Waxaan akhristayaasha ku soo dhawaynayaa maqaalka saddexaad ee taxanaha maqaalka UserGate Bilaabida, kaas oo ka hadlaya xalka NGFW ee shirkadda . Maqaalkii ugu dambeeyay, habka loo rakibo dab-damiska ayaa lagu sifeeyay oo qaabeyntiisii ββhore ayaa la sameeyay. Hadda, waxaan si dhow u eegi doonaa abuurista xeerar qaybaha sida Firewall, NAT iyo Routing, iyo Bandwidth.
Fikradda Xeerarka UserGate, sida in xeerarka lagu fuliyo kor ilaa hoos, ilaa kan ugu horreeya ee shaqeeya. Iyada oo ku saleysan kor ku xusan, waxay soo socotaa in xeerar gaar ah ay tahay inay ka sarreeyaan xeerar guud oo badan. Laakiin waa in la ogaadaa, maadaama sharciyada loo eegayo siday u kala horreeyaan, way ka fiican tahay xagga waxqabadka si loo abuuro xeerar guud. Marka la abuurayo xeer kasta, shuruudaha waxaa lagu dabaqaa si waafaqsan macquulka "IYO". Haddii ay lagama maarmaan tahay in la isticmaalo macquulka "OR", ka dibna tan waxaa lagu gaaraa iyada oo la abuurayo xeerar dhowr ah. Markaa waxa lagu sifeeyay maqaalkan sidoo kale waxay khuseeyaan siyaasadaha kale ee UserGate.
Firewall
Ka dib markii la rakibo UserGate, waxaa horeyba u jiray siyaasad fudud qaybta "Firewall". Labada xeer ee ugu horreeya waxay mamnuucayaan taraafikada botnets. Kuwa soo socdaa waa tusaalayaal sharciyada gelitaanka ee aagag kala duwan. Xeerka ugu dambeeya waxaa had iyo jeer loo yaqaan "Block all" waxaana lagu calaamadeeyay calaamad quful (macnaheedu waa in xeerka aan la tirtiri karin, wax laga beddeli karin, la dhaqaajin karin, la joojin karin, waxaa kaliya oo loo suurtagelin karaa ikhtiyaarka diiwaangelinta). Markaa, qaanuunkan dartiis, dhammaan taraafikada aan si cad loo oggolayn waxaa xannibi doona xeerka u dambeeya. Haddii aad rabto inaad u ogolaato dhammaan taraafikada isticmaalaha isticmaalaha (inkasta oo tani si adag loo niyad jabiyay), waxaad had iyo jeer abuuri kartaa qaanuunka ciqaabta "Allow All".
Marka tafatirka ama samaynta xeerka firewall, ugu horreeya Tab guud, waxaad u baahan tahay inaad sameyso waxyaabaha soo socda:
-
Sanduuqa calaamada "On" karti ama dami xeerka.
-
geli magaca xeerka.
-
deji qeexida xeerka.
-
ka dooro laba fal:
-
Diid - waxay xannibtaa socodka (marka aad dejinayso xaaladdan, waa suurtagal in loo diro ICMP martigeliyaha aan la gaari karin, kaliya waxaad u baahan tahay inaad dejiso sanduuqa hubinta ee habboon).
-
Oggolow - ogolaada gaadiidka
-
-
Shayga Scenario - wuxuu kuu ogolaanayaa inaad doorato xaalad, taas oo ah xaalad dheeraad ah oo loogu talagalay qaanuunka si uu u dabco. Tani waa sida UserGate u fuliso fikradda SOAR (Orchestration Security, Automation and Response).
-
Gelida - ku qor macluumaadka ku saabsan taraafikada galka marka qaanuunka la kiciyo. Doorashooyinka suurtagalka ah:
-
Geli bilawga fadhiga Xaaladdan oo kale, kaliya macluumaadka ku saabsan bilowga fadhiga (xirmada ugu horreysa) ayaa loo qori doonaa loggia taraafigga. Tani waa ikhtiyaarka wax-gaynta lagu taliyay.
-
Geli baakidh kasta. Xaaladdan oo kale, macluumaadka ku saabsan xirmo kasta oo shabakadaha la gudbiyo waa la duubayaa. Habkan, waxaa lagu talinayaa in la awoodo xadka gaynta si looga hortago culeyska qalabka sare.
-
-
Ku dabaq sharciga:
-
Dhammaan baakadaha
-
ilaa baakado la jajabiyey
-
baakado aan kala go' lahayn
-
-
Markaad abuureyso xeer cusub, waxaad dooran kartaa meel siyaasadda ah.
