Салом, ин мақолаи дуюм дар бораи ҳалли NGFW аз ширкат аст . Мақсади ин мақола нишон додани он аст, ки чӣ тавр насб кардани брандмауэри UserGate дар системаи виртуалӣ (ман нармафзори виртуализатсияи VMware Workstation-ро истифода хоҳам бурд) ва конфигуратсияи ибтидоии онро иҷро кунед (иҷозат додан ба дастрасӣ аз шабакаи маҳаллӣ тавассути дарвозаи UserGate ба Интернет).
1. Муқаддима
Барои оғоз, ман роҳҳои гуногуни татбиқи ин дарвозаро дар шабака тавсиф мекунам. Мехоҳам қайд намоям, ки вобаста ба имконоти пайвасти интихобшуда, баъзе функсияҳои шлюз метавонанд дастрас набошанд. Ҳалли UserGate шеваҳои зерини пайвастро дастгирӣ мекунад:
-
Сипар L3-L7
-
пули шаффоф L2
-
пули шаффоф L3
-
Амалан ба холигоҳ, бо истифода аз протоколи WCCP
-
Амалан дар холигоҳ, бо истифода аз масир дар асоси сиёсат
-
Роутер дар чӯб
-
Прокси WEB ба таври возеҳ нишон дода шудааст
-
UserGate ҳамчун дарвозаи пешфарз
-
Мониторинги порти оина
UserGate 2 намуди кластерҳоро дастгирӣ мекунад:
-
Конфигуратсияи кластер. Гиреҳҳое, ки дар кластери конфигуратсия муттаҳид шудаанд, танзимоти пайвастаро дар кластер нигоҳ медоранд.
-
Кластери ноком. То 4 гиреҳи кластери конфигуратсияро метавон ба як кластери ивазкунӣ муттаҳид кард, ки амалиётро дар ҳолати фаъол-фаъол ё фаъол-фаъол дастгирӣ мекунад. Якчанд кластерҳои нокомиро ҷамъ кардан мумкин аст.
2. Насбкунӣ
Тавре ки дар мақолаи қаблӣ зикр гардид, UserGate ҳамчун бастаи сахтафзор ва нармафзор таъмин карда мешавад ё дар муҳити виртуалӣ ҷойгир карда мешавад. Аз ҳисоби шахсии шумо дар вебсайт Тасвирро дар OVF (Формати Open Virtualization) зеркашӣ кунед, ин формат барои фурӯшандагони VMWare ва Oracle Virtualbox мувофиқ аст. Тасвирҳои диски мошини виртуалӣ барои Microsoft Hyper-v ва KVM пешниҳод карда мешаванд.
Тибқи иттилои вебсайти UserGate, барои дуруст кор кардани мошини виртуалӣ тавсия дода мешавад, ки ҳадди аққал 8 Гб хотираи оперативӣ ва протсессори виртуалии 2-аслӣ истифода шавад. Гипервизор бояд системаҳои оператсионии 64-битро дастгирӣ кунад.
Насб бо ворид кардани тасвир ба гипервизори интихобшуда (VirtualBox ва VMWare) оғоз меёбад. Дар мавриди Microsoft Hyper-v ва KVM, шумо бояд як мошини маҷозӣ эҷод кунед ва тасвири зеркашидашударо ҳамчун диск муайян кунед ва сипас хидматҳои ҳамгироиро дар танзимоти мошини виртуалии сохташуда ғайрифаъол кунед.
Бо нобаёнӣ, пас аз воридот ба VMWare, мошини виртуалӣ бо танзимоти зерин сохта мешавад:
Тавре ки дар боло навишта шудааст, бояд ҳадди аққал 8 Гб хотираи оперативӣ дошта бошад ва илова бар ин, шумо бояд барои ҳар 1 корбар 100 Гб илова кунед. Андозаи пешфарз гардонандаи сахт 100 Гб аст, аммо ин одатан барои нигоҳ доштани ҳамаи гузоришҳо ва танзимот кофӣ нест. Андозаи тавсияшаванда 300 Гб ё бештар аст. Аз ин рӯ, дар хосиятҳои мошини виртуалӣ, мо андозаи дискро ба андозаи дилхоҳ иваз мекунем. Дар аввал, виртуалии UserGate UTM бо чаҳор интерфейси ба минтақаҳо таъиншуда меояд:
Менеҷмент - аввалин интерфейси мошини виртуалӣ, минтақа барои пайваст кардани шабакаҳои боэътимод, ки аз он идоракунии UserGate иҷозат дода мешавад.
