Bu makalede, Firewall ürünlerimizden en iyi şekilde yararlanmanız için size çok sayıda farklı en iyi uygulama ipucu, hata ayıklama, analiz açısından daha kısa derin dalışlar ve Firewall ürünlerimizle ilgili diğer ilginç açıklamalar hakkında bir genel bakış sunmak istiyoruz.
Komut Satırı Arayüzü
Bilmiyorsanız, cihazlarımızın SSH veya konsol kablosu ile erişebileceğiniz bir komut satırı arayüzü vardır: Zyxel cihazınızın komut satırı arayüzüne erişin (puTTY üzerinden SSH ve TeraTerm üzerinden Konsol)
Ancak, web tarayıcınızdan CLI'ye bile erişebileceğinizi biliyor muydunuz? USG FLEX' menünüzün sağ köşesindeki web konsolu simgesine tıklayın:
VPN Trafiği geçmiyor mu? (Alt Ağ Oluşturma ve Protokoller)
Bu, VPN'de sıklıkla meydana gelen bir sorun için hızlı bir ipucu: Müşterilerimizin çoğu, Siteden Siteye veya İstemciden Siteye olabilir, VPN tünelinin mükemmel şekilde bağlandığını ancak trafik olmadığını bildiriyor. geliyor - neden böyle? Bunun genellikle iki farklı nedeni vardır.
- Alt ağlar yanlış ayarlanmış
- ISP protokolleri engelliyor
#1 - Alt ağlar yanlış ayarlanmış
Birbirine bağlamak istediğiniz iki siteniz olduğunu ve her iki sitenin de aynı IP Aralığına sahip olduğunu düşünün, aşağıda gösterildiği gibi 192.168.1.X'i varsayalım:
Çoğu zaman, müşteriler VPN'nin aslında bağlandığını ve kurulduğunu ancak VPN üzerinden trafik almadıklarını, dolayısıyla PC'den Sunucuya bağlanamadıklarını bildireceklerdir - burada neler oluyor?
Mesele şu ki, USG'de bir arayüz oluştururken bir Direct Route oluşturuyoruz . Doğrudan rota kaynağından bağımsız olarak, güvenlik duvarlarının arabirim alt ağlarından biriyle eşleşen bir IP'ye gitmek isteyen bir trafiği ilgili arabirime yerleştirir. Farklı bir deyişle: 192.168.1.1 ile USG #1'de LAN1'e sahip olarak, ne zaman 192.168.1.200'e (sunucuların IP'si) ulaşmak istersek, ağ geçidimize her zaman erişim yoluyla USG #1'in LAN1 Alt Ağı'na geri gönderilecek. direk güzergah. İşte nasıl göründüğü:
Kuralı şu şekilde okuyabilirsiniz: "Kaynağa bakmadan, eğer hedef LAN1'in arayüzü ile eşleşirse, sadece onu LAN1'e itin", böylece PC'den Sunucuya bağlantı asla dördüncü yönlendirme bloğuna ulaşmayacaktır "Site-2" -Site VPN" ve dolayısıyla VPN'ye itilecek yönlendirme algoritması tarafından asla işlenemez. Bunun net bir şekilde öğrenilmesi şudur: asla örtüşen alt ağlara sahip olmadığınızdan emin olun!
Bunu yaparsanız, bu eğiticiye göz atın: Bir VPN tünelinde SNAT nasıl kurulur
2# - ISS protokolleri engelliyor
VPN'nizin bağlanmasının, ancak trafiğin geçmemesinin nedeni, yalnızca ISS'nizin bağlantı noktalarını değil, protokolleri engellemesidir. Böylece VPN, tüneli birbirine bağlamak için el sıkışma alışverişinden sorumlu olan 500 UDP, 4500 UDP ve/veya 1701 UDP bağlantı noktası üzerinden kurabilir, ancak VPN tünel verilerini kapsüllemek için kullanılan protokol, ESP - aynı zamanda protokol olarak da bilinir 50 - engelleniyor. Etkilenmiyorsanız, komut satırından öğrenebilirsiniz: enter
packet-trace interface wan1 ip-proto esp
ve bir VPN bağlantısını tetikleyin (İpucu: Açık herhangi bir ek tünelin olmadığından ve tünelden istemcinizin beklediği herhangi bir trafiğin çalışmadığından emin olun. Ardından, uzak LAN ağ geçidi IP'sine bir ping tetikleyin. Paketlerin çıktığını görürseniz, ancak WAN arayüzünüze geri dönmemeniz, ISS'nizin yanlış bir şey yaptığının oldukça sağlam bir göstergesidir - bu durumda, onlarla iletişime geçin.
Adlandırma önemlidir! Nesnelerinizi iyi düzenleyin!
Bağımsız olarak USG FLEX/ATP/VPN serimiz harika bir menü yapısı ve düzenini beraberinde getiriyor. Cihazlarımızın sahip olduğu en önemli avantajlardan biri, ayarları ihtiyaçlarınıza göre çevirmek ve değiştirmek için inanılmaz esnekliktir. Ancak, bunun ödenmesi gereken bir bedeli vardır - adlandırmanızı düzenli tutmanız gerekir!
