Kaabo, eyi ni nkan keji nipa ojutu NGFW lati ile-iṣẹ naa . Idi ti nkan yii ni lati ṣafihan bii o ṣe le fi ogiriina UserGate sori ẹrọ foju kan (Emi yoo lo sọfitiwia agbara iṣẹ-ṣiṣe VMware Workstation) ati ṣe iṣeto ni ibẹrẹ (gba iwọle lati inu nẹtiwọọki agbegbe nipasẹ ẹnu-ọna UserGate si Intanẹẹti).
1. Ifihan
Lati bẹrẹ, Emi yoo ṣe apejuwe awọn ọna oriṣiriṣi lati ṣe imuse ẹnu-ọna yii sinu nẹtiwọọki. Emi yoo fẹ lati ṣe akiyesi pe da lori aṣayan asopọ ti o yan, iṣẹ-ṣiṣe kan ti ẹnu-ọna le ma wa. Ojutu UserGate ṣe atilẹyin awọn ọna asopọ atẹle wọnyi:
-
L3-L7 ogiriina
-
L2 sihin Afara
-
L3 sihin Afara
-
Fere sinu aafo, ni lilo ilana WCCP
-
Fere ni aafo, lilo Ilana Da lori Ilana
-
Olulana on a Stick
-
Aṣoju WEB ni pato
-
UserGate bi ẹnu-ọna aiyipada
-
Mimojuto ibudo digi
UserGate ṣe atilẹyin awọn iru iṣupọ meji:
-
Iṣeto iṣupọ. Awọn apa ni idapo sinu iṣupọ iṣeto ni ṣetọju awọn eto deede kọja iṣupọ naa.
-
Àkópọ̀ ìjákulẹ̀. Titi di awọn apa iṣupọ atunto 4 ni a le ni idapo sinu iṣupọ ikuna ti o ṣe atilẹyin iṣẹ ṣiṣe ni Active-Active tabi Active-Passive mode. O ṣee ṣe lati pejọ ọpọlọpọ awọn iṣupọ ikuna.
2. fifi sori
Gẹgẹbi a ti mẹnuba ninu nkan ti tẹlẹ, UserGate ti pese bi ohun elo hardware ati package sọfitiwia tabi ran lọ si agbegbe foju kan. Lati akọọlẹ ti ara ẹni lori oju opo wẹẹbu ṣe igbasilẹ aworan ni OVF (Open Virtualization Format), ọna kika yii dara fun awọn olutaja VMWare ati Oracle Virtualbox. Awọn aworan disiki ẹrọ foju wa ni ipese fun Microsoft Hyper-v ati KVM.
Gẹgẹbi oju opo wẹẹbu UserGate, fun ẹrọ foju lati ṣiṣẹ ni deede, o gba ọ niyanju lati lo o kere ju 8Gb ti Ramu ati ero isise foju 2-core. Hypervisor gbọdọ ṣe atilẹyin awọn ọna ṣiṣe 64-bit.
Fifi sori ẹrọ bẹrẹ nipasẹ gbigbe aworan wọle sinu hypervisor ti o yan (VirtualBox ati VMWare). Ninu ọran ti Microsoft Hyper-v ati KVM, o nilo lati ṣẹda ẹrọ foju kan ati pato aworan ti o gbasilẹ bi disk, lẹhinna mu awọn iṣẹ iṣọpọ ṣiṣẹ ni awọn eto ti ẹrọ foju ti o ṣẹda.
Nipa aiyipada, lẹhin gbigbe wọle sinu VMWare, ẹrọ foju kan ti ṣẹda pẹlu awọn eto atẹle:
Gẹgẹbi a ti kọ loke, o gbọdọ jẹ o kere 8Gb ti Ramu ati ni afikun o nilo lati ṣafikun 1Gb fun gbogbo awọn olumulo 100. Iwọn dirafu lile aiyipada jẹ 100Gb, ṣugbọn eyi nigbagbogbo ko to lati tọju gbogbo awọn igbasilẹ ati awọn eto. Iwọn iṣeduro jẹ 300Gb tabi diẹ sii. Nitorinaa, ninu awọn ohun-ini ti ẹrọ foju, a yi iwọn disk pada si ọkan ti o fẹ. Ni ibẹrẹ, foju UserGate UTM wa pẹlu awọn atọkun mẹrin ti a yàn si awọn agbegbe:
Isakoso - wiwo akọkọ ti ẹrọ foju, agbegbe kan fun sisopọ awọn nẹtiwọọki igbẹkẹle lati eyiti a gba laaye iṣakoso UserGate.
