హలో, ఇది కంపెనీ నుండి NGFW సొల్యూషన్ గురించి రెండవ కథనం . ఈ కథనం యొక్క ఉద్దేశ్యం వర్చువల్ సిస్టమ్లో (నేను VMware వర్క్స్టేషన్ వర్చువలైజేషన్ సాఫ్ట్వేర్ను ఉపయోగిస్తాను) మరియు దాని ప్రారంభ కాన్ఫిగరేషన్ను ఎలా ఇన్స్టాల్ చేయాలో చూపించడం (లోకల్ నెట్వర్క్ నుండి యూజర్గేట్ గేట్వే ద్వారా ఇంటర్నెట్కు యాక్సెస్ను అనుమతించండి).
1. పరిచయం
ప్రారంభించడానికి, ఈ గేట్వేని నెట్వర్క్లోకి అమలు చేయడానికి నేను వివిధ మార్గాలను వివరిస్తాను. ఎంచుకున్న కనెక్షన్ ఎంపికపై ఆధారపడి, గేట్వే యొక్క నిర్దిష్ట కార్యాచరణ అందుబాటులో ఉండకపోవచ్చని నేను గమనించాలనుకుంటున్నాను. UserGate సొల్యూషన్ కింది కనెక్షన్ మోడ్లకు మద్దతు ఇస్తుంది:
-
L3-L7 ఫైర్వాల్
-
L2 పారదర్శక వంతెన
-
L3 పారదర్శక వంతెన
-
WCCP ప్రోటోకాల్ని ఉపయోగించి వర్చువల్గా గ్యాప్లోకి
-
వర్చువల్ గా గ్యాప్లో, పాలసీ బేస్డ్ రూటింగ్ని ఉపయోగిస్తోంది
-
ఒక కర్రపై రూటర్
-
స్పష్టంగా పేర్కొన్న WEB ప్రాక్సీ
-
యూజర్ గేట్ డిఫాల్ట్ గేట్వే
-
మిర్రర్ పోర్ట్ పర్యవేక్షణ
UserGate 2 రకాల క్లస్టర్లకు మద్దతు ఇస్తుంది:
-
క్లస్టర్ కాన్ఫిగరేషన్. కాన్ఫిగరేషన్ క్లస్టర్లో కలిపి నోడ్లు క్లస్టర్లో స్థిరమైన సెట్టింగ్లను నిర్వహిస్తాయి.
-
ఫెయిల్ఓవర్ క్లస్టర్. 4 వరకు కాన్ఫిగరేషన్ క్లస్టర్ నోడ్లను యాక్టివ్-యాక్టివ్ లేదా యాక్టివ్-పాసివ్ మోడ్లో ఆపరేషన్కు మద్దతిచ్చే ఫెయిల్ఓవర్ క్లస్టర్గా కలపవచ్చు. అనేక ఫెయిల్ఓవర్ క్లస్టర్లను సమీకరించడం సాధ్యమవుతుంది.
2. సంస్థాపన
మునుపటి కథనంలో పేర్కొన్నట్లుగా, యూజర్గేట్ హార్డ్వేర్ మరియు సాఫ్ట్వేర్ ప్యాకేజీగా సరఫరా చేయబడుతుంది లేదా వర్చువల్ వాతావరణంలో అమలు చేయబడుతుంది. వెబ్సైట్లోని మీ వ్యక్తిగత ఖాతా నుండి OVF (ఓపెన్ వర్చువలైజేషన్ ఫార్మాట్)లో చిత్రాన్ని డౌన్లోడ్ చేయండి, ఈ ఫార్మాట్ VMWare మరియు Oracle Virtualbox విక్రేతలకు అనుకూలంగా ఉంటుంది. Microsoft Hyper-v మరియు KVM కోసం వర్చువల్ మెషిన్ డిస్క్ ఇమేజ్లు అందించబడ్డాయి.
