ProHoster > Blog > administrasie > 2. UserGate Aan die gang. Vereistes, installasie

2. UserGate Aan die gang. Vereistes, installasie

2. UserGate Aan die gang. Vereistes, installasie

Hallo, dit is die tweede artikel oor die NGFW-oplossing van die maatskappy Gebruikerspoort. Die doel van hierdie artikel is om te wys hoe om die UserGate-brandmuur op 'n virtuele stelsel te installeer (ek sal VMware Workstation-virtualiseringsagteware gebruik) en die aanvanklike konfigurasie daarvan uit te voer (laat toegang vanaf die plaaslike netwerk deur die UserGate-poort na die internet toe).   

1. inleiding

Om mee te begin, sal ek die verskillende maniere beskryf om hierdie poort in die netwerk te implementeer. Ek wil daarop let dat, afhangende van die gekose verbindingsopsie, sekere funksionaliteit van die poort moontlik nie beskikbaar is nie. Die UserGate-oplossing ondersteun die volgende verbindingsmodusse: 

  • L3-L7 firewall

  • L2 deursigtige brug

  • L3 deursigtige brug

  • Feitlik in-lyn, met behulp van die WCCP-protokol

  • Feitlik in die gaping, met behulp van beleidsgebaseerde roetering

  • Router op 'n stok

  • Stel WEB-instaanbediener uitdruklik

  • UserGate as verstekpoort

  • Spieëlpoortmonitering

UserGate ondersteun 2 tipes groepe:

  1. konfigurasie kluster. Nodusse wat in 'n konfigurasiekluster gegroepeer is, handhaaf eenvormige instellings regoor die groep.

  2. Mislukkingsgroepering. Tot 4 nodusse van die konfigurasiekluster kan gekombineer word in 'n failover-kluster wat werking in aktief-aktiewe of aktief-passiewe modus ondersteun. Dit is moontlik om verskeie failover-klusters te bou.

2. Installasie

Soos in die vorige artikel genoem, word UserGate gelewer as 'n hardeware-sagtewarekompleks of in 'n virtuele omgewing ontplooi. Van jou persoonlike rekening op die webwerf Gebruikerspoort laai die prent af in OVF-formaat (Open Virtualization Format), hierdie formaat is geskik vir VMWare- en Oracle Virtualbox-verskaffers. Vir Microsoft Hyper-v en KVM word virtuele masjienskyfbeelde verskaf.

Volgens die UserGate-webwerf word dit aanbeveel om ten minste 8 Gb RAM en 'n 2-kern virtuele verwerker te gebruik vir die korrekte werking van die virtuele masjien. Die hipervisor moet 64-bis bedryfstelsels ondersteun.

Die installasie begin deur die prent in die geselekteerde hipervisor (VirtualBox en VMWare) in te voer. In die geval van Microsoft Hyper-v en KVM, moet jy 'n virtuele masjien skep en die afgelaaide beeld as 'n skyf spesifiseer, en dan integrasiedienste deaktiveer in die instellings van die geskepde virtuele masjien.

By verstek, na invoer in VMWare, word 'n virtuele masjien geskep met die volgende instellings:

2. UserGate Aan die gang. Vereistes, installasie

Soos hierbo geskryf is, moet die RAM ten minste 8Gb wees en daarby moet jy 1Gb byvoeg vir elke 100 gebruikers. Die verstek hardeskyfgrootte is 100Gb, maar dit is gewoonlik nie genoeg om al die logs en instellings te stoor nie. Die aanbevole grootte is 300 Gb of meer. Daarom, in die eienskappe van die virtuele masjien, verander die skyfgrootte na die gewenste een. Aanvanklik kom die virtuele UserGate UTM met vier koppelvlakke wat aan sones toegewys is:

Bestuur - die eerste koppelvlak van die virtuele masjien, 'n sone vir die koppeling van betroubare netwerke waaruit UserGate-bestuur toegelaat word.

Trusted - die tweede koppelvlak van die virtuele masjien, 'n sone vir die koppeling van betroubare netwerke, byvoorbeeld LAN-netwerke.

Onvertroud - die derde koppelvlak van die virtuele masjien, 'n sone vir koppelvlakke wat gekoppel is aan onbetroubare netwerke, soos die internet.

DMZ - Die vierde koppelvlak van die virtuele masjien, 'n sone vir koppelvlakke wat aan die DMZ-netwerk gekoppel is.