Gbẹkẹle ni wiwo keji ti ẹrọ foju, agbegbe kan fun sisopọ awọn nẹtiwọọki igbẹkẹle, fun apẹẹrẹ, awọn nẹtiwọọki LAN.
Aigbagbọ ni wiwo kẹta ti ẹrọ foju, agbegbe kan fun awọn atọkun ti a ti sopọ si awọn nẹtiwọọki ti a ko gbẹkẹle, fun apẹẹrẹ, si Intanẹẹti.
DMZ jẹ wiwo kẹrin ti ẹrọ foju, agbegbe kan fun awọn atọkun ti a ti sopọ si nẹtiwọọki DMZ.
Nigbamii ti, a ṣe ifilọlẹ ẹrọ foju, botilẹjẹpe itọnisọna sọ pe o nilo lati yan Awọn irinṣẹ Atilẹyin ati ṣe atunto UTM Factory, ṣugbọn bi o ti le rii, yiyan kan wa (UTM First Boot). Lakoko igbesẹ yii, UTM tunto awọn oluyipada nẹtiwọọki ati mu iwọn ipin dirafu lile pọ si iwọn disk ni kikun:
Lati sopọ si wiwo oju opo wẹẹbu UserGate, o nilo lati wọle nipasẹ agbegbe iṣakoso, wiwo eth0 jẹ iduro fun eyi, eyiti o tunto lati gba adiresi IP kan laifọwọyi (DHCP). Ti ko ba ṣee ṣe lati fi adirẹsi fun ni wiwo Isakoso laifọwọyi nipa lilo DHCP, lẹhinna o le ṣeto ni gbangba nipa lilo CLI (Ibaraẹnisọrọ Laini Aṣẹ). Lati ṣe eyi, o nilo lati wọle si CLI nipa lilo orukọ olumulo ati ọrọ igbaniwọle pẹlu awọn ẹtọ alabojuto kikun (Abojuto pẹlu lẹta Olu nipasẹ aiyipada). Ti ẹrọ UserGate ko ba ti ni ibẹrẹ ibẹrẹ, lẹhinna lati wọle si CLI o gbọdọ lo Admin gẹgẹbi orukọ olumulo ati utm bi ọrọ igbaniwọle. Ki o si tẹ aṣẹ bi iface config –name eth0 –ipv4 192.168.1.254/24 –enable otitọ –mode aimi. Nigbamii a lọ si console wẹẹbu UserGate ni adiresi ti a sọ pato, o yẹ ki o dabi iru eyi:https://UserGateIPaddress:8001:
Ninu console wẹẹbu a tẹsiwaju fifi sori ẹrọ, a nilo lati yan ede wiwo (ni akoko ti o jẹ Russian tabi Gẹẹsi), agbegbe aago, lẹhinna ka ati gba adehun iwe-aṣẹ naa. Ṣeto iwọle ati ọrọ igbaniwọle lati wọle si wiwo iṣakoso wẹẹbu.
3. Eto
Lẹhin fifi sori ẹrọ, eyi ni ohun ti window wiwo oju opo wẹẹbu iṣakoso Syeed dabi:
Lẹhinna o nilo lati tunto awọn atọkun nẹtiwọki. Lati ṣe eyi, ni apakan "Awọn atọkun" o nilo lati mu wọn ṣiṣẹ, ṣeto awọn adiresi IP ti o tọ ati fi awọn agbegbe ti o yẹ.
Apakan “Awọn atọkun” ṣafihan gbogbo awọn atọkun ti ara ati foju ti o wa ninu eto naa, gba ọ laaye lati yi awọn eto wọn pada ki o ṣafikun awọn atọkun VLAN. O tun fihan gbogbo awọn atọkun ti ipade iṣupọ kọọkan. Awọn eto wiwo jẹ pato si ipade kọọkan, iyẹn ni, wọn kii ṣe agbaye.
