Ola, este é o segundo artigo sobre a solución NGFW da empresa . O propósito deste artigo é mostrar como instalar o firewall UserGate nun sistema virtual (utilizarei o software de virtualización VMware Workstation) e realizar a súa configuración inicial (permitir o acceso desde a rede local a través da pasarela UserGate a Internet).
1. Introdución
Para comezar, describirei as distintas formas de implementar esta pasarela na rede. Gustaríame sinalar que, dependendo da opción de conexión seleccionada, é posible que determinadas funcións da pasarela non estean dispoñibles. A solución UserGate admite os seguintes modos de conexión:
-
L3-L7 cortalumes
-
Ponte transparente L2
-
Ponte transparente L3
-
Practicamente na brecha, usando o protocolo WCCP
-
Practicamente na brecha, usando o enrutamento baseado en políticas
-
Router nun Stick
-
Proxy WEB especificado explícitamente
-
UserGate como pasarela predeterminada
-
Monitorización de portos espello
UserGate admite 2 tipos de clústeres:
-
Configuración do clúster. Os nós combinados nun clúster de configuración manteñen unha configuración consistente en todo o clúster.
-
Clúster de conmutación por falla. Pódense combinar ata 4 nodos de clúster de configuración nun clúster de conmutación por fallo que admita o funcionamento en modo Activo-Activo ou Activo-Pasivo. É posible montar varios clústeres de conmutación por fallo.
2. Instalación
Como se mencionou no artigo anterior, UserGate ofrécese como un paquete de hardware e software ou se desprega nun ambiente virtual. Desde a súa conta persoal na páxina web descarga a imaxe en OVF (Formato de virtualización aberto), este formato é adecuado para os vendedores de VMWare e Oracle Virtualbox. As imaxes de disco da máquina virtual ofrécense para Microsoft Hyper-v e KVM.
Segundo o sitio web de UserGate, para que a máquina virtual funcione correctamente, recoméndase utilizar polo menos 8 Gb de RAM e un procesador virtual de 2 núcleos. O hipervisor debe admitir sistemas operativos de 64 bits.
A instalación comeza importando a imaxe no hipervisor seleccionado (VirtualBox e VMWare). No caso de Microsoft Hyper-v e KVM, cómpre crear unha máquina virtual e especificar a imaxe descargada como disco, e despois desactivar os servizos de integración na configuración da máquina virtual creada.
Por defecto, despois de importar a VMWare, créase unha máquina virtual coa seguinte configuración:
Como se escribiu anteriormente, debe haber polo menos 8 Gb de RAM e, ademais, cómpre engadir 1 Gb por cada 100 usuarios. O tamaño predeterminado do disco duro é de 100 Gb, pero normalmente non é suficiente para almacenar todos os rexistros e configuracións. O tamaño recomendado é de 300 Gb ou máis. Polo tanto, nas propiedades da máquina virtual, cambiamos o tamaño do disco ao desexado. Inicialmente, o UserGate UTM virtual vén con catro interfaces asignadas a zonas:
Xestión: a primeira interface da máquina virtual, unha zona para conectar redes de confianza desde a que se permite a xestión de UserGate.
Trusted é a segunda interface da máquina virtual, unha zona para conectar redes de confianza, por exemplo, redes LAN.
Untrusted é a terceira interface da máquina virtual, unha zona para interfaces conectadas a redes non fiables, por exemplo, a Internet.
DMZ é a cuarta interface da máquina virtual, unha zona para interfaces conectadas á rede DMZ.
A continuación, lanzamos a máquina virtual, aínda que o manual di que cómpre seleccionar Ferramentas de soporte e realizar o restablecemento de fábrica UTM, pero como podes ver, só hai unha opción (UTM First Boot). Durante este paso, UTM configura os adaptadores de rede e aumenta o tamaño da partición do disco duro ata o tamaño completo do disco:
Para conectarse á interface web UserGate, debe iniciar sesión a través da zona de xestión; esta é a responsabilidade da interface eth0, que está configurada para obter un enderezo IP automaticamente (DHCP). Se non é posible asignar un enderezo para a interface de xestión de forma automática mediante DHCP, pódese establecer de forma explícita mediante a CLI (Command Line Interface). Para iso, cómpre iniciar sesión na CLI usando un nome de usuario e un contrasinal con dereitos de administrador completos (Administrador cunha letra maiúscula por defecto). Se o dispositivo UserGate non foi inicializado, entón para acceder á CLI debes usar Admin como nome de usuario e utm como contrasinal. E escriba un comando como iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Máis tarde imos á consola web UserGate no enderezo especificado, debería verse así:https://UserGateIPaddress:8001:
Na consola web continuamos coa instalación, necesitamos seleccionar o idioma da interface (de momento é ruso ou inglés), o fuso horario, despois ler e aceptar o acordo de licenza. Establece o inicio de sesión e o contrasinal para iniciar sesión na interface de xestión web.
3. Personalización
Despois da instalación, este é o aspecto da xanela da interface web de xestión da plataforma:
A continuación, cómpre configurar as interfaces de rede. Para iso, na sección "Interfaces" cómpre activalas, establecer os enderezos IP correctos e asignar as zonas adecuadas.
A sección "Interfaces" mostra todas as interfaces físicas e virtuais dispoñibles no sistema, permítelle cambiar a súa configuración e engadir interfaces VLAN. Tamén mostra todas as interfaces de cada nodo do clúster. Os axustes da interface son específicos de cada nodo, é dicir, non son globais.