Trusted интерфейси дуюми мошини виртуалӣ, минтақа барои пайваст кардани шабакаҳои боэътимод, масалан, шабакаҳои LAN мебошад.
Беэътимод интерфейси сеюми мошини маҷозӣ, минтақа барои интерфейсҳое мебошад, ки ба шабакаҳои боваринок, масалан, ба Интернет пайвастанд.
DMZ интерфейси чоруми мошини виртуалӣ, минтақа барои интерфейсҳои ба шабакаи DMZ пайваст аст.
Баъдан, мо мошини виртуалиро оғоз мекунем, гарчанде ки дастур мегӯяд, ки шумо бояд Асбобҳои Дастгириро интихоб кунед ва UTM-ро аз нав барқарор кунед, аммо тавре мебинед, танҳо як интихоб вуҷуд дорад (UTM First Boot). Дар ин қадам, UTM адаптерҳои шабакаро танзим мекунад ва андозаи қисмати диски сахтро ба андозаи пурраи диск зиёд мекунад:
Барои пайваст шудан ба веб-интерфейси UserGate, шумо бояд тавассути минтақаи идоракунӣ ворид шавед; ин масъулияти интерфейси eth0 аст, ки барои ба таври худкор гирифтани суроғаи IP (DHCP) танзим шудааст. Агар тавассути DHCP ба таври худкор таъин кардани суроға барои интерфейси Идоракунӣ имконнопазир бошад, он гоҳ онро метавон ба таври возеҳ бо истифода аз CLI (Интерфейси сатри фармон) танзим кард. Барои ин, шумо бояд ба CLI бо истифода аз номи корбар ва парол бо ҳуқуқи пурраи администратор ворид шавед (Админ бо ҳарфи калон ба таври пешфарз). Агар дастгоҳи UserGate аз оғози ибтидоӣ нагузашта бошад, пас барои дастрасӣ ба CLI шумо бояд Admin -ро ҳамчун номи корбар ва utm -ро ҳамчун парол истифода баред. Ва фармонеро ворид кунед, ба монанди iface config –name eth0 –ipv4 192.168.1.254/24 – фаъол кардани true –mode static. Баъдтар мо ба веб консоли UserGate бо суроғаи муайяншуда меравем, он бояд чунин бошад:https://UserGateIPaddress:8001:
Дар веб консол мо насбкуниро идома медиҳем, ба мо лозим аст, ки забони интерфейсро интихоб кунем (дар айни замон он русӣ ё англисӣ аст), минтақаи вақтро интихоб кунем, пас хонед ва ба шартномаи литсензионӣ розӣ шавед. Логин ва паролро барои ворид шудан ба интерфейси идоракунии веб таъин кунед.
3. Танзимот
Пас аз насб, равзанаи веб интерфейси идоракунии платформа чунин аст:
Пас шумо бояд интерфейсҳои шабакаро танзим кунед. Барои ин, дар бахши "Интерфейсҳо" шумо бояд онҳоро фаъол созед, суроғаҳои IP-ро дуруст таъин кунед ва минтақаҳои мувофиқро таъин кунед.
Бахши "Интерфейсҳо" ҳама интерфейсҳои физикӣ ва виртуалии дар система мавҷудбударо намоиш медиҳад, ба шумо имкон медиҳад, ки танзимоти онҳоро тағир диҳед ва интерфейсҳои VLAN илова кунед. Он инчунин ҳамаи интерфейсҳои ҳар як гиреҳи кластерро нишон медиҳад. Танзимоти интерфейс барои ҳар як гиреҳ хос аст, яъне онҳо глобалӣ нестанд.
