-ku waa inuu taageeraa nidaamyada hawlgalka ee 64-bit.

Rakibadu waxay ku bilaabataa iyada oo la soo dejinayo sawirka hypervisor-ka la doortay (VirtualBox iyo VMWare). Xaaladda Microsoft Hyper-v iyo KVM, waxaad u baahan tahay inaad abuurto mashiinka farsamada oo aad u qeexdo sawirka la soo dejiyey sida disk-ka, ka dibna jooji adeegyada isdhexgalka ee goobaha mashiinka farsamada ee la abuuray.

Sida caadiga ah, ka dib markii la soo geliyo VMWare, mashiinka farsamada ayaa la abuurayaa goobaha soo socda:

Sida kor ku qoran, waa in uu jiraa ugu yaraan 8Gb oo RAM ah oo ay kuu dheer tahay inaad ku darto 1Gb 100 kasta oo isticmaale ah. Cabbirka darawalka adag ee caadiga ah waa 100Gb, laakiin tani inta badan kuma filna in la kaydiyo dhammaan diiwaannada iyo dejinta. Cabbirka lagu taliyey waa 300Gb ama ka badan. Sidaa darteed, sifooyinka mashiinka farsamada, waxaan u beddelnaa cabbirka diskka midka la rabo. Markii hore, UserGate Virtual UTM waxay la socotaa afar is-dhexgal oo loo qoondeeyay aagagga:

Maareynta - interface-ka ugu horreeya ee mashiinka farsamada, aag loogu talagalay isku xirka shabakadaha la aamini karo kaas oo maamulka UserGate laga oggol yahay.

Kalsoonidu waa isku xirka labaad ee mashiinka farsamada, aag loogu talagalay isku xirka shabakadaha la aamini karo, tusaale ahaan, shabakadaha LAN.

Untrusted waa isku xirka saddexaad ee mashiinka farsamada, aag loogu talagalay isdhexgalka shabakadaha aan la aamini karin, tusaale ahaan, internetka.

DMZ waa interface afaraad ee mashiinka farsamada, aag loogu talagalay isdhexgalka ku xiran shabakada DMZ.

Marka xigta, waxaan bilaabeynaa mashiinka farsamada, inkasta oo buuggu leeyahay waxaad u baahan tahay inaad doorato Qalabka Taageerada oo aad sameyso UTM dib u habeynta warshadda, laakiin sida aad arki karto, waxaa jira hal doorasho oo keliya (UTM First Boot). Inta lagu jiro tillaabadan, UTM waxay habaysaa adaabiyeyaasha shabakadda waxayna kordhisaa cabbirka qaybta darawalka adag ilaa cabbirka diskka oo dhan:

Si aad ugu xidhidhiyaha shabakada UserGate, waa in aad ka soo gashaa aaga maamulka, tani waa masuuliyada interface eth0, kaas oo loo habeeyey in uu helo ciwaanka IP si toos ah (DHCP). Haddii aysan suurtagal ahayn in cinwaanka maamulka loo qoondeeyo si toos ah iyadoo la isticmaalayo DHCP, markaas si cad ayaa loo dejin karaa iyadoo la isticmaalayo CLI (Command Line Interface). Si tan loo sameeyo, waxaad u baahan tahay inaad gasho CLI adoo isticmaalaya magac isticmaale iyo erayga sirta ah oo leh xuquuqaha maamulaha oo buuxa (Maamulka xarafka weyn ee default). Haddii aaladda UserGate aan la marin bilowga hore, ka dib si aad u gasho CLI waa inaad u isticmaashaa Admin sida isticmaaleha iyo utm ahaan erayga sirta ah. Oo ku qor amar sida iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Ka dib waxaan tagnaa Console webka UserGate ee ciwaanka la cayimay, waa inay u ekaataa sidan: https://UserGateIPaddress:8001:

Qalabka shabakada waxaan sii wadeynaa rakibidda, waxaan u baahanahay inaan doorano luqadda isdhexgalka (hadda waa Ruush ama Ingiriisi), aagga waqtiga, ka dibna akhri oo ku heshiin heshiiska shatiga. Deji gelida iyo erayga sirta ah si aad u gasho isdhexgalka maamulka shabakada

3. Dejinta

Ka dib markii la rakibo, kani waa waxa uu u eg yahay daaqada maaraynta madal web interface:

Markaa waxaad u baahan tahay inaad habayso interneedka shabakada. Si tan loo sameeyo, qaybta "Interfaces" waxaad u baahan tahay inaad awood u yeelatid, dejiso cinwaannada IP-ga ee saxda ah oo ku meelee aagagga ku habboon.

