Salam, bu, şirkətin NGFW həlli haqqında ikinci məqaləsidir . Bu məqalənin məqsədi UserGate firewallını virtual sistemə necə quraşdırmağı göstərməkdir (mən VMware Workstation virtualizasiya proqramından istifadə edəcəyəm) və onun ilkin konfiqurasiyasını yerinə yetirməkdir (Lokal şəbəkədən UserGate şlüzü vasitəsilə İnternetə çıxışa icazə verin).
1. Giriş
Başlamaq üçün mən bu şlüzün şəbəkəyə daxil edilməsinin müxtəlif yollarını təsvir edəcəyəm. Qeyd etmək istərdim ki, seçilmiş əlaqə seçimindən asılı olaraq şlüzün müəyyən funksionallığı mövcud olmaya bilər. UserGate həlli aşağıdakı əlaqə rejimlərini dəstəkləyir:
-
L3-L7 firewall
-
L2 şəffaf körpü
-
L3 şəffaf körpü
-
WCCP protokolundan istifadə edərək, faktiki olaraq in-line
-
Siyasət əsaslı marşrutlaşdırmadan istifadə edərək, faktiki olaraq boşluğa
-
Çubuqda marşrutlaşdırıcı
-
WEB proksisini açıq şəkildə təyin edin
-
UserGate standart şlüz kimi
-
Güzgü portunun monitorinqi
UserGate 2 növ klasteri dəstəkləyir:
-
Klaster konfiqurasiyası. Konfiqurasiya klasterində birləşdirilən qovşaqlar çoxluqda ardıcıl parametrləri saxlayır.
-
Failover klaster. Konfiqurasiya klasterinin 4-ə qədər qovşağı Aktiv-Aktiv və ya Aktiv-Passiv rejimdə əməliyyatı dəstəkləyən uğursuzluq klasterinə birləşdirilə bilər. Çoxlu uğursuz klaster qurmaq mümkündür.
2. Quraşdırma
Əvvəlki məqalədə qeyd edildiyi kimi, UserGate hardware-proqram kompleksi kimi çatdırılır və ya virtual mühitdə yerləşdirilir. Saytdakı şəxsi hesabınızdan şəkli OVF formatında yükləyin (Açıq Virtualizasiya Format), bu format VMWare və Oracle Virtualbox təchizatçıları üçün uyğundur. Microsoft Hyper-v və KVM üçün virtual maşın disk şəkilləri təqdim olunur.
UserGate saytının məlumatına görə, virtual maşının düzgün işləməsi üçün ən azı 8 Qb əməli yaddaş və 2 nüvəli virtual prosessordan istifadə etmək tövsiyə olunur. Hipervizor 64 bitlik əməliyyat sistemlərini dəstəkləməlidir.
Quraşdırma şəkli seçilmiş hipervizora (VirtualBox və VMWare) idxal etməklə başlayır. Microsoft Hyper-v və KVM vəziyyətində, virtual maşın yaratmalı və yüklənmiş şəkli disk kimi göstərməlisiniz, sonra yaradılmış virtual maşının parametrlərində inteqrasiya xidmətlərini deaktiv etməlisiniz.
Varsayılan olaraq, VMWare-ə idxal edildikdən sonra aşağıdakı parametrlərlə virtual maşın yaradılır:
Yuxarıda yazıldığı kimi, RAM ən azı 8 Gb olmalıdır və əlavə olaraq hər 1 istifadəçi üçün 100 Gb əlavə etməlisiniz. Standart sabit disk ölçüsü 100 Gb-dir, lakin bu, adətən bütün qeydləri və parametrləri saxlamaq üçün kifayət etmir. Tövsiyə olunan ölçü 300Gb və ya daha çoxdur. Buna görə virtual maşının xüsusiyyətlərində disk ölçüsünü istədiyinizə dəyişdirin. Əvvəlcə virtual UserGate UTM zonalara təyin edilmiş dörd interfeys ilə gəlir:
İdarəetmə - virtual maşının ilk interfeysi, UserGate idarəçiliyinə icazə verilən etibarlı şəbəkələri birləşdirmək üçün zona.
Etibarlı - virtual maşının ikinci interfeysi, etibarlı şəbəkələri birləşdirmək üçün zona, məsələn, LAN şəbəkələri.
Etibarsız - virtual maşının üçüncü interfeysi, İnternet kimi etibarsız şəbəkələrə qoşulmuş interfeyslər üçün zona.
DMZ - Virtual maşının dördüncü interfeysi, DMZ şəbəkəsinə qoşulmuş interfeyslər üçün zona.
