2. UserGate شروع به کار. الزامات، نصب

سلام، این دومین مقاله در مورد راه حل NGFW از این شرکت است یوزر گیت. هدف از این مقاله نشان دادن نحوه نصب فایروال UserGate بر روی یک سیستم مجازی (من از نرم افزار مجازی سازی VMware Workstation استفاده خواهم کرد) و انجام تنظیمات اولیه آن (اجازه دسترسی از شبکه محلی از طریق دروازه UserGate به اینترنت) است.   

1 مقدمه

برای شروع، من روش های مختلف برای پیاده سازی این دروازه در شبکه را شرح خواهم داد. می خواهم توجه داشته باشم که بسته به گزینه اتصال انتخاب شده، برخی از عملکردهای دروازه ممکن است در دسترس نباشد. راه حل UserGate از حالت های اتصال زیر پشتیبانی می کند: 

• فایروال L3-L7

• پل شفاف L2

• پل شفاف L3

• با استفاده از پروتکل WCCP، تقریباً به شکاف وارد شده است

• تقریباً در شکاف، با استفاده از مسیریابی مبتنی بر سیاست

• روتر روی استیک

• پروکسی WEB به صراحت مشخص شده است

• UserGate به عنوان دروازه پیش فرض

• مانیتورینگ پورت آینه ای

UserGate از 2 نوع خوشه پشتیبانی می کند:

1. پیکربندی خوشه گره‌هایی که در یک خوشه پیکربندی ترکیب می‌شوند تنظیمات ثابتی را در سراسر خوشه حفظ می‌کنند.

2. خوشه شکست. حداکثر 4 گره خوشه پیکربندی را می توان در یک خوشه شکستی ترکیب کرد که از عملکرد در حالت فعال-فعال یا فعال-پسیو پشتیبانی می کند. امکان جمع آوری چندین خوشه شکست وجود دارد.

2. نصب و راه اندازی

همانطور که در مقاله قبل ذکر شد، یوزر گیت به عنوان یک بسته سخت افزاری و نرم افزاری عرضه شده و یا در یک محیط مجازی مستقر شده است. از حساب شخصی شما در وب سایت یوزر گیت تصویر را در OVF (فرمت مجازی سازی باز) دانلود کنید، این فرمت برای فروشندگان VMWare و Oracle Virtualbox مناسب است. تصاویر دیسک ماشین مجازی برای Microsoft Hyper-v و KVM ارائه شده است.

به گفته وب سایت یوزر گیت، برای عملکرد صحیح ماشین مجازی، استفاده از حداقل 8 گیگابایت رم و پردازنده مجازی 2 هسته ای توصیه می شود. هایپروایزر باید از سیستم عامل های 64 بیتی پشتیبانی کند.

نصب با وارد کردن تصویر به هایپروایزر انتخاب شده (VirtualBox و VMWare) آغاز می شود. در مورد Microsoft Hyper-v و KVM، باید یک ماشین مجازی ایجاد کنید و تصویر دانلود شده را به عنوان دیسک مشخص کنید و سپس خدمات یکپارچه سازی را در تنظیمات ماشین مجازی ایجاد شده غیرفعال کنید.

به طور پیش فرض، پس از وارد کردن به VMWare، یک ماشین مجازی با تنظیمات زیر ایجاد می شود:

همانطور که در بالا نوشته شد، باید حداقل 8 گیگابایت رم وجود داشته باشد و علاوه بر این باید به ازای هر 1 کاربر، 100 گیگابایت رم اضافه کنید. اندازه پیش‌فرض هارد 100 گیگابیت است، اما معمولاً برای ذخیره کردن همه گزارش‌ها و تنظیمات کافی نیست. اندازه توصیه شده 300 گیگابایت یا بیشتر است. بنابراین در ویژگی های ماشین مجازی، اندازه دیسک را به دلخواه تغییر می دهیم. در ابتدا، UTM مجازی UserGate با چهار رابط اختصاص داده شده به مناطق ارائه می شود:

مدیریت - اولین رابط ماشین مجازی، منطقه ای برای اتصال شبکه های قابل اعتماد که مدیریت UserGate از آن مجاز است.

Trusted دومین رابط ماشین مجازی است، منطقه ای برای اتصال شبکه های قابل اعتماد، به عنوان مثال، شبکه های LAN.

Untrusted سومین رابط ماشین مجازی است، منطقه ای برای رابط های متصل به شبکه های غیرقابل اعتماد، به عنوان مثال، به اینترنت.

DMZ چهارمین رابط ماشین مجازی است، منطقه ای برای رابط های متصل به شبکه DMZ.