Qaybta "Interfaces" waxay soo bandhigaysaa dhammaan muuqaalada muuqaalka iyo muuqaalka ah ee laga heli karo nidaamka, waxay kuu ogolaaneysaa inaad bedesho goobahooda oo aad ku darto is-dhexgalka VLAN. Waxa kale oo ay tusinaysaa dhammaan is-dhex galka noodhka koox kasta. Dejinta interface-ka ayaa gaar u ah nood kasta, taas oo ah, maaha kuwo caalami ah.

Guryaha interface:

• Daar ama dami interface-ka 

• Sheeg nooca interface-Lakabka 3 ama Muraayada

• U qoondee aag interface interface

• U qoondee profile Netflow si aad ugu dirto xogta xisaabiyaha ururiyaha Netflow

• Beddel cabbirrada jireed ee is-dhexgalka - cinwaanka MAC iyo cabbirka MTU

• Dooro nooca ciwaanka IP-ga ee meelaynta - ma jiro ciwaan, ciwaanka IP ee taagan ama laga helay DHCP

• Ku hagaaji isku-gudbinta DHCP ee interface-ka la doortay.

Badhanka "Add" wuxuu kuu ogolaanayaa inaad ku darto noocyada soo socda ee is-dhexgalka macquulka ah:

• VLANs

• Bond

• Bridge

• PPPoE

• VPN

• Tunnel

Marka lagu daro aagagga hore loo taxay ee uu sawirka Usergate la soo raro, waxa jira saddex nooc oo horudhac ah:

Kutlada - aagga is-dhexgalka loo isticmaalo hawlgalka kooxdu

VPN for Site-to-Site - aag ay ku jiraan dhammaan macaamiisha Xafiiska-Office ee ku xiran UserGate iyada oo loo marayo VPN la dhigo

VPN si aad u hesho meel fog - aag ay ku jiraan dhammaan isticmaalayaasha mobilada ee ku xidhan UserGate iyada oo loo marayo VPN

Maamulayaasha UserGate waxay bedeli karaan goobaha aagagga caadiga ah waxayna sidoo kale abuuri karaan aagag dheeraad ah, laakiin sida lagu sheegay buug-gacmeedka 5, ugu badnaan 15 aag ayaa la abuuri karaa. Si aad u bedesho ama u abuurto, waxaad u baahan tahay inaad tagto qaybta aagga. Aag kasta, waxaad dejin kartaa xadka baakidhka; SYN, UDP, ICMP waa la taageeray. Xakamaynta gelitaanka adeegyada Usergate sidoo kale waa la habeeyey, iyo ilaalinta ka hortagga qashin-qubka waa la dajiyay.

Ka dib markii la habeeyo is-dhexgalka, waxaad u baahan tahay inaad dejiso dariiqa caadiga ah ee qaybta "Gateways". Kuwaas. Si aad ugu xidhid UserGate interneedka, waa in aad sheegtaa ciwaanka IP-ga ee hal ama dhawr albaab Haddii aad isticmaasho bixiyeyaal dhowr ah si aad ugu xirto internetka, waa inaad qeexdaa dhowr albaab. Qaabaynta albaabku waa mid gaar u ah noodhka koox kasta. Haddii laba albaab ama in ka badan la cayimo, 2 doorasho ayaa suurtogal ah:

1. Isku-dheellitirka gaadiidka u dhexeeya albaabbada.

2. Kadinka weyn ee leh u beddelashada mid firaaqo ah.

Heerka albaabka (la heli karo - cagaar, aan la heli karin - casaan) waxaa loo go'aamiyaa sida soo socota:

1. Hubinta shabakadu waa naafo - albaabka waxaa loo arkaa mid la heli karo haddii UserGate uu heli karo ciwaankiisa MAC isagoo isticmaalaya codsi ARP. Ma jiro wax hubin ah oo ku saabsan gelitaanka internetka ee albaabkan. Haddii ciwaanka MAC ee gateway aan la go'aamin karin, kadinka waxaa loo arkaa mid aan la gaari karin.

