پنل کاربری

در بخش اول از راهنمای گام به گام SANGFOR NGAF  به معرفی فایروال نسل بعدی یا Sangfor Next Generation Application Firewall (NGAF) و ویژگی های کلیدی آن پرداختیم. در گام بعدی مراحل آماده سازی و نصب، هم چنین نیازمندی های محیطی این فایروال را مورد بررسی قرار دادیم و در ادامه به معرفی ظاهر محصول و نحوه ی اتصال اولیه ی کابل ها پرداختیم. پس از آن نحوه ی ورود به کنسول مدیریت Web Admin Console را شرح داده و مراحل عملیاتی آن را بررسی نمودیم. 

در بخش دوم از مقاله ی راهنمای گام به گام  SANGFOR NGAF، حالت‌های استقرار (Deployment Mode) را با هم بررسی می نماییم. حالت های استقرار شامل موارد مختلفی می باشند که در این مقاله به بررسی دو حالت routing mode و transparent mode می پردازیم. جهت آموزش تمامی مراحل با ستاره امنیت همراه باشید.

حالت‌های استقرار (Deployment Mode)

حالت استقرار به حالت عملکردی دستگاه اشاره دارد که می‌توان آن را روی  transparent mode، routing mode، virtual network cable mode، bypass mode و blend mode تنظیم کرد. انتخاب حالت استقرار مناسب پیش‌شرطی برای اتصال موفقیت‌آمیز دستگاه به شبکه و عملکرد صحیح آن است.

حالت های استقرار سنگفور deployment mode

حالت مسیریابی (Routing Mode)

یک محیط کاربردی معمول برای استقرار در حالت Routing Mode این است که دستگاه NGAF را در حالت Routing Mode در پورت اینترنت به عنوان یک پروکسی برای شبکه محلی (LAN) مستقر کنند. در این حالت، دستگاه به‌عنوان یک روتر در شبکه عمل می‌کند. پورت WAN به خط ADSL یا اینترنت متصل می‌شود و پورت LAN به سوئیچ شبکه محلی (LAN) متصل می‌گردد.

نمونه‌ای از استقرار در حالت مسیریابی

یک شبکه سازمانی در محیط لایه 3 قرار دارد و برنامه‌ریزی شده تا دستگاه NGAF در پورت اینترنت به عنوان پروکسی شبکه LAN مستقر شود. خط اینترنت از طریق فیبر نوری به یک آدرس IP ثابت متصل شده است، همان‌طور که در شکل زیر نشان داده شده است.

نمونه‌ای از استقرار در routing mode

گام 1: 

وارد دستگاه شوید از طریق IP Address پیش‌فرض management interface (ETH0). آدرس IP پیش‌فرض رابط مدیریتی 10.251.251.251/24 است. شما می بایست یک IP Address در همان بازه شبکه بر روی کامپیوتر خود تنظیم کرده و از طریق https://10.251.251.251 وارد دستگاه شوید.

رابط WAN را پیکربندی کنید: از طریق Network > Interfaces > Zone، روی رابطی که قرار است به عنوان رابط WAN تنظیم شود کلیک کنید. رابط ETH2  را به عنوان رابط WAN انتخاب کنید، نوع Route را انتخاب کرده و در بخش Zone گزینه custom WAN را انتخاب کنید. گزینه WAN attribute را فعال کنید و یک IP Address مانند 1.2.1.2/29 و آدرس گیت‌وی Next-hop مانند 1.2.1.1 را پیکربندی کنید. به تصویر زیر مراجعه کنید.

پیکربندی رابط WAN در سنگفور

توجه:

next-hop gateway یک رابط تنها برای تشخیص لینک و مسیریابی مبتنی بر سیاست‌ها استفاده می‌شود. تنظیم گیت‌وی بعدی باعث ایجاد یک مسیر پیش‌فرض 0.0.0.0/0 در دستگاه نمی‌شود. بنابراین، لازم است مسیر پیش‌فرض را به‌طور دستی پیکربندی کنید.

همچنین، تنظیم پهنای باند یک رابط به مدیریت ترافیک مربوط نیست و فقط برای برنامه‌ریزی مسیریابی مبتنی بر سیاست‌ها در نظر گرفته می‌شود.

گام 2: رابط LAN را پیکربندی کنید

یک رابط شبکه آزاد را انتخاب کنید و روی نام آن کلیک کنید تا به صفحه پیکربندی بروید. سپس، رابط eth3 را به عنوان رابط LAN انتخاب کنید، نوع مسیریابی (Routing Type) را انتخاب کرده و LAN zone دلخواه خود را تعریف کنید. یک IP ADDRESS مانند 192.168.1.254/24 را پیکربندی کنید، همان‌طور که در تصویر زیر نشان داده شده است.

