Saluton, ĉi tiu estas la dua artikolo pri la NGFW-solvo de la kompanio . La celo de ĉi tiu artikolo estas montri kiel instali la fajroŝirmilon UserGate sur virtuala sistemo (mi uzos programaron de virtualigo de VMware Workstation) kaj plenumi ĝian komencan agordon (permesi aliron de la loka reto per la enirejo de UserGate al Interreto).
1. Enkonduko
Por komenci, mi priskribos la diversajn manierojn efektivigi ĉi tiun enirejon en la reto. Mi ŝatus rimarki, ke depende de la elektita konekto-opcio, certa funkcieco de la enirejo eble ne estas disponebla. UserGate-solvo subtenas la sekvajn konektajn reĝimojn:
-
L3-L7 fajroŝirmilo
-
L2 travidebla ponto
-
L3 travidebla ponto
-
Preskaŭ en la interspacon, uzante la WCCP-protokolon
-
Preskaŭ en la breĉo, uzante Policy Based Routing
-
Enkursigilo sur Bastono
-
Eksplicite specifita WEB-prokurilo
-
UserGate kiel defaŭlta enirejo
-
Spegula haveno monitorado
UserGate subtenas 2 specojn de aretoj:
-
Agordo de areto. Nodoj kombinitaj en agordan areton konservas konsekvencajn agordojn tra la areto.
-
Malsukcesa areto. Ĝis 4 agordaj aretnodoj povas esti kombinitaj en malsukcesan areton kiu subtenas operacion en Aktiva-Aktiva aŭ Aktiva-Pasiva reĝimo. Eblas kunveni plurajn malsukcesajn grapojn.
2. Instalado
Kiel menciite en la antaŭa artikolo, UserGate estas liverita kiel aparataro kaj programaro aŭ deplojita en virtuala medio. De via persona konto en la retejo elŝutu la bildon en OVF (Open Virtualization Format), ĉi tiu formato taŭgas por vendistoj de VMWare kaj Oracle Virtualbox. Virtualaj maŝinaj diskobildoj estas liveritaj por Microsoft Hyper-v kaj KVM.
Laŭ la retejo de UserGate, por ke la virtuala maŝino funkcii ĝuste, oni rekomendas uzi almenaŭ 8Gb da RAM kaj 2-kernan virtualan procesoron. La hiperviziero devas subteni 64-bitajn operaciumojn.
La instalado komenciĝas per importado de la bildo en la elektitan hiperviziilon (VirtualBox kaj VMWare). En la kazo de Microsoft Hyper-v kaj KVM, vi devas krei virtualan maŝinon kaj specifi la elŝutitan bildon kiel la diskon, kaj poste malŝalti integrajn servojn en la agordoj de la kreita virtuala maŝino.
Defaŭlte, post importado en VMWare, virtuala maŝino estas kreita kun la sekvaj agordoj:
Kiel estis skribita supre, devas esti almenaŭ 8Gb da RAM kaj krome vi devas aldoni 1Gb por ĉiu 100 uzantoj. La defaŭlta malmola disko estas 100Gb, sed ĉi tio kutime ne sufiĉas por konservi ĉiujn protokolojn kaj agordojn. La rekomendita grandeco estas 300Gb aŭ pli. Tial, en la propraĵoj de la virtuala maŝino, ni ŝanĝas la diskgrandecon al la dezirata. Komence, virtuala UserGate UTM venas kun kvar interfacoj asignitaj al zonoj:
Administrado - la unua interfaco de la virtuala maŝino, zono por konekti fidindajn retojn de kiuj UserGate-administrado estas permesita.
Fidinda estas la dua interfaco de la virtuala maŝino, zono por konekti fidindajn retojn, ekzemple LAN-retojn.
Untrusted estas la tria interfaco de la virtuala maŝino, zono por interfacoj konektitaj al nefidindaj retoj, ekzemple, al la Interreto.
DMZ estas la kvara interfaco de la virtuala maŝino, zono por interfacoj ligitaj al la DMZ-reto.
