Добры дзень, гэта другі артыкул аб NGFW рашэнні ад кампаніі
1. ўвядзенне
Для пачатку я апішу розныя спосабы ўкаранення дадзенага шлюза ў сетку. Жадаю заўважыць, што ў залежнасці ад абранага варыянту падлучэння вызначаны функцыянал шлюза можа быць недаступны. Рашэнне UserGate падтрымлівае наступныя рэжымы падключэння:
-
L3-L7 брандмаўэр
-
L2 празрысты мост
-
L3 празрысты мост
-
Віртуальна ў разрыў, з ужываннем пратаколу WCCP
-
Віртуальна ў разрыў, з ужываннем Policy Based Routing
-
Router on a Stick
-
Відавочна зададзены WEB-проксі
-
UserGate, як шлюз па змаўчанні
-
Маніторынг Mirror-порта
UserGate падтрымлівае 2 тыпу кластараў:
-
Кластар канфігурацыі. Вузлы, аб'яднаныя ў кластар канфігурацыі, падтрымліваюць адзіныя наладкі ў рамках кластара.
-
Кластар адмоваўстойлівасці. Да 4-х вузлоў кластара канфігурацыі могуць быць аб'яднаны ў кластар адмоваўстойлівасці, які падтрымлівае працу ў рэжыме Актыў-Актыў або Актыў-Пасіў. Магчыма сабраць некалькі кластараў адмоваўстойлівасці.
2. Устаноўка
Як гаварылася ў папярэднім артыкуле UserGate пастаўляецца ў выглядзе праграмна-апаратнага комплексу або разгортваецца ў віртуальным асяроддзі. З асабістага кабінета на сайце
Па дадзеных сайта UserGate для карэктнай працы віртуальнай машыны рэкамендуецца выкарыстоўваць мінімум 8Gb аператыўнай памяці і 2-ядзерны віртуальны працэсар. Гіпервізар павінен падтрымліваць працу 64-бітных аперацыйных сістэм.
Усталёўка пачынаецца з імпарту выявы ў абраны гіпервізор (VirtualBox і VMWare). У выпадку з Microsoft Hyper-v і KVM неабходна стварыць віртуальную машыну і паказаць у якасці дыска запампаваная выява, пасля чаго адключыць службы інтэграцыі ў наладах створанай віртуальнай машыны.
Па змаўчанні пасля імпарту ў VMWare ствараецца віртуальная машына з наступнымі наладамі:
Як было напісана вышэй, аператыўнай памяці павінна быць, прынамсі 8Gb і ў дадатку трэба дадаць па 1Gb на кожныя 100 карыстачоў. Памер цвёрдай кружэлкі па змаўчанні складае 100Gb, аднак гэтага звычайна нядосыць для захоўвання ўсіх часопісаў і налад. Рэкамендаваны памер - 300Gb або больш. Таму ва ўласцівасцях віртуальнай машыны змяняны памер кружэлкі на патрэбны. Першапачаткова віртуальны UserGate UTM пастаўляецца з чатырма інтэрфейсамі, прызначанымі ў зоны:
Management – першы інтэрфейс віртуальнай машыны, зона для падлучэння давераных сетак, з якіх дазволенае кіраванне UserGate.
Trusted – другі інтэрфейс віртуальнай машыны, зона для падлучэння давераных сетак, напрыклад, LAN-сетак.
Untrusted - трэці інтэрфейс віртуальнай машыны, зона для інтэрфейсаў, падлучаных да не давераных сетак, напрыклад, да інтэрнэту.
DMZ – чацвёрты інтэрфейс віртуальнай машыны, зона для інтэрфейсаў, падлучаных да сеткі DMZ.
