Hej, dette er den anden artikel om NGFW-løsningen fra virksomheden . Formålet med denne artikel er at vise, hvordan man installerer UserGate-firewallen på et virtuelt system (jeg vil bruge VMware Workstation-virtualiseringssoftware) og udfører dens indledende konfiguration (tillad adgang fra det lokale netværk gennem UserGate-gatewayen til internettet).
1. Introduktion
Til at begynde med vil jeg beskrive de forskellige måder at implementere denne gateway i netværket. Jeg vil gerne bemærke, at afhængigt af den valgte forbindelsesmulighed, er visse gateway-funktioner muligvis ikke tilgængelige. UserGate-løsningen understøtter følgende forbindelsestilstande:
-
L3-L7 firewall
-
L2 gennemsigtig bro
-
L3 gennemsigtig bro
-
Stort set in-line ved hjælp af WCCP-protokollen
-
Næsten ind i hullet ved hjælp af politikbaseret routing
-
Router på en stick
-
Indstil eksplicit WEB-proxy
-
UserGate som standard gateway
-
Overvågning af spejlport
UserGate understøtter 2 typer klynger:
-
konfigurationsklynge. Noder, der er grupperet i en konfigurationsklynge, bevarer ensartede indstillinger på tværs af klyngen.
-
Failover klynge. Op til 4 noder i konfigurationsklyngen kan kombineres til en failover-klynge, der understøtter drift i aktiv-aktiv eller aktiv-passiv tilstand. Det er muligt at bygge flere failover-klynger.
2. Installation
Som nævnt i den forrige artikel leveres UserGate som et hardware-softwarekompleks eller installeret i et virtuelt miljø. Fra din personlige konto på siden download billedet i OVF-format (Open Virtualization Format), dette format er velegnet til VMWare og Oracle Virtualbox-leverandører. Til Microsoft Hyper-v og KVM leveres virtuelle maskindiskbilleder.
Ifølge UserGate-webstedet anbefales det, for at den virtuelle maskine fungerer korrekt, at bruge mindst 8 Gb RAM og en 2-kernet virtuel processor. Hypervisoren skal understøtte 64-bit operativsystemer.
Installationen starter med at importere billedet til den valgte hypervisor (VirtualBox og VMWare). I tilfælde af Microsoft Hyper-v og KVM skal du oprette en virtuel maskine og angive det downloadede billede som en disk og derefter deaktivere integrationstjenester i indstillingerne for den oprettede virtuelle maskine.
Som standard oprettes en virtuel maskine efter import til VMWare med følgende indstillinger:
Som det blev skrevet ovenfor, skal RAM være på mindst 8Gb og derudover skal du tilføje 1Gb for hver 100 brugere. Standard harddiskstørrelse er 100 Gb, men dette er normalt ikke nok til at gemme alle logfiler og indstillinger. Den anbefalede størrelse er 300 Gb eller mere. Derfor skal du i egenskaberne for den virtuelle maskine ændre diskstørrelsen til den ønskede. Til at begynde med kommer den virtuelle UserGate UTM med fire grænseflader tildelt til zoner:
Management - den første grænseflade på den virtuelle maskine, en zone til at forbinde betroede netværk, hvorfra UserGate-administration er tilladt.
Trusted - den anden grænseflade på den virtuelle maskine, en zone til tilslutning af betroede netværk, for eksempel LAN-netværk.
Untrusted - den tredje grænseflade på den virtuelle maskine, en zone for grænseflader forbundet til ikke-pålidelige netværk, såsom internettet.
DMZ - Den fjerde grænseflade på den virtuelle maskine, en zone for grænseflader forbundet til DMZ-netværket.
Dernæst starter vi den virtuelle maskine, selvom manualen siger, at du skal vælge Support Tools og udføre en Factory reset UTM, men som du kan se, er der kun et valg (UTM First Boot). Under dette trin konfigurerer UTM netværksadapterne og udvider partitionen på harddisken til drevets fulde størrelse:
For at oprette forbindelse til UserGate webgrænsefladen skal du igennem Management zone, eth0 grænsefladen er ansvarlig for dette, som er konfigureret til at modtage en IP adresse i automatisk tilstand (DHCP). Hvis det ikke er muligt at tildele en adresse til administrationsgrænsefladen automatisk ved hjælp af DHCP, kan den udtrykkeligt indstilles ved hjælp af CLI (Command Line Interface). For at gøre dette skal du logge ind på CLI med brugernavn og adgangskode med fulde administratorrettigheder (som standard Admin med stort bogstav). Hvis UserGate-enheden ikke har bestået den indledende initialisering, skal du bruge Admin som brugernavn og utm som adgangskode for at få adgang til CLI. Og skriv en kommando som iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Senere går vi til UserGate webkonsollen på den angivne adresse, den skulle se sådan ud:https://UserGateIPaddress:8001:
I webkonsollen fortsætter vi installationen, vi skal vælge grænsefladesproget (i øjeblikket er det russisk eller engelsk), tidszonen, så læser og accepterer vi licensaftalen. Indstil login og adgangskode for at gå ind i webadministrationsgrænsefladen.
3. Tilpasning
Efter installationen ser webgrænsefladevinduet til platformsadministration sådan ud:
Derefter skal du konfigurere netværksgrænsefladerne. For at gøre dette skal du i afsnittet "Interfaces" aktivere dem, indstille de korrekte IP-adresser og tildele de relevante zoner.
Afsnittet "Grænseflader" viser alle fysiske og virtuelle grænseflader, der er tilgængelige i systemet, giver dig mulighed for at ændre deres indstillinger og tilføje VLAN-grænseflader. Det viser også alle grænseflader for hver klynge node. Interfaceindstillingerne er specifikke for hver af noderne, det vil sige, at de ikke er globale.