Marka xigta Source tab. Halkan waxaan ku muujineynaa isha taraafikada, waxay noqon kartaa aagga uu taraafku ka yimaado, ama waxaad cayimi kartaa liis ama cinwaan gaar ah (Geoip). Ku dhawaad ββdhammaan sharciyada lagu dhejin karo qalabka, shay ayaa laga abuuri karaa qaanuun, tusaale ahaan, adigoon tagin qaybta "Zones", waxaad isticmaali kartaa badhanka "Abuur oo ku dar shay cusub" si aad u abuurto aagga. waxaan u baahanahay. Sanduuqa hubinta "Invert" ayaa sidoo kale inta badan la helaa, waxay ka noqotaa ficilka xaaladda qaanuunka, taas oo la mid ah diidmada ficilka macquulka ah. Meesha Tab oo la mid ah isha isha, laakiin halkii laga heli lahaa isha taraafikada, waxaan dejineynaa meesha taraafikada. Isticmaalayaasha tab - meeshan waxaad ku dari kartaa liiska isticmaalayaasha ama kooxaha uu sharcigani khuseeyo. Tab adeeg - ka dooro nooca adeegga kan hore loo sii qeexay ama waxaad samayn kartaa adigu. Codsiga tab - codsiyo gaar ah ama kooxaha codsiyada ayaa halkan lagu doortay. IYO Waqtiga tab sheeg wakhtiga uu xeerkani shaqaynayo.
Tan iyo casharkii ugu dambeeyay, waxaan leenahay sharci ka soo galitaanka internetka ee aagga "Trust", hadda waxaan ku tusi doonaa tusaale ahaan sida loo sameeyo xeer diidmo oo loogu talagalay taraafikada ICMP ee aagga "Trust" ilaa aagga "Aan la aamini karin".
Marka hore, samee xeer adigoo gujinaya badhanka "Add". Daaqadda furmo, tabka guud, ku buuxi magaca (Ka xaddid ICMP ka la aamminsan yahay iyo kuwa aan la aamini karin), calaamee sanduuqa hubinta "On", dooro ficilka gab, iyo, tan ugu muhiimsan, si sax ah u dooro goobta qaanuunkan. Marka loo eego siyaasaddaydu, xeerkan waa in laga dhigaa meel ka sarraysa xeerka "Allow la aamini karo oo aan la aamini karin"
Tabka "Source" ee hawshayda, waxaa jira laba ikhtiyaar:
-
Adigoo dooranaya aagga "Aamminsan".
-
Adoo dooranaya dhammaan aagagga marka laga reebo "Trusted" oo saxna sanduuqa "rogid".
Destination tab waxa loo habeeyey si la mid ah tab isha.
Marka xigta, u gudub tab "Adeeg", maadaama UserGate uu leeyahay adeeg horay loo sii qeexay oo loogu talagalay taraafikada ICMP, ka dib adigoo gujinaya "Ku dar", waxaan ka dooraneynaa adeeg leh magaca "ICMP kasta" liiska la soo jeediyay:
Waxaa laga yaabaa in tani ay tahay ujeeddada abuurayaasha UserGate, laakiin waxaan ku guuleystey inaan abuuro dhowr xeer oo isku mid ah. Inkasta oo kaliya sharciga ugu horreeya ee liiska la fulin doono, waxaan u maleynayaa in awoodda lagu abuuro xeerar leh magac isku mid ah oo ka duwan shaqada waxay keeni kartaa jahawareer marka dhowr maamulayaal qalab ah ay shaqeeyaan.
NAT iyo habaynta
Marka la abuurayo xeerarka NAT, waxaan aragnaa dhowr tabs oo la mid ah, sida firewall-ka. Goobta "Nooca" waxay ka soo muuqatay tab "Guud", waxay kuu ogolaanaysaa inaad doorato waxa sharcigani masuul ka noqon doono:
-
NAT - Turjumaada Ciwaanka Shabakadda.
-
DNAT - Waxay u jihaysaa taraafikada ciwaanka IP-ga ee la cayimay.
-
Soo gudbinta dekeda - Waxay u jihaysaa taraafikada ciwaanka IP-ga ee la cayimay, laakiin waxay kuu ogolaanaysaa inaad beddesho lambarka dekeda ee adeega la daabacay
-
Dariiqa siyaasada ku saleysan - Waxay kuu ogolaaneysaa inaad marin u sameyso xirmooyinka IP iyadoo lagu salaynayo macluumaadka la dheereeyay, sida adeegyada, cinwaanada MAC, ama adeegayaasha (cinwaanada IP).