Ni awọn ohun-ini wiwo:
-
Mu ṣiṣẹ tabi mu wiwo naa ṣiṣẹ
-
Pato ni wiwo iru - Layer 3 tabi digi
-
Fi agbegbe kan si wiwo
-
Fi profaili Netflow ranṣẹ lati fi data iṣiro ranṣẹ si olugba Netflow
-
Yipada awọn paramita ti ara ti wiwo - adirẹsi MAC ati iwọn MTU
-
Yan iru iṣẹ iyansilẹ adirẹsi IP - ko si adirẹsi, adiresi IP aimi tabi gba nipasẹ DHCP
-
Tunto DHCP yii lori wiwo ti o yan.
Bọtini “Fikun-un” gba ọ laaye lati ṣafikun iru awọn atọkun ọgbọn atẹle wọnyi:
-
VLANs
-
Iwe adehun
-
Bridge
-
PPPoE
-
VPN
-
Eefin
Ni afikun si awọn agbegbe ti a ṣe akojọ tẹlẹ ti aworan Usergate n gbe pẹlu, awọn oriṣi asọtẹlẹ mẹta miiran wa:
Iṣupọ - agbegbe fun awọn atọkun ti a lo fun iṣẹ iṣupọ
VPN fun Aye-si-Aye – agbegbe kan ninu eyiti gbogbo awọn alabara Office-Office ti sopọ si UserGate nipasẹ VPN ti wa ni gbe
VPN fun iraye si latọna jijin - agbegbe kan ti o pẹlu gbogbo awọn olumulo alagbeka ti o sopọ si UserGate nipasẹ VPN
Awọn alabojuto UserGate le yi awọn eto ti awọn agbegbe aifọwọyi pada ati tun ṣẹda awọn agbegbe afikun, ṣugbọn bi a ti sọ ninu afọwọṣe 5 ẹya, o pọju awọn agbegbe 15 le ṣẹda. Lati yipada tabi ṣẹda wọn, o nilo lati lọ si apakan agbegbe. Fun agbegbe kọọkan, o le ṣeto iloro silẹ soso kan; SYN, UDP, ICMP ni atilẹyin. Iṣakoso wiwọle si Usergate awọn iṣẹ ti wa ni tun tunto, ati aabo lodi si spoofing wa ni sise.
Lẹhin atunto awọn atọkun, o nilo lati tunto ipa ọna aiyipada ni apakan “Gateways”. Awon. Lati so UserGate pọ si Intanẹẹti, o gbọdọ pato adiresi IP ti ọkan tabi diẹ ẹ sii ẹnu-ọna. Ti o ba lo ọpọlọpọ awọn olupese lati sopọ si Intanẹẹti, o gbọdọ pato awọn ẹnu-ọna pupọ. Iṣeto ẹnu-ọna jẹ alailẹgbẹ fun ipade iṣupọ kọọkan. Ti awọn ẹnu-ọna meji tabi diẹ sii ti wa ni pato, awọn aṣayan 2 ṣee ṣe:
-
Iwontunwonsi ijabọ laarin awọn ẹnu-ọna.
-
Ẹnu-ọna akọkọ pẹlu iyipada si ọkan apoju.
Ipo ẹnu-ọna (wa - alawọ ewe, ko si - pupa) ti pinnu bi atẹle:
-
Ṣiṣayẹwo nẹtiwọọki jẹ alaabo – ẹnu-ọna kan ni a ka pe o le wọle ti UserGate ba le gba adirẹsi MAC rẹ nipa lilo ibeere ARP kan. Ko si ayẹwo fun iwọle si Intanẹẹti nipasẹ ẹnu-ọna yii. Ti adiresi MAC ti ẹnu-ọna ko ba le pinnu, ẹnu-ọna naa ni a ka pe ko le de ọdọ.
-
Ṣiṣayẹwo nẹtiwọọki ṣiṣẹ - ẹnu-ọna ni a gba pe o wa ni wiwọle ti:
-
UserGate le gba adirẹsi MAC rẹ nipa lilo ibeere ARP kan.
