Dobrý den, toto je druhý článek o řešení NGFW od společnosti . Účelem tohoto článku je ukázat, jak nainstalovat firewall UserGate na virtuální systém (budu používat virtualizační software VMware Workstation) a provést jeho počáteční konfiguraci (umožnit přístup z lokální sítě přes bránu UserGate do Internetu).
1. Úvod
Pro začátek popíšu různé způsoby zavedení této brány do sítě. Rád bych poznamenal, že v závislosti na zvolené možnosti připojení nemusí být některé funkce brány dostupné. Řešení UserGate podporuje následující režimy připojení:
-
firewall L3-L7
-
Průhledný můstek L2
-
Průhledný můstek L3
-
Prakticky in-line pomocí protokolu WCCP
-
Prakticky do mezery pomocí směrování založeného na zásadách
-
Router na tyči
-
Explicitně nastavit WEB proxy
-
UserGate jako výchozí brána
-
Monitorování zrcadlového portu
UserGate podporuje 2 typy clusterů:
-
konfigurační cluster. Uzly, které jsou seskupeny do konfiguračního clusteru, udržují jednotná nastavení v celém clusteru.
-
Klastr převzetí služeb při selhání. Až 4 uzly konfiguračního clusteru lze zkombinovat do clusteru s podporou převzetí služeb při selhání, který podporuje provoz v režimu Active-Active nebo Active-Passive. Je možné sestavit více clusterů s podporou převzetí služeb při selhání.
2. Instalace
Jak již bylo zmíněno v předchozím článku, UserGate je dodáván jako hardwarově-softwarový komplex nebo nasazený ve virtuálním prostředí. Z vašeho osobního účtu na webu stáhněte si obrázek ve formátu OVF (Open Virtualization Format), tento formát je vhodný pro dodavatele VMWare a Oracle Virtualbox. Pro Microsoft Hyper-v a KVM jsou poskytovány obrazy disků virtuálních strojů.
Podle webu UserGate je pro správný chod virtuálního stroje doporučeno použít alespoň 8Gb RAM a 2jádrový virtuální procesor. Hypervizor musí podporovat 64bitové operační systémy.
Instalace začíná importem obrazu do vybraného hypervizoru (VirtualBox a VMWare). V případě Microsoft Hyper-v a KVM je potřeba vytvořit virtuální stroj a specifikovat stažený obraz jako disk a poté v nastavení vytvořeného virtuálního stroje zakázat integrační služby.
Ve výchozím nastavení se po importu do VMWare vytvoří virtuální počítač s následujícím nastavením:
Jak bylo psáno výše, RAM by měla být minimálně 8Gb a navíc je potřeba přidat 1Gb na každých 100 uživatelů. Výchozí velikost pevného disku je 100 Gb, ale to obvykle nestačí k uložení všech protokolů a nastavení. Doporučená velikost je 300 Gb nebo více. Proto ve vlastnostech virtuálního stroje změňte velikost disku na požadovanou. Zpočátku je virtuální UserGate UTM dodáván se čtyřmi rozhraními přiřazenými k zónám:
Management – první rozhraní virtuálního stroje, zóna pro připojení důvěryhodných sítí, ze které je povolena správa UserGate.
Trusted - druhé rozhraní virtuálního stroje, zóna pro připojení důvěryhodných sítí, například sítí LAN.
Untrusted – třetí rozhraní virtuálního stroje, zóna pro rozhraní připojená k nedůvěryhodným sítím, jako je internet.
DMZ - Čtvrté rozhraní virtuálního stroje, zóna pro rozhraní připojená k síti DMZ.
Dále spustíme virtuální stroj, i když manuál říká, že je třeba vybrat Support Tools a provést Factory reset UTM, ale jak vidíte, existuje pouze jedna volba (UTM First Boot). Během tohoto kroku UTM nakonfiguruje síťové adaptéry a zvětší oddíl na pevném disku na plnou velikost disku:
Pro připojení k webovému rozhraní UserGate je potřeba projít zónu Management, za to je zodpovědné rozhraní eth0, které je nakonfigurováno pro příjem IP adresy v automatickém režimu (DHCP). Pokud není možné přiřadit adresu pro rozhraní Management automaticky pomocí DHCP, lze ji explicitně nastavit pomocí rozhraní CLI (Command Line Interface). Chcete-li to provést, musíte se přihlásit do CLI pomocí uživatelského jména a hesla s plnými administrátorskými právy (standardně Admin s velkým písmenem). Pokud zařízení UserGate neprošlo počáteční inicializací, pak pro přístup k CLI musíte použít Admin jako uživatelské jméno a utm jako heslo. A zadejte příkaz jako iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Později přejdeme na webovou konzoli UserGate na zadané adrese, měla by vypadat nějak takto:https://UserGateIPaddress:8001:
Ve webové konzoli pokračujeme v instalaci, musíme vybrat jazyk rozhraní (aktuálně je to ruština nebo angličtina), časové pásmo, poté si přečteme a odsouhlasíme licenční ujednání. Nastavte přihlašovací jméno a heslo pro vstup do webového rozhraní pro správu.
3. Nastavení
Po instalaci vypadá okno webového rozhraní správy platformy takto:
Poté musíte nakonfigurovat síťová rozhraní. K tomu je v sekci "Rozhraní" potřeba je povolit, nastavit správné IP adresy a přiřadit příslušné zóny.
Sekce "Rozhraní" zobrazuje všechna fyzická a virtuální rozhraní dostupná v systému, umožňuje měnit jejich nastavení a přidávat VLAN rozhraní. Zobrazuje také všechna rozhraní každého uzlu clusteru. Nastavení rozhraní jsou specifická pro každý z uzlů, to znamená, že nejsou globální.