Далей запускаем віртуальную машыны, хоць у кіраўніцтве і напісана, што трэба абраць Support Tools і выканаць Factory reset UTM, але як бачым ёсць толькі адзін выбар (UTM First Boot). Падчас гэтага кроку UTM наладжвае сеткавыя адаптары і павялічвае памер часткі на цвёрдай кружэлцы да поўнага памеру кружэлкі:
Для падлучэння да вэб інтэрфейсу UserGate неабходна заходзіць праз Management зону, за гэта адказвае інтэрфейс eth0, які наладжаны на атрыманне IP-адрасы ў аўтаматычным рэжыме (DHCP). Калі няма магчымасці прызначыць адрас для Management-інтэрфейсу ў аўтаматычным рэжыме з дапамогай DHCP, тое яго можна відавочна задаць, выкарыстаючы CLI (Command Line Interface). Для гэтага трэба ўвайсці ў CLI, выкарыстоўваючы імя і пароль карыстальніка з правамі Full administrator (па змаўчанні Admin з Загалоўнай літары). Калі прылада UserGate не мінула першапачатковую ініцыялізацыю, то для доступу да CLI неабходна выкарыстоўваць у якасці імя карыстальніка Admin, у якасці пароля - utm. І набраць каманду тыпам iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Пазней пераходзім да вэб-кансолі UserGate па паказаным адрасе, ён павінен выглядаць прыкладна наступным чынам:
У вэб-кансолі працягваем усталёўку, нам трэба выбіраць мову інтэрфейсу (на дадзены момант гэта руская ці ангельская мова), гадзінны пояс, далей чытэльны і згаджаемся з ліцэнзійнай дамовай. Задаем лагін і пароль для ўваходу ў вэб-інтэрфейс кіравання.
3. Налада
Пасля ўсталёўкі вось так выглядае акно вэб інтэрфейсу кіравання платформай:
Затым неабходна наладзіць сеткавыя інтэрфейсы. Для гэтага ў раздзеле "Інтэрфейсы" трэба ўключыць іх, усталяваць карэктныя IP-адрасы і прызначыць адпаведныя зоны.
Раздзел "Інтэрфейсы" адлюстроўвае ўсе фізічныя і віртуальныя інтэрфейсы, якія ёсць у сістэме, дазваляе змяняць іх налады і дадаваць VLAN-інтэрфейсы. Яшчэ ён паказвае ўсе інтэрфейсы кожнага вузла кластара. Налады інтэрфейсаў спецыфічныя для кожнага з вузлоў, гэта значыць не глабальныя.
Ва ўласцівасцях інтэрфейсу:
-
Уключыць ці адключыць інтэрфейс
-
Указаць тып інтэрфейсу - Layer 3 або Mirror
-
Прызначыць зону інтэрфейсу
-
Прызначыць профіль Netflow для адпраўкі статыстычных дадзеных на Netflow калектар
-
Змяніць фізічныя параметры інтэрфейсу - MAC-адрас і памер MTU
-
Выбраць тып прысваення IP-адрасу - без адрасу, статычны IP-адрас або атрыманы па DHCP
-
Наладзіць працу DHCP-рэлея на абраным інтэрфейсе.
Кнопка "Дадаць" дазваляе дадаць наступныя тыпы лагічных інтэрфейсаў:
-
VLAN
-
Бонд
-
Мост
-
PPPoE
-
VPN
-
тунэль
Акрамя пералічаных раней зон, з якімі пастаўляецца выява Usergate, ёсць яшчэ тры тыпу наканаваных:
Cluster - зона для інтэрфейсаў, якія выкарыстоўваюцца для працы кластара
VPN for Site-to-Site - зона, у якую змяшчаюцца ўсе кліенты тыпу Офіс-Офіс, якія падключаюцца да UserGate па VPN
VPN for remote access – зона, у якую змяшчаюцца ўсе мабільныя карыстальнікі, падлучаныя да UserGate па VPN
Адміністратары UserGate могуць змяняць налады зон, створаных па змаўчанні, а таксама ствараць дадатковыя зоны, але як сказана ў кіраўніцтве да версіі 5, можна стварыць не больш за 15 зон. Для змены ці стварэнні іх трэба перайсці ў падзел зоны. Для кожнай зоны можна ўсталяваць парог адкідвання пакетаў, падтрымліваецца SYN, UDP, ICMP. Таксама наладжваецца кантроль доступу да сэрвісаў Usergate, і ўключаецца абарона ад спуфінгу.
Пасля настройкі інтэрфейсаў неабходна ў раздзеле «Шлюзы» наладзіць маршрут па змаўчанні. Г.зн. для падлучэння UserGate да інтэрнэту неабходна ўказаць IP-адрас аднаго або некалькіх шлюзаў. Калі для падлучэння да інтэрнэту выкарыстоўваецца некалькі правайдэраў, то неабходна пазначыць некалькі шлюзаў. Настройка шлюза ўнікальная для кожнага з вузлоў кластара. Калі зададзена два ці больш шлюзаў магчымыя 2 варыянты працы:
-
Балансіроўка трафіку паміж шлюзамі.
