Hujambo, hii ni makala ya pili kuhusu suluhisho la NGFW kutoka kwa kampuni . Madhumuni ya makala hii ni kuonyesha jinsi ya kusakinisha UserGate firewall kwenye mfumo wa kawaida (Nitatumia VMware Workstation virtualization programu) na kufanya usanidi wake wa awali (kuruhusu upatikanaji kutoka mtandao wa ndani kupitia UserGate lango kwa mtandao).
1. Utangulizi
Kuanza, nitaelezea njia mbalimbali za kutekeleza lango hili kwenye mtandao. Ningependa kutambua kwamba kulingana na chaguo la uunganisho lililochaguliwa, utendaji fulani wa lango hauwezi kupatikana. Suluhisho la UserGate inasaidia njia zifuatazo za unganisho:
-
Ukuta wa moto wa L3-L7
-
L2 daraja la uwazi
-
L3 daraja la uwazi
-
Karibu kwenye pengo, kwa kutumia itifaki ya WCCP
-
Takriban katika pengo, kwa kutumia Njia Kulingana na Sera
-
Kipanga njia kwenye Fimbo
-
Wakala wa WEB uliobainishwa waziwazi
-
UserGate kama lango chaguo-msingi
-
Ufuatiliaji wa mlango wa kioo
UserGate inasaidia aina 2 za nguzo:
-
Usanidi wa nguzo. Vifundo vilivyojumuishwa katika nguzo ya usanidi hudumisha mipangilio thabiti kwenye nguzo.
-
Nguzo ya kushindwa. Hadi nodi 4 za nguzo za usanidi zinaweza kuunganishwa kuwa nguzo ya kushindwa inayoauni utendakazi katika modi Inayotumika au Inayotumika. Inawezekana kukusanya makundi kadhaa ya failover.
2. Ufungaji
Kama ilivyotajwa katika kifungu kilichopita, UserGate hutolewa kama kifurushi cha vifaa na programu au kupelekwa katika mazingira ya kawaida. Kutoka kwa akaunti yako ya kibinafsi kwenye wavuti pakua picha katika OVF (Open Virtualization Format), umbizo hili linafaa kwa wachuuzi wa VMWare na Oracle Virtualbox. Picha za diski za mashine hutolewa kwa Microsoft Hyper-v na KVM.
Kulingana na tovuti ya UserGate, ili mashine ya mtandaoni ifanye kazi kwa usahihi, inashauriwa kutumia angalau 8Gb ya RAM na kichakataji cha msingi 2. Hypervisor lazima iunge mkono mifumo ya uendeshaji ya 64-bit.
Ufungaji huanza kwa kuingiza picha kwenye hypervisor iliyochaguliwa (VirtualBox na VMWare). Kwa upande wa Microsoft Hyper-v na KVM, unahitaji kuunda mashine ya kawaida na kutaja picha iliyopakuliwa kama diski, na kisha uzima huduma za ujumuishaji katika mipangilio ya mashine iliyoundwa iliyoundwa.
Kwa chaguo-msingi, baada ya kuagiza kwenye VMWare, mashine halisi huundwa na mipangilio ifuatayo:
Kama ilivyoandikwa hapo juu, lazima kuwe na angalau 8Gb ya RAM na kwa kuongeza unahitaji kuongeza 1Gb kwa kila watumiaji 100. Saizi ya kawaida ya diski kuu ni 100Gb, lakini hii kawaida haitoshi kuhifadhi kumbukumbu na mipangilio yote. Ukubwa unaopendekezwa ni 300Gb au zaidi. Kwa hiyo, katika mali ya mashine ya kawaida, tunabadilisha ukubwa wa disk kwa moja inayotaka. Hapo awali, virtual UserGate UTM inakuja na miingiliano minne iliyopewa maeneo:
Usimamizi - kiolesura cha kwanza cha mashine pepe, eneo la kuunganisha mitandao inayoaminika ambayo usimamizi wa UserGate unaruhusiwa.
Inaaminika ni kiolesura cha pili cha mashine ya kawaida, eneo la kuunganisha mitandao inayoaminika, kwa mfano, mitandao ya LAN.
Isiyoaminika ni kiolesura cha tatu cha mashine pepe, eneo la violesura vilivyounganishwa na mitandao isiyoaminika, kwa mfano, kwenye Mtandao.
DMZ ni kiolesura cha nne cha mashine pepe, eneo la violesura vilivyounganishwa kwenye mtandao wa DMZ.