UserGate వెబ్సైట్ ప్రకారం, వర్చువల్ మెషీన్ సరిగ్గా పనిచేయడానికి, కనీసం 8Gb RAM మరియు 2-కోర్ వర్చువల్ ప్రాసెసర్ని ఉపయోగించాలని సిఫార్సు చేయబడింది. హైపర్వైజర్ తప్పనిసరిగా 64-బిట్ ఆపరేటింగ్ సిస్టమ్లకు మద్దతివ్వాలి.
ఎంచుకున్న హైపర్వైజర్ (వర్చువల్బాక్స్ మరియు VMWare)లోకి ఇమేజ్ని దిగుమతి చేయడం ద్వారా ఇన్స్టాలేషన్ ప్రారంభమవుతుంది. మైక్రోసాఫ్ట్ హైపర్-v మరియు KVM విషయంలో, మీరు వర్చువల్ మెషీన్ను సృష్టించాలి మరియు డౌన్లోడ్ చేసిన చిత్రాన్ని డిస్క్గా పేర్కొనాలి, ఆపై సృష్టించిన వర్చువల్ మెషీన్ సెట్టింగ్లలో ఇంటిగ్రేషన్ సేవలను నిలిపివేయాలి.
డిఫాల్ట్గా, VMWareలోకి దిగుమతి చేసిన తర్వాత, కింది సెట్టింగ్లతో వర్చువల్ మిషన్ సృష్టించబడుతుంది:
పైన వ్రాసినట్లుగా, కనీసం 8Gb RAM ఉండాలి మరియు అదనంగా మీరు ప్రతి 1 మంది వినియోగదారులకు 100Gb జోడించాలి. డిఫాల్ట్ హార్డ్ డ్రైవ్ పరిమాణం 100Gb, అయితే ఇది సాధారణంగా అన్ని లాగ్లు మరియు సెట్టింగ్లను నిల్వ చేయడానికి సరిపోదు. సిఫార్సు చేయబడిన పరిమాణం 300Gb లేదా అంతకంటే ఎక్కువ. అందువల్ల, వర్చువల్ మెషీన్ యొక్క లక్షణాలలో, మేము డిస్క్ పరిమాణాన్ని కావలసినదానికి మారుస్తాము. ప్రారంభంలో, వర్చువల్ యూజర్గేట్ UTM జోన్లకు కేటాయించిన నాలుగు ఇంటర్ఫేస్లతో వస్తుంది:
మేనేజ్మెంట్ - వర్చువల్ మెషీన్ యొక్క మొదటి ఇంటర్ఫేస్, యూజర్గేట్ మేనేజ్మెంట్ అనుమతించబడే విశ్వసనీయ నెట్వర్క్లను కనెక్ట్ చేసే జోన్.
ట్రస్టెడ్ అనేది వర్చువల్ మెషీన్ యొక్క రెండవ ఇంటర్ఫేస్, విశ్వసనీయ నెట్వర్క్లను కనెక్ట్ చేయడానికి ఒక జోన్, ఉదాహరణకు, LAN నెట్వర్క్లు.
అన్ట్రస్టెడ్ అనేది వర్చువల్ మెషీన్ యొక్క మూడవ ఇంటర్ఫేస్, అవిశ్వసనీయ నెట్వర్క్లకు కనెక్ట్ చేయబడిన ఇంటర్ఫేస్ల కోసం ఒక జోన్, ఉదాహరణకు, ఇంటర్నెట్కు.
DMZ అనేది వర్చువల్ మెషీన్ యొక్క నాల్గవ ఇంటర్ఫేస్, DMZ నెట్వర్క్కు కనెక్ట్ చేయబడిన ఇంటర్ఫేస్ల కోసం ఒక జోన్.
