வணக்கம், இது நிறுவனத்தின் NGFW தீர்வு பற்றிய இரண்டாவது கட்டுரை . இந்தக் கட்டுரையின் நோக்கம், யூசர்கேட் ஃபயர்வாலை மெய்நிகர் கணினியில் எவ்வாறு நிறுவுவது என்பதைக் காண்பிப்பது (நான் விஎம்வேர் பணிநிலைய மெய்நிகராக்க மென்பொருளைப் பயன்படுத்துவேன்) மற்றும் அதன் ஆரம்ப உள்ளமைவைச் செய்வது (உள்ளூர் நெட்வொர்க்கிலிருந்து யூசர்கேட் நுழைவாயில் வழியாக இணைய அணுகலை அனுமதிக்கவும்).
1. அறிமுகம்
தொடங்குவதற்கு, இந்த நுழைவாயிலை நெட்வொர்க்கில் செயல்படுத்துவதற்கான பல்வேறு வழிகளை நான் விவரிக்கிறேன். தேர்ந்தெடுக்கப்பட்ட இணைப்பு விருப்பத்தைப் பொறுத்து, கேட்வேயின் சில செயல்பாடுகள் கிடைக்காமல் போகலாம் என்பதை நான் கவனிக்க விரும்புகிறேன். UserGate தீர்வு பின்வரும் இணைப்பு முறைகளை ஆதரிக்கிறது:
-
L3-L7 ஃபயர்வால்
-
L2 வெளிப்படையான பாலம்
-
L3 வெளிப்படையான பாலம்
-
WCCP நெறிமுறையைப் பயன்படுத்தி, கிட்டத்தட்ட இடைவெளியில்
-
கொள்கை அடிப்படையிலான ரூட்டிங் பயன்படுத்தி, கிட்டத்தட்ட இடைவெளியில்
-
ஒரு குச்சியில் திசைவி
-
வெளிப்படையாகக் குறிப்பிடப்பட்ட WEB ப்ராக்ஸி
-
பயனர்கேட் இயல்புநிலை நுழைவாயில்
-
கண்ணாடி துறைமுக கண்காணிப்பு
UserGate 2 வகையான கிளஸ்டர்களை ஆதரிக்கிறது:
-
கிளஸ்டர் கட்டமைப்பு. ஒரு கட்டமைப்பு கிளஸ்டராக இணைந்த முனைகள், கிளஸ்டர் முழுவதும் சீரான அமைப்புகளை பராமரிக்கின்றன.
-
தோல்வி கிளஸ்டர். செயலில்-செயலில் அல்லது செயலில்-செயலற்ற பயன்முறையில் செயல்பாட்டை ஆதரிக்கும் ஃபெயில்ஓவர் கிளஸ்டராக 4 உள்ளமைவு கிளஸ்டர் முனைகள் வரை இணைக்கப்படலாம். பல ஃபெயில்ஓவர் கிளஸ்டர்களை அசெம்பிள் செய்ய முடியும்.
2. நிறுவல்
முந்தைய கட்டுரையில் குறிப்பிட்டுள்ளபடி, UserGate ஒரு வன்பொருள் மற்றும் மென்பொருள் தொகுப்பாக வழங்கப்படுகிறது அல்லது மெய்நிகர் சூழலில் பயன்படுத்தப்படுகிறது. இணையதளத்தில் உங்கள் தனிப்பட்ட கணக்கிலிருந்து OVF இல் படத்தைப் பதிவிறக்கவும் (திறந்த மெய்நிகராக்க வடிவமைப்பு), இந்த வடிவம் VMWare மற்றும் Oracle Virtualbox விற்பனையாளர்களுக்கு ஏற்றது. மெய்நிகர் இயந்திர வட்டு படங்கள் Microsoft Hyper-v மற்றும் KVM க்கு வழங்கப்படுகின்றன.