Ifuatayo, tunazindua mashine pepe, ingawa mwongozo unasema kwamba unahitaji kuchagua Zana za Usaidizi na ufanye UTM ya kuweka upya Kiwanda, lakini kama unavyoona, kuna chaguo moja tu (UTM Kwanza Boot). Wakati wa hatua hii, UTM husanidi adapta za mtandao na kuongeza saizi ya kizigeu cha diski kuu kwa saizi kamili ya diski:
Ili kuunganisha kwenye kiolesura cha wavuti cha UserGate, lazima uingie kupitia eneo la Usimamizi; hili ni jukumu la kiolesura cha eth0, ambacho kimesanidiwa kupata anwani ya IP kiotomatiki (DHCP). Ikiwa haiwezekani kugawa anwani ya kiolesura cha Usimamizi kiotomatiki kwa kutumia DHCP, basi inaweza kuwekwa kwa uwazi kwa kutumia CLI (Kiolesura cha Mstari wa Amri). Ili kufanya hivyo, unahitaji kuingia kwenye CLI kwa kutumia jina la mtumiaji na nenosiri na haki za msimamizi kamili (Msimamizi aliye na barua kuu kwa default). Ikiwa kifaa cha UserGate hakijafanyiwa uanzishaji wa awali, basi ili kufikia CLI lazima utumie Admin kama jina la mtumiaji na utm kama nenosiri. Na andika amri kama vile iface config -name eth0 -ipv4 192.168.1.254/24 -wezesha true -mode tuli. Baadaye tunaenda kwa koni ya wavuti ya UserGate kwenye anwani maalum, inapaswa kuonekana kama hii:https://UserGateIPaddress:8001:
Katika console ya mtandao tunaendelea ufungaji, tunahitaji kuchagua lugha ya interface (kwa sasa ni Kirusi au Kiingereza), eneo la wakati, kisha usome na kukubaliana na makubaliano ya leseni. Weka kuingia na nenosiri ili kuingia kwenye kiolesura cha usimamizi wa wavuti.
3. Kubinafsisha
Baada ya usakinishaji, hivi ndivyo dirisha la kiolesura cha usimamizi wa jukwaa linavyoonekana:
Kisha unahitaji kusanidi miingiliano ya mtandao. Ili kufanya hivyo, katika sehemu ya "Interfaces" unahitaji kuwawezesha, weka anwani sahihi za IP na upe kanda zinazofaa.
Sehemu ya "Interfaces" inaonyesha interfaces zote za kimwili na za kawaida zinazopatikana kwenye mfumo, inakuwezesha kubadilisha mipangilio yao na kuongeza interfaces za VLAN. Inaonyesha pia miingiliano yote ya kila nodi ya nguzo. Mipangilio ya kiolesura ni maalum kwa kila nodi, yaani, sio ya kimataifa.
Katika sifa za interface:
-
Washa au zima kiolesura
-
Bainisha aina ya kiolesura - Tabaka la 3 au Kioo
-
Peana eneo kwa kiolesura
-
Peana wasifu wa Netflow kutuma data ya takwimu kwa mkusanyaji wa Netflow
-
Badilisha vigezo vya kimwili vya interface - anwani ya MAC na ukubwa wa MTU
-
Chagua aina ya mgawo wa anwani ya IP - hakuna anwani, anwani ya IP tuli au iliyopatikana kupitia DHCP
-
Sanidi relay ya DHCP kwenye kiolesura kilichochaguliwa.
Kitufe cha "Ongeza" hukuruhusu kuongeza aina zifuatazo za violesura vya kimantiki:
-
VLAN
-
Dhamana
-
Bridge
-
PPPoE
-
VPN
-
Mtaro
Mbali na maeneo yaliyoorodheshwa hapo awali ambayo picha ya Usergate husafirishwa nayo, kuna aina tatu zaidi zilizobainishwa awali:
Nguzo - eneo la violesura vinavyotumika kwa uendeshaji wa nguzo
VPN ya Tovuti-to-Site - eneo ambalo wateja wote wa Office-Office waliounganishwa kwenye UserGate kupitia VPN wamewekwa.
VPN kwa ufikiaji wa mbali - eneo linalojumuisha watumiaji wote wa rununu waliounganishwa kwa UserGate kupitia VPN
Wasimamizi wa UserGate wanaweza kubadilisha mipangilio ya kanda chaguo-msingi na pia kuunda maeneo ya ziada, lakini kama ilivyoelezwa katika mwongozo wa toleo la 5, upeo wa kanda 15 unaweza kuundwa. Ili kuzibadilisha au kuziunda, unahitaji kwenda kwenye sehemu ya eneo. Kwa kila eneo, unaweza kuweka kizingiti cha kushuka kwa pakiti; SYN, UDP, ICMP zinatumika. Udhibiti wa ufikiaji kwa huduma za Usergate pia umesanidiwa, na ulinzi dhidi ya udukuzi umewezeshwa.