-
Асноўны шлюз з пераключэннем на запасны.
Стан шлюза (даступны - зялёны, недаступны - чырвоны) вызначаецца наступным чынам:
-
Праверка сеткі адключаная - шлюз лічыцца даступным, калі UserGate можа атрымаць яго MAC-адрас з дапамогай ARP-запыту. Праверка наяўнасці доступу ў інтэрнэт праз гэты шлюз не робіцца. Калі MAC-адрас шлюза не можа быць вызначаны, шлюз лічыцца недаступным.
-
Праверка сеткі ўключана - шлюз лічыцца даступным, калі:
-
UserGate можа атрымаць яго MAC-адрас з дапамогай ARP-запыту.
-
Праверка наяўнасці доступу ў інтэрнэт праз гэты шлюз завяршылася паспяхова.
У адваротным выпадку шлюз лічыцца недаступным.
У раздзеле "DNS" неабходна дадаць DNS сервера, якія будзе выкарыстоўваць UserGate. Дадзеная налада паказваецца ў вобласці Сістэмныя DNS-серверы. Ніжэй знаходзяцца настройкі па кіраванні DNS-запытамі ад карыстальнікаў. UserGate дазваляе выкарыстоўваць DNS-проксі. Сэрвіс DNS-проксі дазваляе перахапляць DNS-запыты ад карыстальнікаў і змяняць іх у залежнасці ад патрэб адміністратара. З дапамогай правілаў DNS-проксі можна пазначыць серверы DNS, на якія перасылаюцца запыты на пэўныя дамены. Акрамя гэтага, з дапамогай DNS-проксі можна задаваць статычныя запісы тыпу host (A-запіс).
У раздзеле "NAT і Маршрутызацыя" трэба стварыць неабходныя правілы NAT. Для доступу ў інтэрнэт карыстальнікаў сеткі Trusted правіла NAT ужо створана - "Trusted->Untrusted", застаецца яго толькі ўключыць. Правілы прымяняюцца зверху ўніз у тым парадку, у якім яны пазначаны ў кансолі. Выконваецца заўсёды толькі першае правіла, для якога супалі ўмовы, указаныя ў правіле. Для спрацоўвання правіла неабходна, каб супалі ўсе ўмовы, указаныя ў параметрах правіла. UserGate рэкамендуе ствараць агульныя правілы NAT, напрыклад, правіла NAT з лакальнай сеткі (звычайна зона Trusted) у інтэрнэт (звычайна зона Untrusted), а размежаванне доступу па карыстачах, сэрвісам, прыкладанням ажыццяўляць з дапамогай правіл міжсеткавага экрана.
Таксама ёсць магчымасць стварыць правілы DNAT, порт-форвардынг, Policy-based routing, Network mapping.
Пасля гэтага ў раздзеле "Міжсеткавы экран" неабходна стварыць правілы міжсеткавага экрана. Для неабмежаванага доступу ў інтэрнэт карыстальнікаў сеткі Trusted правіла міжсеткавага экрана гэтак жа ўжо створана - "Internet for Trusted" і яго неабходна ўключыць. З дапамогай правіл міжсеткавага экрана адміністратар можа дазволіць або забараніць любы тып транзітнага сеткавага трафіку, які праходзіць праз UserGate. У якасці ўмоў правіла могуць выступаць зоны і IP-адрасы крыніцы/прызначэнні, карыстачы і групы, сэрвісы і прыкладанні. Правілы прымяняюцца таксама як і ў раздзеле «NAT і Маршрутызацыя», г.зн. зверху ўніз. Калі не створана ніводнага правіла, то любы транзітны трафік праз UserGate забаронены.
4. заключэнне
На гэтым артыкул падышоў да канца. Мы ўсталявалі міжсеткавы экран UserGate на віртуальную машыну і зрабілі мінімальна неабходныя налады для таго, каб працаваў інтэрнэт у сетцы Trusted. Далейшую настройку будзем разглядаць у рамках наступных артыкулаў.
Сачыце за абнаўленнямі ў нашых каналах (
Крыніца: habr.com