Pozdrav, ovo je drugi članak o NGFW rješenju kompanije . Svrha ovog članka je da pokaže kako instalirati UserGate firewall na virtuelni sistem (koristiću VMware Workstation softver za virtuelizaciju) i izvršiti njegovu početnu konfiguraciju (omogućiti pristup sa lokalne mreže preko UserGate gateway-a na Internet).
1. Uvod
Za početak ću opisati različite načine implementacije ovog gatewaya u mrežu. Želio bih napomenuti da, ovisno o odabranoj opciji povezivanja, određene funkcionalnosti gateway-a možda neće biti dostupne. UserGate rješenje podržava sljedeće načine povezivanja:
-
L3-L7 zaštitni zid
-
L2 transparentni most
-
L3 transparentni most
-
Praktično u jaz, koristeći WCCP protokol
-
Praktično u jazu, koristeći usmjeravanje zasnovano na politikama
-
Ruter na štapiću
-
Eksplicitno naveden WEB proxy
-
UserGate kao podrazumevani gateway
-
Nadgledanje porta ogledala
UserGate podržava 2 vrste klastera:
-
Konfiguracija klastera. Čvorovi kombinirani u konfiguracijski klaster održavaju dosljedne postavke u cijelom klasteru.
-
Failover klaster. Do 4 konfiguracijska čvora klastera mogu se kombinirati u klaster za nadilaženje greške koji podržava rad u aktivno-aktivnom ili aktivno-pasivnom načinu rada. Moguće je sastaviti nekoliko klastera za preklapanje greške.
2. Instalacija
Kao što je pomenuto u prethodnom članku, UserGate se isporučuje kao hardverski i softverski paket ili se primenjuje u virtuelnom okruženju. Sa vašeg ličnog naloga na web stranici preuzmite sliku u OVF (Open Virtualization Format), ovaj format je pogodan za VMWare i Oracle Virtualbox dobavljače. Slike diska virtuelne mašine se isporučuju za Microsoft Hyper-v i KVM.
Prema web stranici UserGate, za ispravan rad virtualne mašine preporučuje se korištenje najmanje 8 Gb RAM-a i 2-jezgreni virtualni procesor. Hipervizor mora podržavati 64-bitne operativne sisteme.
Instalacija počinje uvozom slike u odabrani hipervizor (VirtualBox i VMWare). U slučaju Microsoft Hyper-v i KVM, potrebno je da kreirate virtuelnu mašinu i navedete preuzetu sliku kao disk, a zatim onemogućite usluge integracije u postavkama kreirane virtuelne mašine.
Podrazumevano, nakon uvoza u VMWare, kreira se virtuelna mašina sa sledećim postavkama:
Kao što je gore napisano, mora postojati najmanje 8Gb RAM-a i dodatno je potrebno dodati 1Gb na svakih 100 korisnika. Zadana veličina tvrdog diska je 100Gb, ali to obično nije dovoljno za pohranjivanje svih dnevnika i postavki. Preporučena veličina je 300Gb ili više. Stoga u svojstvima virtualne mašine mijenjamo veličinu diska na željenu. U početku, virtuelni UserGate UTM dolazi sa četiri interfejsa dodeljena zonama:
Upravljanje - prvi interfejs virtuelne mašine, zona za povezivanje pouzdanih mreža sa kojih je dozvoljeno upravljanje UserGate-om.
Trusted je drugi interfejs virtuelne mašine, zona za povezivanje pouzdanih mreža, na primer, LAN mreža.
Nepouzdano je treće sučelje virtuelne mašine, zona za interfejse povezane na nepouzdane mreže, na primer, na Internet.
DMZ je četvrti interfejs virtuelne mašine, zona za interfejse povezane na DMZ mrežu.