Nas propiedades da interface:
-
Activa ou desactiva a interface
-
Especifique o tipo de interface: capa 3 ou espello
-
Asignar unha zona a unha interface
-
Asigne un perfil de Netflow para enviar datos estatísticos ao colector de Netflow
-
Cambia os parámetros físicos da interface: enderezo MAC e tamaño MTU
-
Seleccione o tipo de asignación de enderezo IP: sen enderezo, enderezo IP estático ou obtido mediante DHCP
-
Configure o relé DHCP na interface seleccionada.
O botón "Engadir" permítelle engadir os seguintes tipos de interfaces lóxicas:
-
VLAN
-
Vínculo
-
Ponte
-
PPPoE
-
VPN
-
Túnel
Ademais das zonas listadas anteriormente coas que se envía a imaxe de Usergate, hai tres tipos máis predefinidos:
Clúster - zona para as interfaces utilizadas para o funcionamento do clúster
VPN para sitio a sitio: unha zona na que se sitúan todos os clientes de Office-Office conectados a UserGate mediante VPN
VPN para acceso remoto: unha zona que inclúe todos os usuarios móbiles conectados a UserGate mediante VPN
Os administradores de UserGate poden cambiar a configuración das zonas predeterminadas e tamén crear zonas adicionais, pero como se indica no manual da versión 5, pódense crear un máximo de 15 zonas. Para cambialos ou crealos, cómpre ir á sección de zona. Para cada zona, pode establecer un limiar de caída de paquetes; SYN, UDP e ICMP son compatibles. Tamén se configura o control de acceso aos servizos de Usergate e está activada a protección contra a suplantación.
Despois de configurar as interfaces, cómpre configurar a ruta predeterminada na sección "Pasarelas". Eses. Para conectar UserGate a Internet, debes especificar o enderezo IP dunha ou máis pasarelas. Se utiliza varios provedores para conectarse a Internet, debe especificar varias pasarelas. A configuración da pasarela é única para cada nodo do clúster. Se se especifican dúas ou máis pasarelas, son posibles dúas opcións:
-
Equilibrar o tráfico entre pasarelas.
-
A pasarela principal con cambio a outra de reposto.
O estado da pasarela (dispoñible - verde, non dispoñible - vermello) determínase do seguinte xeito:
-
A comprobación de rede está desactivada: unha pasarela considérase accesible se UserGate pode obter o seu enderezo MAC mediante unha solicitude ARP. Non se verifica o acceso a Internet a través desta pasarela. Se non se pode determinar o enderezo MAC da pasarela, considérase inalcanzable.
-
A comprobación da rede está activada: a pasarela considérase accesible se:
-
UserGate pode obter o seu enderezo MAC mediante unha solicitude ARP.
-
A comprobación do acceso a Internet a través desta pasarela completouse correctamente.
En caso contrario, a pasarela considérase non dispoñible.
Na sección "DNS" cómpre engadir os servidores DNS que utilizará UserGate. Esta configuración especifícase na área Servidores DNS do sistema. A continuación móstranse a configuración para xestionar as solicitudes de DNS dos usuarios. UserGate permítelle usar un proxy DNS. O servizo de proxy DNS permítelle interceptar as solicitudes de DNS dos usuarios e cambialas dependendo das necesidades do administrador. As regras de proxy DNS pódense usar para especificar os servidores DNS aos que se reenvían as solicitudes de dominios específicos. Ademais, usando un proxy DNS, pode establecer rexistros estáticos do tipo de host (rexistro A).
Na sección "NAT e enrutamento" cómpre crear as regras NAT necesarias. Para o acceso a Internet dos usuarios da rede Trusted, xa se creou a regra NAT - "Trusted->Untrusted", só queda activala. As regras aplícanse de arriba a abaixo na orde na que aparecen na consola. Só se executa sempre a primeira regra para a que coinciden as condicións especificadas na regra. Para que a regra se active, todas as condicións especificadas nos parámetros da regra deben coincidir. UserGate recomenda crear regras NAT xerais, por exemplo, unha regra NAT desde unha rede local (xeralmente unha zona de confianza) a Internet (normalmente unha zona non fiable) e restrinxir o acceso de usuarios, servizos e aplicacións mediante regras de firewall.
Tamén é posible crear regras DNAT, reenvío de portos, enrutamento baseado en políticas, mapeamento de rede.
Despois diso, na sección "Firewall" cómpre crear regras de firewall. Para o acceso ilimitado a Internet para os usuarios da rede Trusted, xa se creou unha regra de firewall: "Internet para Trusted" e debe estar activada. Usando regras de firewall, o administrador pode permitir ou denegar calquera tipo de tráfico de rede de tránsito que pase por UserGate. As condicións das regras poden incluír zonas e enderezos IP de orixe/destino, usuarios e grupos, servizos e aplicacións. As regras aplícanse do mesmo xeito que na sección "NAT e enrutamento", é dicir. arriba abaixo. Se non se crearon regras, está prohibido calquera tráfico de tránsito a través de UserGate.
4. Conclusión
Isto conclúe o artigo. Instalamos o firewall UserGate nunha máquina virtual e fixemos a configuración mínima necesaria para que Internet funcione na rede de confianza. Consideraremos máis configuración nos seguintes artigos.
Estade atentos ás novidades nas nosas canles (, , , )!
Fonte: www.habr.com