Kumusta, kini ang ikaduhang artikulo bahin sa solusyon sa NGFW gikan sa kompanya . Ang katuyoan sa kini nga artikulo mao ang pagpakita kung giunsa ang pag-install sa UserGate firewall sa usa ka virtual nga sistema (gamiton nako ang software sa virtualization sa VMware Workstation) ug himuon ang una nga pag-configure niini (tugoti ang pag-access gikan sa lokal nga network pinaagi sa gateway sa UserGate sa Internet).
1. Pasiuna
Sa pagsugod, akong ihulagway ang lain-laing mga paagi sa pagpatuman niini nga ganghaan ngadto sa network. Gusto nakong timan-an nga depende sa pinili nga opsyon sa koneksyon, ang pipila ka gamit sa gateway mahimong dili magamit. Ang solusyon sa UserGate nagsuporta sa mosunod nga mga mode sa koneksyon:
-
L3-L7 nga firewall
-
L2 transparent nga tulay
-
L3 transparent nga tulay
-
Halos sa gintang, gamit ang WCCP protocol
-
Halos sa gintang, gamit ang Policy Based Routing
-
Router sa usa ka Stick
-
Tin-aw nga gipiho nga WEB proxy
-
UserGate isip default gateway
-
Pag-monitor sa pantalan sa salamin
Gisuportahan sa UserGate ang 2 nga klase sa mga cluster:
-
Pag-configure sa cluster. Ang mga node nga gihiusa ngadto sa usa ka configuration cluster nagmintinar sa makanunayon nga mga setting sa tibuok cluster.
-
Failover cluster. Hangtud sa 4 nga configuration cluster nodes mahimong i-kombinar ngadto sa failover cluster nga nagsuporta sa operasyon sa Active-Active o Active-Passive mode. Posible nga mag-assemble og daghang failover clusters.
2. Pag-instalar
Sama sa nahisgutan sa miaging artikulo, ang UserGate gihatag ingon usa ka pakete sa hardware ug software o gi-deploy sa usa ka virtual nga palibot. Gikan sa imong personal nga account sa website i-download ang imahe sa OVF (Open Virtualization Format), kini nga format angay alang sa mga vendor sa VMWare ug Oracle Virtualbox. Ang mga imahe sa disk sa virtual nga makina gihatag alang sa Microsoft Hyper-v ug KVM.
Sumala sa website sa UserGate, alang sa virtual nga makina nga molihok sa husto, girekomenda nga mogamit labing menos 8Gb nga RAM ug usa ka 2-core virtual processor. Kinahanglan nga suportahan sa hypervisor ang 64-bit nga mga operating system.
Nagsugod ang pag-instalar pinaagi sa pag-import sa imahe sa gipili nga hypervisor (VirtualBox ug VMWare). Sa kaso sa Microsoft Hyper-v ug KVM, kinahanglan nimo nga maghimo usa ka virtual nga makina ug ipiho ang na-download nga imahe ingon ang disk, ug dayon i-disable ang mga serbisyo sa panagsama sa mga setting sa gibuhat nga virtual machine.
Sa kasagaran, human sa pag-import sa VMWare, usa ka virtual nga makina ang gihimo uban sa mosunod nga mga setting:
Sama sa gisulat sa ibabaw, kinahanglan adunay labing menos 8Gb sa RAM ug dugang pa kinahanglan nimo nga idugang ang 1Gb alang sa matag 100 nga tiggamit. Ang default nga gidak-on sa hard drive mao ang 100Gb, apan kini kasagaran dili igo aron tipigan ang tanan nga mga troso ug mga setting. Ang girekomendar nga gidak-on mao ang 300Gb o labaw pa. Busa, sa mga kabtangan sa virtual machine, atong usbon ang gidak-on sa disk sa gusto. Sa sinugdan, ang virtual UserGate UTM adunay upat ka mga interface nga gi-assign sa mga zone:
Pagdumala - ang una nga interface sa virtual machine, usa ka sona alang sa pagkonektar sa kasaligan nga mga network diin gitugotan ang pagdumala sa UserGate.
Ang gisaligan mao ang ikaduhang interface sa virtual machine, usa ka sona alang sa pagkonektar sa kasaligan nga mga network, pananglitan, mga LAN network.
Ang dili kasaligan mao ang ikatulo nga interface sa virtual machine, usa ka zone alang sa mga interface nga konektado sa dili kasaligan nga mga network, pananglitan, sa Internet.
Ang DMZ mao ang ikaupat nga interface sa virtual machine, usa ka zone alang sa mga interface nga konektado sa DMZ network.
