ProHoster > Blog > Amministrazione > 2. UserGate Getting Started. Requisiti, stallazione

2. UserGate Getting Started. Requisiti, stallazione

2. UserGate Getting Started. Requisiti, stallazione

Hola, questu hè u sicondu articulu nantu à a suluzione NGFW da a cumpagnia UserGate. U scopu di stu articulu hè di dimustrà cumu installà u firewall UserGate in un sistema virtuale (utilizà u software di virtualizazione VMware Workstation) è eseguisce a so cunfigurazione iniziale (permettenu l'accessu da a reta lucale attraversu a porta UserGate à Internet).   

1. Introduzione

Per cumincià, descriveraghju e diverse manere di implementà sta porta in a reta. Vogliu nutà chì sicondu l'opzione di cunnessione selezziunata, certe funziunalità di u gateway pò esse micca dispunibili. A suluzione UserGate supporta i seguenti modi di cunnessione: 

  • L3-L7 firewall

  • L2 ponte trasparente

  • L3 ponte trasparente

  • Praticamente in u gap, usendu u protocolu WCCP

  • Praticamente in u gap, usendu Routing Basatu in Politica

  • Router nantu à un bastone

  • Proxy WEB specificatu esplicitamente

  • UserGate cum'è gateway predeterminatu

  • Surviglianza di u portu specchiu

UserGate supporta 2 tipi di clusters:

  1. Cunfigurazione di cluster. I nodi cumminati in un cluster di cunfigurazione mantenenu paràmetri coerenti in tuttu u cluster.

  2. Cluster di failover. Finu à i nodi di cluster di cunfigurazione 4 ponu esse cumminati in un cluster di failover chì sustene l'operazione in modalità Active-Active o Active-Passive. Hè pussibule assemblà parechji clusters di failover.

2. Installazione

Cumu l'anu dettu in l'articulu precedente, UserGate hè furnitu cum'è un pacchettu di hardware è software o implementatu in un ambiente virtuale. Da u vostru contu persunale nantu à u situ web UserGate Scaricate l'imaghjini in OVF (Open Virtualization Format), stu formatu hè adattatu per i venditori di VMWare è Oracle Virtualbox. L'imaghjini di discu di a macchina virtuale sò furnite per Microsoft Hyper-v è KVM.

Sicondu u situ web UserGate, per a macchina virtuale per funziunà currettamente, hè cunsigliatu di utilizà almenu 8Gb di RAM è un processore virtuale 2-core. L'ipervisore deve supportà sistemi operativi 64-bit.

A stallazione principia per impurtà l'imaghjini in l'ipervisore sceltu (VirtualBox è VMWare). In u casu di Microsoft Hyper-v è KVM, avete bisognu di creà una macchina virtuale è specificà l'imagine scaricata cum'è u discu, è dopu disattivà i servizii d'integrazione in i paràmetri di a macchina virtuale creata.

Per automaticamente, dopu avè impurtatu in VMWare, una macchina virtuale hè creata cù e seguenti paràmetri:

2. UserGate Getting Started. Requisiti, stallazione

Cumu hè scrittu sopra, deve esse almenu 8Gb di RAM è in più avete bisognu di aghjunghje 1Gb per ogni 100 utilizatori. A dimensione predeterminata di u discu duru hè 100Gb, ma questu ùn hè micca abbastanza per almacenà tutti i logs è i paràmetri. A dimensione cunsigliata hè 300 Gb o più. Dunque, in e proprietà di a macchina virtuale, cambiamu a dimensione di u discu à u desideratu. Inizialmente, UserGate UTM virtuale vene cù quattru interfacce assignate à e zone:

Management - a prima interfaccia di a macchina virtuale, una zona per cunnette e rete di fiducia da quale a gestione UserGate hè permessa.

Trusted hè a seconda interfaccia di a macchina virtuale, una zona per cunnette rete di fiducia, per esempiu, rete LAN.

Untrusted hè a terza interfaccia di a macchina virtuale, una zona per l'interfacce cunnessi à e rete senza fiducia, per esempiu, à Internet.

DMZ hè a quarta interfaccia di a macchina virtuale, una zona per interfacce cunnessi à a reta DMZ.

