ہیلو، یہ کمپنی کی جانب سے NGFW حل کے بارے میں دوسرا مضمون ہے۔ . اس آرٹیکل کا مقصد یہ بتانا ہے کہ یوزر گیٹ فائر وال کو ورچوئل سسٹم پر کیسے انسٹال کیا جائے (میں VMware ورک سٹیشن ورچوئلائزیشن سافٹ ویئر استعمال کروں گا) اور اس کی ابتدائی کنفیگریشن انجام دوں گا (یوزر گیٹ گیٹ وے کے ذریعے مقامی نیٹ ورک سے انٹرنیٹ تک رسائی کی اجازت دیں)۔
1. تعارف
شروع کرنے کے لیے، میں نیٹ ورک میں اس گیٹ وے کو لاگو کرنے کے مختلف طریقوں کی وضاحت کروں گا۔ میں نوٹ کرنا چاہوں گا کہ کنکشن کے منتخب کردہ آپشن کی بنیاد پر، گیٹ وے کی کچھ فعالیت دستیاب نہیں ہوسکتی ہے۔ UserGate حل مندرجہ ذیل کنکشن طریقوں کی حمایت کرتا ہے:
-
L3-L7 فائر وال
-
L2 شفاف پل
-
L3 شفاف پل
-
WCCP پروٹوکول کا استعمال کرتے ہوئے، عملی طور پر خلا میں
-
پالیسی پر مبنی روٹنگ کا استعمال کرتے ہوئے عملی طور پر خلا میں
-
ایک چھڑی پر راؤٹر
-
واضح طور پر بیان کردہ WEB پراکسی
-
UserGate بطور ڈیفالٹ گیٹ وے
-
آئینہ بندرگاہ کی نگرانی
یوزر گیٹ 2 قسم کے کلسٹرز کو سپورٹ کرتا ہے:
-
کلسٹر کنفیگریشن۔ کنفیگریشن کلسٹر میں مل کر نوڈس پورے کلسٹر میں مستقل سیٹنگز کو برقرار رکھتے ہیں۔
-
فیل اوور کلسٹر۔ 4 تک کنفیگریشن کلسٹر نوڈس کو ایک فیل اوور کلسٹر میں جوڑا جا سکتا ہے جو ایکٹیو ایکٹو یا ایکٹیو پیسیو موڈ میں آپریشن کو سپورٹ کرتا ہے۔ کئی فیل اوور کلسٹرز کو جمع کرنا ممکن ہے۔
2. تنصیب
جیسا کہ پچھلے مضمون میں ذکر کیا گیا ہے، UserGate کو ہارڈ ویئر اور سافٹ ویئر پیکج کے طور پر فراہم کیا جاتا ہے یا ورچوئل ماحول میں تعینات کیا جاتا ہے۔ ویب سائٹ پر اپنے ذاتی اکاؤنٹ سے تصویر کو OVF (اوپن ورچوئلائزیشن فارمیٹ) میں ڈاؤن لوڈ کریں، یہ فارمیٹ VMWare اور Oracle Virtualbox وینڈرز کے لیے موزوں ہے۔ ورچوئل مشین ڈسک کی تصاویر Microsoft Hyper-v اور KVM کے لیے فراہم کی گئی ہیں۔
یوزر گیٹ ویب سائٹ کے مطابق، ورچوئل مشین کو صحیح طریقے سے چلانے کے لیے، کم از کم 8 جی بی ریم اور 2 کور ورچوئل پروسیسر استعمال کرنے کی سفارش کی جاتی ہے۔ ہائپر وائزر کو 64 بٹ آپریٹنگ سسٹم کو سپورٹ کرنا چاہیے۔
تنصیب تصویر کو منتخب ہائپر وائزر (ورچوئل باکس اور VMWare) میں درآمد کرنے سے شروع ہوتی ہے۔ Microsoft Hyper-v اور KVM کی صورت میں، آپ کو ایک ورچوئل مشین بنانے کی ضرورت ہے اور ڈاؤن لوڈ کی گئی تصویر کو ڈسک کے طور پر بتانا ہوگا، اور پھر تخلیق کردہ ورچوئل مشین کی سیٹنگز میں انٹیگریشن سروسز کو غیر فعال کرنا ہوگا۔
