Здравейте, това е втората статия за решението NGFW от компанията . Целта на тази статия е да покаже как да инсталирате защитната стена на UserGate на виртуална система (ще използвам софтуер за виртуализация на VMware Workstation) и да извърша нейната първоначална конфигурация (разрешете достъп от локалната мрежа през шлюза на UserGate към Интернет).
1. Въведение
Като начало ще опиша различните начини за внедряване на този шлюз в мрежата. Бих искал да отбележа, че в зависимост от избраната опция за връзка, определени функции на шлюза може да не са налични. Решението UserGate поддържа следните режими на връзка:
-
L3-L7 защитна стена
-
L2 прозрачен мост
-
L3 прозрачен мост
-
Практически в линия, използвайки протокола WCCP
-
На практика в празнината, използвайки маршрутизиране, базирано на правила
-
Рутер на стик
-
Изрично зададен WEB прокси
-
UserGate като шлюз по подразбиране
-
Мониторинг на огледален порт
UserGate поддържа 2 вида клъстери:
-
конфигурационен клъстер. Възлите, които са групирани в конфигурационен клъстер, поддържат еднакви настройки в целия клъстер.
-
Отказоустойчив клъстер. До 4 възела на конфигурационния клъстер могат да бъдат комбинирани в отказоустойчив клъстер, който поддържа работа в режим Active-Active или Active-Passive. Възможно е да се изградят множество отказоустойчиви клъстери.
2. Монтаж
Както бе споменато в предишната статия, UserGate се доставя като хардуерно-софтуерен комплекс или се внедрява във виртуална среда. От личния си акаунт в сайта изтеглете изображението във формат OVF (Open Virtualization Format), този формат е подходящ за доставчици на VMWare и Oracle Virtualbox. За Microsoft Hyper-v и KVM се предоставят дискови изображения на виртуална машина.
Според уебсайта на UserGate, за правилната работа на виртуалната машина се препоръчва използването на поне 8Gb RAM и 2-ядрен виртуален процесор. Хипервайзорът трябва да поддържа 64-битови операционни системи.
Инсталацията започва с импортиране на изображението в избрания хипервизор (VirtualBox и VMWare). В случай на Microsoft Hyper-v и KVM, трябва да създадете виртуална машина и да посочите изтегленото изображение като диск и след това да деактивирате интеграционните услуги в настройките на създадената виртуална машина.
По подразбиране след импортиране във VMWare се създава виртуална машина със следните настройки:
Както беше написано по-горе, RAM трябва да бъде поне 8Gb и в допълнение трябва да добавите 1Gb на всеки 100 потребители. Размерът на твърдия диск по подразбиране е 100 Gb, но това обикновено не е достатъчно за съхраняване на всички регистрационни файлове и настройки. Препоръчителният размер е 300 Gb или повече. Следователно в свойствата на виртуалната машина променете размера на диска до желания. Първоначално виртуалният UserGate UTM идва с четири интерфейса, присвоени на зони:
Управление - първият интерфейс на виртуалната машина, зона за свързване на надеждни мрежи, от която е разрешено управление на UserGate.
Доверен - вторият интерфейс на виртуалната машина, зона за свързване на надеждни мрежи, например LAN мрежи.
Untrusted - третият интерфейс на виртуалната машина, зона за интерфейси, свързани към ненадеждни мрежи, като Интернет.
DMZ - Четвъртият интерфейс на виртуалната машина, зона за интерфейси, свързани към DMZ мрежата.
След това стартираме виртуалната машина, въпреки че ръководството казва, че трябва да изберете Инструменти за поддръжка и да извършите Factory reset UTM, но както можете да видите, има само един избор (UTM First Boot). По време на тази стъпка UTM конфигурира мрежовите адаптери и увеличава дяла на твърдия диск до пълния размер на устройството:
За да се свържете с уеб интерфейса на UserGate, трябва да преминете през зоната за управление, интерфейсът eth0 е отговорен за това, който е конфигуриран да получава IP адрес в автоматичен режим (DHCP). Ако не е възможно автоматично да се зададе адрес за интерфейса за управление с помощта на DHCP, тогава той може да бъде изрично зададен с помощта на CLI (Интерфейс на командния ред). За да направите това, трябва да влезете в CLI, като използвате потребителското име и паролата с Пълни администраторски права (по подразбиране Admin с главна буква). Ако устройството UserGate не е преминало първоначалната инициализация, тогава за достъп до CLI трябва да използвате Admin като потребителско име и utm като парола. И въведете команда като iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. По-късно отиваме в уеб конзолата на UserGate на посочения адрес, трябва да изглежда така:https://UserGateIPaddress:8001:
В уеб конзолата продължаваме инсталацията, трябва да изберем езика на интерфейса (в момента е руски или английски), часовата зона, след което четем и се съгласяваме с лицензионното споразумение. Задайте потребителско име и парола, за да влезете в интерфейса за уеб управление.
3. Персонализиране
След инсталирането прозорецът на уеб интерфейса за управление на платформата изглежда така:
След това трябва да конфигурирате мрежовите интерфейси. За да направите това, в секцията "Интерфейси" трябва да ги активирате, да зададете правилните IP адреси и да зададете съответните зони.
Секцията "Интерфейси" показва всички физически и виртуални интерфейси, налични в системата, позволява ви да промените техните настройки и да добавите VLAN интерфейси. Той също така показва всички интерфейси на всеки клъстерен възел. Настройките на интерфейса са специфични за всеки от възлите, тоест не са глобални.