در مرحله بعد، ماشین مجازی را راه اندازی می کنیم، اگرچه دفترچه راهنما می گوید که باید ابزارهای پشتیبانی را انتخاب کنید و UTM را بازنشانی کارخانه ای انجام دهید، اما همانطور که می بینید، تنها یک انتخاب وجود دارد (UTM First Boot). در طی این مرحله، UTM آداپتورهای شبکه را پیکربندی می کند و اندازه پارتیشن هارد دیسک را به اندازه کامل دیسک افزایش می دهد:

برای اتصال به رابط وب یوزر گیت، باید از طریق ناحیه مدیریت وارد شوید، رابط eth0 این وظیفه را بر عهده دارد که برای دریافت آدرس IP به صورت خودکار (DHCP) پیکربندی شده است. اگر نمی توان به طور خودکار یک آدرس برای رابط مدیریت با استفاده از DHCP اختصاص داد، می توان آن را به صراحت با استفاده از CLI (واسط خط فرمان) تنظیم کرد. برای انجام این کار، باید با استفاده از یک نام کاربری و رمز عبور با حقوق کامل سرپرست (Admin با حروف بزرگ به طور پیش فرض) وارد CLI شوید. اگر دستگاه UserGate تحت مقداردهی اولیه قرار نگرفته باشد، برای دسترسی به CLI باید از Admin به عنوان نام کاربری و utm به عنوان رمز عبور استفاده کنید. و دستوری مانند iface config –name eth0 –ipv4 192.168.1.254/24 – enable true –mode static را تایپ کنید. بعداً به کنسول وب UserGate در آدرس مشخص شده می رویم، باید چیزی شبیه به این باشد: https://UserGateIPaddress:8001:

در کنسول وب نصب را ادامه می دهیم، باید زبان رابط (در حال حاضر روسی یا انگلیسی)، منطقه زمانی را انتخاب کنیم، سپس توافق نامه مجوز را بخوانید و با آن موافقت کنید. برای ورود به رابط مدیریت وب، لاگین و رمز عبور را تنظیم کنید.

3. تنظیم

پس از نصب، پنجره رابط وب مدیریت پلت فرم به این صورت است:

سپس باید رابط های شبکه را پیکربندی کنید. برای انجام این کار، در بخش "Interfaces" باید آنها را فعال کنید، آدرس های IP صحیح را تنظیم کنید و مناطق مناسب را اختصاص دهید.

بخش "Interfaces" تمام رابط های فیزیکی و مجازی موجود در سیستم را نمایش می دهد، به شما امکان می دهد تنظیمات آنها را تغییر دهید و رابط های VLAN را اضافه کنید. همچنین تمام رابط های هر گره خوشه ای را نشان می دهد. تنظیمات رابط مخصوص هر گره است، یعنی جهانی نیستند.

در ویژگی های رابط:

• رابط را فعال یا غیرفعال کنید 

• نوع رابط را مشخص کنید - لایه 3 یا آینه

• یک منطقه را به یک رابط اختصاص دهید

• یک نمایه Netflow برای ارسال داده های آماری به جمع کننده Netflow اختصاص دهید

• پارامترهای فیزیکی رابط - آدرس MAC و اندازه MTU را تغییر دهید

• نوع تخصیص آدرس IP را انتخاب کنید - بدون آدرس، آدرس IP ثابت یا از طریق DHCP به دست آمده است

• رله DHCP را روی رابط انتخاب شده پیکربندی کنید.

دکمه "افزودن" به شما امکان می دهد انواع رابط های منطقی زیر را اضافه کنید:

• VLAN ها

• رابطه، رشته

• پل

• PPPoE

• VPN

• تونل

علاوه بر مناطق فهرست شده قبلی که تصویر Usergate با آنها ارسال می شود، سه نوع از پیش تعریف شده دیگر نیز وجود دارد:

Cluster - منطقه برای رابط های مورد استفاده برای عملیات خوشه

VPN برای Site-to-Site - منطقه ای که در آن همه مشتریان Office-Office متصل به UserGate از طریق VPN قرار می گیرند.

VPN برای دسترسی از راه دور - منطقه ای که شامل تمام کاربران تلفن همراه متصل به UserGate از طریق VPN است

مدیران یوزر گیت می توانند تنظیمات مناطق پیش فرض را تغییر دهند و همچنین مناطق اضافی ایجاد کنند، اما همانطور که در کتابچه راهنمای نسخه 5 بیان شده است، حداکثر می توان 15 منطقه ایجاد کرد. برای تغییر یا ایجاد آنها باید به قسمت zone بروید. برای هر منطقه، می توانید یک آستانه افت بسته تنظیم کنید؛ SYN، UDP، ICMP پشتیبانی می شوند. کنترل دسترسی به سرویس‌های Usergate نیز پیکربندی شده است و محافظت در برابر جعل فعال است.

