Hola, aquest és el segon article sobre la solució NGFW de l'empresa . L'objectiu d'aquest article és mostrar com instal·lar el tallafoc UserGate en un sistema virtual (utilitzaré el programari de virtualització VMware Workstation) i realitzar la seva configuració inicial (permetre l'accés des de la xarxa local a través de la passarel·la UserGate a Internet).
1. Introducció
Per començar, descriuré les diferents maneres d'introduir aquesta passarel·la a la xarxa. M'agradaria assenyalar que, depenent de l'opció de connexió seleccionada, és possible que algunes funcionalitats de la passarel·la no estiguin disponibles. La solució UserGate admet els modes de connexió següents:
-
L3-L7 tallafoc
-
L2 pont transparent
-
L3 pont transparent
-
Pràcticament en línia, utilitzant el protocol WCCP
-
Pràcticament al buit, utilitzant l'encaminament basat en polítiques
-
Encaminador en un pal
-
Definiu explícitament el proxy WEB
-
UserGate com a passarel·la predeterminada
-
Monitorització del port mirall
UserGate admet 2 tipus de clústers:
-
clúster de configuració. Els nodes que s'agrupen en un clúster de configuració mantenen una configuració uniforme a tot el clúster.
-
Clúster de failover. Es poden combinar fins a 4 nodes del clúster de configuració en un clúster de failover que admeti el funcionament en mode actiu-actiu o actiu-passiu. És possible crear diversos clústers de failover.
2. Instal·lació
Com s'ha esmentat a l'article anterior, UserGate es lliura com un complex de maquinari i programari o es desplega en un entorn virtual. Des del vostre compte personal al lloc descarregueu la imatge en format OVF (Open Virtualization Format), aquest format és adequat per als venedors de VMWare i Oracle Virtualbox. Per a Microsoft Hyper-v i KVM, es proporcionen imatges de disc de màquines virtuals.
Segons el web UserGate, per al correcte funcionament de la màquina virtual, es recomana utilitzar almenys 8 Gb de RAM i un processador virtual de 2 nuclis. L'hipervisor ha de suportar sistemes operatius de 64 bits.
La instal·lació comença important la imatge a l'hipervisor seleccionat (VirtualBox i VMWare). En el cas de Microsoft Hyper-v i KVM, heu de crear una màquina virtual i especificar la imatge baixada com a disc i, a continuació, desactivar els serveis d'integració a la configuració de la màquina virtual creada.
Per defecte, després d'importar a VMWare, es crea una màquina virtual amb la configuració següent:
Com s'ha escrit més amunt, la memòria RAM hauria de ser com a mínim de 8 Gb i, a més, cal afegir 1 Gb per cada 100 usuaris. La mida predeterminada del disc dur és de 100 Gb, però normalment no és suficient per emmagatzemar tots els registres i la configuració. La mida recomanada és de 300 Gb o més. Per tant, a les propietats de la màquina virtual, canvieu la mida del disc a la desitjada. Inicialment, el UserGate UTM virtual ve amb quatre interfícies assignades a zones:
Gestió: la primera interfície de la màquina virtual, una zona per connectar xarxes de confiança des de la qual es permet la gestió de UserGate.
De confiança: la segona interfície de la màquina virtual, una zona per connectar xarxes de confiança, per exemple, xarxes LAN.
No fiable: la tercera interfície de la màquina virtual, una zona per a interfícies connectades a xarxes no fiables, com ara Internet.
DMZ: la quarta interfície de la màquina virtual, una zona per a interfícies connectades a la xarxa DMZ.
A continuació, iniciem la màquina virtual, tot i que el manual diu que cal seleccionar Eines de suport i realitzar un restabliment de fàbrica UTM, però com podeu veure, només hi ha una opció (UTM First Boot). Durant aquest pas, UTM configura els adaptadors de xarxa i fa créixer la partició del disc dur fins a la mida completa de la unitat:
Per connectar-se a la interfície web UserGate, cal passar per la zona de gestió, d'això s'encarrega la interfície eth0, que està configurada per rebre una adreça IP en mode automàtic (DHCP). Si no és possible assignar una adreça per a la interfície de gestió automàticament mitjançant DHCP, es pot configurar explícitament mitjançant la CLI (Interfície de línia de comandaments). Per fer-ho, heu d'iniciar sessió a la CLI amb el nom d'usuari i la contrasenya amb drets d'administrador complets (per defecte, Administrador amb majúscula). Si el dispositiu UserGate no ha superat la inicialització inicial, per accedir a la CLI, heu d'utilitzar Admin com a nom d'usuari i utm com a contrasenya. I escriviu una ordre com iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Més tard anem a la consola web UserGate a l'adreça especificada, hauria de semblar a això:https://UserGateIPaddress:8001:
A la consola web, continuem la instal·lació, hem de seleccionar l'idioma de la interfície (actualment és rus o anglès), la zona horària, després llegim i acceptem l'acord de llicència. Establiu l'inici de sessió i la contrasenya per entrar a la interfície de gestió web.
3. Configuració
Després de la instal·lació, la finestra de la interfície web de gestió de la plataforma té aquest aspecte:
Aleshores, heu de configurar les interfícies de xarxa. Per fer-ho, a la secció "Interfícies", cal que les habiliteu, establiu les adreces IP correctes i assigneu les zones adequades.
La secció "Interfícies" mostra totes les interfícies físiques i virtuals disponibles al sistema, us permet canviar-ne la configuració i afegir interfícies VLAN. També mostra totes les interfícies de cada node del clúster. Els paràmetres de la interfície són específics de cadascun dels nodes, és a dir, no són globals.
