Pozdrav, ovo je drugi članak o rješenju NGFW tvrtke . Svrha ovog članka je pokazati kako instalirati UserGate vatrozid na virtualni sustav (koristit ću softver za virtualizaciju VMware Workstation) i izvesti njegovu početnu konfiguraciju (dopustiti pristup s lokalne mreže preko UserGate pristupnika na Internet).
1. uvod
Za početak ću opisati različite načine implementacije ovog pristupnika u mrežu. Želio bih napomenuti da ovisno o odabranoj opciji povezivanja, određene funkcije pristupnika možda neće biti dostupne. UserGate rješenje podržava sljedeće načine povezivanja:
-
L3-L7 vatrozid
-
L2 transparentni most
-
L3 transparentni most
-
Gotovo u prazninu, koristeći WCCP protokol
-
Gotovo u procjepu, koristeći usmjeravanje temeljeno na pravilima
-
Router na Sticku
-
Eksplicitno naveden WEB proxy
-
UserGate kao zadani pristupnik
-
Mirror port monitoring
UserGate podržava 2 vrste klastera:
-
Konfiguracija klastera. Čvorovi spojeni u konfiguracijski klaster održavaju dosljedne postavke u cijelom klasteru.
-
Failover klaster. Do 4 konfiguracijska čvora klastera mogu se kombinirati u failover klaster koji podržava rad u aktivnom-aktivnom ili aktivno-pasivnom načinu rada. Moguće je sastaviti nekoliko failover klastera.
2. Instalacija
Kao što je spomenuto u prethodnom članku, UserGate se isporučuje kao hardverski i softverski paket ili se postavlja u virtualnom okruženju. S vašeg osobnog računa na web stranici preuzmite sliku u OVF (Open Virtualization Format), ovaj format je prikladan za dobavljače VMWare i Oracle Virtualbox. Slike diska virtualnog stroja dostupne su za Microsoft Hyper-v i KVM.
Prema web stranici UserGate, za ispravan rad virtualnog stroja preporučuje se korištenje najmanje 8 Gb RAM-a i virtualni procesor s 2 jezgre. Hipervizor mora podržavati 64-bitne operativne sustave.
Instalacija počinje uvozom slike u odabrani hipervizor (VirtualBox i VMWare). U slučaju Microsoft Hyper-v i KVM-a potrebno je izraditi virtualno računalo i navesti preuzetu sliku kao disk, a zatim onemogućiti usluge integracije u postavkama kreiranog virtualnog računala.
Prema zadanim postavkama, nakon uvoza u VMWare, kreira se virtualni stroj sa sljedećim postavkama:
Kao što je gore napisano, mora postojati najmanje 8 Gb RAM-a i dodatno morate dodati 1 Gb na svakih 100 korisnika. Zadana veličina tvrdog diska je 100 Gb, ali to obično nije dovoljno za pohranu svih zapisa i postavki. Preporučena veličina je 300 Gb ili više. Stoga u svojstvima virtualnog stroja mijenjamo veličinu diska na željenu. U početku, virtualni UserGate UTM dolazi s četiri sučelja dodijeljena zonama:
Upravljanje - prvo sučelje virtualnog stroja, zona za povezivanje pouzdanih mreža iz koje je dopušteno upravljanje UserGateom.
Trusted je drugo sučelje virtualnog stroja, zona za povezivanje pouzdanih mreža, na primjer, LAN mreža.
Untrusted je treće sučelje virtualnog stroja, zona za sučelja spojena na nepouzdane mreže, na primjer, na Internet.
DMZ je četvrto sučelje virtualnog stroja, zona za sučelja spojena na DMZ mrežu.