پیکربندی رابط LAN در سنگفور

گام 3: پیکربندی مسیر

شما باید یک مسیر پیش‌فرض به 0.0.0.0/0.0.0.0 پیکربندی کنید که به گیت‌وی پیش‌فرض 1.2.1.2 اشاره می‌کند. در همین حال، چون رابط LAN به چندین بخش شبکه متصل است که در لایه‌های مختلف قرار دارند، لازم است یک مسیر استاتیک دیگر برای هر بخش شبکه به سوی سوییچ لایه 3 پیکربندی کنید.

برای انجام این کار، به Network > Route > Static Route بروید و روی Add کلیک کنید تا یک مسیر استاتیک اضافه کنید.

مسیر پیش‌فرض را با تنظیم Dst IP/Netmask به 0.0.0.0/0 و Next-Hop IP به 1.2.1.1پیکربندی کنید.

همچنین، مسیریابی برگشتی (مسیریابی بخش LAN) را با Dst IP/Netmask به 192.168.2.0/24و Next-Hop IP به 192.168.1.1 تنظیم کنید. به تصویر زیر مراجعه کنید.

تنطیمات SANGFOR NGAF راهنمای سنگفور STATIC ROUTE

گام 4. پیکربندی proxy LAN 

به مسیر Policies > NAT > IPv4 NAT بروید. روی Add کلیک کنید تا SNAT را پیکربندی کنید. سپس در صفحه نمایان‌شده، موارد زیر را تنظیم کنید:

  • LAN zone را به عنوان Src Zone تنظیم کنید.
  • Src Address را روی آدرس LAN address تنظیم کنید.
  • Dst Zone را به عنوان Zone WAN سفارشی تنظیم کنید.
  • Dst Address را روی All قرار دهید.
  • در بخش Services گزینه Any را انتخاب کنید.
  • در بخش Translate Src IP To، Outbound Interface را انتخاب کنید.

به تصویر زیر مراجعه کنید.

پیکربندی proxy LAN  در سنگفور NGAF

گام ۵. پیکربندی application control policy

دسترسی به اینترنت را به کاربران شبکه LAN اختصاص دهید. به بخش Policy > Access Control > Application Control Policy رفته و بر روی Add کلیک کنید. دسترسی به داده‌های LAN-WAN را اختصاص دهید. سپس در صفحه نمایش داده شده، custom LAN zone را به عنوان (Src Zone) ، custom LAN address را به عنوان (Src Address)، custom WAN zone را به عنوان (Dst Zone) ، All را به عنوان (Dst Address)، any در Services و All در Applications انتخاب کنید. برای مشاهده شکل زیر را ببینید.

پیکربندی application control policy در NGAF SANGFOR

گام ۶. اتصال به شبکه

پس از اتمام پیکربندی اولیه، دستگاه را به شبکه متصل کنید، رابط ETH2 را به فیبر نوری و رابط ETH3 را به سوئیچ LAN لایه ۳ متصل کنید.

توجه:

۱. وقتی دستگاه در routing mode کار می‌کند، gateway های کامپیوترهای شبکه LAN به آدرس IP رابط LAN یا سوئیچ لایه ۳ هدایت می‌شوند و  gateway switch  لایه ۳ به دستگاه هدایت می‌شود. داده‌های دسترسی به اینترنت توسط دستگاه تحت NAT قرار می‌گیرند یا از طریق route توسط دستگاه به جلو فرستاده می‌شوند.

۲. وقتی دستگاه دارای چندین رابط مسیریاب (multiple routing interfaces) است، آن‌ها می‌توانند از IP address در همان بخش شبکه استفاده کنند. مسیر استاتیک تعیین می‌کند که داده‌ها از کدام رابط شبکه ارسال شوند.

۳. دستگاه از رابط‌های routing  پشتیبانی می‌کند که با ویژگی‌های مختلف پورت WAN برای اتصال به خطوط شبکه خارجی متعدد پیکربندی شده‌اند، اما باز کردن چندین لاین نیازمند مجوز است.

