Hei, tämä on yrityksen toinen artikkeli NGFW-ratkaisusta . Tämän artikkelin tarkoituksena on näyttää, kuinka UserGate-palomuuri asennetaan virtuaaliseen järjestelmään (käytän VMware Workstationin virtualisointiohjelmistoa) ja sen alkumääritykset (salli pääsy paikallisverkosta UserGate-yhdyskäytävän kautta Internetiin).
1. Esittely
Aluksi kuvailen erilaisia tapoja toteuttaa tämä yhdyskäytävä verkkoon. Haluan huomauttaa, että valitusta yhteysvaihtoehdosta riippuen tietyt yhdyskäytävän toiminnot eivät välttämättä ole käytettävissä. UserGate-ratkaisu tukee seuraavia yhteystiloja:
-
L3-L7 palomuuri
-
L2 läpinäkyvä silta
-
L3 läpinäkyvä silta
-
Käytännössä aukkoon WCCP-protokollan avulla
-
Käytännössä käytäntöön perustuvaa reititystä käyttämällä
-
Reititin tikulla
-
Eksplisiittisesti määritetty WEB-välityspalvelin
-
UserGate oletusyhdyskäytävänä
-
Peiliportin valvonta
UserGate tukee 2 tyyppistä klustereita:
-
Klusterin kokoonpano. Konfigurointiklusteriksi yhdistetyt solmut ylläpitävät yhdenmukaisia asetuksia koko klusterissa.
-
Failover-klusteri. Jopa 4 kokoonpanoklusterin solmua voidaan yhdistää vikasietoklusteriksi, joka tukee toimintaa Active-Active- tai Active-Passive-tilassa. On mahdollista koota useita vikasietoklustereita.
2. Asennus
Kuten edellisessä artikkelissa mainittiin, UserGate toimitetaan laitteisto- ja ohjelmistopakettina tai se otetaan käyttöön virtuaaliympäristössä. Omalta henkilökohtaiselta tililtäsi verkkosivustolla Lataa kuva OVF-muodossa (Open Virtualization Format), tämä muoto sopii VMWaren ja Oracle Virtualboxin toimittajille. Virtuaalikoneen levyotokset toimitetaan Microsoft Hyper-v:lle ja KVM:lle.
UserGate-verkkosivuston mukaan virtuaalikoneen oikein toimimiseksi on suositeltavaa käyttää vähintään 8 Gt RAM-muistia ja 2-ytimistä virtuaaliprosessoria. Hypervisorin on tuettava 64-bittisiä käyttöjärjestelmiä.
Asennus alkaa tuomalla kuva valittuun hypervisoriin (VirtualBox ja VMWare). Microsoft Hyper-v:n ja KVM:n tapauksessa sinun on luotava virtuaalikone ja määritettävä ladattu kuva levyksi ja poistettava sitten integrointipalvelut luodun virtuaalikoneen asetuksista.
Oletusarvoisesti virtuaalikone luodaan VMWareen tuonnin jälkeen seuraavilla asetuksilla:
Kuten yllä kirjoitettiin, RAM-muistia tulee olla vähintään 8 Gt ja lisäksi sinun on lisättävä 1 Gt jokaista 100 käyttäjää kohden. Kiintolevyn oletuskoko on 100 Gt, mutta se ei yleensä riitä kaikkien lokien ja asetusten tallentamiseen. Suositeltu koko on 300 Gt tai enemmän. Siksi virtuaalikoneen ominaisuuksissa muutamme levyn koon halutuksi. Aluksi virtuaalisessa UserGate UTM:ssä on neljä vyöhykkeille määritettyä rajapintaa:
Hallinta - virtuaalikoneen ensimmäinen käyttöliittymä, vyöhyke luotettujen verkkojen yhdistämiseksi, josta UserGate-hallinta on sallittu.
Trusted on virtuaalikoneen toinen rajapinta, vyöhyke luotettujen verkkojen, esimerkiksi LAN-verkkojen, yhdistämiseen.
Untrusted on virtuaalikoneen kolmas rajapinta, vyöhyke rajapinnoille, jotka on kytketty epäluotettaviin verkkoihin, esimerkiksi Internetiin.
DMZ on virtuaalikoneen neljäs rajapinta, vyöhyke DMZ-verkkoon liitetyille liitännöille.
