Γεια σας, αυτό είναι το δεύτερο άρθρο σχετικά με τη λύση NGFW από την εταιρεία . Ο σκοπός αυτού του άρθρου είναι να δείξει πώς να εγκαταστήσετε το τείχος προστασίας UserGate σε ένα εικονικό σύστημα (θα χρησιμοποιήσω το λογισμικό εικονικοποίησης VMware Workstation) και να εκτελέσετε την αρχική του διαμόρφωση (να επιτρέπεται η πρόσβαση από το τοπικό δίκτυο μέσω της πύλης UserGate στο Διαδίκτυο).
1. Εισαγωγή
Αρχικά, θα περιγράψω τους διάφορους τρόπους εισαγωγής αυτής της πύλης στο δίκτυο. Θα ήθελα να σημειώσω ότι ανάλογα με την επιλεγμένη επιλογή σύνδεσης, ορισμένες λειτουργίες της πύλης ενδέχεται να μην είναι διαθέσιμες. Η λύση UserGate υποστηρίζει τις ακόλουθες λειτουργίες σύνδεσης:
-
Τείχος προστασίας L3-L7
-
Διαφανής γέφυρα L2
-
Διαφανής γέφυρα L3
-
Εικονικά εν σειρά, χρησιμοποιώντας το πρωτόκολλο WCCP
-
Ουσιαστικά στο κενό, χρησιμοποιώντας τη δρομολόγηση βάσει πολιτικής
-
Router σε ένα Stick
-
Ρητά ορισμένο διακομιστή μεσολάβησης WEB
-
UserGate ως προεπιλεγμένη πύλη
-
Παρακολούθηση θύρας καθρέφτη
Το UserGate υποστηρίζει 2 τύπους συμπλεγμάτων:
-
σύμπλεγμα διαμόρφωσης. Οι κόμβοι που ομαδοποιούνται σε ένα σύμπλεγμα διαμόρφωσης διατηρούν ομοιόμορφες ρυθμίσεις σε όλο το σύμπλεγμα.
-
Σύμπλεγμα ανακατεύθυνσης. Έως και 4 κόμβοι του συμπλέγματος διαμόρφωσης μπορούν να συνδυαστούν σε ένα σύμπλεγμα ανακατεύθυνσης που υποστηρίζει τη λειτουργία σε λειτουργία Ενεργό-Ενεργό ή Ενεργό-Παθητικό. Είναι δυνατή η δημιουργία πολλαπλών συμπλεγμάτων ανακατεύθυνσης.
2. Εγκατάσταση
Όπως αναφέρθηκε στο προηγούμενο άρθρο, το UserGate παραδίδεται ως σύμπλεγμα υλικού-λογισμικού ή αναπτύσσεται σε εικονικό περιβάλλον. Από τον προσωπικό σας λογαριασμό στον ιστότοπο κατεβάστε την εικόνα σε μορφή OVF (Open Virtualization Format), αυτή η μορφή είναι κατάλληλη για προμηθευτές VMWare και Oracle Virtualbox. Για το Microsoft Hyper-v και το KVM, παρέχονται εικόνες δίσκου εικονικής μηχανής.
Σύμφωνα με την ιστοσελίδα UserGate, για τη σωστή λειτουργία της εικονικής μηχανής, συνιστάται η χρήση τουλάχιστον 8Gb RAM και 2πύρηνος εικονικός επεξεργαστής. Ο hypervisor πρέπει να υποστηρίζει λειτουργικά συστήματα 64-bit.
Η εγκατάσταση ξεκινάει εισάγοντας την εικόνα στον επιλεγμένο hypervisor (VirtualBox και VMWare). Στην περίπτωση του Microsoft Hyper-v και του KVM, πρέπει να δημιουργήσετε μια εικονική μηχανή και να καθορίσετε τη λήψη της εικόνας ως δίσκο και, στη συνέχεια, να απενεργοποιήσετε τις υπηρεσίες ενοποίησης στις ρυθμίσεις της εικονικής μηχανής που δημιουργήθηκε.
Από προεπιλογή, μετά την εισαγωγή στο VMWare, δημιουργείται μια εικονική μηχανή με τις ακόλουθες ρυθμίσεις:
Όπως γράφτηκε παραπάνω, η μνήμη RAM πρέπει να είναι τουλάχιστον 8Gb και επιπλέον πρέπει να προσθέσετε 1Gb για κάθε 100 χρήστες. Το προεπιλεγμένο μέγεθος σκληρού δίσκου είναι 100 Gb, αλλά αυτό συνήθως δεν αρκεί για την αποθήκευση όλων των αρχείων καταγραφής και των ρυθμίσεων. Το προτεινόμενο μέγεθος είναι 300 Gb ή περισσότερο. Επομένως, στις ιδιότητες της εικονικής μηχανής, αλλάξτε το μέγεθος του δίσκου στο επιθυμητό. Αρχικά, το εικονικό UserGate UTM διαθέτει τέσσερις διεπαφές που έχουν εκχωρηθεί σε ζώνες:
Διαχείριση - η πρώτη διεπαφή της εικονικής μηχανής, μια ζώνη για τη σύνδεση αξιόπιστων δικτύων από την οποία επιτρέπεται η διαχείριση UserGate.