Sonra, virtual maşını işə salırıq, baxmayaraq ki, təlimatda Dəstək Alətlərini seçmək və UTM-ni zavod parametrlərinə qaytarmaq lazımdır, lakin gördüyünüz kimi, yalnız bir seçim var (UTM First Boot). Bu addım zamanı UTM şəbəkə adapterlərini konfiqurasiya edir və sabit diskdəki bölməni sürücünün tam ölçüsünə qədər böyüdür:
UserGate veb interfeysinə qoşulmaq üçün İdarəetmə zonasından keçməlisiniz, bunun üçün avtomatik rejimdə (DHCP) bir IP ünvanı almaq üçün konfiqurasiya edilmiş eth0 interfeysi cavabdehdir. DHCP-dən istifadə edərək İdarəetmə interfeysi üçün avtomatik ünvan təyin etmək mümkün deyilsə, o zaman CLI (Command Line Interface) istifadə edərək açıq şəkildə təyin edilə bilər. Bunu etmək üçün, tam administrator hüquqları ilə istifadəçi adı və paroldan istifadə edərək CLI-yə daxil olmalısınız (standart olaraq, Böyük hərflə Admin). UserGate cihazı ilkin başlanğıcdan keçməyibsə, CLI-yə daxil olmaq üçün istifadəçi adı kimi Admin və parol kimi utm-dən istifadə etməlisiniz. Və iface config -name eth0 -ipv4 192.168.1.254/24 kimi bir əmr yazın -doğru rejim statikini aktivləşdirin. Daha sonra göstərilən ünvanda UserGate veb konsoluna gedirik, o, belə görünməlidir:https://UserGateIPaddress:8001:
Veb konsolunda quraşdırmaya davam edirik, interfeys dilini (hazırda rus və ya ingilis dilidir), saat qurşağını seçməliyik, sonra lisenziya müqaviləsini oxuyub razılaşırıq. Veb idarəetmə interfeysinə daxil olmaq üçün giriş və parol təyin edin.
3. Parametrlər
Quraşdırıldıqdan sonra platforma idarəetmə veb interfeysi pəncərəsi belə görünür:
Sonra şəbəkə interfeyslərini konfiqurasiya etməlisiniz. Bunu etmək üçün "İnterfeyslər" bölməsində onları işə salmalı, düzgün IP ünvanlarını təyin etməli və müvafiq zonaları təyin etməlisiniz.
"İnterfeyslər" bölməsi sistemdə mövcud olan bütün fiziki və virtual interfeysləri göstərir, onların parametrlərini dəyişməyə və VLAN interfeyslərini əlavə etməyə imkan verir. O, həmçinin hər bir klaster nodeunun bütün interfeyslərini göstərir. İnterfeys parametrləri qovşaqların hər birinə xasdır, yəni qlobal deyil.
İnterfeys xüsusiyyətlərində:
-
İnterfeysi aktivləşdirin və ya söndürün
-
İnterfeys növünü göstərin - Layer 3 və ya Mirror
-
İnterfeys üçün zona təyin edin
-
Statistik məlumatları Netflow kollektoruna göndərmək üçün Netflow profilini təyin edin
-
İnterfeys fiziki parametrlərini dəyişdirin - MAC ünvanı və MTU ölçüsü
-
IP ünvanı təyinatının növünü seçin - ünvan yoxdur, statik IP ünvanı və ya DHCP vasitəsilə əldə edilir
-
Seçilmiş interfeysdə DHCP relayını konfiqurasiya edin.
Əlavə et düyməsi aşağıdakı məntiqi interfeys növlərini əlavə etməyə imkan verir:
-
VLAN
-
bağ
-
Körpü
-
PPPoE
-
VPN
-
Tunel
Usergate şəklinin təqdim etdiyi əvvəllər sadalanan zonalara əlavə olaraq, əvvəlcədən təyin edilmiş daha üç növ var:
Cluster - klaster əməliyyatı üçün istifadə olunan interfeyslər üçün zona
Saytdan Sayta VPN - VPN vasitəsilə UserGate-ə qoşulmuş bütün Office-to-Office müştərilərinin yerləşdirildiyi zona
Uzaqdan giriş üçün VPN - VPN vasitəsilə UserGate-ə qoşulmuş bütün mobil istifadəçilərin yerləşdirildiyi zona
UserGate administratorları standart olaraq yaradılmış zonaların parametrlərini dəyişə bilər, həmçinin əlavə zonalar yarada bilər, lakin 5-ci versiya üçün təlimatda deyildiyi kimi, siz 15-dən çox olmayan zona yarada bilərsiniz. Onları redaktə etmək və ya yaratmaq üçün zona bölməsinə keçin. Hər bir zona üçün siz paketlərin atılma həddini təyin edə bilərsiniz, SYN, UDP, ICMP dəstəklənir. Usergate xidmətlərinə giriş nəzarəti də konfiqurasiya edilib və saxtakarlıqdan qorunma aktivləşdirilib.