யூசர்கேட் இணையதளத்தின்படி, மெய்நிகர் இயந்திரம் சரியாக இயங்க, குறைந்தபட்சம் 8ஜிபி ரேம் மற்றும் 2-கோர் மெய்நிகர் செயலியைப் பயன்படுத்த பரிந்துரைக்கப்படுகிறது. ஹைப்பர்வைசர் 64-பிட் இயக்க முறைமைகளை ஆதரிக்க வேண்டும்.
தேர்ந்தெடுக்கப்பட்ட ஹைப்பர்வைசரில் (VirtualBox மற்றும் VMWare) படத்தை இறக்குமதி செய்வதன் மூலம் நிறுவல் தொடங்குகிறது. மைக்ரோசாஃப்ட் ஹைப்பர்-வி மற்றும் கேவிஎம் விஷயத்தில், நீங்கள் ஒரு மெய்நிகர் இயந்திரத்தை உருவாக்கி, பதிவிறக்கம் செய்யப்பட்ட படத்தை வட்டாகக் குறிப்பிட வேண்டும், பின்னர் உருவாக்கப்பட்ட மெய்நிகர் இயந்திரத்தின் அமைப்புகளில் ஒருங்கிணைப்பு சேவைகளை முடக்க வேண்டும்.
இயல்பாக, VMWare இல் இறக்குமதி செய்த பிறகு, பின்வரும் அமைப்புகளுடன் ஒரு மெய்நிகர் இயந்திரம் உருவாக்கப்படுகிறது:
மேலே எழுதப்பட்டபடி, குறைந்தபட்சம் 8ஜிபி ரேம் இருக்க வேண்டும், கூடுதலாக ஒவ்வொரு 1 பயனர்களுக்கும் 100ஜிபி சேர்க்க வேண்டும். இயல்புநிலை ஹார்ட் டிரைவ் அளவு 100Gb ஆகும், ஆனால் இது பொதுவாக அனைத்து பதிவுகளையும் அமைப்புகளையும் சேமிக்க போதுமானதாக இருக்காது. பரிந்துரைக்கப்பட்ட அளவு 300Gb அல்லது அதற்கு மேற்பட்டது. எனவே, மெய்நிகர் இயந்திரத்தின் பண்புகளில், வட்டு அளவை விரும்பிய அளவுக்கு மாற்றுகிறோம். ஆரம்பத்தில், மெய்நிகர் யூசர்கேட் யுடிஎம் மண்டலங்களுக்கு ஒதுக்கப்பட்ட நான்கு இடைமுகங்களுடன் வருகிறது:
மேலாண்மை - மெய்நிகர் இயந்திரத்தின் முதல் இடைமுகம், யூசர்கேட் மேலாண்மை அனுமதிக்கப்படும் நம்பகமான நெட்வொர்க்குகளை இணைப்பதற்கான ஒரு மண்டலம்.
நம்பகத்தன்மை என்பது மெய்நிகர் இயந்திரத்தின் இரண்டாவது இடைமுகம், நம்பகமான நெட்வொர்க்குகளை இணைப்பதற்கான ஒரு மண்டலம், எடுத்துக்காட்டாக, LAN நெட்வொர்க்குகள்.
நம்பகத்தன்மையற்றது என்பது மெய்நிகர் இயந்திரத்தின் மூன்றாவது இடைமுகமாகும், இது நம்பத்தகாத நெட்வொர்க்குகளுடன் இணைக்கப்பட்ட இடைமுகங்களுக்கான மண்டலம், எடுத்துக்காட்டாக, இணையத்துடன்.
DMZ என்பது மெய்நிகர் இயந்திரத்தின் நான்காவது இடைமுகமாகும், இது DMZ நெட்வொர்க்குடன் இணைக்கப்பட்ட இடைமுகங்களுக்கான மண்டலமாகும்.
