مرحبًا ، هذه هي المقالة الثانية حول حل NGFW من الشركة . الغرض من هذه المقالة هو إظهار كيفية تثبيت جدار الحماية UserGate على نظام افتراضي (سأستخدم برنامج المحاكاة الافتراضية VMware Workstation) وتنفيذ التكوين الأولي (السماح بالوصول من الشبكة المحلية عبر بوابة UserGate إلى الإنترنت).
1. .ведение
بادئ ذي بدء ، سأصف الطرق المختلفة لإدخال هذه البوابة في الشبكة. أود أن أشير إلى أنه بناءً على خيار الاتصال المحدد ، قد لا تتوفر وظائف معينة للبوابة. يدعم حل UserGate أوضاع الاتصال التالية:
-
جدار الحماية L3-L7
-
جسر شفاف L2
-
جسر شفاف L3
-
عمليا في الخط ، باستخدام بروتوكول WCCP
-
عمليًا في الفجوة ، باستخدام التوجيه المستند إلى السياسة
-
جهاز التوجيه على عصا
-
صراحة تعيين وكيل WEB
-
برنامج UserGate كبوابة افتراضية
-
مراقبة ميناء المرآة
برنامج UserGate يدعم نوعين من المجموعات:
-
كتلة التكوين. تحتفظ العقد التي تم تجميعها في مجموعة تكوين بإعدادات موحدة عبر الكتلة.
-
كتلة تجاوز الفشل. يمكن دمج ما يصل إلى 4 عقد من مجموعة التكوين في مجموعة تجاوز الفشل التي تدعم التشغيل في الوضع النشط النشط أو النشط الخامل. من الممكن بناء مجموعات متعددة لتجاوز الفشل.
2. التثبيت
كما هو مذكور في المقالة السابقة ، يتم تسليم برنامج UserGate كمجمع برامج للأجهزة أو يتم نشره في بيئة افتراضية. من حسابك الشخصي على الموقع قم بتنزيل الصورة بتنسيق OVF (Open Virtualization Format) ، هذا التنسيق مناسب لبائعي VMWare و Oracle Virtualbox. بالنسبة إلى Microsoft Hyper-v و KVM ، يتم توفير صور قرص الجهاز الظاهري.
وفقًا لموقع UserGate على الويب ، من أجل التشغيل الصحيح للجهاز الظاهري ، يوصى باستخدام 8 جيجا بايت على الأقل من ذاكرة الوصول العشوائي ومعالج افتراضي ثنائي النواة. يجب أن يدعم برنامج Hypervisor أنظمة تشغيل 2 بت.
يبدأ التثبيت باستيراد الصورة إلى برنامج Hypervisor المحدد (VirtualBox و VMWare). في حالة Microsoft Hyper-v و KVM ، تحتاج إلى إنشاء جهاز افتراضي وتحديد الصورة التي تم تنزيلها كقرص ، ثم تعطيل خدمات التكامل في إعدادات الجهاز الظاهري الذي تم إنشاؤه.
افتراضيًا ، بعد الاستيراد إلى برنامج VMWare ، يتم إنشاء جهاز افتراضي بالإعدادات التالية:
كما هو مكتوب أعلاه ، يجب أن تكون ذاكرة الوصول العشوائي 8 جيجا بايت على الأقل ، بالإضافة إلى أنك تحتاج إلى إضافة 1 جيجا بايت لكل 100 مستخدم. الحجم الافتراضي للقرص الصلب هو 100 جيجابايت ، لكن هذا لا يكفي عادةً لتخزين جميع السجلات والإعدادات. الحجم الموصى به هو 300 جيجابايت أو أكثر. لذلك ، في خصائص الجهاز الظاهري ، قم بتغيير حجم القرص إلى الحجم المطلوب. في البداية ، تأتي واجهة UserGate UTM الافتراضية بأربع واجهات مخصصة للمناطق:
الإدارة - الواجهة الأولى للجهاز الظاهري ، وهي منطقة لتوصيل الشبكات الموثوقة التي يُسمح من خلالها بإدارة UserGate.
موثوق به - الواجهة الثانية للجهاز الظاهري ، وهي منطقة لتوصيل الشبكات الموثوقة ، على سبيل المثال ، شبكات LAN.
غير موثوق به - الواجهة الثالثة للجهاز الظاهري ، وهي منطقة للواجهات المتصلة بشبكات غير موثوق بها ، مثل الإنترنت.
DMZ - الواجهة الرابعة للجهاز الظاهري ، وهي منطقة للواجهات المتصلة بشبكة DMZ.