پہلے سے طے شدہ طور پر، VMWare میں درآمد کرنے کے بعد، درج ذیل ترتیبات کے ساتھ ایک ورچوئل مشین بنائی جاتی ہے۔
جیسا کہ اوپر لکھا گیا ہے، کم از کم 8 جی بی ریم ہونی چاہیے اور اس کے علاوہ آپ کو ہر 1 صارفین کے لیے 100 جی بی کا اضافہ کرنا ہوگا۔ پہلے سے طے شدہ ہارڈ ڈرائیو کا سائز 100Gb ہے، لیکن یہ عام طور پر تمام لاگز اور سیٹنگز کو اسٹور کرنے کے لیے کافی نہیں ہوتا ہے۔ تجویز کردہ سائز 300Gb یا اس سے زیادہ ہے۔ لہذا، ورچوئل مشین کی خصوصیات میں، ہم ڈسک کے سائز کو مطلوبہ میں تبدیل کرتے ہیں۔ ابتدائی طور پر، ورچوئل یوزر گیٹ UTM زونز کو تفویض کردہ چار انٹرفیس کے ساتھ آتا ہے:
مینجمنٹ - ورچوئل مشین کا پہلا انٹرفیس، بھروسہ مند نیٹ ورکس کو جوڑنے کا ایک زون جہاں سے UserGate مینجمنٹ کی اجازت ہے۔
ٹرسٹڈ ورچوئل مشین کا دوسرا انٹرفیس ہے، قابل اعتماد نیٹ ورکس کو جوڑنے کے لیے ایک زون، مثال کے طور پر، LAN نیٹ ورک۔
ناقابل اعتماد ورچوئل مشین کا تیسرا انٹرفیس ہے، ناقابل اعتماد نیٹ ورکس سے جڑے انٹرفیس کے لیے ایک زون، مثال کے طور پر، انٹرنیٹ سے۔
DMZ ورچوئل مشین کا چوتھا انٹرفیس ہے، جو DMZ نیٹ ورک سے منسلک انٹرفیس کے لیے ایک زون ہے۔
اس کے بعد، ہم ورچوئل مشین لانچ کرتے ہیں، حالانکہ دستی کہتی ہے کہ آپ کو سپورٹ ٹولز کو منتخب کرنے اور فیکٹری ری سیٹ UTM کو انجام دینے کی ضرورت ہے، لیکن جیسا کہ آپ دیکھ سکتے ہیں، صرف ایک انتخاب ہے (UTM فرسٹ بوٹ)۔ اس مرحلے کے دوران، UTM نیٹ ورک اڈاپٹر کو ترتیب دیتا ہے اور ہارڈ ڈرائیو پارٹیشن کے سائز کو مکمل ڈسک سائز تک بڑھاتا ہے:
UserGate ویب انٹرفیس سے جڑنے کے لیے، آپ کو مینجمنٹ زون کے ذریعے لاگ ان کرنے کی ضرورت ہے، eth0 انٹرفیس اس کے لیے ذمہ دار ہے، جو خود بخود IP ایڈریس حاصل کرنے کے لیے ترتیب دیا گیا ہے (DHCP)۔ اگر DHCP کا استعمال کرتے ہوئے خود بخود مینجمنٹ انٹرفیس کے لیے ایڈریس تفویض کرنا ممکن نہیں ہے، تو اسے CLI (کمانڈ لائن انٹرفیس) کا استعمال کرتے ہوئے واضح طور پر سیٹ کیا جا سکتا ہے۔ ایسا کرنے کے لیے، آپ کو مکمل منتظم کے حقوق کے ساتھ صارف نام اور پاس ورڈ کا استعمال کرتے ہوئے CLI میں لاگ ان کرنے کی ضرورت ہے (بذریعہ کیپٹل لیٹر والا ایڈمن)۔ اگر UserGate ڈیوائس نے ابتدا نہیں کی ہے، تو CLI تک رسائی کے لیے آپ کو Admin بطور صارف نام اور utm کو پاس ورڈ کے طور پر استعمال کرنا ہوگا۔ اور ایک کمانڈ ٹائپ کریں جیسے iface config –name eth0 –ipv4 192.168.1.254/24 – ٹرو موڈ سٹیٹک کو فعال کریں۔ بعد میں ہم مخصوص ایڈریس پر یوزر گیٹ ویب کنسول پر جاتے ہیں، اسے کچھ اس طرح نظر آنا چاہئے:https://UserGateIPaddress:8001:
ویب کنسول میں ہم انسٹالیشن کو جاری رکھتے ہیں، ہمیں انٹرفیس کی زبان (اس وقت یہ روسی یا انگریزی ہے)، ٹائم زون کو منتخب کرنے کی ضرورت ہے، پھر لائسنس کے معاہدے کو پڑھیں اور اس سے اتفاق کریں۔ ویب مینجمنٹ انٹرفیس میں لاگ ان کرنے کے لیے لاگ ان اور پاس ورڈ سیٹ کریں۔
3. سیٹ اپ
انسٹالیشن کے بعد، پلیٹ فارم مینجمنٹ ویب انٹرفیس ونڈو اس طرح دکھتی ہے:
پھر آپ کو نیٹ ورک انٹرفیس کو ترتیب دینے کی ضرورت ہے۔ ایسا کرنے کے لیے، "انٹرفیس" سیکشن میں آپ کو ان کو فعال کرنے، درست IP پتے سیٹ کرنے اور مناسب زونز تفویض کرنے کی ضرورت ہے۔
"انٹرفیس" سیکشن سسٹم میں دستیاب تمام فزیکل اور ورچوئل انٹرفیس دکھاتا ہے، آپ کو ان کی سیٹنگز کو تبدیل کرنے اور VLAN انٹرفیسز شامل کرنے کی اجازت دیتا ہے۔ یہ ہر کلسٹر نوڈ کے تمام انٹرفیس کو بھی دکھاتا ہے۔ انٹرفیس کی ترتیبات ہر نوڈ کے لیے مخصوص ہیں، یعنی وہ عالمی نہیں ہیں۔
انٹرفیس کی خصوصیات میں:
-
انٹرفیس کو فعال یا غیر فعال کریں۔
-
انٹرفیس کی قسم کی وضاحت کریں - پرت 3 یا آئینہ
-
ایک انٹرفیس کو زون تفویض کریں۔
-
Netflow جمع کرنے والے کو شماریاتی ڈیٹا بھیجنے کے لیے ایک Netflow پروفائل تفویض کریں۔
-
انٹرفیس کے فزیکل پیرامیٹرز کو تبدیل کریں - MAC ایڈریس اور MTU سائز
-
IP ایڈریس تفویض کی قسم منتخب کریں - کوئی پتہ نہیں، جامد IP پتہ یا DHCP کے ذریعے حاصل کیا گیا۔
-
منتخب انٹرفیس پر DHCP ریلے کو ترتیب دیں۔
"شامل کریں" بٹن آپ کو درج ذیل قسم کے منطقی انٹرفیس کو شامل کرنے کی اجازت دیتا ہے:
-
وی ایل این۔
-
بانڈ
-
پل
-
PPPoE
-
VPN
-
سرنگ
پہلے درج کردہ زونز کے علاوہ جن کے ساتھ Usergate امیج بھیجتا ہے، تین مزید پہلے سے طے شدہ اقسام ہیں:
کلسٹر - کلسٹر آپریشن کے لیے استعمال ہونے والے انٹرفیس کے لیے زون
سائٹ ٹو سائٹ کے لیے وی پی این - ایک ایسا زون جس میں یوزر گیٹ سے وی پی این کے ذریعے منسلک تمام آفس آفس کلائنٹس رکھے جاتے ہیں۔