Sunod, gilansad namon ang virtual machine, bisan kung giingon sa manwal nga kinahanglan nimo nga pilion ang Mga Tool sa Suporta ug ipahigayon ang Factory reset UTM, apan ingon sa imong makita, adunay usa ra nga kapilian (UTM First Boot). Niini nga lakang, gi-configure sa UTM ang mga adapter sa network ug gipadako ang gidak-on sa partisyon sa hard drive sa tibuuk nga gidak-on sa disk:
Aron makonektar sa UserGate web interface, kinahanglan ka nga mag-log in pinaagi sa Management zone; kini ang responsibilidad sa eth0 interface, nga gi-configure aron makakuha og IP address nga awtomatiko (DHCP). Kung dili posible nga mag-assign ug adres alang sa interface sa Management nga awtomatiko gamit ang DHCP, nan kini mahimong klaro nga itakda gamit ang CLI (Command Line Interface). Aron mahimo kini, kinahanglan ka nga mag log in sa CLI gamit ang username ug password nga adunay Tibuok nga mga katungod sa tagdumala (Admin nga adunay usa ka Capital nga letra nga default). Kung ang aparato sa UserGate wala pa nakaagi sa inisyal nga pagsugod, unya aron ma-access ang CLI kinahanglan nimo gamiton ang Admin ingon nga username ug utm ingon ang password. Ug pag-type og command sama sa iface config βname eth0 βipv4 192.168.1.254/24 βenable true βmode static. Sa ulahi moadto kami sa UserGate web console sa gitakda nga adres, kini kinahanglan nga tan-awon sama niini:https://UserGateIPaddress:8001:
Sa web console gipadayon namon ang pag-install, kinahanglan namon nga pilion ang interface nga sinultian (sa karon nga Russian o English), time zone, dayon basaha ug mouyon sa kasabutan sa lisensya. Ibutang ang login ug password aron maka-log in sa web management interface.
3. Pag-setup
Pagkahuman sa pag-instalar, mao kini ang hitsura sa window sa pagdumala sa platform sa web interface:
Unya kinahanglan nimo nga i-configure ang mga interface sa network. Aron mahimo kini, sa seksyon nga "Mga Interface" kinahanglan nimo nga palihokon sila, itakda ang husto nga mga adres sa IP ug itudlo ang angay nga mga zone.
Ang seksyon nga "Mga Interface" nagpakita sa tanan nga pisikal ug virtual nga mga interface nga magamit sa sistema, nagtugot kanimo sa pag-usab sa ilang mga setting ug pagdugang mga interface sa VLAN. Gipakita usab niini ang tanan nga mga interface sa matag cluster node. Ang mga setting sa interface espesipiko sa matag node, sa ato pa, dili sila global.
Sa mga kabtangan sa interface:
-
I-enable o i-disable ang interface
-
Tinoa ang tipo sa interface - Layer 3 o Mirror
-
I-assign ang usa ka zone sa usa ka interface
-
Pag-assign ug Netflow profile aron ipadala ang istatistikal nga datos sa Netflow collector
-
Usba ang pisikal nga mga parameter sa interface - MAC address ug gidak-on sa MTU
-
Pilia ang tipo sa assignment sa IP address - walay adres, static IP address o nakuha pinaagi sa DHCP
-
I-configure ang DHCP relay sa pinili nga interface.
Ang "Add" button nagtugot kanimo sa pagdugang sa mosunod nga mga matang sa lohikal nga mga interface:
-
Mga VLAN
-
Bond
-
Bridge
-
PPPoE
-
VPN
-
Tunnel
Gawas pa sa nalista na nga mga sona nga gipadala sa imahe sa Usergate, adunay tulo pa nga gitakda nang daan nga mga tipo:
Cluster - zone alang sa mga interface nga gigamit alang sa operasyon sa cluster
VPN alang sa Site-to-Site - usa ka sona diin ang tanang kliyente sa Opisina-Opisina nga konektado sa UserGate pinaagi sa VPN gibutang
VPN alang sa hilit nga pag-access - usa ka sona nga naglakip sa tanan nga mga tiggamit sa mobile nga konektado sa UserGate pinaagi sa VPN
Ang mga tagdumala sa UserGate mahimong magbag-o sa mga setting sa default nga mga sona ug maghimo usab og dugang nga mga sona, apan ingon sa gipahayag sa bersyon 5 nga manwal, usa ka labing taas nga 15 nga mga sona ang mahimo. Aron mabag-o o mahimo kini, kinahanglan nimo nga moadto sa seksyon sa zone. Alang sa matag zone, mahimo nimong itakda ang usa ka packet drop threshold; SYN, UDP, ICMP gisuportahan. Ang kontrol sa pag-access sa mga serbisyo sa Usergate gi-configure usab, ug gipaandar ang proteksyon batok sa pagpanglimbong.