In seguitu, lanciamu a macchina virtuale, ancu s'è u manuale dice chì avete bisognu di selezziunà Strumenti di supportu è eseguisce Factory reset UTM, ma cum'è pudete vede, ci hè solu una scelta (UTM First Boot). Duranti stu passu, UTM cunfigura l'adattatori di rete è aumenta a dimensione di a partizione di u discu duru à a dimensione di u discu sanu:

2. UserGate Getting Started. Requisiti, stallazione

Per cunnette à l'interfaccia web UserGate, avete bisognu di accede à traversu a zona di Gestione, l'interfaccia eth0 hè rispunsevule per questu, chì hè cunfiguratu per ottene un indirizzu IP automaticamente (DHCP). Se ùn hè micca pussibule di assignà un indirizzu per l'interfaccia di Gestione automaticamente utilizendu DHCP, allora pò esse definitu esplicitamente utilizendu a CLI (Interfaccia di Linea di Command). Per fà questu, avete bisognu di accede à a CLI cù un nome d'utilizatore è una password cù diritti di amministratore cumpletu (Admin cù una lettera maiuscola per difettu). Se u dispusitivu UserGate ùn hè micca sottumessu à l'inizializazione iniziale, per accede à a CLI, duvete aduprà Admin cum'è nome d'utilizatore è utm cum'è password. E scrive un cumandamentu cum'è iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. In seguitu andemu à a cunsola web UserGate à l'indirizzu specificatu, duverebbe vede qualcosa cusì: https://UserGateIPaddress:8001:

2. UserGate Getting Started. Requisiti, stallazione2. UserGate Getting Started. Requisiti, stallazione

In a cunsola web, cuntinuemu a stallazione, avemu bisognu di selezziunà a lingua di l'interfaccia (à u mumentu hè u russu o l'inglese), u fusu orariu, dopu leghje è accettà l'accordu di licenza. Stabilite u login è a password per accede à l'interfaccia di gestione web.

3. Setup

Dopu a stallazione, questu hè a finestra di l'interfaccia web di gestione di a piattaforma:

2. UserGate Getting Started. Requisiti, stallazione

Allora avete bisognu di cunfigurà l'interfaccia di a reta. Per fà questu, in a rùbbrica "Interfacce" avete bisognu di attivà, stabilisce l'indirizzi IP curretti è assignate e zone adatte.

A sezione "Interfacce" mostra tutte l'interfacce fisiche è virtuali dispunibili in u sistema, permette di cambià i so paràmetri è aghjunghje interfacce VLAN. Mostra ancu tutte l'interfaccia di ogni node di cluster. I paràmetri di l'interfaccia sò specifichi per ogni node, vale à dì, ùn sò micca globale.

In proprietà di l'interfaccia:

  • Attivà o disattivà l'interfaccia 

  • Specificate u tipu d'interfaccia - Layer 3 o Mirror

  • Assignà una zona à una interfaccia

  • Assignà un prufilu Netflow per mandà dati statistici à u cullettore Netflow

  • Cambia i paràmetri fisichi di l'interfaccia - indirizzu MAC è taglia MTU

  • Selezziunate u tipu d'assignazione di l'indirizzu IP - senza indirizzu, indirizzu IP staticu o ottenutu via DHCP

  • Configurate u relay DHCP nantu à l'interfaccia scelta.

U buttone "Add" permette di aghjunghje i seguenti tipi di interfacce logiche:

  • VLAN

  • Bond

  • Ponte

  • PPPoE

  • VPN

  • Tunnel

2. UserGate Getting Started. Requisiti, stallazione

In più di e zone elencate prima chì l'imaghjini Usergate spedite, ci sò trè tippi più predefiniti:

Cluster - zona per l'interfaccia utilizata per l'operazione di cluster

VPN per Site-to-Site - una zona in quale tutti i clienti Office-Office cunnessi à UserGate via VPN sò posti

VPN per accessu remoto - una zona chì include tutti l'utilizatori mobili cunnessi à UserGate via VPN

L'amministratori di UserGate ponu cambià i paràmetri di e zoni predeterminate è ancu creà zoni supplementari, ma cum'è dichjaratu in a versione 5 manuale, un massimu di zoni 15 ponu esse creati. Per cambià o creanu, avete bisognu à andà à a seccione di a zona. Per ogni zona, pudete stabilisce una soglia di caduta di pacchetti; SYN, UDP, ICMP sò supportati. U cuntrollu di l'accessu à i servizii Usergate hè ancu cunfiguratu, è a prutezzione contra a spoofing hè attivata.