తరువాత, మేము వర్చువల్ మెషీన్ను ప్రారంభిస్తాము, అయినప్పటికీ మీరు సపోర్ట్ టూల్స్ని ఎంచుకుని ఫ్యాక్టరీ రీసెట్ UTMని నిర్వహించాలని మాన్యువల్ చెప్పినప్పటికీ, మీరు చూడగలిగినట్లుగా, ఒకే ఒక ఎంపిక (UTM ఫస్ట్ బూట్) ఉంది. ఈ దశలో, UTM నెట్వర్క్ అడాప్టర్లను కాన్ఫిగర్ చేస్తుంది మరియు హార్డ్ డ్రైవ్ విభజన పరిమాణాన్ని పూర్తి డిస్క్ పరిమాణానికి పెంచుతుంది:
UserGate వెబ్ ఇంటర్ఫేస్కు కనెక్ట్ చేయడానికి, మీరు తప్పనిసరిగా మేనేజ్మెంట్ జోన్ ద్వారా లాగిన్ అవ్వాలి; ఇది eth0 ఇంటర్ఫేస్ యొక్క బాధ్యత, ఇది స్వయంచాలకంగా IP చిరునామాను (DHCP) పొందేందుకు కాన్ఫిగర్ చేయబడింది. DHCPని ఉపయోగించి స్వయంచాలకంగా మేనేజ్మెంట్ ఇంటర్ఫేస్ కోసం చిరునామాను కేటాయించడం సాధ్యం కాకపోతే, దానిని CLI (కమాండ్ లైన్ ఇంటర్ఫేస్) ఉపయోగించి స్పష్టంగా సెట్ చేయవచ్చు. దీన్ని చేయడానికి, మీరు పూర్తి అడ్మినిస్ట్రేటర్ హక్కులతో (డిఫాల్ట్గా క్యాపిటల్ లెటర్తో అడ్మిన్) వినియోగదారు పేరు మరియు పాస్వర్డ్ని ఉపయోగించి CLIకి లాగిన్ అవ్వాలి. UserGate పరికరం ప్రారంభ ప్రారంభానికి గురికాకపోతే, CLIని యాక్సెస్ చేయడానికి మీరు తప్పనిసరిగా అడ్మిన్ని వినియోగదారు పేరుగా మరియు utmని పాస్వర్డ్గా ఉపయోగించాలి. మరియు iface config –name eth0 –ipv4 192.168.1.254/24 వంటి ఆదేశాన్ని టైప్ చేయండి – true –mode staticని ప్రారంభించండి. తరువాత మేము పేర్కొన్న చిరునామాలో UserGate వెబ్ కన్సోల్కి వెళ్తాము, ఇది ఇలా ఉండాలి:https://UserGateIPaddress:8001:
వెబ్ కన్సోల్లో మేము ఇన్స్టాలేషన్ను కొనసాగిస్తాము, మేము ఇంటర్ఫేస్ భాషను (ప్రస్తుతానికి ఇది రష్యన్ లేదా ఇంగ్లీష్), టైమ్ జోన్ను ఎంచుకోవాలి, ఆపై లైసెన్స్ ఒప్పందాన్ని చదివి అంగీకరించాలి. వెబ్ మేనేజ్మెంట్ ఇంటర్ఫేస్లోకి లాగిన్ అవ్వడానికి లాగిన్ మరియు పాస్వర్డ్ను సెట్ చేయండి.
3. సెటప్
ఇన్స్టాలేషన్ తర్వాత, ప్లాట్ఫారమ్ మేనేజ్మెంట్ వెబ్ ఇంటర్ఫేస్ విండో ఇలా కనిపిస్తుంది:
అప్పుడు మీరు నెట్వర్క్ ఇంటర్ఫేస్లను కాన్ఫిగర్ చేయాలి. దీన్ని చేయడానికి, "ఇంటర్ఫేస్లు" విభాగంలో మీరు వాటిని ప్రారంభించాలి, సరైన IP చిరునామాలను సెట్ చేయాలి మరియు తగిన జోన్లను కేటాయించాలి.