Zatim pokrećemo virtuelnu mašinu, iako u priručniku piše da treba da izaberete alate za podršku i izvršite resetovanje UTM na fabrička podešavanja, ali kao što vidite, postoji samo jedan izbor (UTM prvo pokretanje). Tokom ovog koraka, UTM konfiguriše mrežne adaptere i povećava veličinu particije čvrstog diska na punu veličinu diska:
Da biste se povezali na UserGate web sučelje, morate se prijaviti preko zone upravljanja; ovo je odgovornost eth0 interfejsa, koji je konfigurisan da automatski dobije IP adresu (DHCP). Ako nije moguće dodijeliti adresu sučelju za upravljanje automatski pomoću DHCP-a, tada se može eksplicitno postaviti pomoću CLI-a (Sučelje komandne linije). Da biste to uradili, potrebno je da se prijavite na CLI koristeći korisničko ime i lozinku sa punim administratorskim pravima (Admin sa velikim slovom podrazumevano). Ako UserGate uređaj nije prošao početnu inicijalizaciju, tada za pristup CLI morate koristiti Admin kao korisničko ime i utm kao lozinku. I upišite naredbu kao što je iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Kasnije idemo na UserGate web konzolu na navedenu adresu, trebalo bi izgledati otprilike ovako:https://UserGateIPaddress:8001:
U web konzoli nastavljamo instalaciju, potrebno je odabrati jezik interfejsa (trenutno je to ruski ili engleski), vremensku zonu, zatim pročitati i prihvatiti ugovor o licenci. Postavite prijavu i lozinku za prijavu na sučelje za web upravljanje.
3. Podešavanje
Nakon instalacije, ovako izgleda prozor web interfejsa za upravljanje platformom:
Zatim morate konfigurirati mrežna sučelja. Da biste to učinili, u odjeljku "Interfejsi" morate ih omogućiti, postaviti ispravne IP adrese i dodijeliti odgovarajuće zone.
Odeljak „Interfejsi“ prikazuje sva fizička i virtuelna interfejsa dostupna u sistemu, omogućava vam da promenite njihova podešavanja i dodate VLAN interfejse. Takođe prikazuje sva sučelja svakog čvora klastera. Postavke interfejsa su specifične za svaki čvor, odnosno nisu globalne.
U svojstvima interfejsa:
-
Omogućite ili onemogućite interfejs
-
Odredite tip interfejsa - Layer 3 ili Mirror
-
Dodijelite zonu interfejsu
-
Dodijelite Netflow profil za slanje statističkih podataka Netflow kolektoru
-
Promijenite fizičke parametre interfejsa - MAC adresu i MTU veličinu
-
Odaberite vrstu dodjele IP adrese - bez adrese, statička IP adresa ili dobivena putem DHCP-a
-
Konfigurišite DHCP relej na izabranom interfejsu.
Dugme “Dodaj” vam omogućava da dodate sljedeće vrste logičkih sučelja:
-
VLAN
-
Bond
-
Most
-
PPPoE
-
VPN
-
Tunel
Pored prethodno navedenih zona s kojima se slika Usergatea isporučuje, postoje još tri unaprijed definirana tipa:
Klaster - zona za interfejse koji se koriste za rad klastera
VPN za Site-to-Site - zona u kojoj su smješteni svi Office-Office klijenti povezani na UserGate preko VPN-a
VPN za daljinski pristup - zona koja uključuje sve mobilne korisnike povezane na UserGate preko VPN-a
Administratori UserGate-a mogu promijeniti postavke zadanih zona i kreirati dodatne zone, ali kao što je navedeno u priručniku verzije 5, može se kreirati maksimalno 15 zona. Da biste ih promijenili ili kreirali, morate otići u odjeljak zona. Za svaku zonu možete postaviti prag pada paketa; SYN, UDP, ICMP su podržani. Kontrola pristupa Usergate servisima je takođe konfigurisana, a zaštita od lažiranja je omogućena.