Trusted - η δεύτερη διεπαφή της εικονικής μηχανής, μια ζώνη για τη σύνδεση αξιόπιστων δικτύων, για παράδειγμα, δικτύων LAN.
Untrusted - η τρίτη διεπαφή της εικονικής μηχανής, μια ζώνη για διεπαφές που συνδέονται με μη αξιόπιστα δίκτυα, όπως το Διαδίκτυο.
DMZ - Η τέταρτη διεπαφή της εικονικής μηχανής, μια ζώνη για διεπαφές συνδεδεμένες στο δίκτυο DMZ.
Στη συνέχεια, ξεκινάμε την εικονική μηχανή, αν και το εγχειρίδιο λέει ότι πρέπει να επιλέξετε Εργαλεία υποστήριξης και να πραγματοποιήσετε επαναφορά εργοστασιακών ρυθμίσεων UTM, αλλά όπως μπορείτε να δείτε, υπάρχει μόνο μία επιλογή (UTM First Boot). Κατά τη διάρκεια αυτού του βήματος, το UTM διαμορφώνει τους προσαρμογείς δικτύου και μεγαλώνει το διαμέρισμα του σκληρού δίσκου στο πλήρες μέγεθος της μονάδας:
Για να συνδεθείτε στη διεπαφή ιστού UserGate, πρέπει να περάσετε από τη ζώνη διαχείρισης, η διεπαφή eth0 είναι υπεύθυνη για αυτό, η οποία έχει ρυθμιστεί να λαμβάνει μια διεύθυνση IP σε αυτόματη λειτουργία (DHCP). Εάν δεν είναι δυνατό να εκχωρήσετε μια διεύθυνση για τη διεπαφή διαχείρισης αυτόματα χρησιμοποιώντας DHCP, τότε μπορεί να οριστεί ρητά χρησιμοποιώντας το CLI (Διασύνδεση γραμμής εντολών). Για να το κάνετε αυτό, πρέπει να συνδεθείτε στο CLI χρησιμοποιώντας το όνομα χρήστη και τον κωδικό πρόσβασης με πλήρη δικαιώματα διαχειριστή (από προεπιλογή, Διαχειριστής με κεφαλαίο γράμμα). Εάν η συσκευή UserGate δεν έχει περάσει την αρχική προετοιμασία, τότε για να αποκτήσετε πρόσβαση στο CLI, πρέπει να χρησιμοποιήσετε το Admin ως όνομα χρήστη και το utm ως κωδικό πρόσβασης. Και πληκτρολογήστε μια εντολή όπως iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Αργότερα πηγαίνουμε στην κονσόλα ιστού UserGate στην καθορισμένη διεύθυνση, θα πρέπει να μοιάζει κάπως έτσι:https://UserGateIPaddress:8001:
Στην κονσόλα Ιστού, συνεχίζουμε την εγκατάσταση, πρέπει να επιλέξουμε τη γλώσσα διεπαφής (προς το παρόν είναι ρωσικά ή αγγλικά), τη ζώνη ώρας και, στη συνέχεια, διαβάζουμε και συμφωνούμε με τη συμφωνία άδειας χρήσης. Ορίστε τη σύνδεση και τον κωδικό πρόσβασης για είσοδο στη διεπαφή διαχείρισης ιστού.
3. Προσαρμογή
Μετά την εγκατάσταση, το παράθυρο διασύνδεσης ιστού διαχείρισης πλατφόρμας μοιάζει με αυτό:
Στη συνέχεια, πρέπει να διαμορφώσετε τις διεπαφές δικτύου. Για να το κάνετε αυτό, στην ενότητα "Διεπαφές", πρέπει να τις ενεργοποιήσετε, να ορίσετε τις σωστές διευθύνσεις IP και να εκχωρήσετε τις κατάλληλες ζώνες.
Η ενότητα "Διεπαφές" εμφανίζει όλες τις φυσικές και εικονικές διεπαφές που είναι διαθέσιμες στο σύστημα, σας επιτρέπει να αλλάξετε τις ρυθμίσεις τους και να προσθέσετε διασυνδέσεις VLAN. Εμφανίζει επίσης όλες τις διεπαφές κάθε κόμβου συμπλέγματος. Οι ρυθμίσεις διεπαφής είναι συγκεκριμένες για κάθε έναν από τους κόμβους, δηλαδή δεν είναι καθολικές.