அடுத்து, மெய்நிகர் இயந்திரத்தை நாங்கள் தொடங்குகிறோம், இருப்பினும் நீங்கள் ஆதரவு கருவிகளைத் தேர்ந்தெடுத்து தொழிற்சாலை மீட்டமைப்பு UTM ஐச் செய்ய வேண்டும் என்று கையேடு கூறுகிறது, ஆனால் நீங்கள் பார்க்க முடியும் என, ஒரே ஒரு தேர்வு உள்ளது (UTM முதல் துவக்கம்). இந்த படிநிலையின் போது, UTM ஆனது பிணைய அடாப்டர்களை உள்ளமைக்கிறது மற்றும் ஹார்ட் டிரைவ் பகிர்வின் அளவை முழு வட்டு அளவிற்கு அதிகரிக்கிறது:
UserGate இணைய இடைமுகத்துடன் இணைக்க, நீங்கள் மேலாண்மை மண்டலத்தின் மூலம் உள்நுழைய வேண்டும், eth0 இடைமுகம் இதற்கு பொறுப்பாகும், இது ஒரு IP முகவரியை தானாக (DHCP) பெற கட்டமைக்கப்பட்டுள்ளது. DHCP ஐப் பயன்படுத்தி மேலாண்மை இடைமுகத்திற்கான முகவரியை தானாக ஒதுக்க முடியாவிட்டால், CLI (கட்டளை வரி இடைமுகம்) ஐப் பயன்படுத்தி அதை வெளிப்படையாக அமைக்கலாம். இதைச் செய்ய, முழு நிர்வாகி உரிமைகளுடன் (இயல்புநிலையாக ஒரு பெரிய எழுத்துடன் நிர்வாகி) பயனர்பெயர் மற்றும் கடவுச்சொல்லைப் பயன்படுத்தி நீங்கள் CLI இல் உள்நுழைய வேண்டும். UserGate சாதனம் ஆரம்ப துவக்கத்திற்கு உட்படவில்லை எனில், CLI ஐ அணுக நீங்கள் நிர்வாகியை பயனர் பெயராகவும், utm ஐ கடவுச்சொல்லாகவும் பயன்படுத்த வேண்டும். மற்றும் iface config –name eth0 –ipv4 192.168.1.254/24 போன்ற கட்டளையை தட்டச்சு செய்யவும் – true –mode static ஐ செயல்படுத்தவும். பின்னர் குறிப்பிட்ட முகவரியில் யூசர்கேட் வலை கன்சோலுக்குச் செல்கிறோம், இது இப்படி இருக்க வேண்டும்:https://UserGateIPaddress:8001:
வலை கன்சோலில் நாங்கள் நிறுவலைத் தொடர்கிறோம், இடைமுக மொழியைத் தேர்ந்தெடுக்க வேண்டும் (தற்போது அது ரஷ்ய அல்லது ஆங்கிலம்), நேர மண்டலம், பின்னர் உரிம ஒப்பந்தத்தைப் படித்து ஒப்புக் கொள்ள வேண்டும். இணைய மேலாண்மை இடைமுகத்தில் உள்நுழைய உள்நுழைவு மற்றும் கடவுச்சொல்லை அமைக்கவும்.
3. அமைவு
நிறுவிய பின், இயங்குதள மேலாண்மை வலை இடைமுக சாளரம் இப்படித்தான் இருக்கும்:
பின்னர் நீங்கள் பிணைய இடைமுகங்களை கட்டமைக்க வேண்டும். இதைச் செய்ய, "இடைமுகங்கள்" பிரிவில் நீங்கள் அவற்றை இயக்க வேண்டும், சரியான ஐபி முகவரிகளை அமைத்து பொருத்தமான மண்டலங்களை ஒதுக்க வேண்டும்.
"இடைமுகங்கள்" பிரிவு கணினியில் கிடைக்கும் அனைத்து இயற்பியல் மற்றும் மெய்நிகர் இடைமுகங்களைக் காட்டுகிறது, அவற்றின் அமைப்புகளை மாற்றவும் VLAN இடைமுகங்களைச் சேர்க்கவும் உங்களை அனுமதிக்கிறது. இது ஒவ்வொரு கிளஸ்டர் முனையின் அனைத்து இடைமுகங்களையும் காட்டுகிறது. இடைமுக அமைப்புகள் ஒவ்வொரு முனைக்கும் குறிப்பிட்டவை, அதாவது அவை உலகளாவியவை அல்ல.