Nakon konfigurisanja interfejsa, potrebno je da konfigurišete podrazumevanu rutu u odeljku „Gateways“. One. Da biste povezali UserGate na Internet, morate navesti IP adresu jednog ili više gatewaya. Ako koristite nekoliko provajdera za povezivanje na Internet, morate navesti nekoliko mrežnih prolaza. Konfiguracija gatewaya je jedinstvena za svaki čvor klastera. Ako su navedena dva ili više gatewaya, moguće su 2 opcije:
-
Balansiranje saobraćaja između gateway-a.
-
Glavni gateway sa prelaskom na rezervni.
Status pristupnika (dostupan - zeleno, nedostupan - crven) određuje se na sljedeći način:
-
Provjera mreže je onemogućena – pristupni prolaz se smatra pristupačnim ako UserGate može dobiti svoju MAC adresu koristeći ARP zahtjev. Ne postoji provjera pristupa Internetu preko ovog gatewaya. Ako se MAC adresa gatewaya ne može odrediti, gateway se smatra nedostupnim.
-
Provjera mreže je omogućena - pristupnik se smatra pristupačnim ako:
-
UserGate može dobiti svoju MAC adresu koristeći ARP zahtjev.
-
Provjera pristupa Internetu preko ovog gatewaya je uspješno završena.
U suprotnom, pristupnik se smatra nedostupnim.
U odeljku „DNS“ potrebno je da dodate DNS servere koje će UserGate koristiti. Ova postavka je navedena u oblasti Sistemski DNS serveri. Ispod su postavke za upravljanje DNS zahtjevima korisnika. UserGate vam omogućava da koristite DNS proxy. DNS proxy usluga vam omogućava da presretate DNS zahtjeve korisnika i mijenjate ih ovisno o potrebama administratora. DNS proxy pravila mogu se koristiti za određivanje DNS servera na koje se prosljeđuju zahtjevi za određene domene. Osim toga, koristeći DNS proxy, možete postaviti statičke zapise tipa hosta (A zapis).
U odjeljku “NAT i rutiranje” trebate kreirati potrebna NAT pravila. Za pristup Internetu od strane korisnika Trusted mreže, NAT pravilo je već kreirano - „Pouzdano->Nepouzdano“, ostaje samo da ga omogućite. Pravila se primjenjuju odozgo prema dolje redoslijedom kojim su navedena u konzoli. Uvijek se izvršava samo prvo pravilo za koje se uvjeti navedeni u pravilu podudaraju. Da bi se pravilo pokrenulo, svi uvjeti navedeni u parametrima pravila moraju se podudarati. UserGate preporučuje kreiranje općih NAT pravila, na primjer, NAT pravila iz lokalne mreže (obično pouzdana zona) na Internet (obično nepouzdana zona) i ograničavanje pristupa korisnicima, uslugama i aplikacijama pomoću pravila zaštitnog zida.
Također je moguće kreirati DNAT pravila, prosljeđivanje portova, rutiranje zasnovano na politikama, mapiranje mreže.
Nakon toga, u odjeljku “Firewall” trebate kreirati pravila zaštitnog zida. Za neograničen pristup Internetu za korisnike pouzdane mreže, pravilo firewall-a je također već kreirano - “Internet za pouzdane” i mora biti omogućeno. Koristeći pravila zaštitnog zida, administrator može dozvoliti ili odbiti bilo koju vrstu tranzitnog mrežnog saobraćaja koji prolazi kroz UserGate. Uslovi pravila mogu uključivati zone i izvorne/odredišne IP adrese, korisnike i grupe, usluge i aplikacije. Pravila se primjenjuju na isti način kao u odjeljku „NAT i rutiranje“, tj. odozgo prema dolje. Ako pravila nisu kreirana, tada je zabranjen bilo kakav tranzitni saobraćaj kroz UserGate.
4. Zaključak
Ovim je članak završen. Instalirali smo UserGate firewall na virtuelnu mašinu i napravili minimalne neophodne postavke da bi Internet radio na pouzdanoj mreži. Dalju konfiguraciju ćemo razmotriti u sljedećim člancima.
Pratite novosti na našim kanalima (, , , )!
izvor: www.habr.com