حالت (Transparent Mode)

وقتی رابط شبکه‌ای که داده‌ها را منتقل می‌کند در حالت (Transparent Interface Mode ) قرار دارد، دستگاه به طور اساسی در حالت transparent mode پیاده‌سازی شده و به عنوان یک کابل شبکه با عملکرد فیلترینگ در نظر گرفته می‌شود. این حالت پیاده‌سازی زمانی استفاده می‌شود که تغییر توپولوژی شبکه اصلی نامناسب یا دشوار است. دستگاه بین gateway اصلی و کاربران LAN متصل می‌شود بدون آنکه نیاز به تغییر پیکربندی gateway و کاربران LAN باشد. پس از تکمیل برخی تنظیمات اولیه بر روی دستگاه NGAF، این حالت پیاده‌سازی آماده به کار است. ویژگی اصلی transparent mode این است که کاملاً برای کاربران شفاف است. Transparent interfaces شامل رابط Access و رابط Trunk هستند.

نمونه موردی پیاده‌سازی Access Interface در Transparent Mode:

در یک شبکه enterprise لایه ۳ که روترها در پورت اینترنت مستقر شده‌اند، از آنجا که محیط اصلی نمی‌تواند تغییر کند، دستگاه NGAF نیاز به پیاده‌سازی Transparent در شبکه دارد، همان‌طور که در زیر نشان داده شده است.

پیاده‌سازی Access Interface در Transparent Mode

گام ۱. با استفاده از آدرس IP پیش‌فرض رابط مدیریت (ETH0) به دستگاه وارد شوید. آدرس IP پیش‌فرض رابط مدیریت 10.251.251.251/24 است. شما باید آدرسIP ‌ای در همان بخش شبکه بر روی کامپیوتر تنظیم کنید و از طریق https://10.251.251.251  به دستگاه وارد شوید.

گام ۲. به بخش Network > Interfaces > Physical Interface بروید. بر روی رابطی که قرار است به عنوان رابط WAN تنظیم شود کلیک کنید. ETH2 را به عنوان WAN interface انتخاب کنید، transparent type و custom uplink zone را انتخاب کنید، گزینه WAN attribute را تیک بزنید و تنظیم IP Assignment را بر روی Access 1 قرار دهید، همان‌طور که در زیر نشان داده شده است.

گزینه WAN attribute در SANGFOR NGAF

گام ۳. به بخش  Network > Interfaces > Physical Interface بروید. بر روی رابطی که قرار است به عنوان رابط LAN تنظیم شود کلیک کنید. ETH3 را به عنوان downlink LAN interface انتخاب کنید، حالت  transparent و downlink zone را انتخاب کنید و تنظیم IP Assignment را بر روی Access 1 قرار دهید، همان‌طور که در زیر نشان داده شده است.

تنظیم IP Assignment را بر روی Access 1

گام ۴. پیکربندی رابط مدیریت(management interface)

 به بخش Network > Interfaces > VLAN Interface بروید و logic interface را به management interface پیکربندی کنید. فیلد VLAN ID را بر روی ۱ تنظیم کرده و آدرس IP مدیریت 192.168.1.2/24 را اختصاص دهید. برای مشاهده شکل زیر را ببینید.

پیکربندی رابط مدیریت(management interface) در سنگفور

گام ۵. پیکربندی route

شما باید یک مسیر پیش‌فرض به آدرس ۰.۰.۰.۰/۰.۰.۰.۰ با هدف‌گذاری به pre-gateway ۱۹۲.۱۶۸.۱.۲۵۴ پیکربندی کنید. در عین حال، از آنجایی که رابط LAN به چندین بخش شبکه متصل است که شامل سه لایه می‌شود، باید یک مسیر استاتیک دیگر پیکربندی کنید که هر بخش شبکه را به سوئیچ لایه ۳ متصل کند. به بخش Network > Route > Static Route بروید و بر روی Add کلیک کنید تا مسیر استاتیک را اضافه کنید. به طور خاص، مسیر پیش‌فرض را با Dst IP/Netmask به ۰.۰.۰.۰/۰ و Next-Hop IP به ۱۹۲.۱۶۸.۱.۲۵۴ پیکربندی کنید و backhaul routing را با Dst IP/Netmask به ۱۹۲.۱۶۸.۲.۰/۲۴ و Next-Hop IP به ۱۹۲.۱۶۸.۱.۱ پیکربندی کنید. برای مشاهده شکل زیر را ببینید.

پیکربندی route SANGFOR NGAF

پیکربندی route در SANGFOR NGAF

گام ۶. پیکربندی application control policy

 دسترسی به اینترنت را به کاربران LAN اختصاص دهید. به بخش Policies > Access Control > Application Control Policy بروید، یک application control policy اضافه کنید و دسترسی به داده‌های LAN-WAN را اختصاص دهید. سپس در صفحه نمایش داده شده، downlink zone انتخابی را به عنوان Src Zone، LAN address سفارشی را به عنوان Src Address، uplink zone را به عنوان Dst Zone، همه را به عنوان Dst Address، any در Services ، و All را در Applications انتخاب کنید.