Tuj poste, ni lanĉas la virtualan maŝinon, kvankam la manlibro diras, ke vi devas elekti Subtenajn Ilojn kaj fari Fabrikan rekomencigon UTM, sed kiel vi povas vidi, ekzistas nur unu elekto (UTM Unua Boto). Dum ĉi tiu paŝo, UTM agordas la retajn adaptilojn kaj pliigas la grandecon de la malmola diskdisko al la plena disko:
Por konektiĝi al la retinterfaco UserGate, vi devas ensaluti tra la Administra zono; ĉi tio estas la respondeco de la interfaco eth0, kiu estas agordita por akiri IP-adreson aŭtomate (DHCP). Se ne eblas asigni adreson por la Administrado-interfaco aŭtomate uzante DHCP, tiam ĝi povas esti eksplicite agordita per la CLI (Komandlinia Interfaco). Por fari tion, vi devas ensaluti al la CLI uzante uzantnomon kaj pasvorton kun Plenaj administrantoj (Administranto kun Majuskla litero defaŭlte). Se la UserGate-aparato ne spertis komencan inicialigon, tiam por aliri la CLI, vi devas uzi Admin kiel uzantnomon kaj utm kiel pasvorton. Kaj tajpu komandon kiel iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Poste ni iras al la retkonzolo UserGate ĉe la specifita adreso, ĝi devus aspekti kiel ĉi tio:https://UserGateIPaddress:8001:
En la retkonzolo ni daŭrigas la instaladon, ni devas elekti la interfacan lingvon (nuntempe ĝi estas rusa aŭ angla), horzono, poste legi kaj konsenti la licencan interkonsenton. Agordu la ensaluton kaj pasvorton por ensaluti en la retadministrada interfaco.
3. Instalado
Post instalado, jen kiel aspektas la fenestro de la retinterfaco pri administrado de platformo:
Tiam vi devas agordi la retajn interfacojn. Por fari tion, en la sekcio "Interfacoj" vi devas ebligi ilin, agordi la ĝustajn IP-adresojn kaj asigni la taŭgajn zonojn.
La sekcio "Interfacoj" montras ĉiujn fizikajn kaj virtualajn interfacojn disponeblajn en la sistemo, permesas vin ŝanĝi iliajn agordojn kaj aldoni VLAN-interfacojn. Ĝi ankaŭ montras ĉiujn interfacojn de ĉiu clusternodo. Interfacagordoj estas specifaj por ĉiu nodo, tio estas, ili ne estas tutmondaj.
En interfacaj propraĵoj:
-
Ebligu aŭ malŝalti la interfacon
-
Specifi interfaco tipo - Tavolo 3 aŭ Spegulo
-
Asigni zonon al interfaco
-
Asignu Netflow-profilon por sendi statistikajn datumojn al la Netflow-kolektanto
-
Ŝanĝu la fizikajn parametrojn de la interfaco - MAC-adreso kaj MTU-grandeco
-
Elektu la tipon de IP-adreso - neniu adreso, statika IP-adreso aŭ akirita per DHCP
-
Agordu la DHCP-relajson sur la elektita interfaco.
La butono "Aldoni" permesas vin aldoni la jenajn specojn de logikaj interfacoj:
-
VLANO
-
Obligacio
-
Ponto
-
PPPoE
-
VPN
-
La tunelo
Aldone al la antaŭe listigitaj zonoj kun kiuj la Usergate-bildo sendas, ekzistas tri pliaj antaŭdifinitaj tipoj:
Areto - zono por interfacoj uzataj por aretfunkciado
VPN por Site-al-Site - zono en kiu ĉiuj Oficejaj klientoj konektitaj al UserGate per VPN estas metitaj
VPN por fora aliro - zono kiu inkluzivas ĉiujn porteblajn uzantojn konektitajn al UserGate per VPN
Administrantoj de UserGate povas ŝanĝi la agordojn de la defaŭltaj zonoj kaj ankaŭ krei pliajn zonojn, sed kiel dirite en la manlibro de versio 5, maksimume 15 zonoj povas esti kreitaj. Por ŝanĝi aŭ krei ilin, vi devas iri al la sekcio de zono. Por ĉiu zono, vi povas agordi pakaĵetsojlon; SYN, UDP, ICMP estas subtenataj. Alirkontrolo al Usergate-servoj ankaŭ estas agordita, kaj protekto kontraŭ falsado estas ebligita.