Human ma-configure ang mga interface, kinahanglan nimo nga i-configure ang default nga ruta sa seksyon nga "Gateways". Mga. Aron makonektar ang UserGate sa Internet, kinahanglan nimong ipiho ang IP address sa usa o daghang mga ganghaan. Kung mogamit ka daghang mga provider aron makonektar sa Internet, kinahanglan nimo nga ipiho ang daghang mga ganghaan. Ang configuration sa gateway talagsaon alang sa matag cluster node. Kung duha o daghan pa nga mga ganghaan ang gitakda, posible ang 2 nga kapilian:
-
Pagbalanse sa trapiko tali sa mga ganghaan.
-
Ang nag-unang ganghaan nga adunay pagbalhin sa usa ka ekstra.
Ang status sa ganghaan (anaa - berde, dili magamit - pula) gitino ingon sa mosunod:
-
Ang pagsusi sa network gi-disable - ang usa ka ganghaan giisip nga ma-access kung ang UserGate makakuha sa MAC address niini gamit ang usa ka hangyo sa ARP. Walay tseke alang sa pag-access sa Internet pinaagi niini nga ganghaan. Kung ang MAC address sa gateway dili matino, ang gateway giisip nga dili maabot.
-
Gipaandar ang pagsusi sa network - ang ganghaan gikonsiderar nga ma-access kung:
-
Makakuha ang UserGate sa MAC address niini gamit ang hangyo sa ARP.
-
Ang pagsusi alang sa pag-access sa Internet pinaagi niini nga ganghaan malampuson nga nahuman.
Kung dili, ang ganghaan giisip nga dili magamit.
Sa seksyon nga "DNS" kinahanglan nimo nga idugang ang mga DNS server nga gamiton sa UserGate. Kini nga setting gitakda sa System DNS Servers area. Sa ubos mao ang mga setting alang sa pagdumala sa mga hangyo sa DNS gikan sa mga tiggamit. Gitugotan ka sa UserGate nga mogamit usa ka proxy sa DNS. Ang DNS proxy nga serbisyo nagtugot kanimo sa pag-intercept sa mga hangyo sa DNS gikan sa mga tiggamit ug pag-usab niini depende sa mga panginahanglan sa tagdumala. Ang mga lagda sa DNS proxy mahimong magamit aron matino ang mga DNS server diin ang mga hangyo alang sa piho nga mga dominyo gipasa. Dugang pa, gamit ang DNS proxy, mahimo nimong itakda ang mga static nga rekord sa host type (A record).
Sa seksyon nga "NAT ug Routing" kinahanglan nimo nga maghimo sa gikinahanglan nga mga lagda sa NAT. Alang sa pag-access sa Internet sa mga tiggamit sa Trusted network, ang NAT nga lagda nahimo na - "Trusted-> Untrusted", ang nahabilin mao ang pagpagana niini. Ang mga lagda gipadapat gikan sa taas hangtod sa ubos sa pagkasunud nga gilista sa console. Ang una lang nga lagda kung diin ang mga kondisyon nga gitakda sa pagpares sa lagda kanunay nga gipatuman. Aron ma-trigger ang lagda, ang tanang kondisyon nga gipiho sa mga parameter sa lagda kinahanglang motakdo. Girekomenda sa UserGate ang paghimo sa kinatibuk-ang mga lagda sa NAT, pananglitan, usa ka lagda sa NAT gikan sa usa ka lokal nga network (kasagaran usa ka Trusted zone) ngadto sa Internet (kasagaran usa ka Untrusted zone), ug gipugngan ang pag-access sa mga tiggamit, serbisyo, ug mga aplikasyon gamit ang mga lagda sa firewall.
Posible usab ang paghimo sa mga lagda sa DNAT, pagpasa sa pantalan, pag-ruta nga nakabase sa palisiya, pag-map sa network.
Pagkahuman niini, sa seksyon nga "Firewall" kinahanglan nimo nga maghimo mga lagda sa firewall. Alang sa walay kinutuban nga pag-access sa Internet alang sa mga tiggamit sa Trusted network, usa ka lagda sa firewall nahimo na usab - "Internet for Trusted" ug kinahanglan nga magamit. Gamit ang mga lagda sa firewall, ang tagdumala makatugot o makalimud sa bisan unsang matang sa trapiko sa transit network nga moagi sa UserGate. Ang mga kondisyon sa lagda mahimong maglakip sa mga sona ug gigikanan/destinasyon nga mga IP address, tiggamit ug grupo, serbisyo ug aplikasyon. Ang mga lagda magamit sa parehas nga paagi sama sa seksyon nga "NAT ug Routing", i.e. ibabaw sa ubos. Kung walay mga lagda nga gihimo, nan ang bisan unsang transit nga trapiko pinaagi sa UserGate gidili.
4. Panapos
Kini nagtapos sa artikulo. Among gi-install ang UserGate firewall sa usa ka virtual machine ug gihimo ang minimum nga gikinahanglang mga setting aron ang Internet makagana sa Trusted network. Atong hisgotan ang dugang nga pag-configure sa sunod nga mga artikulo.
Pagbantay alang sa mga update sa among mga channel (, , , )!
Source: www.habr.com