В свойствата на интерфейса:
-
Активирайте или деактивирайте интерфейса
-
Посочете тип интерфейс - Layer 3 или Mirror
-
Присвояване на зона към интерфейс
-
Задайте Netflow профил за изпращане на статистически данни към Netflow колектор
-
Променете физическите параметри на интерфейса - MAC адрес и MTU размер
-
Изберете вида на задаване на IP адрес - без адрес, статичен IP адрес или получен чрез DHCP
-
Конфигурирайте работата на DHCP релето на избрания интерфейс.
Бутонът Добавяне ви позволява да добавяте следните типове логически интерфейси:
-
VLAN
-
връзка
-
мост
-
PPPoE
-
VPN
-
тунел
В допълнение към изброените по-рано зони, с които се доставя изображението на Usergate, има още три типа предварително дефинирани:
Клъстер - зона за интерфейси, използвани за работа на клъстера
VPN за Site-to-Site - зона, в която се поставят всички Office-to-Office клиенти, свързани към UserGate чрез VPN
VPN за отдалечен достъп - зона, в която са поставени всички мобилни потребители, свързани с UserGate чрез VPN
Администраторите на UserGate могат да променят настройките на зоните, създадени по подразбиране, както и да създават допълнителни зони, но както е посочено в ръководството за версия 5, можете да създадете не повече от 15 зони. За да ги редактирате или създадете, отидете в секцията за зони. За всяка зона можете да зададете прага за отпадане на пакети, поддържат се SYN, UDP, ICMP. Контролът на достъпа до услугите на Usergate също е конфигуриран и защитата от подправяне е активирана.
След като конфигурирате интерфейсите, трябва да конфигурирате маршрута по подразбиране в раздела „Шлюзове“. Тези. за да свържете UserGate към интернет, трябва да посочите IP адреса на един или повече шлюза. Ако се използват няколко доставчика за свързване към интернет, тогава трябва да бъдат посочени няколко шлюза. Настройката на шлюза е уникална за всеки от възлите на клъстера. Ако са посочени два или повече шлюза, има 2 опции за работа:
-
Балансиране на трафика между шлюзове.
-
Основният портал с превключване към резервен.
Състоянието на шлюза (налично - зелено, недостъпно - червено) се определя, както следва:
-
Проверката на мрежата е деактивирана - шлюзът се счита за наличен, ако UserGate може да получи своя MAC адрес чрез ARP заявка. Достъпът до интернет през този шлюз не се проверява. Ако MAC адресът на шлюза не може да бъде определен, шлюзът се счита за недостъпен.
-
Проверката на мрежата е активирана - Шлюзът се счита за наличен, ако:
-
UserGate може да получи своя MAC адрес чрез ARP заявка.
-
Проверката за достъп до интернет през този шлюз беше успешна.
В противен случай шлюзът се счита за недостъпен.
В секцията "DNS" трябва да добавите DNS сървърите, които ще използва UserGate. Тази настройка е зададена в областта System DNS сървъри. По-долу са настройките за управление на DNS заявки от потребители. UserGate ви позволява да използвате DNS проксита. DNS прокси услугата ви позволява да прихващате DNS заявки от потребители и да ги променяте в зависимост от нуждите на администратора. Използвайки правилата за DNS прокси, можете да посочите DNS сървърите, към които да се препращат заявки за конкретни домейни. Освен това, като използвате DNS прокси, можете да задавате статични записи от типа хост (A-запис).
В секцията "NAT и маршрутизиране" трябва да създадете необходимите NAT правила. За достъп до интернет за потребителите на доверената мрежа правилото NAT вече е създадено - „Надежден-> Ненадежден“, остава само да го активирате. Правилата се прилагат отгоре надолу в реда, в който се показват в конзолата. Винаги се изпълнява само първото правило, за което отговарят условията, посочени в правилото. За да бъде задействано правилото, всички условия, посочени в параметрите на правилото, трябва да съвпадат. UserGate препоръчва създаване на общи правила за NAT, например правило за NAT от локалната мрежа (обикновено доверената зона) към интернет (обикновено ненадеждната зона) и ограничаване на достъпа от потребители, услуги, приложения с помощта на правилата на защитната стена.
Също така е възможно да се създадат DNAT правила, пренасочване на портове, базирано на правила маршрутизиране, мрежово картографиране.
След това в секцията "Защитна стена" трябва да създадете правила за защитна стена. За неограничен достъп до интернет за потребителите на доверената мрежа също вече е създадено правило за защитна стена - „Интернет за доверени“ и трябва да бъде активирано. Използвайки правилата на защитната стена, администраторът може да разреши или забрани всеки тип транзитен мрежов трафик, преминаващ през UserGate. Условията на правилата могат да бъдат зони и IP адреси на източник/дестинация, потребители и групи, услуги и приложения. Правилата се прилагат по същия начин, както в раздела "NAT и маршрутизиране", т.е. отгоре надолу. Ако не са създадени правила, тогава всеки транзитен трафик през UserGate е забранен.
4. заключение
Тази статия приключи. Инсталирахме защитната стена на UserGate на виртуалната машина и направихме минимално необходимите настройки, за да може интернет да работи в доверената мрежа. Допълнителна конфигурация ще бъде разгледана в следващите статии.
Очаквайте актуализации в нашите канали (, , , )!
Източник: www.habr.com