A les propietats de la interfície:
-
Activa o desactiva la interfície
-
Especifiqueu el tipus d'interfície: capa 3 o mirall
-
Assigna una zona a una interfície
-
Assigna un perfil de Netflow per enviar dades estadístiques al col·lector de Netflow
-
Canvieu els paràmetres físics de la interfície: adreça MAC i mida MTU
-
Seleccioneu el tipus d'assignació d'adreça IP: sense adreça, adreça IP estàtica o obtinguda mitjançant DHCP
-
Configureu el funcionament del relé DHCP a la interfície seleccionada.
El botó Afegeix us permet afegir els següents tipus d'interfícies lògiques:
-
VLAN
-
llaç
-
Pont
-
PPPoE
-
VPN
-
Túnel
A més de les zones enumerades anteriorment que inclou la imatge Usergate, hi ha tres tipus més de predefinides:
Clúster - zona per a les interfícies utilitzades per al funcionament del clúster
VPN per a lloc a lloc: zona en què es col·loquen tots els clients d'oficina a oficina connectats a UserGate mitjançant VPN
VPN per a accés remot: zona en què es col·loquen tots els usuaris mòbils connectats a UserGate mitjançant VPN
Els administradors de UserGate poden canviar la configuració de les zones creades per defecte, així com crear zones addicionals, però tal com s'indica al manual de la versió 5, no podeu crear més de 15 zones. Per editar-los o crear-los, aneu a la secció de zones. Per a cada zona, podeu establir el llindar per deixar paquets, SYN, UDP i ICMP són compatibles. El control d'accés als serveis Usergate també està configurat i la protecció contra la falsificació està habilitada.
Després de configurar les interfícies, heu de configurar la ruta per defecte a la secció "Passerelles". Aquells. per connectar UserGate a Internet, heu d'especificar l'adreça IP d'una o més passarel·les. Si s'utilitzen diversos proveïdors per connectar-se a Internet, s'han d'especificar diverses passarel·les. La configuració de la passarel·la és única per a cadascun dels nodes del clúster. Si s'especifiquen dues o més passarel·les, hi ha dues opcions per treballar:
-
Equilibrar el trànsit entre passarel·les.
-
La passarel·la principal amb el canvi a un recanvi.
L'estat de la passarel·la (disponible - verd, no disponible - vermell) es defineix de la següent manera:
-
Comprovació de xarxa desactivada: una passarel·la es considera disponible si UserGate pot obtenir la seva adreça MAC mitjançant una sol·licitud ARP. L'accés a Internet a través d'aquesta passarel·la no està comprovat. Si no es pot determinar l'adreça MAC de la passarel·la, la passarel·la es considera inaccessible.
-
Comprovació de xarxa activada: la passarel·la es considera disponible si:
-
UserGate pot obtenir la seva adreça MAC mitjançant una sol·licitud ARP.
-
S'ha verificat l'accés a Internet mitjançant aquesta passarel·la.
En cas contrari, la passarel·la es considera inaccessible.
A la secció "DNS", heu d'afegir els servidors DNS que utilitzarà UserGate. Aquesta configuració s'especifica a l'àrea Servidors DNS del sistema. A continuació es mostra la configuració per gestionar les consultes DNS dels usuaris. UserGate us permet utilitzar servidors intermediaris DNS. El servei de proxy DNS us permet interceptar les sol·licituds de DNS dels usuaris i modificar-les en funció de les necessitats de l'administrador. Mitjançant les regles de proxy DNS, podeu especificar els servidors DNS als quals s'envien les consultes per a dominis específics. A més, amb un servidor intermediari DNS, podeu establir registres estàtics del tipus d'amfitrió (registre A).
A la secció "NAT i enrutament", heu de crear les regles NAT necessàries. Per accedir a Internet per als usuaris de la xarxa de confiança, ja s'ha creat la regla NAT: "De confiança-> No fiable", només queda habilitar-la. Les regles s'apliquen de dalt a baix en l'ordre en què apareixen a la consola. Només s'executa sempre la primera regla, per a la qual coincideixen les condicions especificades a la regla. Perquè la regla s'activi, han de coincidir totes les condicions especificades als paràmetres de la regla. UserGate recomana crear regles NAT generals, per exemple, una regla NAT des de la xarxa local (normalment la zona de confiança) a Internet (normalment la zona no fiable) i restringir l'accés d'usuaris, serveis i aplicacions que utilitzen regles de tallafoc.
També és possible crear regles DNAT, reenviament de ports, encaminament basat en polítiques, mapes de xarxa.
Després d'això, a la secció "Talafocs", heu de crear regles de tallafoc. Per a l'accés il·limitat a Internet per als usuaris de la xarxa de confiança, també s'ha creat una regla de tallafocs: "Internet de confiança" i s'ha d'activar. Mitjançant les regles del tallafoc, l'administrador pot permetre o denegar qualsevol tipus de trànsit de xarxa de trànsit que passi per UserGate. Les condicions de la regla poden ser zones i adreces IP d'origen/destinació, usuaris i grups, serveis i aplicacions. Les regles s'apliquen de la mateixa manera que a l'apartat "NAT i encaminament", és a dir. De dalt a baix. Si no es creen regles, està prohibit qualsevol trànsit de trànsit a través de UserGate.
4. Conclusió
Aquest article ha arribat al final. Hem instal·lat el tallafoc UserGate a la màquina virtual i hem fet la configuració mínima necessària perquè Internet funcioni a la xarxa de confiança. Es tindrà en compte una configuració addicional als articles següents.
Estigueu atents a les novetats als nostres canals (, , , )!
Font: www.habr.com