İnterfeysləri konfiqurasiya etdikdən sonra "Şlüzlər" bölməsində standart marşrutu konfiqurasiya etməlisiniz. Bunlar. UserGate-i İnternetə qoşmaq üçün bir və ya bir neçə şlüzün IP ünvanını göstərməlisiniz. İnternetə qoşulmaq üçün bir neçə provayder istifadə olunursa, bir neçə şlüz göstərilməlidir. Şluz parametri klaster qovşaqlarının hər biri üçün unikaldır. İki və ya daha çox şlüz göstərilibsə, işləmək üçün 2 seçim var:
-
Şlüzlər arasında trafikin balanslaşdırılması.
-
Ehtiyat hissəyə keçid ilə əsas şlüz.
Gateway statusu (mövcud - yaşıl, əlçatmaz - qırmızı) aşağıdakı kimi müəyyən edilir:
-
Şəbəkə yoxlanışı deaktiv edilib - UserGate ARP sorğusundan istifadə edərək MAC ünvanını əldə edə bilsə, şlüz əlçatan sayılır. Bu şlüz vasitəsilə İnternetə giriş yoxlanılmır. Şlüzün MAC ünvanı müəyyən edilə bilmirsə, şlüz əlçatmaz sayılır.
-
Şəbəkə yoxlanışı aktivdir - şlüz aşağıdakı hallarda əlçatan sayılır:
-
UserGate, ARP sorğusundan istifadə edərək MAC ünvanını əldə edə bilər.
-
Bu şlüz vasitəsilə İnternetə girişin yoxlanılması uğurlu oldu.
Əks halda, şlüz əlçatmaz sayılır.
"DNS" bölməsində UserGate-in istifadə edəcəyi DNS serverlərini əlavə etməlisiniz. Bu parametr Sistem DNS serverləri sahəsində müəyyən edilmişdir. Aşağıda istifadəçilərin DNS sorğularını idarə etmək üçün parametrlər verilmişdir. UserGate sizə DNS proksilərindən istifadə etməyə imkan verir. DNS proxy xidməti sizə istifadəçilərin DNS sorğularını tutmağa və administratorun ehtiyaclarından asılı olaraq onları dəyişdirməyə imkan verir. DNS proxy qaydalarından istifadə edərək, xüsusi domenlər üçün sorğuların yönləndirildiyi DNS serverlərini təyin edə bilərsiniz. Bundan əlavə, DNS proxy-dən istifadə edərək, host tipli statik qeydləri (A-record) təyin edə bilərsiniz.
"NAT və marşrutlaşdırma" bölməsində lazımi NAT qaydalarını yaratmalısınız. Etibarlı şəbəkə istifadəçiləri üçün İnternetə daxil olmaq üçün NAT qaydası artıq yaradılmışdır - “Güvənli-> Etibarsız”, onu aktivləşdirmək üçün qalır. Qaydalar konsolda göründükləri ardıcıllıqla yuxarıdan aşağıya tətbiq edilir. Yalnız birinci qayda həmişə yerinə yetirilir, bunun üçün qaydada göstərilən şərtlər uyğun gəlir. Qaydanın işə salınması üçün qayda parametrlərində göstərilən bütün şərtlər uyğun olmalıdır. UserGate ümumi NAT qaydaları yaratmağı, məsələn, yerli şəbəkədən (adətən Etibarlı zona) İnternetə (adətən Etibarsız zona) NAT qaydasını yaratmağı və firewall qaydalarından istifadə edərək istifadəçilər, xidmətlər, proqramlar tərəfindən girişi məhdudlaşdırmağı tövsiyə edir.
DNAT qaydaları, port yönləndirilməsi, Siyasət əsaslı marşrutlaşdırma, Şəbəkə xəritəsi yaratmaq da mümkündür.
Bundan sonra "Firewall" bölməsində firewall qaydaları yaratmalısınız. Güvənli şəbəkənin istifadəçiləri üçün İnternetə məhdudiyyətsiz giriş üçün artıq bir firewall qaydası da yaradılmışdır - "Etibarlılar üçün İnternet" və aktivləşdirilməlidir. Firewall qaydalarından istifadə edərək, administrator UserGate-dən keçən istənilən tranzit şəbəkə trafikinə icazə verə və ya rədd edə bilər. Qayda şərtlərinə zonalar və mənbə/təyinat IP ünvanları, istifadəçilər və qruplar, xidmətlər və proqramlar daxil ola bilər. Qaydalar "NAT və Marşrutlaşdırma" bölməsində olduğu kimi tətbiq olunur, yəni. yuxarıdan aşağı. Heç bir qayda yaradılmayıbsa, UserGate vasitəsilə istənilən tranzit trafiki qadağandır.
4. Nəticə
Bu məqalə başa çatdı. Virtual maşında UserGate firewall quraşdırdıq və İnternetin Güvənli şəbəkədə işləməsi üçün minimum lazımi parametrləri etdik. Əlavə konfiqurasiya aşağıdakı məqalələrdə nəzərdən keçiriləcəkdir.
Yeniliklərdən xəbərdar olmaq üçün kanallarımızı izləyin (, , , )!
Mənbə: www.habr.com