2. UserGate Getting Started. Requisiti, stallazione

Dopu a cunfigurazione di l'interfaccia, avete bisognu di cunfigurà a strada predeterminata in a sezione "Gateways". Quelli. Per cunnette UserGate à Internet, deve specificà l'indirizzu IP di una o più gateway. Sè vo aduprate parechji fornituri per cunnette à l'Internet, deve specificà parechji gateway. A cunfigurazione di u gateway hè unica per ogni node di cluster. Se duie o più porte sò specificate, 2 opzioni sò pussibuli:

  1. Equilibrà u trafficu trà e porte.

  2. A porta principale cù cambià à una di riserva.

U statutu di u gateway (disponibile - verde, indisponibile - rossu) hè determinatu cum'è seguente:

  1. A verificazione di a rete hè disattivata - un gateway hè cunsideratu accessibile se UserGate pò uttene u so indirizzu MAC cù una dumanda ARP. Ùn ci hè micca verificatu per l'accessu à Internet attraversu sta porta. Se l'indirizzu MAC di a porta ùn pò esse determinata, a porta hè cunsiderata inaccessibile.

  2. A verificazione di a rete hè attivata - u gateway hè cunsideratu accessibile se:

  • UserGate pò uttene u so indirizzu MAC cù una dumanda ARP.

  • A verificazione di l'accessu à l'Internet attraversu sta porta hè stata cumpletata cù successu.

Altrimenti, u gateway hè cunsideratu indisponibile.

2. UserGate Getting Started. Requisiti, stallazione

In a sezione "DNS" avete bisognu di aghjunghje i servitori DNS chì UserGate utilizerà. Stu paràmetru hè specificatu in l'area Server DNS di Sistema. Quì sottu sò paràmetri per a gestione di e dumande DNS da l'utilizatori. UserGate permette di utilizà un proxy DNS. U serviziu di proxy DNS vi permette di interceptà e dumande DNS da l'utilizatori è di cambià sicondu i bisogni di l'amministratore. E regule di proxy DNS ponu esse aduprate per specificà i servitori DNS à quale sò trasmessi e richieste per domini specifichi. Inoltre, utilizendu un proxy DNS, pudete stabilisce registri statichi di u tipu d'ospite (A record).

2. UserGate Getting Started. Requisiti, stallazione

In a sezione "NAT è Routing" avete bisognu di creà e regule NAT necessarie. Per l'accessu à l'Internet da l'utilizatori di a rete Trusted, a regula NAT hè digià stata creata - "Trusted->Untrusted", tuttu ciò chì resta hè di attivà. E regule sò applicate da u cima à u fondu in l'ordine chì sò listati in a cunsola. Solu a prima regula per quale e cundizioni specificate in a regula match sò sempre eseguite. Per chì a regula sia attivata, tutte e cundizioni specificate in i paràmetri di a regula devenu cuncordà. UserGate ricumanda di creà regule NAT generale, per esempiu, una regula NAT da una reta lucale (di solitu una zona Trusted) à Internet (in solitu una zona Untrusted), è restringe l'accessu da l'utilizatori, servizii è applicazioni chì utilizanu reguli di firewall.

Hè ancu pussibule di creà regule DNAT, spedizione di portu, routing basatu in pulitica, mapping di rete.

2. UserGate Getting Started. Requisiti, stallazione

Dopu questu, in a rùbbrica "Firewall" avete bisognu di creà reguli di firewall. Per un accessu illimitatu à l'Internet per l'utilizatori di a reta di fiducia, una regula di firewall hè ancu stata creata - "Internet per Trusted" è deve esse attivatu. Utilizendu e regule di firewall, l'amministratore pò permette o nigà ogni tipu di trafficu di rete di transitu chì passa per UserGate. E cundizioni di regula ponu include zoni è indirizzi IP fonte / destinazione, utilizatori è gruppi, servizii è applicazioni. E regule s'applicanu in u listessu modu cum'è in a sezione "NAT è Routing", i.e. cima in giù. Se ùn ci hè micca statu creatu, ogni trafficu di transitu attraversu UserGate hè pruibitu.

2. UserGate Getting Started. Requisiti, stallazione

4. Chjave

Questu cuncludi l'articulu. Avemu installatu u firewall UserGate in una macchina virtuale è hà fattu i paràmetri minimi necessarii per l'Internet per travaglià in a reta di fiducia. Avemu da cunsiderà più cunfigurazione in l'articuli seguenti.

State sintonizzati per l'aghjurnamenti in i nostri canali (n'ambasciataFacebookVKTS Solution Blog)!

Source: www.habr.com

Add a comment