Post agordo de la interfacoj, vi devas agordi la defaŭltan itineron en la sekcio "Enirejoj". Tiuj. Por konekti UserGate al la Interreto, vi devas specifi la IP-adreson de unu aŭ pluraj enirejoj. Se vi uzas plurajn provizantojn por konekti al la Interreto, vi devas specifi plurajn enirejojn. La enirejo-konfiguracio estas unika por ĉiu aretnodo. Se du aŭ pli da enirejoj estas specifitaj, 2 opcioj estas eblaj:
-
Ekvilibro de trafiko inter enirejoj.
-
La ĉefa enirejo kun ŝanĝado al rezerva.
La enirejo-statuso (disponebla - verda, nedisponebla - ruĝa) estas determinita jene:
-
Retkontrolado estas malŝaltita - enirejo estas konsiderita alirebla se UserGate povas akiri sian MAC-adreson uzante ARP-peton. Ne estas kontrolo por Interreta aliro per ĉi tiu enirejo. Se la MAC-adreso de la enirejo ne povas esti determinita, la enirejo estas konsiderita neatingebla.
-
Retokontrolado estas ebligita - la enirejo estas konsiderata alirebla se:
-
UserGate povas akiri sian MAC-adreson uzante ARP-peton.
-
La kontrolo pri Interreta aliro per ĉi tiu enirejo estis sukcese kompletigita.
Alie, la enirejo estas konsiderata neatingebla.
En la sekcio "DNS" vi devas aldoni la DNS-servilojn, kiujn UserGate uzos. Ĉi tiu agordo estas specifita en la areo Sistemo DNS-Serviloj. Malsupre estas agordoj por administri DNS-petojn de uzantoj. UserGate permesas vin uzi DNS-prokurilon. La DNS-prokura servo permesas vin kapti DNS-petojn de uzantoj kaj ŝanĝi ilin laŭ la bezonoj de la administranto. DNS-prokuraj reguloj povas esti uzataj por specifi la DNS-servilojn al kiuj petoj por specifaj domajnoj estas plusenditaj. Krome, uzante DNS-prokurilon, vi povas agordi statikajn rekordojn de la gastiga tipo (A-rekordo).
En la sekcio "NAT kaj Vokado" vi devas krei la necesajn NAT-regulojn. Por aliro al Interreto de uzantoj de la Trusted-reto, la NAT-regulo jam estas kreita - "Trusted->Untrusted", restas nur ebligi ĝin. Reguloj estas aplikataj de supre ĝis malsupre en la ordo, kiam ili estas listigitaj en la konzolo. Nur la unua regulo por kiu la kondiĉoj specifitaj en la regulo kongruas ĉiam estas ekzekutitaj. Por ke la regulo estu ekigita, ĉiuj kondiĉoj specifitaj en la regulparametroj devas kongrui. UserGate rekomendas krei ĝeneralajn NAT-regulojn, ekzemple, NAT-regulon de loka reto (kutime Fidinda zono) ĝis la Interreto (kutime Nefidinda zono), kaj limigi aliron de uzantoj, servoj kaj aplikoj uzantaj fajroŝirmigajn regulojn.
Eblas ankaŭ krei DNAT-regulojn, havensendadon, Politik-bazitan vojigon, Retan mapadon.
Post ĉi tio, en la sekcio "Fajrumuro" vi devas krei regulojn pri fajroŝirmilo. Por senlima aliro al Interreto por uzantoj de la Fidinda reto, ankaŭ jam estas kreita fajroŝirmila regulo - "Interreto por Fidindaj" kaj devas esti ebligita. Uzante fajroŝirmigajn regulojn, la administranto povas permesi aŭ nei ajnan tipon de trafika reto tra UserGate. Regulkondiĉoj povas inkluzivi zonojn kaj fontajn/celajn IP-adresojn, uzantojn kaj grupojn, servojn kaj aplikojn. La reguloj validas same kiel en la sekcio "NAT kaj Vokado", t.e. supre malsupren. Se neniuj reguloj estis kreitaj, tiam ajna trafika trafiko tra UserGate estas malpermesita.
4. Konkludo
Ĉi tio finas la artikolon. Ni instalis la fajroŝirmilon UserGate sur virtuala maŝino kaj faris la minimumajn necesajn agordojn por ke Interreto funkciu en la Fidinda reto. Ni konsideros plian agordon en la sekvaj artikoloj.
Restu agordita por ĝisdatigoj en niaj kanaloj (, , , )!
fonto: www.habr.com