Στις ιδιότητες διεπαφής:
-
Ενεργοποιήστε ή απενεργοποιήστε τη διεπαφή
-
Καθορίστε τον τύπο διεπαφής - Layer 3 ή Mirror
-
Αντιστοιχίστε μια ζώνη σε μια διεπαφή
-
Εκχωρήστε το προφίλ Netflow για αποστολή στατιστικών δεδομένων στον συλλέκτη Netflow
-
Αλλάξτε τις φυσικές παραμέτρους της διεπαφής - διεύθυνση MAC και μέγεθος MTU
-
Επιλέξτε τον τύπο εκχώρησης διεύθυνσης IP - χωρίς διεύθυνση, στατική διεύθυνση IP ή λήψη μέσω DHCP
-
Διαμορφώστε τη λειτουργία του ρελέ DHCP στην επιλεγμένη διεπαφή.
Το κουμπί Προσθήκη σάς επιτρέπει να προσθέσετε τους ακόλουθους τύπους λογικών διεπαφών:
-
VLAN
-
Bond
-
Γέφυρα
-
PPPoE
-
VPN
-
Σήραγγα
Εκτός από τις ζώνες που αναφέρονται προηγουμένως με τις οποίες παρέχεται η εικόνα Usergate, υπάρχουν τρεις ακόμη τύποι προκαθορισμένων ζωνών:
Cluster - ζώνη για διεπαφές που χρησιμοποιούνται για λειτουργία συμπλέγματος
VPN για Site-to-Site - ζώνη στην οποία τοποθετούνται όλοι οι πελάτες Office-to-Office που είναι συνδεδεμένοι στο UserGate μέσω VPN
VPN για απομακρυσμένη πρόσβαση - ζώνη στην οποία τοποθετούνται όλοι οι χρήστες κινητών που είναι συνδεδεμένοι στο UserGate μέσω VPN
Οι διαχειριστές του UserGate μπορούν να αλλάξουν τις ρυθμίσεις των ζωνών που δημιουργούνται από προεπιλογή, καθώς και να δημιουργήσουν πρόσθετες ζώνες, αλλά όπως αναφέρεται στο εγχειρίδιο για την έκδοση 5, δεν μπορείτε να δημιουργήσετε περισσότερες από 15 ζώνες. Για να τα επεξεργαστείτε ή να τα δημιουργήσετε, μεταβείτε στην ενότητα ζώνη. Για κάθε ζώνη, μπορείτε να ορίσετε το όριο για την απόρριψη πακέτων, υποστηρίζονται SYN, UDP, ICMP. Ο έλεγχος πρόσβασης στις υπηρεσίες Usergate έχει επίσης ρυθμιστεί και είναι ενεργοποιημένη η προστασία από πλαστογράφηση.
Μετά τη διαμόρφωση των διεπαφών, πρέπει να διαμορφώσετε την προεπιλεγμένη διαδρομή στην ενότητα "Πύλες". Εκείνοι. για να συνδέσετε το UserGate στο Διαδίκτυο, πρέπει να καθορίσετε τη διεύθυνση IP μιας ή περισσότερων πυλών. Εάν χρησιμοποιούνται πολλοί πάροχοι για σύνδεση στο Διαδίκτυο, τότε πρέπει να καθοριστούν πολλές πύλες. Η ρύθμιση πύλης είναι μοναδική για κάθε έναν από τους κόμβους συμπλέγματος. Εάν καθορίζονται δύο ή περισσότερες πύλες, υπάρχουν 2 πιθανές επιλογές:
-
Εξισορρόπηση της κυκλοφορίας μεταξύ των πυλών.
-
Η κύρια πύλη με εναλλαγή σε εφεδρικό.
Η κατάσταση πύλης (διαθέσιμο - πράσινο, μη διαθέσιμο - κόκκινο) ορίζεται ως εξής:
-
Ο έλεγχος δικτύου είναι απενεργοποιημένος - μια πύλη θεωρείται διαθέσιμη εάν το UserGate μπορεί να αποκτήσει τη διεύθυνση MAC του χρησιμοποιώντας ένα αίτημα ARP. Η πρόσβαση στο Διαδίκτυο μέσω αυτής της πύλης δεν ελέγχεται. Εάν η διεύθυνση MAC της πύλης δεν μπορεί να προσδιοριστεί, η πύλη θεωρείται μη προσβάσιμη.
-
Ο έλεγχος δικτύου ενεργοποιήθηκε - Η πύλη θεωρείται διαθέσιμη εάν:
-
Το UserGate μπορεί να αποκτήσει τη διεύθυνση MAC του χρησιμοποιώντας ένα αίτημα ARP.
