Tere, see on ettevõtte teine artikkel NGFW lahenduse kohta . Selle artikli eesmärk on näidata, kuidas installida UserGate'i tulemüür virtuaalsesse süsteemi (kasutan VMware Workstationi virtualiseerimistarkvara) ja teostada selle esialgne konfigureerimine (lubada juurdepääsu kohtvõrgust UserGate lüüsi kaudu Internetti).
1. Sissejuhatus
Alustuseks kirjeldan erinevaid viise selle lüüsi juurutamiseks võrku. Tahaksin märkida, et olenevalt valitud ühendusvalikust ei pruugi lüüsi teatud funktsioonid saadaval olla. UserGate'i lahendus toetab järgmisi ühendusrežiime:
-
L3-L7 tulemüür
-
L2 läbipaistev sild
-
L3 läbipaistev sild
-
Praktiliselt in-line, kasutades WCCP protokolli
-
Poliitikapõhist marsruutimist kasutades praktiliselt lünka
-
Ruuter pulgal
-
Määrake selgesõnaliselt WEB-puhverserver
-
UserGate vaikelüüsina
-
Peegelpordi jälgimine
UserGate toetab kahte tüüpi klastreid:
-
konfiguratsiooniklaster. Konfiguratsiooniklastrisse rühmitatud sõlmed säilitavad kogu klastris ühtsed sätted.
-
Rikkumisklaster. Konfiguratsiooniklastri kuni 4 sõlme saab ühendada tõrkesiirdeklastriks, mis toetab toimimist aktiivse-aktiivse või aktiivse-passiivse režiimis. Võimalik on ehitada mitu tõrkesiirdeklastrit.
2. Paigaldamine
Nagu eelmises artiklis mainitud, tarnitakse UserGate riistvara-tarkvara kompleksina või juurutatakse virtuaalses keskkonnas. Teie isiklikult saidi kontolt laadige pilt alla OVF-vormingus (Open Virtualization Format), see formaat sobib VMWare'i ja Oracle Virtualboxi tootjatele. Microsoft Hyper-v ja KVM jaoks on saadaval virtuaalmasina kettakujutised.
Virtuaalmasina korrektseks tööks on UserGate’i veebisaidi andmetel soovitatav kasutada vähemalt 8Gb RAM-i ja 2-tuumalist virtuaalprotsessorit. Hüpervisor peab toetama 64-bitiseid operatsioonisüsteeme.
Installimine algab pildi importimisest valitud hüperviisorisse (VirtualBox ja VMWare). Microsoft Hyper-v ja KVM puhul tuleb luua virtuaalmasin ja määrata allalaaditav pilt kettana ning seejärel keelata loodud virtuaalmasina seadetes integratsiooniteenused.
Vaikimisi luuakse pärast VMWare'i importimist virtuaalmasin järgmiste sätetega:
Nagu ülalpool kirjutati, peaks RAM olema vähemalt 8Gb ja lisaks tuleb iga 1 kasutaja kohta lisada 100Gb. Kõvaketta vaikimisi suurus on 100 Gb, kuid sellest ei piisa tavaliselt kõigi logide ja sätete salvestamiseks. Soovitatav suurus on 300 Gb või rohkem. Seetõttu muutke virtuaalmasina atribuutides ketta suurus soovitud suuruseks. Esialgu on virtuaalsel UserGate UTM-il neli tsoonidele määratud liidest:
Haldus - virtuaalmasina esimene liides, usaldusväärsete võrkude ühendamise tsoon, kust UserGate'i haldamine on lubatud.
Usaldusväärne - virtuaalse masina teine liides, tsoon usaldusväärsete võrkude, näiteks LAN-võrkude ühendamiseks.
Ebausaldusväärne – virtuaalmasina kolmas liides, ebausaldusväärsete võrkudega, näiteks Internetiga, ühendatud liideste tsoon.
DMZ – virtuaalmasina neljas liides, DMZ-võrguga ühendatud liideste tsoon.