Vervolgens begin ons die virtuele masjien, alhoewel die handleiding sê dat u Ondersteuningsnutsgoed moet kies en 'n fabrieksterugstelling UTM moet uitvoer, maar soos u kan sien, is daar net een keuse (UTM First Boot). Tydens hierdie stap konfigureer UTM die netwerkadapters en groei die partisie op die hardeskyf tot die volle grootte van die skyf:

2. UserGate Aan die gang. Vereistes, installasie

Om aan die UserGate-webkoppelvlak te koppel, moet jy deur die Bestuursone gaan, die eth0-koppelvlak is hiervoor verantwoordelik, wat gekonfigureer is om 'n IP-adres in outomatiese modus (DHCP) te ontvang. As dit nie moontlik is om 'n adres vir die Bestuurskoppelvlak outomaties toe te wys deur DHCP te gebruik nie, kan dit eksplisiet gestel word deur die CLI (Command Line Interface) te gebruik. Om dit te doen, moet jy by die CLI aanmeld met die gebruikersnaam en wagwoord met Volle administrateur regte (by verstek, Admin met 'n Hoofletter). As die UserGate-toestel nie die aanvanklike inisialisering geslaag het nie, moet jy Admin as die gebruikersnaam en utm as die wagwoord gebruik om toegang tot die CLI te verkry. En tik 'n opdrag soos iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Later gaan ons na die UserGate-webkonsole by die gespesifiseerde adres, dit moet so lyk: https://UserGateIPaddress:8001:

2. UserGate Aan die gang. Vereistes, installasie2. UserGate Aan die gang. Vereistes, installasie

In die webkonsole gaan ons voort met die installasie, ons moet die koppelvlaktaal kies (tans is dit Russies of Engels), die tydsone, dan lees en stem ons in tot die lisensie-ooreenkoms. Stel die aanmelding en wagwoord in om die webbestuurkoppelvlak te betree.

3. Opstelling

Na die installasie lyk die platformbestuur-webkoppelvlakvenster soos volg:

2. UserGate Aan die gang. Vereistes, installasie

Dan moet jy die netwerk koppelvlakke konfigureer. Om dit te doen, moet u dit in die afdeling "Interfaces" aktiveer, die korrekte IP-adresse instel en die toepaslike sones toewys.

Die "Interfaces"-afdeling vertoon alle fisiese en virtuele koppelvlakke wat in die stelsel beskikbaar is, laat jou toe om hul instellings te verander en VLAN-koppelvlakke by te voeg. Dit wys ook al die koppelvlakke van elke groepknoop. Interface-instellings is spesifiek vir elk van die nodusse, dit wil sê, hulle is nie globaal nie.

In koppelvlak eienskappe:

  • Aktiveer of deaktiveer die koppelvlak 

  • Spesifiseer koppelvlaktipe - Laag 3 of Spieël

  • Ken 'n sone aan 'n koppelvlak toe

  • Ken Netflow-profiel toe om statistiese data na Netflow-versamelaar te stuur

  • Verander die fisiese parameters van die koppelvlak - MAC-adres en MTU-grootte

  • Kies die tipe IP-adrestoewysing - geen adres, statiese IP-adres of verkry via DHCP nie

  • Konfigureer die werking van die DHCP-aflos op die geselekteerde koppelvlak.

Met die Voeg-knoppie kan jy die volgende tipes logiese koppelvlakke byvoeg:

  • VLAN's

  • verband

  • brug

  • PPPoE

  • Skynprivaatnetwerk

  • Tonnel

2. UserGate Aan die gang. Vereistes, installasie

Benewens die voorheen gelysde sones waarmee die Usergate-beeld kom, is daar nog drie tipes voorafbepaalde:

Cluster - sone vir koppelvlakke wat gebruik word vir cluster werking

Skynprivaatnetwerk vir werf-tot-werf - sone waarin alle kantoor-tot-kantoor-kliënte wat via VPN aan UserGate gekoppel is, geplaas word

Skynprivaatnetwerk vir afstandtoegang - sone waarin alle mobiele gebruikers wat via Skynprivaatnetwerk aan UserGate gekoppel is, geplaas word

UserGate-administrateurs kan die instellings verander van sones wat by verstek geskep is, sowel as bykomende sones skep, maar soos in die handleiding vir weergawe 5 vermeld, kan jy nie meer as 15 sones skep nie. Gaan na die sone-afdeling om dit te wysig of te skep. Vir elke sone kan u die drempel stel om pakkies te laat val, SYN, UDP, ICMP word ondersteun. Toegangsbeheer tot Usergate-dienste is ook opgestel, en bedrogbeskerming is geaktiveer.

