Lumela, ena ke sehlooho sa bobeli se buang ka tharollo ea NGFW e tsoang k'hamphaning . Sepheo sa sehlooho sena ke ho bontša mokhoa oa ho kenya UserGate firewall tsamaisong ea sebele (ke tla sebelisa VMware Workstation virtualization software) le ho etsa tlhophiso ea eona ea pele (ho lumella ho fihlella ho tloha marang-rang a sebaka ka ho kena ho UserGate ho Internet).
1. Kenyelletso
Ho qala, ke tla hlalosa mekhoa e fapaneng ea ho kenya ts'ebetsong tsela ena ea marang-rang. Ke kopa ho hlokomela hore ho itšetlehile ka khetho e khethiloeng ea ho hokahanya, ts'ebetso e itseng ea heke e ka 'na ea se ke ea fumaneha. Tharollo ea UserGate e tšehetsa mekhoa e latelang ea khokahanyo:
-
Sesebelisoa sa mollo sa L3-L7
-
L2 borokho bo bonaletsang
-
L3 borokho bo bonaletsang
-
Hoo e batlang e le lekhalo, ho sebelisa protocol ea WCCP
-
E batla e le lekhalong, ho sebelisoa Policy Based Routing
-
Router holim'a Thupa
-
Moemeli oa WEB o boletsoeng ka ho hlaka
-
UserGate joalo ka heke ea kamehla
-
Boikoetliso boema-kepe ba seipone
UserGate e tšehetsa mefuta e 2 ea lihlopha:
-
Tlhophiso ea sehlopha. Li-node tse kopantsoeng ho sehlopha sa tlhophiso li boloka litlhophiso tse tsitsitseng ho pholletsa le sehlopha.
-
Sehlopha sa Failover. Ho fihlela ho 4 configuration cluster node e ka kopanngoa hore e be sehlopha sa failover se tšehetsang ts'ebetso ka mokhoa oa Active-Active kapa Active-Passive. Hoa khoneha ho bokella lihlopha tse 'maloa tsa failover.
2. Ho kenya
Joalokaha ho boletsoe sengoloa se fetileng, UserGate e fanoa e le sephutheloana sa Hardware le software kapa e fetisetsoa tikolohong e fumanehang. Ho tsoa akhaonteng ea hau sebakeng sa marang-rang khoasolla setšoantšo ho OVF (Open Virtualization Format), sebopeho sena se loketse barekisi ba VMWare le Oracle Virtualbox. Litšoantšo tsa "Virtual Machine disk" li fanoa bakeng sa Microsoft Hyper-v le KVM.
Ho ea ka Websaete ea UserGate, e le hore mochine oa sebele o sebetse ka nepo, ho kgothaletswa hore o sebelise bonyane 8Gb ea RAM le 2-core virtual processor. Hypervisor e tlameha ho ts'ehetsa lits'ebetso tsa ts'ebetso ea 64-bit.
Ho kenya ho qala ka ho kenya setšoantšo ho hypervisor e khethiloeng (VirtualBox le VMWare). Tabeng ea Microsoft Hyper-v le KVM, o hloka ho theha mochini o hlakileng le ho hlakisa setšoantšo se jarollotsoeng joalo ka disk, ebe o tima lits'ebeletso tsa kopanyo litlhophisong tsa mochini o hlophisitsoeng o hlophisitsoeng.
Ka ho sa feleng, ka mor'a ho kenya VMWare, mochine oa sebele o etsoa ka litlhophiso tse latelang:
Joalokaha ho ngotsoe ka holimo, bonyane ho tlameha ho ba le 8Gb ea RAM mme ho phaella moo o hloka ho eketsa 1Gb bakeng sa basebelisi ba bang le ba bang ba 100. Boholo bo sa feleng ba hard drive ke 100Gb, empa hangata sena ha sea lekana ho boloka lits'oants'o tsohle le litlhophiso. Boholo bo khothalelitsoeng ke 300Gb kapa ho feta. Ka hona, ka thepa ea mochine oa sebele, re fetola boholo ba disk ho e batlang. Qalong, virtual UserGate UTM e tla le li-interfaces tse 'nè tse abetsoeng libaka:
Tsamaiso - sebopeho sa pele sa mochini o sebetsang, sebaka sa ho hokahanya marang-rang a tšepahalang ao taolo ea UserGate e lumelloang ho eona.
E tšeptjoang ke sebopeho sa bobeli sa mochine oa sebele, sebaka sa ho hokahanya marang-rang a tšeptjoang, mohlala, marang-rang a LAN.
E sa tšepahaleng ke sebopeho sa boraro sa mochini o sebetsang, sebaka sa li-interfaces tse hokahaneng le marang-rang a sa tšepahaleng, mohlala, Marang-rang.
DMZ ke sebopeho sa bone sa mochini o sebetsang, sebaka sa li-interfaces tse hokahaneng le marang-rang a DMZ.