Ve vlastnostech rozhraní:
-
Povolit nebo zakázat rozhraní
-
Zadejte typ rozhraní - Layer 3 nebo Mirror
-
Přiřaďte zónu rozhraní
-
Přiřaďte profil Netflow k odesílání statistických dat do kolektoru Netflow
-
Změňte fyzické parametry rozhraní - MAC adresu a velikost MTU
-
Vyberte typ přidělení IP adresy – žádná adresa, statická IP adresa nebo získaná přes DHCP
-
Nakonfigurujte činnost DHCP relay na vybraném rozhraní.
Tlačítko Přidat umožňuje přidat následující typy logických rozhraní:
-
VLAN
-
Dluhopis
-
Most
-
PPPoE
-
VPN
-
Tunel
Kromě dříve uvedených zón, se kterými je obraz Usergate dodáván, existují ještě tři typy předdefinovaných zón:
Cluster - zóna pro rozhraní používaná pro provoz clusteru
VPN pro Site-to-Site – zóna, ve které jsou umístěni všichni klienti Office-to-Office připojení k UserGate přes VPN
VPN pro vzdálený přístup - zóna, ve které jsou umístěni všichni mobilní uživatelé připojení k UserGate přes VPN
Administrátoři UserGate mohou měnit nastavení zón vytvořených ve výchozím nastavení, stejně jako vytvářet další zóny, ale jak je uvedeno v manuálu pro verzi 5, nemůžete vytvořit více než 15 zón. Chcete-li je upravit nebo vytvořit, přejděte do sekce zóny. Pro každou zónu lze nastavit práh pro zahazování paketů, podporovány jsou SYN, UDP, ICMP. Je také nakonfigurováno řízení přístupu ke službám Usergate a je povolena ochrana před falšováním.
Po konfiguraci rozhraní je třeba nakonfigurovat výchozí trasu v části "Brány". Tito. pro připojení UserGate k internetu musíte zadat IP adresu jedné nebo více bran. Pokud se pro připojení k internetu používá několik poskytovatelů, je třeba zadat několik bran. Nastavení brány je jedinečné pro každý z uzlů clusteru. Pokud jsou zadány dvě nebo více bran, existují 2 možnosti pro práci:
-
Vyrovnávání provozu mezi bránami.
-
Hlavní brána s přepínáním na náhradní.
Stav brány (dostupná - zelená, nedostupná - červená) je definován následovně:
-
Kontrola sítě vypnuta – brána je považována za dostupnou, pokud může UserGate získat svou MAC adresu pomocí požadavku ARP. Přístup k internetu přes tuto bránu není kontrolován. Pokud adresu MAC brány nelze určit, brána je považována za nedostupnou.
-
Kontrola sítě povolena – brána je považována za dostupnou, pokud:
-
UserGate může získat svou MAC adresu pomocí požadavku ARP.
-
Kontrola přístupu k internetu přes tuto bránu byla úspěšná.
V opačném případě je brána považována za nedostupnou.
V sekci "DNS" musíte přidat servery DNS, které bude UserGate používat. Toto nastavení je určeno v oblasti Systémové servery DNS. Níže jsou uvedena nastavení pro správu DNS dotazů od uživatelů. UserGate umožňuje používat DNS proxy. Služba DNS proxy umožňuje zachycovat požadavky DNS od uživatelů a upravovat je v závislosti na potřebách správce. Pomocí pravidel DNS proxy můžete určit servery DNS, na které jsou předávány dotazy pro konkrétní domény. Navíc pomocí DNS proxy můžete nastavit statické záznamy typu hostitele (A-record).
V sekci "NAT a směrování" je třeba vytvořit potřebná pravidla NAT. Pro přístup k internetu pro uživatele Důvěryhodné sítě je již vytvořeno pravidlo NAT - „Důvěryhodný-> Nedůvěryhodný“, zbývá jej pouze povolit. Pravidla jsou aplikována shora dolů v pořadí, v jakém se objevují v konzole. Vždy se provede pouze první pravidlo, pro které se shodují podmínky uvedené v pravidle. Aby bylo pravidlo spuštěno, musí se shodovat všechny podmínky uvedené v parametrech pravidla. UserGate doporučuje vytvořit obecná pravidla NAT, například pravidlo NAT z lokální sítě (obvykle důvěryhodná zóna) do internetu (obvykle nedůvěryhodná zóna) a omezit přístup uživatelů, služeb, aplikací pomocí pravidel firewallu.
Je také možné vytvořit pravidla DNAT, přesměrování portů, směrování založené na zásadách, mapování sítě.
Poté v sekci "Firewall" musíte vytvořit pravidla brány firewall. Pro neomezený přístup k internetu pro uživatele důvěryhodné sítě je již také vytvořeno pravidlo brány firewall – „Internet pro důvěryhodné“ a musí být povoleno. Pomocí pravidel brány firewall může administrátor povolit nebo zakázat jakýkoli typ tranzitního síťového provozu procházejícího přes UserGate. Podmínky pravidla mohou být zóny a zdrojové/cílové IP adresy, uživatelé a skupiny, služby a aplikace. Pravidla se uplatňují stejně jako v sekci "NAT a směrování", tzn. vzhůru nohama. Pokud nejsou vytvořena žádná pravidla, je jakýkoli tranzitní provoz přes UserGate zakázán.
4. Závěr
Tento článek je u konce. Nainstalovali jsme firewall UserGate na virtuální počítač a provedli jsme minimální potřebná nastavení, aby internet fungoval v důvěryhodné síti. Další konfigurace bude zvážena v následujících článcích.
Zůstaňte naladěni na aktualizace na našich kanálech (, , , )!
Zdroj: www.habr.com