2. UserGate Aan die gang. Vereistes, installasie

Nadat u die koppelvlakke gekonfigureer het, moet u die verstekroete in die "Gateways"-afdeling opstel. Dié. om UserGate aan die internet te koppel, moet jy die IP-adres van een of meer poorte spesifiseer. As verskeie verskaffers gebruik word om aan die internet te koppel, moet verskeie poorte gespesifiseer word. Die gateway-instelling is uniek vir elk van die cluster nodusse. As twee of meer poorte gespesifiseer word, is daar 2 opsies om te werk:

  1. Balanseer verkeer tussen poorte.

  2. Die hoofpoort met oorskakeling na 'n spaar.

Gateway-status (beskikbaar - groen, onbeskikbaar - rooi) word soos volg gedefinieer:

  1. Netwerkkontrole gedeaktiveer - 'n poort word as beskikbaar beskou as UserGate sy MAC-adres kan verkry deur 'n ARP-versoek te gebruik. Internettoegang deur hierdie poort is nie nagegaan nie. As die MAC-adres van die poort nie bepaal kan word nie, word die poort as onbereikbaar beskou.

  2. Netwerkkontrole geaktiveer - Gateway word as beskikbaar beskou as:

  • UserGate kan sy MAC-adres verkry deur 'n ARP-versoek te gebruik.

  • Die nagaan van internettoegang deur hierdie poort was suksesvol.

Andersins word die poort as onbereikbaar beskou.

2. UserGate Aan die gang. Vereistes, installasie

In die "DNS"-afdeling moet u die DNS-bedieners byvoeg wat UserGate sal gebruik. Hierdie instelling word gespesifiseer in die System DNS-bedieners area. Hieronder is die instellings vir die bestuur van DNS-navrae van gebruikers. UserGate laat jou toe om DNS-gevolmagtigdes te gebruik. Die DNS-instaanbediener laat jou toe om DNS-versoeke van gebruikers te onderskep en dit te verander na gelang van die behoeftes van die administrateur. Deur DNS-instaanbedienerreëls te gebruik, kan jy die DNS-bedieners spesifiseer waarna navrae vir spesifieke domeine aangestuur word. Daarbenewens, met behulp van 'n DNS-instaanbediener, kan u statiese rekords van die gasheertipe (A-rekord) opstel.

2. UserGate Aan die gang. Vereistes, installasie

In die "NAT and Routing"-afdeling moet jy die nodige NAT-reëls skep. Om toegang tot die internet te kry vir gebruikers van die Trusted-netwerk, is die NAT-reël reeds geskep - "Trusted-> Untrusted", dit bly net om dit te aktiveer. Reëls word van bo na onder toegepas in die volgorde waarin dit in die konsole verskyn. Slegs die eerste reël word altyd uitgevoer, waarvoor die voorwaardes gespesifiseer in die reël ooreenstem. Vir die reël om geaktiveer te word, moet al die voorwaardes gespesifiseer in die reëlparameters ooreenstem. UserGate beveel aan om algemene NAT-reëls te skep, byvoorbeeld 'n NAT-reël vanaf die plaaslike netwerk (gewoonlik die Trusted-sone) na die internet (gewoonlik die Untrusted-sone), en beperk toegang deur gebruikers, dienste, toepassings wat firewall-reëls gebruik.

Dit is ook moontlik om DNAT-reëls, hawe-aanstuur, beleidsgebaseerde roetering, netwerkkartering te skep.

2. UserGate Aan die gang. Vereistes, installasie

Daarna, in die "Firewall" afdeling, moet jy firewall reëls skep. Vir onbeperkte toegang tot die internet vir gebruikers van die Trusted-netwerk, is 'n firewall-reël ook reeds geskep - "Internet for Trusted" en moet geaktiveer word. Deur firewall-reëls te gebruik, kan die administrateur enige tipe vervoernetwerkverkeer wat deur UserGate gaan, toelaat of weier. Reëlvoorwaardes kan sones en bron/bestemming IP-adresse, gebruikers en groepe, dienste en toepassings wees. Die reëls word op dieselfde manier toegepas as in die "NAT and Routing"-afdeling, m.a.w. van bo af. As geen reëls geskep word nie, is enige transitoverkeer deur UserGate verbied.

2. UserGate Aan die gang. Vereistes, installasie

4. gevolgtrekking

Hierdie artikel het tot 'n einde gekom. Ons het die UserGate-firewall op die virtuele masjien geïnstalleer en die minimum nodige instellings gemaak sodat die internet in die Trusted-netwerk kan werk. Verdere konfigurasie sal in die volgende artikels oorweeg word.

Bly ingeskakel vir opdaterings in ons kanale (telegramFacebookVKTS Oplossing Blog)!

Bron: will.com

Voeg 'n opmerking