இடைமுக பண்புகளில்:
-
இடைமுகத்தை இயக்கவும் அல்லது முடக்கவும்
-
இடைமுக வகையை குறிப்பிடவும் - அடுக்கு 3 அல்லது மிரர்
-
ஒரு இடைமுகத்திற்கு ஒரு மண்டலத்தை ஒதுக்கவும்
-
Netflow சேகரிப்பாளருக்கு புள்ளிவிவரத் தரவை அனுப்ப Netflow சுயவிவரத்தை ஒதுக்கவும்
-
இடைமுகத்தின் இயற்பியல் அளவுருக்களை மாற்றவும் - MAC முகவரி மற்றும் MTU அளவு
-
IP முகவரி ஒதுக்கீட்டின் வகையைத் தேர்ந்தெடுக்கவும் - முகவரி இல்லை, நிலையான IP முகவரி அல்லது DHCP மூலம் பெறப்பட்டது
-
தேர்ந்தெடுக்கப்பட்ட இடைமுகத்தில் DHCP ரிலேவை உள்ளமைக்கவும்.
"சேர்" பொத்தான் பின்வரும் வகையான தருக்க இடைமுகங்களைச் சேர்க்க உங்களை அனுமதிக்கிறது:
-
VLANகள்
-
பத்திரம்
-
பாலம்
-
PPPoE என்பதை
-
மெ.த.பி.க்குள்ளேயே
-
சுரங்கப்பாதை
யூசர்கேட் படத்தை அனுப்பும் முன்னர் பட்டியலிடப்பட்ட மண்டலங்களுக்கு கூடுதலாக, மேலும் மூன்று முன் வரையறுக்கப்பட்ட வகைகள் உள்ளன:
கிளஸ்டர் - கிளஸ்டர் செயல்பாட்டிற்கு பயன்படுத்தப்படும் இடைமுகங்களுக்கான மண்டலம்
தளத்திலிருந்து தளத்திற்கான VPN - VPN வழியாக UserGate உடன் இணைக்கப்பட்ட அனைத்து அலுவலக-அலுவலக கிளையன்ட்களும் வைக்கப்பட்டுள்ள ஒரு மண்டலம்
தொலைநிலை அணுகலுக்கான VPN - VPN வழியாக UserGate உடன் இணைக்கப்பட்ட அனைத்து மொபைல் பயனர்களையும் உள்ளடக்கிய ஒரு மண்டலம்
UserGate நிர்வாகிகள் இயல்புநிலை மண்டலங்களின் அமைப்புகளை மாற்றலாம் மற்றும் கூடுதல் மண்டலங்களை உருவாக்கலாம், ஆனால் பதிப்பு 5 கையேட்டில் கூறப்பட்டுள்ளபடி, அதிகபட்சம் 15 மண்டலங்களை உருவாக்கலாம். அவற்றை மாற்ற அல்லது உருவாக்க, நீங்கள் மண்டலப் பகுதிக்குச் செல்ல வேண்டும். ஒவ்வொரு மண்டலத்திற்கும், நீங்கள் ஒரு பாக்கெட் டிராப் த்ரெஷோல்ட் அமைக்கலாம்; SYN, UDP, ICMP ஆகியவை ஆதரிக்கப்படுகின்றன. யூசர்கேட் சேவைகளுக்கான அணுகல் கட்டுப்பாடும் கட்டமைக்கப்பட்டுள்ளது, மேலும் ஏமாற்றுதலுக்கு எதிரான பாதுகாப்பு இயக்கப்பட்டது.