2. Hubinta shabakada waa la dajiyay - kadinka waxaa loo arkaa mid la heli karo haddii:

• UserGate waxay ku heli kartaa ciwaanka MAC iyadoo la isticmaalayo codsi ARP.

• Jeegaga gelitaanka intarneedka ee kadinkan ayaa si guul leh u dhamaaday.

Haddii kale, kadinka waxaa loo arkaa mid aan la heli karin.

Qaybta "DNS" waxaad u baahan tahay inaad ku darto server-yada DNS ee UserGate isticmaali doono. Goobtan waxa lagu cayimay aagga Servers-ka ee System DNS. Hoos waxaa ah habayn lagu maamulayo codsiyada DNS ee isticmaalayaasha. UserGate wuxuu kuu ogolaanayaa inaad isticmaasho wakiilka DNS. Adeegga wakiillada DNS wuxuu kuu oggolaanayaa inaad farageliso codsiyada DNS ee isticmaaleyaasha oo aad bedesho iyadoo ku xiran baahida maamulaha. Xeerarka wakiillada DNS waxaa loo isticmaali karaa in lagu qeexo server-yada DNS kuwaas oo codsiyada goobo gaar ah loo gudbiyo. Intaa waxaa dheer, adigoo isticmaalaya wakiil DNS ah, waxaad dejin kartaa diiwaannada saxda ah ee nooca martida loo yahay (Rikoodhka A).

Qaybta "NAT iyo Routing" waxaad u baahan tahay inaad abuurto xeerarka NAT ee lagama maarmaanka ah. Helitaanka internetka ee isticmaalayaasha shabakadaha la aamini karo, xeerka NAT ayaa horay loo abuuray - "Trusted->Aan la aamini karin", waxa hadhay oo dhan waa in la awoodsiiyo. Xeerarka waxaa laga dabaqaa kor ilaa hoos sida ay ugu qoran yihiin console-ka. Kaliya sharciga ugu horreeya kaas oo shuruudaha lagu qeexay xeerka u dhigma had iyo jeer la fuliyo. Si xeerka loo kiciyo, dhammaan shuruudaha lagu qeexay xeer-beegtida waa inay iswaafaqaan. UserGate waxay ku talinaysaa abuurista shuruuc guud oo NAT ah, tusaale ahaan, xeerka NAT ee ka imanaya shabakad maxalli ah (badanaa aag la aamini karo) ilaa intarneedka (sida caadiga ah aag aan la aamini karin), iyo xaddidida gelitaanka isticmaalayaasha, adeegyada, iyo codsiyada isticmaalaya xeerarka firewall.

Waxa kale oo suurtogal ah in la abuuro xeerar DNAT ah, gudbinta dekedaha, habayn siyaasad ku salaysan, khariidad shabakadeed.

Taas ka dib, qaybta "Firewall" waxaad u baahan tahay inaad abuurto xeerarka dab-damiska. Helitaanka internetka ee aan xadidnayn ee isticmaalayaasha shabakada la aamini karo, waxaa sidoo kale mar hore la sameeyay xeerka firewall - "Internet for Trusted" waana in la furo. Adeegsiga xeerarka dab-damiska, maamuluhu waxa uu oggolaan karaa ama diidi karaa nooc kasta oo ka mid ah taraafikada shabakadda taraafikada ee dhexmarta UserGate. Shuruudaha qaanuunka waxaa ka mid noqon kara aagagga iyo isha/adeegyada IP-ga, isticmaalayaasha iyo kooxaha, adeegyada iyo codsiyada. Sharciyadu waxay khuseeyaan si la mid ah qaybta "NAT and Routing", i.e. kor hoos. Haddii aan wax sharci ah la abuurin, markaa wixii taraafikada ah ee isticmaala UserGate waa mamnuuc.

4. Gunaanad

Tani waxay ku soo gabagabaynaysaa maqaalka. Waxaan ku rakibnay UserGate firewall-ka mashiinka farsamada waxaanan samaynay goobaha ugu yar ee lagama maarmaanka u ah internetka si uu uga shaqeeyo shabakada la aamini karo. Waxaan ka fiirsan doonaa qaabeynta dheeraad ah ee maqaallada soo socda.

la soco wixii ku soo kordha kanaaladayada (telegraam, Facebook, VK, TS Solution Blog)!

Source: www.habr.com