"ఇంటర్ఫేస్లు" విభాగం సిస్టమ్లో అందుబాటులో ఉన్న అన్ని భౌతిక మరియు వర్చువల్ ఇంటర్ఫేస్లను ప్రదర్శిస్తుంది, వాటి సెట్టింగ్లను మార్చడానికి మరియు VLAN ఇంటర్ఫేస్లను జోడించడానికి మిమ్మల్ని అనుమతిస్తుంది. ఇది ప్రతి క్లస్టర్ నోడ్ యొక్క అన్ని ఇంటర్ఫేస్లను కూడా చూపుతుంది. ఇంటర్ఫేస్ సెట్టింగ్లు ప్రతి నోడ్కు నిర్దిష్టంగా ఉంటాయి, అంటే అవి గ్లోబల్ కాదు.
ఇంటర్ఫేస్ లక్షణాలలో:
-
ఇంటర్ఫేస్ను ప్రారంభించండి లేదా నిలిపివేయండి
-
ఇంటర్ఫేస్ రకాన్ని పేర్కొనండి - లేయర్ 3 లేదా మిర్రర్
-
ఇంటర్ఫేస్కి జోన్ను కేటాయించండి
-
నెట్ఫ్లో కలెక్టర్కు గణాంక డేటాను పంపడానికి నెట్ఫ్లో ప్రొఫైల్ను కేటాయించండి
-
ఇంటర్ఫేస్ యొక్క భౌతిక పారామితులను మార్చండి - MAC చిరునామా మరియు MTU పరిమాణం
-
IP చిరునామా కేటాయింపు రకాన్ని ఎంచుకోండి - చిరునామా లేదు, స్టాటిక్ IP చిరునామా లేదా DHCP ద్వారా పొందబడింది
-
ఎంచుకున్న ఇంటర్ఫేస్లో DHCP రిలేను కాన్ఫిగర్ చేయండి.
"జోడించు" బటన్ క్రింది రకాల లాజికల్ ఇంటర్ఫేస్లను జోడించడానికి మిమ్మల్ని అనుమతిస్తుంది:
-
VLANలు
-
బాండ్
-
వంతెన
-
PPPoE
-
VPN
-
సొరంగం
యూజర్గేట్ ఇమేజ్ రవాణా చేసే గతంలో జాబితా చేయబడిన జోన్లతో పాటు, మరో మూడు ముందే నిర్వచించబడిన రకాలు ఉన్నాయి:
క్లస్టర్ - క్లస్టర్ ఆపరేషన్ కోసం ఉపయోగించే ఇంటర్ఫేస్ల కోసం జోన్
సైట్-టు-సైట్ కోసం VPN - VPN ద్వారా యూజర్గేట్కి కనెక్ట్ చేయబడిన అన్ని ఆఫీస్-ఆఫీస్ క్లయింట్లను ఉంచే జోన్
రిమోట్ యాక్సెస్ కోసం VPN - VPN ద్వారా UserGateకి కనెక్ట్ చేయబడిన మొబైల్ వినియోగదారులందరినీ కలిగి ఉండే జోన్
UserGate నిర్వాహకులు డిఫాల్ట్ జోన్ల సెట్టింగ్లను మార్చవచ్చు మరియు అదనపు జోన్లను కూడా సృష్టించవచ్చు, కానీ వెర్షన్ 5 మాన్యువల్లో పేర్కొన్నట్లుగా, గరిష్టంగా 15 జోన్లను సృష్టించవచ్చు. వాటిని మార్చడానికి లేదా సృష్టించడానికి, మీరు జోన్ విభాగానికి వెళ్లాలి. ప్రతి జోన్ కోసం, మీరు ప్యాకెట్ డ్రాప్ థ్రెషోల్డ్ని సెట్ చేయవచ్చు; SYN, UDP, ICMPకి మద్దతు ఉంది. యూజర్గేట్ సేవలకు యాక్సెస్ నియంత్రణ కూడా కాన్ఫిగర్ చేయబడింది మరియు స్పూఫింగ్ నుండి రక్షణ ప్రారంభించబడింది.