-
Ο έλεγχος για πρόσβαση στο Διαδίκτυο μέσω αυτής της πύλης ήταν επιτυχής.
Διαφορετικά, η πύλη θεωρείται απρόσιτη.
Στην ενότητα "DNS", πρέπει να προσθέσετε τους διακομιστές DNS που θα χρησιμοποιήσει το UserGate. Αυτή η ρύθμιση καθορίζεται στην περιοχή Διακομιστές DNS συστήματος. Ακολουθούν οι ρυθμίσεις για τη διαχείριση ερωτημάτων DNS από χρήστες. Το UserGate σάς επιτρέπει να χρησιμοποιείτε διακομιστές μεσολάβησης DNS. Η υπηρεσία διακομιστή μεσολάβησης DNS σάς επιτρέπει να παρακολουθείτε αιτήματα DNS από χρήστες και να τα τροποποιείτε ανάλογα με τις ανάγκες του διαχειριστή. Χρησιμοποιώντας κανόνες διακομιστή μεσολάβησης DNS, μπορείτε να καθορίσετε τους διακομιστές DNS στους οποίους προωθούνται τα ερωτήματα για συγκεκριμένους τομείς. Επιπλέον, χρησιμοποιώντας έναν διακομιστή μεσολάβησης DNS, μπορείτε να ορίσετε στατικές εγγραφές του τύπου κεντρικού υπολογιστή (A-record).
Στην ενότητα "NAT and Routing", πρέπει να δημιουργήσετε τους απαραίτητους κανόνες NAT. Για πρόσβαση στο Διαδίκτυο για χρήστες του αξιόπιστου δικτύου, έχει ήδη δημιουργηθεί ο κανόνας NAT - "Trusted-> Untrusted", μένει μόνο να τον ενεργοποιήσουμε. Οι κανόνες εφαρμόζονται από πάνω προς τα κάτω με τη σειρά που εμφανίζονται στην κονσόλα. Μόνο ο πρώτος κανόνας εκτελείται πάντα, για τον οποίο ταιριάζουν οι συνθήκες που καθορίζονται στον κανόνα. Για να ενεργοποιηθεί ο κανόνας, πρέπει να ταιριάζουν όλες οι συνθήκες που καθορίζονται στις παραμέτρους του κανόνα. Το UserGate συνιστά τη δημιουργία γενικών κανόνων NAT, για παράδειγμα, ενός κανόνα NAT από το τοπικό δίκτυο (συνήθως η αξιόπιστη ζώνη) στο Διαδίκτυο (συνήθως η μη αξιόπιστη ζώνη) και τον περιορισμό της πρόσβασης από χρήστες, υπηρεσίες, εφαρμογές που χρησιμοποιούν κανόνες τείχους προστασίας.
Είναι επίσης δυνατή η δημιουργία κανόνων DNAT, προώθησης θυρών, δρομολόγησης βάσει πολιτικής, χαρτογράφησης δικτύου.
Μετά από αυτό, στην ενότητα "Τείχος προστασίας", πρέπει να δημιουργήσετε κανόνες τείχους προστασίας. Για απεριόριστη πρόσβαση στο Διαδίκτυο για τους χρήστες του αξιόπιστου δικτύου, έχει ήδη δημιουργηθεί ένας κανόνας τείχους προστασίας - "Internet for Trusted" και πρέπει να ενεργοποιηθεί. Χρησιμοποιώντας κανόνες τείχους προστασίας, ο διαχειριστής μπορεί να επιτρέψει ή να απορρίψει οποιονδήποτε τύπο διαμετακομιστικής κίνησης δικτύου που διέρχεται μέσω του UserGate. Οι συνθήκες κανόνων μπορεί να είναι ζώνες και διευθύνσεις IP πηγής/προορισμού, χρήστες και ομάδες, υπηρεσίες και εφαρμογές. Οι κανόνες εφαρμόζονται με τον ίδιο τρόπο όπως στην ενότητα "NAT and Routing", π.χ. από πάνω προς τα κάτω. Εάν δεν δημιουργηθούν κανόνες, τότε απαγορεύεται οποιαδήποτε διέλευση μέσω του UserGate.
4. Συμπέρασμα
Αυτό το άρθρο έφτασε στο τέλος του. Εγκαταστήσαμε το τείχος προστασίας UserGate στην εικονική μηχανή και κάναμε τις ελάχιστες απαραίτητες ρυθμίσεις για να λειτουργεί το Διαδίκτυο στο αξιόπιστο δίκτυο. Περαιτέρω διαμόρφωση θα εξεταστεί στα ακόλουθα άρθρα.
Μείνετε συντονισμένοι για ενημερώσεις στα κανάλια μας (, , , )!
Πηγή: www.habr.com