Seuraavaksi käynnistämme virtuaalikoneen, vaikka ohjeessa sanotaan, että sinun on valittava tukityökalut ja suoritettava tehdasasetusten palautus UTM, mutta kuten näet, vaihtoehtoja on vain yksi (UTM First Boot). Tämän vaiheen aikana UTM määrittää verkkosovittimet ja suurentaa kiintolevyosion koon levyn täyteen kokoon:
Yhdistääksesi UserGate-verkkoliittymään, sinun on kirjauduttava sisään hallintavyöhykkeen kautta, tästä vastaa eth0-liitäntä, joka on määritetty saamaan IP-osoite automaattisesti (DHCP). Jos hallintaliittymälle ei ole mahdollista määrittää osoitetta automaattisesti DHCP:n avulla, se voidaan määrittää eksplisiittisesti CLI:n (Command Line Interface) avulla. Tätä varten sinun on kirjauduttava CLI:hen käyttäjätunnuksella ja salasanalla, joilla on täydet järjestelmänvalvojan oikeudet (Admin isolla kirjaimella oletuksena). Jos UserGate-laitteelle ei ole tehty alustavaa alustusta, sinun on käytettävä CLI:tä Admin käyttäjänimenä ja utm salasanana. Ja kirjoita komento kuten iface config –nimi eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Myöhemmin siirrymme UserGate-verkkokonsoliin määritettyyn osoitteeseen, sen pitäisi näyttää suunnilleen tältä:https://UserGateIPaddress:8001:
Verkkokonsolissa jatkamme asennusta, meidän on valittava käyttöliittymän kieli (tällä hetkellä se on venäjä tai englanti), aikavyöhyke, lue ja hyväksy lisenssisopimus. Aseta verkkohallintaliittymään kirjautumistunnus ja salasana.
3. Asennus
Asennuksen jälkeen alustanhallinnan verkkokäyttöliittymäikkuna näyttää tältä:
Sitten sinun on määritettävä verkkoliitännät. Voit tehdä tämän "Liitännät" -osiossa sinun on otettava ne käyttöön, asetettava oikeat IP-osoitteet ja määritettävä asianmukaiset vyöhykkeet.
"Liitännät" -osiossa näkyvät kaikki järjestelmässä käytettävissä olevat fyysiset ja virtuaaliset rajapinnat, voit muuttaa niiden asetuksia ja lisätä VLAN-liitäntöjä. Se näyttää myös jokaisen klusterin solmun kaikki rajapinnat. Liitäntäasetukset ovat jokaiselle solmukohtaisia, eli ne eivät ole globaaleja.
Käyttöliittymän ominaisuuksissa:
-
Ota käyttöliittymä käyttöön tai poista se käytöstä
-
Määritä käyttöliittymätyyppi - Layer 3 tai Mirror
-
Määritä vyöhyke rajapinnalle
-
Määritä Netflow-profiili lähettääksesi tilastotietoja Netflow-keräilijälle
-
Muuta liitännän fyysisiä parametreja - MAC-osoite ja MTU-koko
-
Valitse IP-osoitteen määrityksen tyyppi - ei osoitetta, staattinen IP-osoite tai saatu DHCP:n kautta
-
Määritä valitun liitännän DHCP-rele.
"Lisää" -painikkeella voit lisätä seuraavan tyyppisiä loogisia liitäntöjä:
-
VLAN
-
side
-
silta
-
PPPoE
-
VPN
-
Tunneli
Aiemmin lueteltujen vyöhykkeiden lisäksi, joiden kanssa Usergate-kuva toimitetaan, on kolme muuta ennalta määritettyä tyyppiä:
Klusteri - vyöhyke klusterin toimintaan käytettäville liitännöille
Site-to-Site VPN - vyöhyke, johon kaikki Office-Office-asiakkaat, jotka on yhdistetty UserGateen VPN:n kautta, sijoitetaan
VPN etäkäyttöä varten - vyöhyke, joka sisältää kaikki mobiilikäyttäjät, jotka on yhdistetty UserGateen VPN:n kautta
UserGate-järjestelmänvalvojat voivat muuttaa oletusvyöhykkeiden asetuksia ja myös luoda lisävyöhykkeitä, mutta kuten version 5 käsikirjassa todetaan, vyöhykkeitä voidaan luoda enintään 15. Jos haluat muuttaa tai luoda niitä, sinun on siirryttävä vyöhyke-osioon. Jokaiselle vyöhykkeelle voit asettaa pakettien pudotuksen kynnyksen; SYN, UDP ja ICMP ovat tuettuja. Usergate-palveluiden pääsynhallinta on myös määritetty, ja suojaus huijauksia vastaan on käytössä.