Baada ya kusanidi interfaces, unahitaji kusanidi njia ya kawaida katika sehemu ya "Gateways". Wale. Ili kuunganisha UserGate kwenye Mtandao, lazima ueleze anwani ya IP ya lango moja au zaidi. Ikiwa unatumia watoa huduma kadhaa kuunganisha kwenye mtandao, lazima ueleze lango kadhaa. Usanidi wa lango ni la kipekee kwa kila nodi ya nguzo. Ikiwa lango mbili au zaidi zimeainishwa, chaguzi 2 zinawezekana:
-
Kusawazisha trafiki kati ya lango.
-
Lango kuu na kubadili kwa lile la ziada.
Hali ya lango (inapatikana - kijani, haipatikani - nyekundu) imedhamiriwa kama ifuatavyo:
-
Ukaguzi wa mtandao umezimwa - lango linachukuliwa kuwa linaweza kufikiwa ikiwa UserGate inaweza kupata anwani yake ya MAC kwa kutumia ombi la ARP. Hakuna hundi ya ufikiaji wa Mtandao kupitia lango hili. Ikiwa anwani ya MAC ya lango haiwezi kubainishwa, lango linachukuliwa kuwa haliwezi kufikiwa.
-
Ukaguzi wa mtandao umewezeshwa - lango linachukuliwa kuwa linaweza kufikiwa ikiwa:
-
UserGate inaweza kupata anwani yake ya MAC kwa kutumia ombi la ARP.
-
Ukaguzi wa ufikiaji wa Mtandao kupitia lango hili ulikamilishwa kwa mafanikio.
Vinginevyo, lango linachukuliwa kuwa halipatikani.
Katika sehemu ya "DNS" unahitaji kuongeza seva za DNS ambazo UserGate itatumia. Mpangilio huu umebainishwa katika eneo la Seva za DNS za Mfumo. Ifuatayo ni mipangilio ya kudhibiti maombi ya DNS kutoka kwa watumiaji. UserGate hukuruhusu kutumia proksi ya DNS. Huduma ya proksi ya DNS hukuruhusu kukatiza maombi ya DNS kutoka kwa watumiaji na kuyabadilisha kulingana na mahitaji ya msimamizi. Sheria za proksi za DNS zinaweza kutumika kubainisha seva za DNS ambazo maombi ya vikoa mahususi hutumwa. Kwa kuongeza, kwa kutumia proksi ya DNS, unaweza kuweka rekodi za tuli za aina ya mwenyeji (Rekodi A).
Katika sehemu ya "NAT na Routing" unahitaji kuunda sheria muhimu za NAT. Kwa ufikiaji wa Mtandao na watumiaji wa mtandao unaoaminika, sheria ya NAT tayari imeundwa - "Inayoaminika-> Isiyoaminika", kilichobaki ni kuiwezesha. Sheria zinatumika kutoka juu hadi chini kwa mpangilio ambao zimeorodheshwa kwenye koni. Sheria ya kwanza tu ambayo masharti yaliyoainishwa katika mechi ya sheria hutekelezwa kila wakati. Ili sheria iweze kuanzishwa, masharti yote yaliyotajwa katika vigezo vya sheria lazima yafanane. UserGate inapendekeza kuunda sheria za jumla za NAT, kwa mfano, sheria ya NAT kutoka kwa mtandao wa ndani (kawaida eneo linaloaminika) hadi Mtandao (kawaida eneo lisiloaminika), na kuzuia ufikiaji wa watumiaji, huduma, na programu kwa kutumia sheria za ngome.
Inawezekana pia kuunda sheria za DNAT, usambazaji wa bandari, uelekezaji unaotegemea sera, ramani ya mtandao.
Baada ya hayo, katika sehemu ya "Firewall" unahitaji kuunda sheria za firewall. Kwa ufikiaji usio na kikomo wa Mtandao kwa watumiaji wa mtandao unaoaminika, sheria ya firewall tayari imeundwa - "Mtandao wa Kuaminika" na lazima uwezeshwe. Kwa kutumia sheria za ngome, msimamizi anaweza kuruhusu au kukataa aina yoyote ya trafiki ya mtandao wa usafiri unaopitia UserGate. Masharti ya sheria yanaweza kujumuisha maeneo na anwani za IP za chanzo/lengwa, watumiaji na vikundi, huduma na programu. Sheria zinatumika kwa njia sawa na katika sehemu ya "NAT na Routing", i.e. Juu chini. Ikiwa hakuna sheria zilizoundwa, basi trafiki yoyote ya usafiri kupitia UserGate ni marufuku.
4. Hitimisho
Hii inahitimisha makala. Tulisakinisha ngome ya UserGate kwenye mashine pepe na tukafanya mipangilio ya chini kabisa ya lazima ili Mtandao ufanye kazi kwenye mtandao Unaoaminika. Tutazingatia usanidi zaidi katika makala zifuatazo.
Endelea kuwa nasi kwa sasisho katika chaneli zetu (, , , )!
Chanzo: mapenzi.com