بعد ذلك ، نبدأ تشغيل الجهاز الظاهري ، على الرغم من أن الدليل ينص على أنك بحاجة إلى تحديد أدوات الدعم وإجراء إعادة ضبط المصنع UTM ، ولكن كما ترى ، هناك خيار واحد فقط (UTM First Boot). أثناء هذه الخطوة ، يقوم UTM بتكوين محولات الشبكة وتوسيع القسم الموجود على محرك الأقراص الثابتة إلى الحجم الكامل لمحرك الأقراص:
للاتصال بواجهة الويب لبرنامج UserGate ، تحتاج إلى المرور عبر منطقة الإدارة ، حيث تكون واجهة eth0 مسؤولة عن ذلك ، والتي تم تكوينها لتلقي عنوان IP في الوضع التلقائي (DHCP). إذا لم يكن من الممكن تعيين عنوان لواجهة الإدارة تلقائيًا باستخدام DHCP ، فيمكن تعيينه بشكل صريح باستخدام CLI (واجهة سطر الأوامر). للقيام بذلك ، تحتاج إلى تسجيل الدخول إلى CLI باستخدام اسم المستخدم وكلمة المرور مع حقوق المسؤول الكاملة (افتراضيًا ، المسؤول بحرف كبير). إذا لم يجتز جهاز UserGate التهيئة الأولية ، فعندئذٍ للوصول إلى CLI ، يجب عليك استخدام Admin كاسم مستخدم و utm ككلمة مرور. واكتب أمرًا مثل iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. في وقت لاحق نذهب إلى وحدة تحكم الويب UserGate على العنوان المحدد ، يجب أن يبدو مثل هذا:https://UserGateIPaddress:8001:
في وحدة تحكم الويب ، نواصل التثبيت ، نحتاج إلى تحديد لغة الواجهة (حاليًا هي الروسية أو الإنجليزية) ، المنطقة الزمنية ، ثم نقرأ اتفاقية الترخيص ونوافق عليها. قم بتعيين تسجيل الدخول وكلمة المرور للدخول إلى واجهة إدارة الويب.
3. الإعداد
بعد التثبيت ، تبدو نافذة واجهة الويب لإدارة النظام الأساسي كما يلي:
ثم تحتاج إلى تكوين واجهات الشبكة. للقيام بذلك ، في قسم "الواجهات" ، تحتاج إلى تمكينها ، وتعيين عناوين IP الصحيحة وتعيين المناطق المناسبة.
يعرض قسم "الواجهات" جميع الواجهات المادية والظاهرية المتاحة في النظام ، ويسمح لك بتغيير إعداداتها وإضافة واجهات VLAN. كما يعرض أيضًا جميع واجهات كل عقدة عنقودية. تكون إعدادات الواجهة خاصة بكل عقدة ، أي أنها ليست عامة.
في خصائص الواجهة:
-
تمكين أو تعطيل الواجهة
-
حدد نوع الواجهة - الطبقة 3 أو المرآة
-
قم بتعيين منطقة للواجهة
-
قم بتعيين ملف تعريف Netflow لإرسال البيانات الإحصائية إلى أداة تجميع Netflow
-
قم بتغيير المعلمات المادية للواجهة - عنوان MAC وحجم MTU
-
حدد نوع تعيين عنوان IP - لا يوجد عنوان أو عنوان IP ثابت أو تم الحصول عليه عبر DHCP
-
تكوين عملية ترحيل DHCP على الواجهة المحددة.
يتيح لك الزر "إضافة" إضافة الأنواع التالية من الواجهات المنطقية:
-
VLAN
-
رابطة
-
جسر
-
PPPOE
-
VPN
-
نفق
بالإضافة إلى المناطق المدرجة سابقًا التي تأتي بها صورة Usergate ، هناك ثلاثة أنواع أخرى من تلك المحددة مسبقًا:
الكتلة - منطقة للواجهات المستخدمة لتشغيل الكتلة
VPN for Site-to-Site - المنطقة التي يتم فيها وضع جميع عملاء Office-to-Office المتصلين بـ UserGate عبر VPN
VPN للوصول عن بعد - المنطقة التي يتم فيها وضع جميع مستخدمي الأجهزة المحمولة المتصلين بـ UserGate عبر VPN
يمكن لمسؤولي برنامج UserGate تغيير إعدادات المناطق التي تم إنشاؤها افتراضيًا ، وكذلك إنشاء مناطق إضافية ، ولكن كما هو مذكور في دليل الإصدار 5 ، لا يمكنك إنشاء أكثر من 15 منطقة. لتحريرها أو إنشائها ، انتقل إلى قسم المنطقة. لكل منطقة ، يمكنك تعيين عتبة إسقاط الحزم ، يتم دعم SYN و UDP و ICMP. تم أيضًا تكوين التحكم في الوصول إلى خدمات Usergate ، وتم تمكين الحماية من الانتحال.