Zatim pokrećemo virtualni stroj, iako u priručniku stoji da trebate odabrati Support Tools i izvesti Factory Reset UTM, ali kao što vidite, postoji samo jedan izbor (UTM First Boot). Tijekom ovog koraka UTM konfigurira mrežne adaptere i povećava veličinu particije tvrdog diska na punu veličinu diska:
Da biste se povezali na web sučelje UserGate, morate se prijaviti kroz zonu upravljanja; to je odgovornost sučelja eth0, koje je konfigurirano za automatsko dobivanje IP adrese (DHCP). Ako nije moguće automatski dodijeliti adresu za sučelje upravljanja pomoću DHCP-a, tada se može eksplicitno postaviti pomoću CLI (sučelje naredbenog retka). Da biste to učinili, morate se prijaviti na CLI pomoću korisničkog imena i lozinke s punim administratorskim pravima (Admin s velikim slovom prema zadanim postavkama). Ako UserGate uređaj nije prošao početnu inicijalizaciju, tada za pristup CLI-ju morate koristiti Admin kao korisničko ime i utm kao lozinku. I upišite naredbu poput iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Kasnije idemo na web konzolu UserGate na navedenoj adresi, trebala bi izgledati otprilike ovako:https://UserGateIPaddress:8001:
U web konzoli nastavljamo instalaciju, moramo odabrati jezik sučelja (trenutno je ruski ili engleski), vremensku zonu, zatim pročitati i prihvatiti licencni ugovor. Postavite korisničko ime i zaporku za prijavu na web sučelje za upravljanje.
3. Prilagodba
Nakon instalacije, ovako izgleda prozor web sučelja za upravljanje platformom:
Zatim trebate konfigurirati mrežna sučelja. Da biste to učinili, u odjeljku "Sučelja" morate ih omogućiti, postaviti ispravne IP adrese i dodijeliti odgovarajuće zone.
Odjeljak "Sučelja" prikazuje sva fizička i virtualna sučelja dostupna u sustavu, omogućuje vam promjenu njihovih postavki i dodavanje VLAN sučelja. Također prikazuje sva sučelja svakog čvora klastera. Postavke sučelja specifične su za svaki čvor, odnosno nisu globalne.
U svojstvima sučelja:
-
Omogućite ili onemogućite sučelje
-
Navedite vrstu sučelja - Layer 3 ili Mirror
-
Dodijelite zonu sučelju
-
Dodijelite Netflow profil za slanje statističkih podataka u Netflow kolektor
-
Promijenite fizičke parametre sučelja - MAC adresu i MTU veličinu
-
Odaberite vrstu dodjele IP adrese - bez adrese, statička IP adresa ili dobivena putem DHCP-a
-
Konfigurirajte DHCP relej na odabranom sučelju.
Gumb "Dodaj" omogućuje vam dodavanje sljedećih vrsta logičkih sučelja:
-
VLAN
-
veza
-
most
-
PPPoE
-
VPN
-
Tunel
Uz prethodno navedene zone s kojima se isporučuje slika Usergatea, postoje još tri unaprijed definirane vrste:
Klaster - zona za sučelja koja se koriste za rad klastera
VPN za Site-to-Site - zona u kojoj se nalaze svi Office-Office klijenti povezani na UserGate putem VPN-a
VPN za udaljeni pristup - zona koja uključuje sve mobilne korisnike spojene na UserGate putem VPN-a
UserGate administratori mogu promijeniti postavke zadanih zona i također stvoriti dodatne zone, ali kao što je navedeno u priručniku verzije 5, može se stvoriti najviše 15 zona. Da biste ih promijenili ili izradili, morate otići u odjeljak zona. Za svaku zonu možete postaviti prag pada paketa; podržani su SYN, UDP, ICMP. Također je konfigurirana kontrola pristupa uslugama Usergate, a uključena je i zaštita od prijevare.