Ka mor'a moo, re qala mochine oa sebele, le hoja bukana e re u lokela ho khetha Lisebelisoa tsa Tšehetso le ho etsa UTM ea Factory reset, empa joalokaha u bona, ho na le khetho e le 'ngoe feela (UTM First Boot). Nakong ea mohato ona, UTM e lokisa li-adapter tsa marang-rang mme e eketsa boholo ba karohano ea hard drive ho isa boholo ba disk:
Ho hokahanya le sebopeho sa websaete sa UserGate, o hloka ho kena ka sebaka sa Tsamaiso, sebopeho sa eth0 se ikarabella bakeng sa sena, se lokiselitsoeng ho fumana aterese ea IP ka ho toba (DHCP). Haeba ho sa khonehe ho fana ka aterese bakeng sa sebopeho sa Tsamaiso ka bo eona u sebelisa DHCP, joale e ka behoa ka ho hlaka ho sebelisoa CLI (Command Line Interface). Ho etsa sena, o hloka ho kena ho CLI o sebelisa lebitso la mosebelisi le phasewete ka litokelo tse felletseng tsa molaoli (Motsamaisi ea nang le lengolo la Capital ka boiketsetso). Haeba sesebelisoa sa UserGate ha se so ka se qalisoa, joale ho fihlella CLI u tlameha ho sebelisa Admin joalo ka lebitso la mosebelisi le utm joalo ka senotlolo. 'Me u thaepe taelo e kang iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Hamorao re ea ho UserGate web console atereseng e boletsoeng, e lokela ho shebahala tjena:https://UserGateIPaddress:8001:
Ho web console re tsoela pele ho kenya, re hloka ho khetha puo ea sebopeho (ka nako eo ke Serussia kapa Senyesemane), sebaka sa nako, ebe re bala le ho lumellana le tumellano ea tumello. Beha sebaka sa ho kena le phasewete ho kena ka har'a sebopeho sa taolo ea webo.
3. Seta
Ka mor'a ho kenya, sena ke seo fensetere ea tsamaiso ea marang-rang e shebahalang ka eona:
Ebe o hloka ho lokisa marang-rang a marang-rang. Ho etsa sena, karolong ea "Li-Interfaces" u hloka ho li nolofalletsa, beha liaterese tse nepahetseng tsa IP 'me u fane ka libaka tse loketseng.
Karolo ea "Interfaces" e bonts'a li-interfaces tsohle tsa 'mele le tse fumanehang tsamaisong, e u lumella ho fetola litlhophiso tsa bona le ho eketsa li-interfaces tsa VLAN. E boetse e bonts'a lihokelo tsohle tsa node ka 'ngoe ea sehlopha. Litlhophiso tsa li-interface li ikhethile ho node ka 'ngoe, ke hore, ha li lefats'e.
Ka sebopeho sa interface:
-
Sebetsa kapa tima sebopeho sa sebopeho
-
Hlalosa mofuta oa sebopeho - Layer 3 kapa Seipone
-
Abela sebaka sehokelong
-
Abela profil ea Netflow ho romella lintlha tsa lipalo ho mokelli oa Netflow
-
Fetola likarolo tsa 'mele tsa sebopeho - aterese ea MAC le boholo ba MTU
-
Khetha mofuta oa kabelo ea aterese ea IP - ha ho aterese, aterese ea IP e tsitsitseng kapa e fumanoang ka DHCP
-
Lokisa phepelo ea DHCP ho sebopeho se khethiloeng.
Konopo ea "Eketsa" e u lumella ho eketsa mefuta e latelang ea likhokahano tse utloahalang:
-
Lisebelisoa tsa VLAN
-
Tlamo
-
Borokho
-
PPPoE
-
VPN
-
Kotopo
Ntle le libaka tse thathamisitsoeng pele tseo setšoantšo sa Usergate se tsamaeang le tsona, ho na le mefuta e meng e meraro e boletsoeng esale pele:
Cluster - sebaka sa li-interfaces tse sebelisoang bakeng sa ts'ebetso ea lihlopha
VPN bakeng sa Site-to-Site - sebaka seo bareki bohle ba Office-Office ba hokahaneng le UserGate ka VPN ba behiloe ho sona.
VPN bakeng sa phihlello e hole - sebaka se kenyelletsang basebelisi bohle ba mehala ba hokahaneng le UserGate ka VPN
Batsamaisi ba UserGate ba ka fetola litlhophiso tsa libaka tsa kamehla mme ba theha libaka tse ling, empa joalo ka ha ho boletsoe bukeng ea mofuta oa 5, ho ka etsoa libaka tse fetang 15. Ho li fetola kapa ho li theha, o hloka ho ea karolong ea libaka. Bakeng sa sebaka se seng le se seng, o ka beha moeli oa ho theola pakete; SYN, UDP, ICMP lia tšehetsoa. Taolo ea phihlello ea lits'ebeletso tsa Usergate e boetse e lokiselitsoe, 'me tšireletso khahlano le spoofing e ea lumelloa.