Дар хосиятҳои интерфейс:
-
Интерфейсро фаъол ё ғайрифаъол кунед
-
Навъи интерфейсро муайян кунед - Қабати 3 ё Зеркало
-
Минтақаро ба интерфейс таъин кунед
-
Барои фиристодани маълумоти оморӣ ба коллектори Netflow профили Netflow таъин кунед
-
Тағир додани параметрҳои физикии интерфейс - суроғаи MAC ва андозаи MTU
-
Навъи таъини суроғаи IP-ро интихоб кунед - суроға нест, суроғаи IP статикӣ ё тавассути DHCP гирифташуда
-
Релеи DHCP-ро дар интерфейси интихобшуда танзим кунед.
Тугмаи "Илова кардан" ба шумо имкон медиҳад, ки намудҳои зерини интерфейсҳои мантиқӣ илова кунед:
-
ВЛАН
-
Бонд
-
Чорчӯб
-
PPPoE
-
VPN
-
Туннель
Илова ба минтақаҳои қаблан номбаршуда, ки тасвири Usergate бо онҳо фиристода мешавад, боз се намуди пешакӣ муайяншуда мавҷуданд:
Кластер - минтақа барои интерфейсҳое, ки барои амалиёти кластер истифода мешаванд
VPN for Site-to-Site - минтақае, ки дар он ҳамаи муштариёни Office-Office ба UserGate тавассути VPN пайваст карда мешаванд
VPN барои дастрасии дурдаст - минтақае, ки ҳамаи корбарони мобилии ба UserGate тавассути VPN пайвастшударо дар бар мегирад
Маъмурони UserGate метавонанд танзимоти минтақаҳои пешфарзро тағир диҳанд ва инчунин минтақаҳои иловагӣ эҷод кунанд, аммо тавре ки дар дастури версияи 5 гуфта шудааст, ҳадди аксар 15 минтақа эҷод кардан мумкин аст. Барои тағир додан ё сохтани онҳо, шумо бояд ба бахши минтақа равед. Барои ҳар як минтақа шумо метавонед ҳадди ниҳоии тарки бастаҳоро муқаррар кунед; SYN, UDP, ICMP дастгирӣ карда мешавад. Назорати дастрасӣ ба хидматҳои Usergate низ танзим карда шудааст ва муҳофизат аз қаллобӣ фаъол аст.
Пас аз конфигуратсияи интерфейсҳо, шумо бояд масири пешфарзро дар қисмати "Шлюзҳо" танзим кунед. Онхое. Барои пайваст кардани UserGate ба Интернет, шумо бояд суроғаи IP-и як ё якчанд шлюзҳоро муайян кунед. Агар шумо якчанд провайдерҳоро барои пайвастшавӣ ба Интернет истифода баред, шумо бояд якчанд шлюзҳоро муайян кунед. Конфигуратсияи дарвоза барои ҳар як гиреҳи кластер беназир аст. Агар ду ё зиёда шлюз муайян карда шуда бошад, 2 вариант имконпазир аст:
-
Мувозинати трафик байни дарвозаҳо.
-
Дарвозаи асосӣ бо гузариш ба яки эҳтиётӣ.
Ҳолати дарвоза (дастрас - сабз, дастнорас - сурх) ба таври зерин муайян карда мешавад:
-
Санҷиши шабака ғайрифаъол аст - агар UserGate суроғаи MAC-и худро бо истифода аз дархости ARP дастрас кунад, шлюз дастрас ҳисобида мешавад. Тавассути ин шлюз барои дастрасӣ ба Интернет тафтиш карда намешавад. Агар суроғаи MAC-и дарвозаро муайян кардан ғайриимкон бошад, шлюз дастнорас ҳисобида мешавад.
-
Санҷиши шабака фаъол аст - шлюз дастрас ҳисобида мешавад, агар:
-
UserGate метавонад суроғаи MAC-и худро бо истифода аз дархости ARP дастрас кунад.