Şimdi, bunun nasıl yapılacağına dair birçok bireysel yaklaşım olduğundan, sadece bazı meslektaşlarımızın bunu nasıl yaptığını göstereceğiz. Size küçük bir örnek vermek için, önce şuraya gidin:
Configuration > Object > Service
ve yeni bir giriş oluşturmak için "Ekle" düğmesine basın:
Bir Hizmetin adı bir harfle başlamak zorunda olduğundan, ancak çoğunlukla Hizmetleri spektrumun dışında tanımlıyoruz, adı "Port" ve ardından Port gibi genel bir şeyle başlatabiliriz. Sonunda, Protokolü de ekleyebiliriz, çünkü zamanın farklı bir noktasında eşleşen UDP Port farklı bir uygulama tarafından kullanılabilir.
İsterseniz, hizmetin ne hakkında olduğuna dair kısa bir anahtar kelime ekleyerek de bu sistemi geliştirebilirsiniz:
Diğer tüm nesneler, özellikle adresler için benzer bir yaklaşım önerilir - oluşturduğunuz sistemi düzenlediğinizden ve anladığınızdan ve tutarlılık nedenleriyle sürdürdüğünüzden emin olun.
Firmware Güncellemeleri - çalışan bir sistemi asla değiştirmeyin!
İlk bakışta, mevcut üretici yazılımınızla kalmanız için bir öneri gibi görünen şey (değildir!) Güvenlik güvenlik duvarlarımızda iki Boot-Up/Firmware bölümü bulunur:
Her bölümün, ayrıca birbirinden bağımsız iki yapılandırma veritabanından oluşan kendi veritabanı vardır - bunu bilmek önemlidir, çünkü yeni bir bellenim uygulamak istiyorsanız, bellenimi Bekleme Bölmesine "her ihtimale karşı" ayarlama eğiliminde olabilirsiniz. bir şey olursa, Koşuya geri dönebilir ve tekrar iyi olabilirim. " - birçok müşterimiz aslında tam olarak böyle düşünüyor. Ancak bir yanılgı var: bölümü her değiştirdiğinizde, mevcut yapılandırmanız gerçekten de diğer bölüme getirilmeye ve uygulanmaya çalışılacaktır. Bu çoğu durumda iyi gidebilir. Ancak, bir şekilde mevcut konfigürasyonda bir sorun tespit edilirse - ki bu, çok eski bir bellenimden en son sürüme arada herhangi bir adım atmadan yükseltme yaparsanız olabilir - bu, USG'nin hata vermesi ve kendini yeniden başlatması ve işlemi yeniden denemesi olabilir. . Ancak, sonsuz bir önyükleme döngüsüne düşmemek için 3 denemeden sonra cihaz kendini sistem varsayılan yapılandırmasına geri döndürür!
Şu anda USG'ye birden fazla 100 kilometre boyunca uzaktan bağlı olduğunuz bir durumdaysanız ve cihaz bu şekilde kendi kendine çöktüyse, sahada size yardımcı olabilecek veya sahada uzun bir yolculuk için hazırlanabilecek birini bulsanız iyi olur.
Çalışan bölümün üzerine yazmaktan çok daha iyisiniz, çünkü yalnızca beklenmeyen bir şey olursa (bir dağıtım hatası veya benzeri), bir sorun olabilir - çoğu durumda, zaten oldukça iyi olan bellenimi mükemmel bir şekilde yükseltir. çalışan bölümdeki son ürün yazılımı.
Yapılandırmanızı yedekleyin - hemen şimdi! Hayır, yönlendiriciye kopyalamayın, aslında PC'nize kaydedin!
Ciddi bir öneri için yanak başlığında başka bir dil: Konfigürasyon dosyanızı düzenli olarak yedekleyin. Ayrıca, yedeklemeyi yalnızca cihazın kendisinde yapmayın (ki bu zaten doğru yönde atılmış iyi bir adımdır, aynı zamanda
Maintenance > File Manager > Configuration File
ve startup-config.conf dosyasını seçip İndir -düğmesine basarak:
Artık Notepad veya Notepad++ ile açılabilen indirilmiş .conf dosyasını bulabilirsiniz:
Bu türden düzenli bir senkronizasyona sahip olmak, gerçekten ihtiyaç duyulduğunda - sorunlu bir durumda - arıza süresini önemli ölçüde azaltmanıza yardımcı olur.
Gelecekte eklenecek pek çok başka ipucu ve püf noktası var, ancak bu size bazı umarız yararlı bilgiler için iyi bir başlangıç sağlar.
SORUMLULUK REDDİ:
Değerli müşterimiz, yerel dilinizde makaleler sağlamak için makine çevirisi kullandığımızı lütfen unutmayın. Tüm metinler doğru bir şekilde çevrilemeyebilir. Tercüme edilmiş versiyondaki bilgilerin doğruluğu hakkında sorularınız veya tutarsızlıklar varsa, lütfen orijinal makaleyi buradan inceleyin: Orijinal Versiyon
Yorumlar
0 yorumYorum yazmak için lütfen oturum açın: oturum aç.