پس از پیکربندی رابط‌ها، باید مسیر پیش‌فرض را در بخش «Gateways» پیکربندی کنید. آن ها برای اتصال UserGate به اینترنت، باید آدرس IP یک یا چند دروازه را مشخص کنید. اگر از چندین ارائه دهنده برای اتصال به اینترنت استفاده می کنید، باید چندین دروازه را مشخص کنید. پیکربندی دروازه برای هر گره خوشه منحصر به فرد است. اگر دو یا چند دروازه مشخص شده باشد، 2 گزینه ممکن است:

1. ایجاد تعادل در ترافیک بین دروازه ها

2. دروازه اصلی با تعویض به یک یدکی.

وضعیت دروازه (در دسترس - سبز، در دسترس نیست - قرمز) به شرح زیر تعیین می شود:

1. بررسی شبکه غیرفعال است - در صورتی که UserGate بتواند آدرس MAC خود را با استفاده از یک درخواست ARP بدست آورد، یک دروازه قابل دسترسی در نظر گرفته می شود. هیچ بررسی برای دسترسی به اینترنت از طریق این دروازه وجود ندارد. اگر آدرس MAC دروازه را نتوان تعیین کرد، دروازه غیرقابل دسترسی در نظر گرفته می شود.

2. بررسی شبکه فعال است - دروازه در صورتی قابل دسترسی است که:

• UserGate می تواند آدرس MAC خود را با استفاده از درخواست ARP بدست آورد.

• بررسی دسترسی به اینترنت از طریق این دروازه با موفقیت انجام شد.

در غیر این صورت، دروازه غیر قابل دسترس تلقی می شود.

در بخش "DNS" باید سرورهای DNS را که UserGate استفاده خواهد کرد اضافه کنید. این تنظیم در قسمت System DNS Servers مشخص شده است. در زیر تنظیماتی برای مدیریت درخواست‌های DNS از سوی کاربران آمده است. UserGate به شما امکان استفاده از پروکسی DNS را می دهد. سرویس پروکسی DNS به شما این امکان را می دهد که درخواست های DNS کاربران را رهگیری کرده و بسته به نیاز مدیر آنها را تغییر دهید. قوانین پروکسی DNS را می توان برای تعیین سرورهای DNS که درخواست های دامنه های خاص به آن ها ارسال می شود، استفاده کرد. علاوه بر این، با استفاده از یک پروکسی DNS، می توانید رکوردهای ایستا از نوع میزبان ( رکورد A) را تنظیم کنید.

در بخش NAT and Routing باید قوانین NAT لازم را ایجاد کنید. برای دسترسی کاربران شبکه Trusted به اینترنت، قانون NAT قبلا ایجاد شده است - "Trusted-> Untrusted"، تنها چیزی که باقی می ماند فعال کردن آن است. قوانین از بالا به پایین به ترتیبی که در کنسول فهرست شده اند اعمال می شوند. فقط اولین قانون که شرایط مشخص شده در قانون برای آن مطابقت دارد همیشه اجرا می شود. برای اینکه قانون راه اندازی شود، تمام شرایط مشخص شده در پارامترهای قانون باید مطابقت داشته باشند. UserGate ایجاد قوانین عمومی NAT را توصیه می کند، به عنوان مثال، یک قانون NAT از یک شبکه محلی (معمولاً یک منطقه مورد اعتماد) به اینترنت (معمولاً یک منطقه غیرقابل اعتماد) و محدود کردن دسترسی کاربران، خدمات و برنامه ها با استفاده از قوانین فایروال.

همچنین امکان ایجاد قوانین DNAT، ارسال پورت، مسیریابی مبتنی بر سیاست، نقشه‌برداری شبکه وجود دارد.

پس از این، در بخش "فایروال" باید قوانین فایروال را ایجاد کنید. برای دسترسی نامحدود به اینترنت برای کاربران شبکه Trusted، یک قانون فایروال نیز قبلا ایجاد شده است - "Internet for Trusted" و باید فعال شود. با استفاده از قوانین فایروال، مدیر می تواند هر نوع ترافیک شبکه حمل و نقلی را که از UserGate عبور می کند، مجاز یا رد کند. شرایط قانون می تواند شامل مناطق و آدرس های IP مبدا/مقصد، کاربران و گروه ها، سرویس ها و برنامه ها باشد. قوانین به همان روشی که در بخش NAT and Routing اعمال می شود، یعنی. بالا پایین. اگر هیچ قانونی ایجاد نشده باشد، هرگونه ترافیک ترانزیت از طریق UserGate ممنوع است.

4. نتیجه گیری

این مقاله را به پایان می رساند. ما فایروال UserGate را روی یک ماشین مجازی نصب کردیم و حداقل تنظیمات لازم برای کار اینترنت در شبکه Trusted را انجام دادیم. در مقالات بعدی تنظیمات بیشتری را در نظر خواهیم گرفت.

کانال های ما را برای به روز رسانی دنبال کنید (تلگرام, فیس بوک, VK, وبلاگ راه حل TS)!

منبع: www.habr.com