-
Khariidaynta Shabakadda - Waxay kuu oggolaanaysaa inaad ku beddesho ciwaannada IP-ga isha ama meesha loo socdo shabakad kale.
Ka dib marka la doorto nooca qaanuunka ku habboon, dejimaha loogu talagalay ayaa diyaar noqon doona.
Gudaha SNAT IP (cinwaanka dibadda), waxaan si cad u qeexnaa cinwaanka IP-ga kaas oo ciwaanka isha lagu beddeli doono. Goobtan ayaa loo baahan yahay haddii ay jiraan cinwaano badan oo IP ah oo loo qoondeeyay is-dhexgalka aagga loo socdo. Haddii aad ka tagto goobtan faaruq ah, nidaamku wuxuu isticmaali doonaa cinwaan random ah oo ka mid ah liiska cinwaannada IP-ga ee la heli karo ee loo qoondeeyay is-dhexgalka aaga aad u socoto. UserGate waxay ku talinaysaa in la cayimo SNAT IP si loo horumariyo waxqabadka dab-damiska.
Tusaale ahaan, waxaan daabici doonaa adeegga SSH ee server-ka Windows ee ku yaal aagga "DMZ" anigoo isticmaalaya xeerka "dekedda-wareejinta". Si tan loo sameeyo, dhagsii badhanka "Ku dar" oo buuxi "General" tab, sheeg magaca qaanuunka "SSH ilaa Windows" iyo nooca "Port soo gudbinta":
Tabka "Isha", dooro aagga "Untrusted" oo aad tab "Port forwarding". Halkan waa inaan ku qeexnaa borotokoolka "TCP" (afar doorasho ayaa diyaar ah - TCP, UDP, SMTP, SMTPS). Dekadda meesha asalka ah 9922 - lambarka dekedda ay isticmaalayaashu u soo diraan codsiyada (dekedaha: 2200, 8001, 4369, 9000-9100 lama isticmaali karo). Dekedda cusub ee loo socdo (22) waa lambarka dekedda kaas oo adeegsaduhu ka codsado serfarka la daabacay loo gudbin doono.
Tabka "DNAT", ku dheji ip-cinwaanka kombiyuutarka ee shabakada degaanka, kaas oo lagu daabacay internetka (192.168.3.2). Waxaadna si ikhtiyaari ah awood u siin kartaa SNAT, ka dib UserGate waxay bedeli doontaa ciwaanka isha ee xirmooyinka shabakada dibadda una beddelo ciwaanka IP-ga.
Dhammaan goobaha ka dib, sharci ayaa la helayaa kaas oo u oggolaanaya gelitaanka aagga "Aan la aamini karin" ee server-ka leh ip-address 192.168.3.2 iyada oo loo marayo borotokoolka SSH, iyada oo la adeegsanayo cinwaanka UserGate dibadda marka la isku xidho.
Bandwidth
Qaybtani waxay qeexaysaa xeerarka xakamaynta xajinta. Waxaa loo isticmaali karaa in lagu xaddido kanaalka isticmaaleyaasha qaarkood, martigeliyayaasha, adeegyada, codsiyada.
Marka la abuurayo qaanuun, shuruudaha tabsku waxay go'aamiyaan taraafikada xayiraadaha lagu dabaqo. Xadhkaha xadhkaha goosha waxa laga dooran karaa kuwa la soo jeediyay, ama samee adiga kuu gaar ah. Markaad abuurayso xadhkaha xadhkaha goosha, waxaad cayimi kartaa calaamada kala hormarinta taraafikada ee DSCP. Tusaale ahaan marka summadaha DSCP lagu dabaqo: iyadoo lagu qeexo qaanuunka qaabka muuqaalkan lagu dabaqay, markaas xeerkani wuxuu si toos ah u beddeli karaa sumadahan. Tusaale kale oo ku saabsan sida qoraalku u shaqeeyo: sharcigu wuxuu u shaqayn doonaa isticmaalaha kaliya marka daad la ogaado ama tirada taraafikada ay dhaafto xadka la cayimay. Tabaha haray waxaa loo buuxiyaa si la mid ah siyaasadaha kale, iyadoo lagu saleynayo nooca taraafikada ee sharciga lagu dabaqayo.
gunaanad
Maqaalkan, waxaan daboolay abuurista xeerar ku jira Firewall, NAT iyo Routing, iyo qaybaha bandwidth. Iyo bilowgii ugu horeysay ee maqaalka, wuxuu qeexay xeerarka abuurista siyaasadaha UserGate, iyo sidoo kale mabda'a shuruudaha marka la abuurayo xeer.
la soco wixii ku soo kordha kanaaladayada (, , , )!
Source: www.habr.com