ఇంటర్ఫేస్లను కాన్ఫిగర్ చేసిన తర్వాత, మీరు "గేట్వేస్" విభాగంలో డిఫాల్ట్ మార్గాన్ని కాన్ఫిగర్ చేయాలి. ఆ. యూజర్గేట్ను ఇంటర్నెట్కు కనెక్ట్ చేయడానికి, మీరు తప్పనిసరిగా ఒకటి లేదా అంతకంటే ఎక్కువ గేట్వేల IP చిరునామాను పేర్కొనాలి. మీరు ఇంటర్నెట్కు కనెక్ట్ చేయడానికి అనేక ప్రొవైడర్లను ఉపయోగిస్తుంటే, మీరు తప్పనిసరిగా అనేక గేట్వేలను పేర్కొనాలి. ప్రతి క్లస్టర్ నోడ్కు గేట్వే కాన్ఫిగరేషన్ ప్రత్యేకంగా ఉంటుంది. రెండు లేదా అంతకంటే ఎక్కువ గేట్వేలు పేర్కొనబడితే, 2 ఎంపికలు సాధ్యమే:
-
గేట్వేల మధ్య ట్రాఫిక్ను బ్యాలెన్స్ చేయడం.
-
విడిభాగానికి మారే ప్రధాన గేట్వే.
గేట్వే స్థితి (అందుబాటులో ఉంది - ఆకుపచ్చ, అందుబాటులో లేదు - ఎరుపు) క్రింది విధంగా నిర్ణయించబడుతుంది:
-
నెట్వర్క్ తనిఖీ నిలిపివేయబడింది - ARP అభ్యర్థనను ఉపయోగించి యూజర్గేట్ దాని MAC చిరునామాను పొందగలిగితే, గేట్వే యాక్సెస్ చేయగలదని పరిగణించబడుతుంది. ఈ గేట్వే ద్వారా ఇంటర్నెట్ యాక్సెస్కు చెక్ లేదు. గేట్వే యొక్క MAC చిరునామాను గుర్తించలేకపోతే, గేట్వే చేరుకోలేనిదిగా పరిగణించబడుతుంది.
-
నెట్వర్క్ తనిఖీ ప్రారంభించబడింది - గేట్వే యాక్సెస్ చేయగలిగితే:
-
యూజర్గేట్ దాని MAC చిరునామాను ARP అభ్యర్థనను ఉపయోగించి పొందవచ్చు.
-
ఈ గేట్వే ద్వారా ఇంటర్నెట్ యాక్సెస్ కోసం తనిఖీ విజయవంతంగా పూర్తయింది.
లేకపోతే, గేట్వే అందుబాటులో లేదని పరిగణించబడుతుంది.
"DNS" విభాగంలో మీరు UserGate ఉపయోగించే DNS సర్వర్లను జోడించాలి. ఈ సెట్టింగ్ సిస్టమ్ DNS సర్వర్ల ప్రాంతంలో పేర్కొనబడింది. వినియోగదారుల నుండి DNS అభ్యర్థనలను నిర్వహించడానికి సెట్టింగ్లు క్రింద ఉన్నాయి. UserGate మిమ్మల్ని DNS ప్రాక్సీని ఉపయోగించడానికి అనుమతిస్తుంది. DNS ప్రాక్సీ సేవ వినియోగదారుల నుండి DNS అభ్యర్థనలను అడ్డగించడానికి మరియు నిర్వాహకుని అవసరాలను బట్టి వాటిని మార్చడానికి మిమ్మల్ని అనుమతిస్తుంది. నిర్దిష్ట డొమైన్ల కోసం అభ్యర్థనలు ఫార్వార్డ్ చేయబడే DNS సర్వర్లను పేర్కొనడానికి DNS ప్రాక్సీ నియమాలను ఉపయోగించవచ్చు. అదనంగా, DNS ప్రాక్సీని ఉపయోగించి, మీరు హోస్ట్ రకం (A రికార్డ్) యొక్క స్టాటిక్ రికార్డ్లను సెట్ చేయవచ్చు.