پیکربندی application control policy SANGFOR NGAF

گام ۷. پس از تکمیل پیکربندی اولیه، دستگاه را به شبکه متصل کنید، رابط ETH2 را به روتر قبلی و رابط ETH3 را به سوئیچ LAN لایه ۳ وصل کنید.

نمونه موردی پیاده‌سازی رابط Trunk در حالت Transparent

توپولوژی شبکه کاربران به صورت زیر نشان داده شده است. دستگاه در حالت transparent پیاده‌سازی شده است. VLAN برای سوئیچ LAN پیکربندی شده اما routing function غیرفعال است. روتر قبلی به عنوان دروازه هر VLAN عمل می‌کند. بخش‌های LAN شامل ۱۹۲.۱۶۸.۲.۰/۲۵۵.۲۵۵.۲۵۵.۰ و ۱۹۲.۱۶۸.۳.۰/۲۵۵.۲۵۵.۲۵۵.۰ هستند که به ترتیب به VLAN2 و VLAN3 تعلق دارند. پروتکل TRUNK بین سوئیچ و روتر کار می‌کند.

پیاده سازی رابط TRUNK در SANGFOR NGAF

گام ۱. شما باید با استفاده از IP address پیش‌فرض management interface ، (ETH0) به دستگاه وارد شوید. IP address پیش‌فرض رابط مدیریت 10.251.251.251/24 است. شما باید آدرس IP address ای در همان بخش شبکه بر روی کامپیوتر تنظیم کنید و از طریق https://10.251.251.251  به دستگاه وارد شوید.

گام ۲. به بخش Network > Interfaces > Physical Interface بروید. بر روی رابطی که قرار است به عنوان رابط WAN تنظیم شود کلیک کنید. ETH2 را به عنوان uplink WAN interface انتخاب کنید، نوع transparent و uplink zone سفارشی را انتخاب کنید، گزینه WAN attribute را تیک بزنید و تنظیم IP Assignment را بر روی Trunk قرار دهید، همان‌طور که در زیر نشان داده شده است.

گام ۳. به بخش Network > Interfaces > Physical Interface بروید. بر روی رابطی که قرار است به عنوان LAN interface تنظیم شود کلیک کنید. ETH3 را به عنوان downlink LAN interface انتخاب کنید، نوع transparent و downlink zone سفارشی را انتخاب کنید و تنظیم IP Assignment را بر روی Trunk قرار دهید، همان‌طور که در زیر نشان داده شده است.

گام ۴. پیکربندی رابط مدیریت

 به بخش Network > Interfaces > VLAN Interface بروید و logic interface VLAN را به عنوان رابط مدیریت پیکربندی کنید. فیلد VLAN ID را بر روی ۲ تنظیم کرده و IP address مدیریت 192.168.2.2/24 را اختصاص دهید. برای مشاهده شکل زیر را ببینید.

گام ۵. پیکربندی مسیر

شما باید یک مسیر پیش‌فرض به آدرس ۰.۰.۰.۰/۰.۰.۰.۰ پیکربندی کنید که به pre-gateway ۱۹۲.۱۶۸.۲.۱ که در همان بخش شبکه با IP address مدیریت قرار دارد، اشاره کند. سپس به بخش Network > Route > Static Route بروید و بر روی Add کلیک کنید تا مسیر استاتیک اضافه کنید. به طور خاص، مسیر پیش‌فرض را با Dst IP/Netmask به ۰.۰.۰.۰/۰ و Next-Hop IP را به ۱۹۲.۱۶۸.۲.۱ پیکربندی کنید، همان‌طور که در زیر نشان داده شده است.

گام ۶. پیکربندی application control policy

دسترسی به اینترنت را به کاربران LAN اختصاص دهید. به بخش Policies > Access Control > Application بروید، یک Control Policy اضافه کنید و دسترسی به داده‌های LAN-WAN را اختصاص دهید. سپس در صفحه نمایش داده شده، downlink zone سفارشی را به عنوان Src Zone، آدرس LAN سفارشی را به عنوان Src Address، uplink zone سفارشی را به عنوان Dst Zone، All را در Dst Address، any در Services و All را در Applications انتخاب کنید.

گام ۷. پس از تکمیل پیکربندی اولیه، دستگاه را به شبکه متصل کنید، رابط ETH2 را به روتر قبلی و رابط ETH3 را به سوئیچ LAN دو لایه وصل کنید.