இடைமுகங்களை கட்டமைத்த பிறகு, "கேட்வேஸ்" பிரிவில் இயல்புநிலை வழியை நீங்கள் கட்டமைக்க வேண்டும். அந்த. யூசர்கேட்டை இணையத்துடன் இணைக்க, ஒன்று அல்லது அதற்கு மேற்பட்ட நுழைவாயில்களின் ஐபி முகவரியைக் குறிப்பிட வேண்டும். இணையத்துடன் இணைக்க நீங்கள் பல வழங்குநர்களைப் பயன்படுத்தினால், நீங்கள் பல நுழைவாயில்களைக் குறிப்பிட வேண்டும். ஒவ்வொரு கிளஸ்டர் முனைக்கும் கேட்வே உள்ளமைவு தனித்துவமானது. இரண்டு அல்லது அதற்கு மேற்பட்ட நுழைவாயில்கள் குறிப்பிடப்பட்டிருந்தால், 2 விருப்பங்கள் சாத்தியமாகும்:
-
நுழைவாயில்களுக்கு இடையில் போக்குவரத்தை சமநிலைப்படுத்துதல்.
-
உதிரி ஒன்றிற்கு மாறுவதற்கான பிரதான நுழைவாயில்.
நுழைவாயில் நிலை (கிடைக்கும் - பச்சை, கிடைக்காதது - சிவப்பு) பின்வருமாறு தீர்மானிக்கப்படுகிறது:
-
நெட்வொர்க் சரிபார்ப்பு முடக்கப்பட்டுள்ளது - ARP கோரிக்கையைப் பயன்படுத்தி UserGate அதன் MAC முகவரியைப் பெற முடிந்தால், ஒரு நுழைவாயில் அணுகக்கூடியதாகக் கருதப்படுகிறது. இந்த நுழைவாயில் வழியாக இணைய அணுகல் இல்லை. கேட்வேயின் MAC முகவரியைத் தீர்மானிக்க முடியாவிட்டால், நுழைவாயில் அணுக முடியாததாகக் கருதப்படுகிறது.
-
நெட்வொர்க் சரிபார்ப்பு இயக்கப்பட்டது - நுழைவாயில் அணுகக்கூடியதாகக் கருதப்படும்:
-
பயனர்கேட் அதன் MAC முகவரியை ARP கோரிக்கையைப் பயன்படுத்தி பெறலாம்.
-
இந்த நுழைவாயில் வழியாக இணைய அணுகலுக்கான சோதனை வெற்றிகரமாக முடிந்தது.
இல்லையெனில், நுழைவாயில் கிடைக்காது என்று கருதப்படுகிறது.
“டிஎன்எஸ்” பிரிவில் யூசர்கேட் பயன்படுத்தும் டிஎன்எஸ் சர்வர்களை நீங்கள் சேர்க்க வேண்டும். இந்த அமைப்பு சிஸ்டம் டிஎன்எஸ் சர்வர்கள் பகுதியில் குறிப்பிடப்பட்டுள்ளது. பயனர்களிடமிருந்து DNS கோரிக்கைகளை நிர்வகிப்பதற்கான அமைப்புகள் கீழே உள்ளன. யூசர்கேட் டிஎன்எஸ் ப்ராக்ஸியைப் பயன்படுத்த உங்களை அனுமதிக்கிறது. DNS ப்ராக்ஸி சேவையானது பயனர்களின் DNS கோரிக்கைகளை இடைமறித்து, நிர்வாகியின் தேவைகளைப் பொறுத்து அவற்றை மாற்ற அனுமதிக்கிறது. குறிப்பிட்ட டொமைன்களுக்கான கோரிக்கைகள் அனுப்பப்படும் DNS சேவையகங்களைக் குறிப்பிட DNS ப்ராக்ஸி விதிகள் பயன்படுத்தப்படலாம். கூடுதலாக, டிஎன்எஸ் ப்ராக்ஸியைப் பயன்படுத்தி, ஹோஸ்ட் வகையின் நிலையான பதிவுகளை அமைக்கலாம் (ஒரு பதிவு).