"NAT మరియు రూటింగ్" విభాగంలో మీరు అవసరమైన NAT నియమాలను సృష్టించాలి. విశ్వసనీయ నెట్వర్క్ వినియోగదారుల ద్వారా ఇంటర్నెట్కు ప్రాప్యత కోసం, NAT నియమం ఇప్పటికే సృష్టించబడింది - “విశ్వసనీయ->అవిశ్వసనీయ”, దీన్ని ప్రారంభించడమే మిగిలి ఉంది. నియమాలు కన్సోల్లో జాబితా చేయబడిన క్రమంలో పై నుండి క్రిందికి వర్తింపజేయబడతాయి. నియమం మ్యాచ్లో పేర్కొన్న షరతులు ఎల్లప్పుడూ అమలు చేయబడే మొదటి నియమం మాత్రమే. నియమం ట్రిగ్గర్ చేయబడాలంటే, నియమం పారామితులలో పేర్కొన్న అన్ని షరతులు సరిపోలాలి. యూజర్గేట్ సాధారణ NAT నియమాలను రూపొందించాలని సిఫార్సు చేస్తుంది, ఉదాహరణకు, స్థానిక నెట్వర్క్ (సాధారణంగా విశ్వసనీయ జోన్) నుండి ఇంటర్నెట్కు (సాధారణంగా అవిశ్వసనీయ జోన్) NAT నియమం మరియు ఫైర్వాల్ నియమాలను ఉపయోగించి వినియోగదారులు, సేవలు మరియు అప్లికేషన్ల ద్వారా యాక్సెస్ని పరిమితం చేయడం.
DNAT నియమాలు, పోర్ట్ ఫార్వార్డింగ్, పాలసీ-ఆధారిత రౌటింగ్, నెట్వర్క్ మ్యాపింగ్ను సృష్టించడం కూడా సాధ్యమే.
దీని తరువాత, "ఫైర్వాల్" విభాగంలో మీరు ఫైర్వాల్ నియమాలను సృష్టించాలి. విశ్వసనీయ నెట్వర్క్ వినియోగదారుల కోసం ఇంటర్నెట్కు అపరిమిత ప్రాప్యత కోసం, ఫైర్వాల్ నియమం కూడా ఇప్పటికే సృష్టించబడింది - “ఇంటర్నెట్ ఫర్ ట్రస్టెడ్” మరియు తప్పనిసరిగా ప్రారంభించబడాలి. ఫైర్వాల్ నియమాలను ఉపయోగించి, నిర్వాహకుడు UserGate గుండా వెళ్లే ఎలాంటి రవాణా నెట్వర్క్ ట్రాఫిక్ను అనుమతించవచ్చు లేదా తిరస్కరించవచ్చు. నియమ నిబంధనలలో జోన్లు మరియు మూలం/గమ్యం IP చిరునామాలు, వినియోగదారులు మరియు సమూహాలు, సేవలు మరియు అప్లికేషన్లు ఉంటాయి. నియమాలు "NAT మరియు రూటింగ్" విభాగంలో వర్తిస్తాయి, అనగా. పైకి క్రిందికి. నియమాలు ఏవీ సృష్టించబడకపోతే, వినియోగదారు గేట్ ద్వారా ఏదైనా రవాణా ట్రాఫిక్ నిషేధించబడింది.
4. ముగింపు
దీనితో వ్యాసం ముగుస్తుంది. మేము వర్చువల్ మెషీన్లో UserGate ఫైర్వాల్ను ఇన్స్టాల్ చేసాము మరియు విశ్వసనీయ నెట్వర్క్లో పని చేయడానికి ఇంటర్నెట్ కోసం అవసరమైన కనీస సెట్టింగ్లను చేసాము. మేము తదుపరి కథనాలలో తదుపరి కాన్ఫిగరేషన్ను పరిశీలిస్తాము.
మా ఛానెల్లలో నవీకరణల కోసం వేచి ఉండండి (, , , )!
మూలం: www.habr.com