Hallo, dies ist der zweite Artikel über die NGFW-Lösung des Unternehmens . Der Zweck dieses Artikels besteht darin, zu zeigen, wie man die UserGate-Firewall auf einem virtuellen System installiert (ich verwende die Virtualisierungssoftware VMware Workstation) und ihre Erstkonfiguration durchführt (den Zugriff vom lokalen Netzwerk über das UserGate-Gateway auf das Internet ermöglicht).
1. Einleitung
Zunächst beschreibe ich die verschiedenen Möglichkeiten, dieses Gateway in das Netzwerk einzuführen. Ich möchte darauf hinweisen, dass je nach gewählter Verbindungsoption bestimmte Funktionen des Gateways möglicherweise nicht verfügbar sind. Die UserGate-Lösung unterstützt die folgenden Verbindungsmodi:
-
L3-L7-Firewall
-
L2 transparente Brücke
-
L3 transparente Brücke
-
Praktisch inline, unter Verwendung des WCCP-Protokolls
-
Mit Policy Based Routing praktisch in die Lücke
-
Router auf einem Stick
-
Explizit eingestellter WEB-Proxy
-
UserGate als Standard-Gateway
-
Mirror-Port-Überwachung
UserGate unterstützt zwei Arten von Clustern:
-
Konfigurationscluster. Knoten, die in einem Konfigurationscluster gruppiert sind, behalten einheitliche Einstellungen im gesamten Cluster bei.
-
Failover-Cluster. Bis zu 4 Knoten des Konfigurationsclusters können zu einem Failover-Cluster zusammengefasst werden, der den Betrieb im Aktiv-Aktiv- oder Aktiv-Passiv-Modus unterstützt. Es ist möglich, mehrere Failover-Cluster zu erstellen.
2. Installation
Wie im vorherigen Artikel erwähnt, wird UserGate als Hardware-Software-Komplex geliefert oder in einer virtuellen Umgebung bereitgestellt. Von Ihrem persönlichen Konto auf der Website Laden Sie das Image im OVF-Format (Open Virtualization Format) herunter. Dieses Format ist für VMWare- und Oracle Virtualbox-Anbieter geeignet. Für Microsoft Hyper-v und KVM werden Festplatten-Images virtueller Maschinen bereitgestellt.
Laut der UserGate-Website wird für den korrekten Betrieb der virtuellen Maschine empfohlen, mindestens 8 GB RAM und einen virtuellen 2-Kern-Prozessor zu verwenden. Der Hypervisor muss 64-Bit-Betriebssysteme unterstützen.
Die Installation beginnt mit dem Import des Images in den ausgewählten Hypervisor (VirtualBox und VMWare). Im Fall von Microsoft Hyper-v und KVM müssen Sie eine virtuelle Maschine erstellen und das heruntergeladene Image als Festplatte angeben und dann die Integrationsdienste in den Einstellungen der erstellten virtuellen Maschine deaktivieren.
Standardmäßig wird nach dem Import in VMWare eine virtuelle Maschine mit den folgenden Einstellungen erstellt:
Wie oben geschrieben, sollte der Arbeitsspeicher mindestens 8 GB groß sein und zusätzlich müssen Sie pro 1 Benutzer 100 GB hinzufügen. Die Standardfestplattengröße beträgt 100 GB, aber das reicht normalerweise nicht aus, um alle Protokolle und Einstellungen zu speichern. Die empfohlene Größe beträgt 300 GB oder mehr. Ändern Sie daher in den Eigenschaften der virtuellen Maschine die Festplattengröße auf die gewünschte. Das virtuelle UserGate UTM verfügt zunächst über vier zonenzugeordnete Schnittstellen:
Verwaltung – die erste Schnittstelle der virtuellen Maschine, eine Zone zum Verbinden vertrauenswürdiger Netzwerke, von der aus die UserGate-Verwaltung zulässig ist.
Vertrauenswürdig – die zweite Schnittstelle der virtuellen Maschine, eine Zone zum Verbinden vertrauenswürdiger Netzwerke, beispielsweise LAN-Netzwerke.
Nicht vertrauenswürdig – die dritte Schnittstelle der virtuellen Maschine, eine Zone für Schnittstellen, die mit nicht vertrauenswürdigen Netzwerken wie dem Internet verbunden sind.
DMZ – Die vierte Schnittstelle der virtuellen Maschine, eine Zone für Schnittstellen, die mit dem DMZ-Netzwerk verbunden sind.