دور دراز تک رسائی کے لیے VPN - ایک ایسا زون جس میں VPN کے ذریعے UserGate سے منسلک تمام موبائل صارفین شامل ہوں
یوزر گیٹ ایڈمنسٹریٹرز پہلے سے طے شدہ زونز کی سیٹنگز کو تبدیل کر سکتے ہیں اور اضافی زون بھی بنا سکتے ہیں، لیکن جیسا کہ ورژن 5 مینوئل میں بتایا گیا ہے، زیادہ سے زیادہ 15 زون بنائے جا سکتے ہیں۔ انہیں تبدیل کرنے یا بنانے کے لیے، آپ کو زون سیکشن میں جانا ہوگا۔ ہر زون کے لیے، آپ ایک پیکٹ ڈراپ تھریشولڈ سیٹ کر سکتے ہیں؛ SYN، UDP، ICMP تعاون یافتہ ہیں۔ یوزر گیٹ سروسز تک رسائی کا کنٹرول بھی ترتیب دیا گیا ہے، اور جعل سازی کے خلاف تحفظ فعال ہے۔
انٹرفیس کو کنفیگر کرنے کے بعد، آپ کو "گیٹ ویز" سیکشن میں ڈیفالٹ روٹ کنفیگر کرنے کی ضرورت ہے۔ وہ. یوزر گیٹ کو انٹرنیٹ سے مربوط کرنے کے لیے، آپ کو ایک یا زیادہ گیٹ ویز کا IP ایڈریس بتانا ہوگا۔ اگر آپ انٹرنیٹ سے جڑنے کے لیے کئی فراہم کنندگان کا استعمال کرتے ہیں، تو آپ کو متعدد گیٹ ویز کی وضاحت کرنی چاہیے۔ گیٹ وے کی ترتیب ہر کلسٹر نوڈ کے لیے منفرد ہے۔ اگر دو یا دو سے زیادہ گیٹ وے متعین ہیں تو 2 اختیارات ممکن ہیں:
-
گیٹ ویز کے درمیان ٹریفک کو متوازن کرنا۔
-
اسپیئر پر سوئچ کرنے کے ساتھ مرکزی گیٹ وے۔
گیٹ وے کی حیثیت (دستیاب - سبز، غیر دستیاب - سرخ) کا تعین اس طرح کیا جاتا ہے:
-
نیٹ ورک چیکنگ غیر فعال ہے - ایک گیٹ وے قابل رسائی سمجھا جاتا ہے اگر UserGate ARP درخواست کا استعمال کرکے اپنا MAC ایڈریس حاصل کرسکتا ہے۔ اس گیٹ وے کے ذریعے انٹرنیٹ تک رسائی کی کوئی جانچ نہیں ہے۔ اگر گیٹ وے کے میک ایڈریس کا تعین نہیں کیا جا سکتا ہے، تو گیٹ وے کو ناقابل رسائی سمجھا جاتا ہے۔
-
نیٹ ورک چیکنگ فعال ہے - گیٹ وے قابل رسائی سمجھا جاتا ہے اگر:
-
یوزر گیٹ اے آر پی کی درخواست کا استعمال کرکے اپنا میک ایڈریس حاصل کرسکتا ہے۔
-
اس گیٹ وے کے ذریعے انٹرنیٹ تک رسائی کی جانچ کامیابی سے مکمل ہو گئی۔
بصورت دیگر، گیٹ وے کو دستیاب نہیں سمجھا جاتا ہے۔
"DNS" سیکشن میں آپ کو DNS سرورز شامل کرنے کی ضرورت ہے جو UserGate استعمال کرے گا۔ یہ ترتیب سسٹم DNS سرورز کے علاقے میں بیان کی گئی ہے۔ ذیل میں صارفین کی جانب سے ڈی این ایس کی درخواستوں کے انتظام کے لیے ترتیبات ہیں۔ UserGate آپ کو DNS پراکسی استعمال کرنے کی اجازت دیتا ہے۔ DNS پراکسی سروس آپ کو صارفین کی DNS درخواستوں کو روکنے اور منتظم کی ضروریات کے مطابق انہیں تبدیل کرنے کی اجازت دیتی ہے۔ DNS پراکسی قواعد کو DNS سرورز کی وضاحت کرنے کے لیے استعمال کیا جا سکتا ہے جن پر مخصوص ڈومینز کی درخواستیں بھیجی جاتی ہیں۔ اس کے علاوہ، DNS پراکسی کا استعمال کرتے ہوئے، آپ میزبان کی قسم (A ریکارڈ) کے جامد ریکارڈ مرتب کر سکتے ہیں۔