Järgmisena käivitame virtuaalmasina, kuigi juhendis on kirjas, et peate valima tugitööriistad ja tegema UTM-i tehaseseadetele lähtestamise, kuid nagu näete, on ainult üks valik (UTM First Boot). Selle etapi käigus konfigureerib UTM võrguadapterid ja suurendab kõvaketta partitsiooni draivi täissuuruseni:
UserGate'i veebiliidesega ühenduse loomiseks peate läbima haldustsooni, selle eest vastutab eth0 liides, mis on konfigureeritud IP-aadressi vastu võtma automaatrežiimis (DHCP). Kui haldusliidese aadressi ei ole võimalik DHCP abil automaatselt määrata, saab selle CLI (käsurea liidese) abil selgesõnaliselt määrata. Selleks tuleb CLI-sse sisse logida kasutajanime ja parooliga täielike administraatoriõigustega (vaikimisi Admin suure algustähega). Kui UserGate'i seade pole esialgset lähtestamist läbinud, peate CLI-le juurdepääsuks kasutama kasutajanimena Admin ja paroolina utm. Ja tippige käsk nagu iface config -name eth0 -ipv4 192.168.1.254/24 -enable true -mode static. Hiljem läheme määratud aadressil UserGate'i veebikonsooli, see peaks välja nägema umbes selline:https://UserGateIPaddress:8001:
Veebikonsoolis jätkame installimist, peame valima liidese keele (praegu on see vene või inglise keel), ajavööndi, seejärel loeme litsentsilepingu ja nõustume sellega. Veebihaldusliidese sisenemiseks määrake sisselogimine ja parool.
3. Seadistamine
Pärast installimist näeb platvormihalduse veebiliidese aken välja järgmine:
Seejärel peate konfigureerima võrguliidesed. Selleks peate jaotises "Liidesed" need lubama, määrama õiged IP-aadressid ja määrama sobivad tsoonid.
Jaotises "Liidesed" kuvatakse kõik süsteemis saadaolevad füüsilised ja virtuaalsed liidesed, mis võimaldab muuta nende seadeid ja lisada VLAN liideseid. See näitab ka iga klastri sõlme kõiki liideseid. Liidese sätted on iga sõlme jaoks spetsiifilised, st need ei ole globaalsed.
Liidese atribuutides:
-
Liidese lubamine või keelamine
-
Määrake liidese tüüp – kiht 3 või peegel
-
Liidesele tsooni määramine
-
Määrake Netflow profiil, et saata statistilisi andmeid Netflow kogujale
-
Muutke liidese füüsilisi parameetreid - MAC-aadressi ja MTU suurust
-
Valige IP-aadressi määramise tüüp – aadress puudub, staatiline IP-aadress või saadud DHCP kaudu
-
Konfigureerige DHCP-relee töö valitud liidesel.
Nupp Lisa võimaldab lisada järgmist tüüpi loogilisi liideseid:
-
VLAN
-
võlakiri
-
Sild
-
PPPoE
-
VPN
-
Tunnel
Lisaks eelnevalt loetletud tsoonidele, millega Usergate'i pilt kaasas on, on olemas veel kolme tüüpi eelmääratletud tsoone:
Klaster – klastri tööks kasutatavate liideste tsoon
VPN Site-To-Site jaoks – tsoon, kuhu paigutatakse kõik Office-to-Office'i kliendid, mis on VPN-i kaudu kasutajaväravaga ühendatud
VPN kaugjuurdepääsuks - tsoon, kuhu on paigutatud kõik VPN-i kaudu UserGate'iga ühendatud mobiilikasutajad
UserGate'i administraatorid saavad muuta vaikimisi loodud tsoonide sätteid, samuti luua täiendavaid tsoone, kuid nagu on kirjas versiooni 5 juhendis, saate luua kuni 15 tsooni. Nende muutmiseks või loomiseks minge tsooni jaotisesse. Iga tsooni jaoks saate määrata pakettide kukutamise läve, toetatud on SYN, UDP, ICMP. Samuti on konfigureeritud juurdepääsukontroll Usergate'i teenustele ja võltsimiskaitse on lubatud.