بعد تكوين الواجهات ، تحتاج إلى تكوين المسار الافتراضي في قسم "Gateways". أولئك. لتوصيل برنامج UserGate بالإنترنت ، يجب تحديد عنوان IP لبوابة واحدة أو أكثر. إذا تم استخدام عدة مزودين للاتصال بالإنترنت ، فيجب تحديد عدة بوابات. يعد إعداد البوابة فريدًا لكل عقد من عقد المجموعة. إذا تم تحديد بوابتين أو أكثر ، فهناك خياران للعمل:
-
موازنة حركة المرور بين البوابات.
-
البوابة الرئيسية مع التحول إلى قطع غيار.
يتم تعريف حالة البوابة (متوفرة - أخضر ، غير متوفر - أحمر) على النحو التالي:
-
تم تعطيل فحص الشبكة - تعتبر البوابة متاحة إذا كان برنامج UserGate يمكنه الحصول على عنوان MAC الخاص به باستخدام طلب ARP. لم يتم فحص الوصول إلى الإنترنت من خلال هذه البوابة. إذا تعذر تحديد عنوان MAC الخاص بالبوابة ، فإن البوابة تعتبر غير قابلة للوصول.
-
تم تمكين فحص الشبكة - تعتبر البوابة متاحة في حالة:
-
يمكن لبرنامج UserGate الحصول على عنوان MAC الخاص به باستخدام طلب ARP.
-
نجح التحقق من الوصول إلى الإنترنت من خلال هذه البوابة.
خلاف ذلك ، تعتبر البوابة غير قابلة للوصول.
في قسم "DNS" ، تحتاج إلى إضافة خوادم DNS التي سيستخدمها برنامج UserGate. يتم تحديد هذا الإعداد في منطقة خوادم نظام DNS. فيما يلي إعدادات إدارة استعلامات DNS من المستخدمين. برنامج UserGate يسمح لك باستخدام وكلاء DNS. تتيح لك خدمة وكيل DNS اعتراض طلبات DNS من المستخدمين وتعديلها وفقًا لاحتياجات المسؤول. باستخدام قواعد وكيل DNS ، يمكنك تحديد خوادم DNS التي يتم إعادة توجيه الاستعلامات الخاصة بمجالات معينة إليها. بالإضافة إلى ذلك ، باستخدام وكيل DNS ، يمكنك تعيين سجلات ثابتة لنوع المضيف (سجل A).
في قسم "NAT والتوجيه" ، تحتاج إلى إنشاء قواعد NAT الضرورية. للوصول إلى الإنترنت لمستخدمي الشبكة الموثوقة ، تم بالفعل إنشاء قاعدة NAT - "موثوق -> غير موثوق" ، ويبقى تمكينها فقط. يتم تطبيق القواعد من أعلى إلى أسفل بالترتيب الذي تظهر به في وحدة التحكم. يتم دائمًا تنفيذ القاعدة الأولى فقط ، والتي تتطابق معها الشروط المحددة في القاعدة. لتشغيل القاعدة ، يجب أن تتطابق جميع الشروط المحددة في معلمات القاعدة. توصي UserGate بإنشاء قواعد NAT عامة ، على سبيل المثال ، قاعدة NAT من الشبكة المحلية (عادةً المنطقة الموثوق بها) إلى الإنترنت (عادةً المنطقة غير الموثوق بها) ، وتقييد وصول المستخدمين والخدمات والتطبيقات التي تستخدم قواعد جدار الحماية.
من الممكن أيضًا إنشاء قواعد DNAT ، وإعادة توجيه المنافذ ، والتوجيه المستند إلى السياسة ، ورسم خرائط الشبكة.
بعد ذلك ، في قسم "جدار الحماية" ، تحتاج إلى إنشاء قواعد جدار الحماية. للوصول غير المحدود إلى الإنترنت لمستخدمي الشبكة الموثوقة ، تم أيضًا إنشاء قاعدة جدار الحماية - "الإنترنت من أجل الثقة" ويجب تمكينها. باستخدام قواعد جدار الحماية ، يمكن للمسؤول السماح أو رفض أي نوع من حركة مرور شبكة النقل التي تمر عبر برنامج UserGate. يمكن أن تكون شروط القاعدة مناطق وعناوين IP المصدر / الوجهة والمستخدمين والمجموعات والخدمات والتطبيقات. يتم تطبيق القواعد بنفس الطريقة كما في قسم "NAT والتوجيه" ، أي من أعلى إلى أسفل. إذا لم يتم إنشاء قواعد ، فسيتم حظر أي حركة مرور عبر برنامج UserGate.
4. الخلاصة
لقد وصل هذا المقال إلى نهايته. قمنا بتثبيت جدار الحماية UserGate على الجهاز الظاهري وقمنا بعمل الحد الأدنى من الإعدادات الضرورية للإنترنت للعمل في الشبكة الموثوقة. سيتم النظر في مزيد من التكوين في المقالات التالية.
ترقبوا التحديثات في قنواتنا (, , , )!
المصدر: www.habr.com