"NAT اور روٹنگ" سیکشن میں آپ کو ضروری NAT قواعد بنانے کی ضرورت ہے۔ ٹرسٹڈ نیٹ ورک کے صارفین کے ذریعے انٹرنیٹ تک رسائی کے لیے، NAT اصول پہلے ہی بنا دیا گیا ہے - "Trusted->Untrusted"، بس اسے فعال کرنا باقی ہے۔ قواعد اوپر سے نیچے تک اسی ترتیب سے لاگو ہوتے ہیں جس ترتیب سے وہ کنسول میں درج ہیں۔ صرف پہلا قاعدہ جس کے لیے اصول میچ میں بیان کردہ شرائط کو ہمیشہ عمل میں لایا جاتا ہے۔ قاعدہ کو متحرک کرنے کے لیے، اصول کے پیرامیٹرز میں بیان کردہ تمام شرائط کا مماثل ہونا چاہیے۔ UserGate NAT کے عمومی اصول بنانے کی تجویز کرتا ہے، مثال کے طور پر، مقامی نیٹ ورک (عام طور پر ایک ٹرسٹڈ زون) سے انٹرنیٹ (عام طور پر ایک غیر بھروسہ مند زون) تک NAT کا اصول، اور فائر وال رولز کا استعمال کرتے ہوئے صارفین، خدمات اور ایپلیکیشنز کی رسائی کو محدود کرنا۔
DNAT قوانین، پورٹ فارورڈنگ، پالیسی پر مبنی روٹنگ، نیٹ ورک میپنگ بنانا بھی ممکن ہے۔
اس کے بعد، "فائر وال" سیکشن میں آپ کو فائر وال رولز بنانے کی ضرورت ہے۔ ٹرسٹڈ نیٹ ورک کے صارفین کے لیے انٹرنیٹ تک لامحدود رسائی کے لیے، ایک فائر وال رول بھی پہلے ہی بنا دیا گیا ہے - "انٹرنیٹ فار ٹرسٹڈ" اور اسے فعال ہونا چاہیے۔ فائر وال کے قوانین کا استعمال کرتے ہوئے، منتظم UserGate سے گزرنے والے کسی بھی قسم کے ٹرانزٹ نیٹ ورک ٹریفک کی اجازت دے سکتا ہے یا انکار کر سکتا ہے۔ اصول کی شرائط میں زونز اور سورس/منزل کے IP پتے، صارفین اور گروپس، خدمات اور ایپلیکیشنز شامل ہو سکتے ہیں۔ قواعد اسی طرح لاگو ہوتے ہیں جیسے "NAT اور روٹنگ" سیکشن میں، یعنی اپر سے نیچے. اگر کوئی اصول نہیں بنائے گئے ہیں تو پھر UserGate کے ذریعے کسی بھی قسم کی ٹرانزٹ ٹریفک ممنوع ہے۔
4. نتیجہ
یہ مضمون ختم کرتا ہے۔ ہم نے یوزر گیٹ فائر وال کو ورچوئل مشین پر انسٹال کیا ہے اور انٹرنیٹ کے قابل اعتماد نیٹ ورک پر کام کرنے کے لیے کم از کم ضروری سیٹنگز بنائی ہیں۔ ہم مندرجہ ذیل مضامین میں مزید ترتیب پر غور کریں گے۔
اپ ڈیٹس کے لیے ہمارے چینلز کو فالو کریں (, , , )!
ماخذ: www.habr.com