Nakon konfiguriranja sučelja, trebate konfigurirati zadanu rutu u odjeljku "Gateways". Oni. Za povezivanje UserGate-a s internetom morate navesti IP adresu jednog ili više pristupnika. Ako koristite nekoliko pružatelja usluga za spajanje na Internet, morate navesti nekoliko pristupnika. Konfiguracija pristupnika jedinstvena je za svaki čvor klastera. Ako su navedena dva ili više pristupnika, moguće su 2 opcije:
-
Balansiranje prometa između pristupnika.
-
Glavni pristupnik s prebacivanjem na rezervni.
Status pristupnika (dostupan - zeleno, nedostupan - crveno) određuje se na sljedeći način:
-
Provjera mreže je onemogućena – pristupnik se smatra dostupnim ako UserGate može dobiti svoju MAC adresu pomoću ARP zahtjeva. Ne postoji provjera pristupa internetu putem ovog pristupnika. Ako se MAC adresa pristupnika ne može odrediti, pristupnik se smatra nedostupnim.
-
Provjera mreže je omogućena - pristupnik se smatra dostupnim ako:
-
UserGate može dobiti svoju MAC adresu pomoću ARP zahtjeva.
-
Provjera pristupa internetu putem ovog pristupnika uspješno je dovršena.
U suprotnom, pristupnik se smatra nedostupnim.
U odjeljku “DNS” morate dodati DNS poslužitelje koje će UserGate koristiti. Ova postavka navedena je u području DNS poslužitelja sustava. Ispod su postavke za upravljanje DNS zahtjevima korisnika. UserGate vam omogućuje korištenje DNS proxyja. DNS proxy usluga omogućuje presretanje DNS zahtjeva korisnika i njihovu promjenu ovisno o potrebama administratora. DNS proxy pravila mogu se koristiti za određivanje DNS poslužitelja na koje se prosljeđuju zahtjevi za određene domene. Osim toga, pomoću DNS proxyja možete postaviti statičke zapise tipa hosta (A zapis).
U odjeljku "NAT i usmjeravanje" morate stvoriti potrebna NAT pravila. Za pristup Internetu korisnika Trusted mreže već je kreirano NAT pravilo - “Trusted->Untrusted”, preostaje ga samo omogućiti. Pravila se primjenjuju odozgo prema dolje redoslijedom kojim su navedena u konzoli. Uvijek se izvršava samo prvo pravilo za koje se podudaraju uvjeti navedeni u pravilu. Da bi se pravilo pokrenulo, moraju se podudarati svi uvjeti navedeni u parametrima pravila. UserGate preporučuje stvaranje općih NAT pravila, na primjer, NAT pravila s lokalne mreže (obično pouzdane zone) na Internet (obično nepouzdane zone) i ograničavanje pristupa korisnicima, uslugama i aplikacijama pomoću pravila vatrozida.
Također je moguće kreirati DNAT pravila, prosljeđivanje portova, usmjeravanje temeljeno na pravilima, mrežno mapiranje.
Nakon toga, u odjeljku "Vatrozid" morate stvoriti pravila vatrozida. Za neograničeni pristup Internetu za korisnike pouzdane mreže također je već kreirano pravilo vatrozida - “Internet za pouzdane” i mora biti omogućeno. Koristeći pravila vatrozida, administrator može dopustiti ili zabraniti bilo koju vrstu tranzitnog mrežnog prometa koji prolazi kroz UserGate. Uvjeti pravila mogu uključivati zone i izvorne/odredišne IP adrese, korisnike i grupe, usluge i aplikacije. Pravila se primjenjuju na isti način kao u odjeljku "NAT i usmjeravanje", tj. vrh prema dolje. Ako nisu stvorena pravila, zabranjen je svaki tranzitni promet kroz UserGate.
4. zaključak
Ovim se završava članak. Instalirali smo UserGate firewall na virtualni stroj i napravili minimalne potrebne postavke za rad Interneta na Trusted mreži. Razmotrit ćemo daljnju konfiguraciju u sljedećim člancima.
Pratite novosti na našim kanalima (, , , )!
Izvor: www.habr.com