"NAT மற்றும் ரூட்டிங்" பிரிவில் நீங்கள் தேவையான NAT விதிகளை உருவாக்க வேண்டும். நம்பகமான நெட்வொர்க்கின் பயனர்களால் இணையத்தை அணுகுவதற்கு, NAT விதி ஏற்கனவே உருவாக்கப்பட்டது - "நம்பகமான-> நம்பகமற்றது", அதை இயக்குவது மட்டுமே எஞ்சியுள்ளது. கன்சோலில் பட்டியலிடப்பட்டுள்ள வரிசையில் மேலிருந்து கீழாக விதிகள் பயன்படுத்தப்படுகின்றன. விதியில் குறிப்பிடப்பட்ட நிபந்தனைகள் எப்பொழுதும் செயல்படுத்தப்படும் முதல் விதி மட்டுமே. விதி தூண்டப்படுவதற்கு, விதி அளவுருக்களில் குறிப்பிடப்பட்டுள்ள அனைத்து நிபந்தனைகளும் பொருந்த வேண்டும். பயனர்கேட் பொதுவான NAT விதிகளை உருவாக்க பரிந்துரைக்கிறது, எடுத்துக்காட்டாக, உள்ளூர் நெட்வொர்க்கில் இருந்து (பொதுவாக நம்பகமான மண்டலம்) இணையத்திற்கு (பொதுவாக ஒரு நம்பத்தகாத மண்டலம்) NAT விதி மற்றும் ஃபயர்வால் விதிகளைப் பயன்படுத்தி பயனர்கள், சேவைகள் மற்றும் பயன்பாடுகளின் அணுகலைக் கட்டுப்படுத்துகிறது.
டிஎன்ஏடி விதிகள், போர்ட் ஃபார்வர்டிங், பாலிசி அடிப்படையிலான ரூட்டிங், நெட்வொர்க் மேப்பிங் ஆகியவற்றை உருவாக்கவும் முடியும்.
இதற்குப் பிறகு, "ஃபயர்வால்" பிரிவில் நீங்கள் ஃபயர்வால் விதிகளை உருவாக்க வேண்டும். நம்பகமான நெட்வொர்க்கைப் பயன்படுத்துபவர்களுக்கு வரம்பற்ற இணைய அணுகலுக்காக, ஒரு ஃபயர்வால் விதி ஏற்கனவே உருவாக்கப்பட்டது - "நம்பிக்கைக்கான இணையம்" மற்றும் இயக்கப்பட வேண்டும். ஃபயர்வால் விதிகளைப் பயன்படுத்தி, பயனர்கேட் வழியாகச் செல்லும் எந்த வகையான டிரான்ஸிட் நெட்வொர்க் டிராஃபிக்கையும் நிர்வாகி அனுமதிக்கலாம் அல்லது மறுக்கலாம். விதி நிபந்தனைகளில் மண்டலங்கள் மற்றும் மூல/இலக்கு ஐபி முகவரிகள், பயனர்கள் மற்றும் குழுக்கள், சேவைகள் மற்றும் பயன்பாடுகள் ஆகியவை அடங்கும். விதிகள் "NAT மற்றும் ரூட்டிங்" பிரிவில் உள்ளதைப் போலவே பொருந்தும், அதாவது. மேலிருந்து கீழ். விதிகள் எதுவும் உருவாக்கப்படவில்லை என்றால், UserGate வழியாக எந்த போக்குவரத்து போக்குவரத்தும் தடைசெய்யப்பட்டுள்ளது.
4. முடிவுக்கு
இத்துடன் கட்டுரை முடிகிறது. யூசர்கேட் ஃபயர்வாலை மெய்நிகர் கணினியில் நிறுவி, நம்பகமான நெட்வொர்க்கில் இணையம் வேலை செய்வதற்குத் தேவையான குறைந்தபட்ச அமைப்புகளைச் செய்துள்ளோம். பின்வரும் கட்டுரைகளில் மேலும் உள்ளமைவைக் கருத்தில் கொள்வோம்.
எங்கள் சேனல்களில் புதுப்பிப்புகளுக்கு காத்திருங்கள் (, , , )!
ஆதாரம்: www.habr.com