Ka mor'a ho lokisa li-interfaces, u lokela ho lokisa tsela ea kamehla karolong ea "Gateways". Tseo. Ho hokela UserGate Marang-rang, o tlameha ho hlakisa aterese ea IP ea heke e le 'ngoe kapa tse ngata. Haeba u sebelisa bafani ba 'maloa ho hokela Marang-rang, u tlameha ho hlakisa litsela tse' maloa. Sebopeho sa heke se ikhethile bakeng sa node ka 'ngoe ea sehlopha. Haeba ho boletsoe liheke tse peli kapa ho feta, likhetho tse 2 lia khoneha:
-
Ho leka-lekanya sephethephethe lipakeng tsa liheke.
-
Khoro e kholo e nang le ho fetohela ho e 'ngoe.
Boemo ba heke (bo fumaneha - botala, ha bo fumanehe - bofubelu) bo khethoa ka tsela e latelang:
-
Ho hlahloba marang-rang ho koetsoe - heke e nkoa e fumaneha haeba UserGate e ka fumana aterese ea eona ea MAC ka kopo ea ARP. Ha ho na cheke bakeng sa phihlello ea Marang-rang ka heke ena. Haeba aterese ea MAC ea heke e ke ke ea tsejoa, heke e nkoa e sa fihlellehe.
-
Ho hlahloba marang-rang ho lumelletsoe - heke e nkuoa e fumaneha haeba:
-
UserGate e ka fumana aterese ea eona ea MAC e sebelisa kopo ea ARP.
-
Cheke ea ho kena Inthaneteng ka tsela ena e phethiloe ka katleho.
Ho seng joalo, heke e nkoa e sa fumanehe.
Karolong ea "DNS" u hloka ho eketsa li-server tsa DNS tseo UserGate e tla li sebelisa. Peakanyo ena e hlalositsoe sebakeng sa Li-server tsa DNS. Ka tlase ke litlhophiso tsa ho laola likopo tsa DNS ho tsoa ho basebelisi. UserGate e u lumella ho sebelisa proxy ea DNS. Ts'ebeletso ea proxy ea DNS e u lumella ho amohela likopo tsa DNS ho tsoa ho basebelisi le ho li fetola ho latela litlhoko tsa motsamaisi. Melao ea proxy ea DNS e ka sebelisoa ho hlakisa li-server tsa DNS tseo likopo tsa libaka tse itseng li romelloang ho tsona. Ho phaella moo, ka ho sebelisa moemeli oa DNS, o ka beha lirekoto tse tsitsitseng tsa mofuta oa moeti (Rekoto ea A).
Karolong ea "NAT le Routing" u hloka ho theha melao e hlokahalang ea NAT. Bakeng sa phihlello ea Marang-rang ka basebelisi ba Marang-rang a Tšeptjoang, molao oa NAT o se o entsoe - "Trusted->U sa tšepahale", se setseng ke ho e nolofalletsa. Melao e sebelisoa ho tloha holimo ho ea tlase ka tatellano eo e thathamisitsoeng ho console. Ke molao oa pele feela oo maemo a boletsoeng papaling ea molao a lulang a phethisoa. E le hore molao o qale, maemo ohle a boletsoeng ho li-parameter tsa molao a tlameha ho lumellana. UserGate e khothaletsa ho theha melao e akaretsang ea NAT, mohlala, molao oa NAT ho tloha marang-rang a lehae (hangata sebaka se Tšeptjoang) ho ea ho Marang-rang (hangata sebaka se sa Tšeptjoang), le ho thibela phihlello ea basebelisi, lits'ebeletso le lits'ebetso tse sebelisang melao ea firewall.
Hape hoa khonahala ho theha melao ea DNAT, phetisetso ea boema-kepe, routing e thehiloeng ho Leano, 'mapa oa marang-rang.
Ka mor'a sena, karolong ea "Firewall" u hloka ho theha melao ea firewall. Bakeng sa phihlello e sa lekanyetsoang ea Marang-rang bakeng sa basebelisi ba Marang-rang a Tšeptjoang, molao oa firewall o se o entsoe - "Internet for Trusted" mme o tlameha ho lumelloa. A sebelisa melao ea firewall, molaoli a ka lumella kapa a hana mofuta ofe kapa ofe oa sephethephethe sa marang-rang se fetang ka UserGate. Maemo a taolo a ka kenyelletsa libaka le liaterese tsa IP tsa mohloli/lefelo, basebelisi le lihlopha, lits'ebeletso le lits'ebetso. Melao e sebetsa ka mokhoa o ts'oanang le karolong ea "NAT le Routing", i.e. holimo ho ea tlase. Haeba ho se melao e entsoeng, joale sephethephethe sefe kapa sefe sa lipalangoang ka UserGate se thibetsoe.
4. Qetello
Sena se phethela sehlooho. Re kentse firewall ea UserGate mochining oa sebele mme ra etsa litlhophiso tse hlokahalang hore Marang-rang a sebetse marang-rang a Tšeptjoang. Re tla hlahloba tlhophiso e eketsehileng lihloohong tse latelang.
Lula u mametse ho fumana lintlha tse ncha ho liteishene tsa rona (, , , )!
Source: www.habr.com