Als nächstes starten wir die virtuelle Maschine, obwohl im Handbuch steht, dass Sie Support Tools auswählen und UTM auf die Werkseinstellungen zurücksetzen müssen, aber wie Sie sehen, gibt es nur eine Möglichkeit (UTM First Boot). In diesem Schritt konfiguriert UTM die Netzwerkadapter und vergrößert die Partition auf der Festplatte auf die volle Laufwerksgröße:
Um eine Verbindung zur UserGate-Weboberfläche herzustellen, müssen Sie die Verwaltungszone durchlaufen. Dafür ist die eth0-Schnittstelle verantwortlich, die für den Empfang einer IP-Adresse im automatischen Modus (DHCP) konfiguriert ist. Sollte es nicht möglich sein, per DHCP automatisch eine Adresse für die Management-Schnittstelle zu vergeben, kann diese explizit über das CLI (Command Line Interface) eingestellt werden. Dazu müssen Sie sich mit dem Benutzernamen und dem Passwort mit vollständigen Administratorrechten (standardmäßig „Admin“ mit einem Großbuchstaben) bei der CLI anmelden. Wenn das UserGate-Gerät die Erstinitialisierung nicht bestanden hat, müssen Sie für den Zugriff auf die CLI Admin als Benutzernamen und utm als Passwort verwenden. Und geben Sie einen Befehl wie iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static ein. Später gehen wir zur UserGate-Webkonsole unter der angegebenen Adresse, sie sollte etwa so aussehen:https://UserGateIPaddress:8001:
In der Webkonsole setzen wir die Installation fort, wir müssen die Sprache der Benutzeroberfläche (derzeit Russisch oder Englisch) und die Zeitzone auswählen, dann lesen wir die Lizenzvereinbarung und stimmen ihr zu. Legen Sie den Benutzernamen und das Passwort fest, um die Webverwaltungsoberfläche aufzurufen.
3. Einrichtung
Nach der Installation sieht das Fenster der Plattformverwaltungs-Weboberfläche folgendermaßen aus:
Anschließend müssen Sie die Netzwerkschnittstellen konfigurieren. Dazu müssen Sie diese im Bereich „Schnittstellen“ aktivieren, die richtigen IP-Adressen einstellen und die entsprechenden Zonen zuweisen.
Im Abschnitt „Schnittstellen“ werden alle im System verfügbaren physischen und virtuellen Schnittstellen angezeigt, Sie können deren Einstellungen ändern und VLAN-Schnittstellen hinzufügen. Außerdem werden alle Schnittstellen jedes Clusterknotens angezeigt. Schnittstelleneinstellungen sind für jeden Knoten spezifisch, d. h. sie sind nicht global.
In den Schnittstelleneigenschaften:
-
Aktivieren oder deaktivieren Sie die Schnittstelle
-
Geben Sie den Schnittstellentyp an – Layer 3 oder Mirror
-
Weisen Sie einer Schnittstelle eine Zone zu
-
Weisen Sie ein Netflow-Profil zu, um statistische Daten an den Netflow-Collector zu senden
-
Ändern Sie die physikalischen Parameter der Schnittstelle – MAC-Adresse und MTU-Größe
-
Wählen Sie die Art der IP-Adresszuweisung – keine Adresse, statische IP-Adresse oder über DHCP bezogen
-
Konfigurieren Sie den Betrieb des DHCP-Relays auf der ausgewählten Schnittstelle.
Mit der Schaltfläche „Hinzufügen“ können Sie die folgenden Arten von logischen Schnittstellen hinzufügen:
-
VLAN
-
Bond
-
Brücke
-
PPPoE
-
VPN
-
Tunnel
Zusätzlich zu den zuvor aufgeführten Zonen, die das Usergate-Image enthält, gibt es drei weitere Arten vordefinierter Zonen:
Cluster – Zone für Schnittstellen, die für den Clusterbetrieb verwendet werden
VPN für Site-to-Site – Zone, in der alle Office-to-Office-Clients platziert werden, die über VPN mit UserGate verbunden sind
VPN für Fernzugriff – Zone, in der alle mobilen Benutzer platziert werden, die über VPN mit UserGate verbunden sind
UserGate-Administratoren können die Einstellungen der standardmäßig erstellten Zonen ändern und zusätzliche Zonen erstellen. Wie im Handbuch für Version 5 angegeben, können Sie jedoch nicht mehr als 15 Zonen erstellen. Um sie zu bearbeiten oder zu erstellen, gehen Sie zum Zonenbereich. Für jede Zone können Sie den Schwellenwert für das Verwerfen von Paketen festlegen. SYN, UDP und ICMP werden unterstützt. Außerdem ist die Zugriffskontrolle auf Usergate-Dienste konfiguriert und der Spoofing-Schutz aktiviert.