-
Ṣiṣayẹwo fun iraye si Intanẹẹti nipasẹ ẹnu-ọna yii ti pari ni aṣeyọri.
Bibẹẹkọ, ẹnu-ọna ni a gba pe ko si.
Ni apakan “DNS” o nilo lati ṣafikun awọn olupin DNS ti UserGate yoo lo. Eto yii jẹ pato ni agbegbe Awọn olupin DNS System. Ni isalẹ wa awọn eto fun ṣiṣakoso awọn ibeere DNS lati ọdọ awọn olumulo. UserGate gba ọ laaye lati lo aṣoju DNS kan. Iṣẹ aṣoju DNS ngbanilaaye lati ṣe idiwọ awọn ibeere DNS lati ọdọ awọn olumulo ati yi wọn pada da lori awọn iwulo ti oludari. Awọn ofin aṣoju DNS le ṣee lo lati tokasi awọn olupin DNS si eyiti awọn ibeere fun awọn ibugbe kan ti firanṣẹ siwaju. Ni afikun, lilo aṣoju DNS, o le ṣeto awọn igbasilẹ aimi ti iru ogun (Igbasilẹ kan).
Ni apakan “NAT ati Routing” o nilo lati ṣẹda awọn ofin NAT pataki. Fun iraye si Intanẹẹti nipasẹ awọn olumulo ti nẹtiwọọki Gbẹkẹle, ofin NAT ti ṣẹda tẹlẹ - “Trusted->Aigbẹkẹle”, gbogbo ohun ti o ku ni lati mu ṣiṣẹ. Awọn ofin ni a lo lati oke de isalẹ ni aṣẹ ti wọn ṣe atokọ ni console. Ofin akọkọ nikan fun eyiti awọn ipo ti a pato ninu ibaamu ofin jẹ ṣiṣe nigbagbogbo. Fun ofin lati jẹki, gbogbo awọn ipo ti o wa ni pato ninu awọn paramita ofin gbọdọ baramu. UserGate ṣeduro ṣiṣẹda awọn ofin NAT gbogbogbo, fun apẹẹrẹ, ofin NAT lati inu nẹtiwọọki agbegbe kan (nigbagbogbo agbegbe Gbẹkẹle) si Intanẹẹti (nigbagbogbo agbegbe agbegbe Aigbagbọ), ati ihamọ wiwọle nipasẹ awọn olumulo, awọn iṣẹ, ati awọn ohun elo nipa lilo awọn ofin ogiriina.
O tun ṣee ṣe lati ṣẹda awọn ofin DNAT, fifiranšẹ ibudo, Itọnisọna ti o da lori eto imulo, maapu nẹtiwọki.
Lẹhin eyi, ni apakan "Firewall" o nilo lati ṣẹda awọn ofin ogiriina. Fun iraye si Intanẹẹti ailopin fun awọn olumulo ti nẹtiwọọki Gbẹkẹle, ofin ogiriina tun ti ṣẹda tẹlẹ - “Internet for Trusted” ati pe o gbọdọ ṣiṣẹ. Lilo awọn ofin ogiriina, oluṣakoso le gba laaye tabi sẹ eyikeyi iru ijabọ nẹtiwọọki irekọja ti o nkọja nipasẹ UserGate. Awọn ipo ofin le pẹlu awọn agbegbe ita ati awọn adiresi IP orisun/ibi, awọn olumulo ati awọn ẹgbẹ, awọn iṣẹ ati awọn ohun elo. Awọn ofin lo ni ọna kanna bi ninu apakan "NAT ati Routing", i.e. oke si isalẹ. Ti ko ba si awọn ofin ti a ṣẹda, lẹhinna eyikeyi ijabọ irekọja nipasẹ UserGate jẹ eewọ.
4. Ipari
Eyi pari nkan naa. A fi ogiriina UserGate sori ẹrọ foju kan ati ṣe awọn eto pataki to kere julọ fun Intanẹẹti lati ṣiṣẹ lori nẹtiwọọki Gbẹkẹle. A yoo ṣe ayẹwo iṣeto siwaju sii ninu awọn nkan atẹle.
Duro si aifwy fun awọn imudojuiwọn ninu awọn ikanni wa (, , , )!
orisun: www.habr.com