Pärast liideste konfigureerimist peate jaotises "Lüüsid" konfigureerima vaikemarsruudi. Need. UserGate'i Internetiga ühendamiseks peate määrama ühe või mitme lüüsi IP-aadressi. Kui Interneti-ühenduse loomiseks kasutatakse mitut pakkujat, tuleb määrata mitu lüüsi. Lüüsi säte on iga klastri sõlme jaoks unikaalne. Kui on määratud kaks või enam lüüsi, on töötamiseks kaks võimalust:
-
Liikluse tasakaalustamine lüüside vahel.
-
Peavärav koos varuväravale üleminekuga.
Lüüsi olek (saadaval - roheline, pole saadaval - punane) on määratletud järgmiselt:
-
Võrgukontroll on keelatud – lüüs loetakse saadaolevaks, kui UserGate saab oma MAC-aadressi ARP-päringu abil. Interneti-juurdepääsu selle lüüsi kaudu ei kontrollita. Kui lüüsi MAC-aadressi ei saa kindlaks teha, peetakse lüüsi kättesaamatuks.
-
Võrgukontroll on lubatud – lüüsi loetakse saadaolevaks, kui:
-
UserGate saab oma MAC-aadressi hankida ARP-päringu abil.
-
Interneti-juurdepääsu kontrollimine selle lüüsi kaudu õnnestus.
Vastasel juhul peetakse lüüsi kättesaamatuks.
Jaotises "DNS" peate lisama DNS-serverid, mida UserGate kasutab. See säte on määratud jaotises Süsteemi DNS-serverid. Allpool on kasutajate DNS-päringute haldamise seaded. UserGate võimaldab kasutada DNS-puhverservereid. DNS-puhverserveri teenus võimaldab teil pealt kuulata kasutajate DNS-i päringuid ja muuta neid vastavalt administraatori vajadustele. DNS-puhverserveri reeglite abil saate määrata DNS-serverid, kuhu konkreetsete domeenide päringud edastatakse. Lisaks saate DNS-puhverserveri abil määrata hostitüübi staatilisi kirjeid (A-kirje).
Jaotises "NAT ja marsruutimine" peate looma vajalikud NAT-reeglid. Usaldusväärse võrgu kasutajatele Internetti pääsemiseks on juba loodud NAT-reegel - “Usaldusväärne-> Unusalded”, jääb üle vaid see lubada. Reegleid rakendatakse ülalt alla nende konsoolis kuvamise järjekorras. Alati täidetakse ainult esimene reegel, mille jaoks reeglis määratud tingimused ühtivad. Reegli käivitamiseks peavad kõik reegli parameetrites määratud tingimused ühtima. UserGate soovitab luua üldised NAT-reeglid, näiteks NAT-reegli kohalikust võrgust (tavaliselt usaldusväärsest tsoonist) Internetti (tavaliselt ebausaldusväärsesse tsooni) ning piirata tulemüürireeglite abil kasutajate, teenuste ja rakenduste juurdepääsu.
Samuti on võimalik luua DNAT reegleid, pordi suunamist, poliitikapõhist marsruutimist, võrgu kaardistamist.
Pärast seda peate jaotises "Tulemüür" looma tulemüürireeglid. Usaldusväärse võrgu kasutajate piiramatu Interneti-juurdepääsu jaoks on juba loodud ka tulemüürireegel - "Internet for Trusted" ja see tuleb lubada. Tulemüürireegleid kasutades saab administraator lubada või keelata mis tahes tüüpi transiitvõrgu liiklust, mis läbib UserGate'i. Reeglitingimusteks võivad olla tsoonid ja allika/sihtkoha IP-aadressid, kasutajad ja rühmad, teenused ja rakendused. Reegleid rakendatakse samamoodi nagu jaotises "NAT ja marsruutimine", st. ülevalt alla. Kui reegleid ei looda, on mis tahes transiitliiklus läbi UserGate'i keelatud.
4. Järeldus
See artikkel on jõudnud lõpule. Paigaldasime virtuaalmasinasse UserGate tulemüüri ja tegime minimaalsed vajalikud sätted Interneti töötamiseks usaldusväärses võrgus. Täiendavaid konfiguratsioone käsitletakse järgmistes artiklites.
Olge kursis meie kanalite uudistega (, , , )!
Allikas: www.habr.com