Nach der Konfiguration der Schnittstellen müssen Sie im Abschnitt „Gateways“ die Standardroute konfigurieren. Diese. Um UserGate mit dem Internet zu verbinden, müssen Sie die IP-Adresse eines oder mehrerer Gateways angeben. Werden für die Anbindung an das Internet mehrere Provider genutzt, so müssen mehrere Gateways angegeben werden. Die Gateway-Einstellung ist für jeden Clusterknoten eindeutig. Wenn zwei oder mehr Gateways angegeben sind, gibt es zwei Möglichkeiten zum Arbeiten:
-
Ausgleich des Datenverkehrs zwischen Gateways.
-
Das Haupt-Gateway mit Umschaltung auf ein Ersatz-Gateway.
Der Gateway-Status (verfügbar – grün, nicht verfügbar – rot) ist wie folgt definiert:
-
Netzwerkprüfung deaktiviert – ein Gateway gilt als verfügbar, wenn UserGate seine MAC-Adresse über eine ARP-Anfrage erhalten kann. Der Internetzugang über dieses Gateway wird nicht überprüft. Wenn die MAC-Adresse des Gateways nicht ermittelt werden kann, gilt das Gateway als nicht erreichbar.
-
Netzwerkprüfung aktiviert – Gateway gilt als verfügbar, wenn:
-
UserGate kann seine MAC-Adresse über eine ARP-Anfrage erhalten.
-
Die Überprüfung des Internetzugangs über dieses Gateway war erfolgreich.
Andernfalls gilt das Gateway als nicht erreichbar.
Im Abschnitt „DNS“ müssen Sie die DNS-Server hinzufügen, die UserGate verwenden wird. Diese Einstellung wird im Bereich System-DNS-Server festgelegt. Nachfolgend finden Sie die Einstellungen zum Verwalten von DNS-Anfragen von Benutzern. Mit UserGate können Sie DNS-Proxys verwenden. Mit dem DNS-Proxy-Dienst können Sie DNS-Anfragen von Benutzern abfangen und diese je nach den Anforderungen des Administrators ändern. Mithilfe von DNS-Proxy-Regeln können Sie die DNS-Server angeben, an die Anfragen für bestimmte Domänen weitergeleitet werden. Darüber hinaus können Sie mithilfe eines DNS-Proxys statische Datensätze vom Hosttyp (A-Eintrag) festlegen.
Im Abschnitt „NAT und Routing“ müssen Sie die notwendigen NAT-Regeln erstellen. Für den Zugriff auf das Internet für Benutzer des vertrauenswürdigen Netzwerks wurde bereits die NAT-Regel erstellt – „Vertrauenswürdig -> Nicht vertrauenswürdig“. Sie muss nur noch aktiviert werden. Regeln werden von oben nach unten in der Reihenfolge angewendet, in der sie in der Konsole angezeigt werden. Es wird immer nur die erste Regel ausgeführt, für die die in der Regel angegebenen Bedingungen zutreffen. Damit die Regel ausgelöst wird, müssen alle in den Regelparametern angegebenen Bedingungen zutreffen. UserGate empfiehlt, allgemeine NAT-Regeln zu erstellen, beispielsweise eine NAT-Regel vom lokalen Netzwerk (normalerweise die vertrauenswürdige Zone) zum Internet (normalerweise die nicht vertrauenswürdige Zone), und den Zugriff von Benutzern, Diensten und Anwendungen mithilfe von Firewall-Regeln einzuschränken.
Es ist auch möglich, DNAT-Regeln, Portweiterleitung, richtlinienbasiertes Routing und Netzwerkzuordnung zu erstellen.
Anschließend müssen Sie im Abschnitt „Firewall“ Firewall-Regeln erstellen. Für den uneingeschränkten Zugriff auf das Internet für Benutzer des Trusted-Netzwerks ist außerdem bereits eine Firewall-Regel „Internet für Trusted“ erstellt und muss aktiviert werden. Mithilfe von Firewall-Regeln kann der Administrator jede Art von Transit-Netzwerkverkehr durch UserGate zulassen oder verweigern. Regelbedingungen können Zonen und Quell-/Ziel-IP-Adressen, Benutzer und Gruppen, Dienste und Anwendungen sein. Die Regeln werden auf die gleiche Weise angewendet wie im Abschnitt „NAT und Routing“, d. h. von oben nach unten. Wenn keine Regeln erstellt werden, ist jeglicher Transitverkehr durch UserGate verboten.
4. Заключение
Dieser Artikel ist zu Ende. Wir haben die UserGate-Firewall auf der virtuellen Maschine installiert und die minimal notwendigen Einstellungen vorgenommen, damit das Internet im vertrauenswürdigen Netzwerk funktioniert. Die weitere Konfiguration wird in den folgenden Artikeln behandelt.
Bleiben Sie dran für Updates in unseren Kanälen (, , , )!
Source: habr.com