-
Санҷиши дастрасии интернет тавассути ин шлюз бомуваффақият анҷом ёфт.
Дар акси ҳол, дарвоза дастнорас ҳисобида мешавад.
Дар бахши "DNS" шумо бояд серверҳои DNS-ро илова кунед, ки UserGate истифода мебарад. Ин танзимот дар минтақаи серверҳои системавии DNS муайян карда шудааст. Дар зер танзимот барои идоракунии дархостҳои DNS аз корбарон оварда шудаанд. UserGate ба шумо имкон медиҳад, ки прокси DNS-ро истифода баред. Хидмати прокси DNS ба шумо имкон медиҳад, ки дархостҳои DNS-ро аз корбарон боздоред ва онҳоро вобаста ба эҳтиёҷоти администратор тағир диҳед. Қоидаҳои прокси DNS метавонанд барои муайян кардани серверҳои DNS, ки дархостҳо барои доменҳои мушаххас фиристода мешаванд, истифода шаванд. Илова бар ин, бо истифода аз прокси DNS, шумо метавонед сабтҳои статикии навъи ҳост (Сабти A) насб кунед.
Дар бахши "NAT and Routing" шумо бояд қоидаҳои зарурии NAT-ро эҷод кунед. Барои дастрасӣ ба Интернет аз ҷониби корбарони шабакаи боэътимод, қоидаи NAT аллакай сохта шудааст - "Боварӣ->Беэътимод", танҳо фаъол кардани он боқӣ мемонад. Қоидаҳо аз боло ба поён бо тартиби дар консол номбаршуда татбиқ карда мешаванд. Танҳо қоидаи якум, ки барои он шартҳои дар қоида нишондодашуда ҳамеша иҷро мешаванд. Барои ба кор андохтани қоида бояд ҳамаи шартҳои дар параметрҳои қоида зикршуда мувофиқат кунанд. UserGate тавсия медиҳад, ки қоидаҳои умумии NAT эҷод кунед, масалан, қоидаи NAT аз шабакаи маҳаллӣ (одатан минтақаи эътимоднок) ба Интернет (одатан минтақаи боваринок) ва маҳдуд кардани дастрасии корбарон, хидматҳо ва барномаҳо бо истифода аз қоидаҳои брандмауэр.
Инчунин имконпазир аст, ки қоидаҳои DNAT, интиқоли порт, масир дар асоси сиёсат, харитасозии шабака.
Пас аз ин, дар бахши "Сивер" шумо бояд қоидаҳои брандмауэрро эҷод кунед. Барои дастрасии номаҳдуд ба Интернет барои корбарони шабакаи боэътимод, қоидаи девори девор низ аллакай сохта шудааст - "Интернет барои эътимоднок" ва бояд фаъол карда шавад. Бо истифода аз қоидаҳои брандмауэр, администратор метавонад ҳама гуна трафики шабакаи транзитиро, ки тавассути UserGate мегузарад, иҷозат ё рад кунад. Шартҳои қоида метавонанд минтақаҳо ва суроғаҳои IP-и манбаъ/таъинот, корбарон ва гурӯҳҳо, хидматҳо ва барномаҳоро дар бар гиранд. Қоидаҳо ҳамон тавре ки дар бахши "NAT ва Routing" истифода мешаванд, яъне. аз боло ба поён. Агар ягон қоида сохта нашуда бошад, пас ҳама гуна трафики транзитӣ тавассути UserGate манъ аст.
4. Хулоса
Ин мақоларо ба итмом мерасонад. Мо брандмауэри UserGate-ро дар мошини маҷозӣ насб кардем ва ҳадди ақали танзимоти заруриро барои кор дар шабакаи Trusted Интернет анҷом додем. Мо конфигуратсияи минбаъдаро дар мақолаҳои зерин баррасӣ хоҳем кард.
Барои навсозиҳо ба каналҳои мо пайравӣ кунед (, , , )!
Манбаъ: will.com