Liitäntöjen konfiguroinnin jälkeen sinun on määritettävä oletusreitti "Yhdyskäytävät" -osiossa. Nuo. Jotta UserGate voidaan yhdistää Internetiin, sinun on määritettävä yhden tai useamman yhdyskäytävän IP-osoite. Jos käytät useita palveluntarjoajia Internet-yhteyden muodostamiseen, sinun on määritettävä useita yhdyskäytäviä. Yhdyskäytäväkokoonpano on yksilöllinen jokaiselle klusterin solmulle. Jos kaksi tai useampia yhdyskäytäviä on määritetty, kaksi vaihtoehtoa on mahdollista:
-
Tasapainottaa liikennettä yhdyskäytävien välillä.
-
Pääportti, jossa vaihdetaan varaporttiin.
Yhdyskäytävän tila (käytettävissä - vihreä, ei saatavilla - punainen) määritetään seuraavasti:
-
Verkon tarkistus on poistettu käytöstä – yhdyskäytävän katsotaan olevan käytettävissä, jos UserGate voi saada MAC-osoitteensa ARP-pyynnön avulla. Tämän yhdyskäytävän kautta ei voi tarkistaa Internet-yhteyttä. Jos yhdyskäytävän MAC-osoitetta ei voida määrittää, yhdyskäytävää pidetään tavoittamattomana.
-
Verkon tarkistus on käytössä – yhdyskäytävän katsotaan olevan käytettävissä, jos:
-
UserGate voi saada MAC-osoitteensa ARP-pyynnön avulla.
-
Internet-yhteyden tarkistus tämän yhdyskäytävän kautta suoritettiin onnistuneesti.
Muussa tapauksessa yhdyskäytävän katsotaan olevan poissa käytöstä.
"DNS"-osioon sinun on lisättävä DNS-palvelimet, joita UserGate käyttää. Tämä asetus on määritetty Järjestelmän DNS-palvelimet -alueella. Alla on asetukset käyttäjien DNS-pyyntöjen hallintaan. UserGate antaa sinun käyttää DNS-välityspalvelinta. DNS-välityspalvelinpalvelun avulla voit siepata käyttäjien DNS-pyyntöjä ja muuttaa niitä järjestelmänvalvojan tarpeiden mukaan. DNS-välityspalvelinsääntöjen avulla voidaan määrittää DNS-palvelimet, joille tiettyjä toimialueita koskevat pyynnöt välitetään. Lisäksi DNS-välityspalvelimen avulla voit asettaa isäntätyypin staattisia tietueita (A-tietue).
"NAT ja reititys" -osiossa sinun on luotava tarvittavat NAT-säännöt. Luotettavan verkon käyttäjien pääsyä varten Internetiin on jo luotu NAT-sääntö - "Trusted->Untrusted", jäljellä on vain ottaa se käyttöön. Sääntöjä sovelletaan ylhäältä alas siinä järjestyksessä kuin ne on lueteltu konsolissa. Vain ensimmäinen sääntö, jolle säännössä määritetyt ehdot täyttyvät aina. Jotta sääntö käynnistyy, kaikkien sääntöparametreissa määritettyjen ehtojen on vastattava toisiaan. UserGate suosittelee yleisten NAT-sääntöjen luomista, esimerkiksi NAT-säännön paikallisverkosta (yleensä luotetusta vyöhykkeestä) Internetiin (yleensä epäluotettava vyöhyke) ja käyttäjien, palveluiden ja sovellusten pääsyn rajoittamista palomuurisääntöjen avulla.
On myös mahdollista luoda DNAT-sääntöjä, porttiohjausta, käytäntöpohjaista reititystä, verkkokartoitusta.
Tämän jälkeen "Palomuuri"-osiossa sinun on luotava palomuurisäännöt. Jotta Luotettavan verkon käyttäjille olisi rajoittamaton pääsy Internetiin, palomuurisääntö on jo luotu - "Internet for Trusted", ja se on otettava käyttöön. Palomuurisääntöjen avulla järjestelmänvalvoja voi sallia tai estää kaiken tyyppisen verkkoliikenteen, joka kulkee UserGaten kautta. Sääntöehtoja voivat olla vyöhykkeet ja lähteen/kohteen IP-osoitteet, käyttäjät ja ryhmät, palvelut ja sovellukset. Säännöt pätevät samalla tavalla kuin "NAT ja reititys" -osiossa, ts. ylhäältä alas. Jos sääntöjä ei ole luotu, kaikki kauttakulkuliikenne UserGaten kautta on kielletty.
4. Päätelmä
Tämä päättää artikkelin. Asensimme UserGate-palomuurin virtuaalikoneeseen ja teimme tarvittavat vähimmäisasetukset, jotta Internet toimisi luotettavassa verkossa. Tarkastelemme lisämäärityksiä seuraavissa artikkeleissa.
Pysy kuulolla kanavien päivityksistä (, , , )!
Lähde: will.com