I grænsefladeegenskaber:
-
Aktiver eller deaktiver grænsefladen
-
Angiv grænsefladetype - Layer 3 eller Mirror
-
Tildel en zone til en grænseflade
-
Tildel Netflow-profil for at sende statistiske data til Netflow-indsamler
-
Skift de fysiske parametre for grænsefladen - MAC-adresse og MTU-størrelse
-
Vælg typen af IP-adressetildeling - ingen adresse, statisk IP-adresse eller opnået via DHCP
-
Konfigurer driften af DHCP-relæet på den valgte grænseflade.
Med knappen Tilføj kan du tilføje følgende typer logiske grænseflader:
-
VLAN
-
bånd
-
bro
-
PPPoE
-
VPN
-
Tunnelen
Ud over de tidligere listede zoner, som Usergate-billedet kommer med, er der yderligere tre typer foruddefinerede:
Cluster - zone til grænseflader, der bruges til klyngedrift
VPN for Site-to-Site - zone, hvor alle Office-to-Office-klienter, der er forbundet til UserGate via VPN, er placeret
VPN til fjernadgang - zone, hvor alle mobile brugere, der er tilsluttet UserGate via VPN, er placeret
UserGate-administratorer kan ændre indstillingerne for zoner, der er oprettet som standard, samt oprette yderligere zoner, men som angivet i manualen til version 5, kan du ikke oprette mere end 15 zoner. Gå til zoneafsnittet for at redigere eller oprette dem. For hver zone kan du indstille tærsklen for at droppe pakker, SYN, UDP, ICMP er understøttet. Adgangskontrol til Usergate-tjenester er også konfigureret, og spoofing-beskyttelse er aktiveret.
Efter at have konfigureret grænsefladerne, skal du konfigurere standardruten i afsnittet "Gateways". De der. for at forbinde UserGate til internettet, skal du angive IP-adressen på en eller flere gateways. Hvis flere udbydere bruges til at oprette forbindelse til internettet, skal der angives flere gateways. Gateway-indstillingen er unik for hver af klyngens noder. Hvis to eller flere gateways er specificeret, er der 2 muligheder for at arbejde:
-
Afbalancering af trafik mellem gateways.
-
Den vigtigste gateway med at skifte til en reservedel.
Gateway-status (tilgængelig - grøn, ikke tilgængelig - rød) er defineret som følger:
-
Netværkstjek deaktiveret - en gateway anses for tilgængelig, hvis UserGate kan få sin MAC-adresse ved hjælp af en ARP-anmodning. Internetadgang gennem denne gateway er ikke markeret. Hvis gatewayens MAC-adresse ikke kan bestemmes, anses gatewayen for at være utilgængelig.
-
Netværkstjek aktiveret - Gateway anses for tilgængelig, hvis:
-
UserGate kan få sin MAC-adresse ved hjælp af en ARP-anmodning.
-
Det lykkedes at tjekke for internetadgang via denne gateway.
Ellers anses gatewayen for at være utilgængelig.
I afsnittet "DNS" skal du tilføje de DNS-servere, som UserGate vil bruge. Denne indstilling er angivet i området System DNS-servere. Nedenfor er indstillingerne for håndtering af DNS-forespørgsler fra brugere. UserGate giver dig mulighed for at bruge DNS-proxyer. DNS proxy-tjenesten giver dig mulighed for at opsnappe DNS-anmodninger fra brugere og ændre dem afhængigt af administratorens behov. Med DNS-proxyregler kan du angive de DNS-servere, som anmodninger om specifikke domæner videresendes til. Derudover kan du ved hjælp af en DNS-proxy indstille statiske poster af værtstypen (A-record).
I afsnittet "NAT og routing" skal du oprette de nødvendige NAT-regler. For at få adgang til internettet for brugere af det betroede netværk er NAT-reglen allerede oprettet - "Trusted-> Untrusted", det er kun tilbage at aktivere det. Regler anvendes fra top til bund i den rækkefølge, de vises i konsollen. Kun den første regel udføres altid, for hvilken betingelserne angivet i reglen matcher. For at reglen kan udløses, skal alle de betingelser, der er angivet i regelparametrene, stemme overens. UserGate anbefaler at oprette generelle NAT-regler, for eksempel en NAT-regel fra det lokale netværk (normalt den betroede zone) til internettet (normalt den ikke-pålidelige zone), og begrænse adgangen for brugere, tjenester, applikationer, der bruger firewall-regler.
Det er også muligt at oprette DNAT-regler, port forwarding, Policy-baseret routing, Network mapping.
Derefter skal du i afsnittet "Firewall" oprette firewallregler. For ubegrænset adgang til internettet for brugere af Trusted-netværket er der også allerede oprettet en firewall-regel - "Internet for Trusted" og skal være aktiveret. Ved hjælp af firewall-regler kan administratoren tillade eller afvise enhver form for transitnetværkstrafik, der passerer gennem UserGate. Regelbetingelser kan være zoner og kilde-/destinations-IP-adresser, brugere og grupper, tjenester og applikationer. Reglerne anvendes på samme måde som i afsnittet "NAT og Routing", dvs. oppefra og ned. Hvis der ikke oprettes regler, er enhver transittrafik gennem UserGate forbudt.
4. Konklusion
Denne artikel er kommet til en ende. Vi installerede UserGate-firewallen på den virtuelle maskine og lavede de mindst nødvendige indstillinger for, at internettet kunne fungere i Trusted-netværket. Yderligere konfiguration vil blive overvejet i de følgende artikler.
Følg med for opdateringer i vores kanaler (, , , )!
Kilde: www.habr.com