Bonjou, sa a se dezyèm atik la sou solisyon NGFW nan konpayi an . Objektif atik sa a se montre kijan pou enstale firewall UserGate sou yon sistèm vityèl (mwen pral sèvi ak lojisyèl Virtualization VMware Workstation) epi fè konfigirasyon inisyal li (pèmèt aksè nan rezo lokal la atravè pòtay UserGate sou entènèt la).
NAN. Entwodiksyon
Pou kòmanse, mwen pral dekri divès fason yo aplike pòtay sa a nan rezo a. Mwen ta renmen sonje ke depann sou opsyon koneksyon an chwazi, sèten fonksyonalite nan pòtay la ka pa disponib. Solisyon UserGate sipòte mòd koneksyon sa yo:
-
L3-L7 firewall
-
L2 transparan pon
-
L3 transparan pon
-
Pwatikman nan espas sa a, lè l sèvi avèk pwotokòl la WCCP
-
Pwatikman nan espas sa a, lè l sèvi avèk Policy Baze Routing
-
Routeur sou yon baton
-
Espesifye eksplisit WEB proxy
-
UserGate kòm pòtay default
-
Siveyans pò glas
UserGate sipòte 2 kalite grap:
-
Konfigirasyon cluster. Nœuds konbine nan yon gwoup konfigirasyon kenbe paramèt ki konsistan atravè gwoup la.
-
Gwoup failover. Jiska 4 nœuds gwoup konfigirasyon yo ka konbine nan yon gwoup failover ki sipòte operasyon nan mòd Aktif-Aktif oswa Aktif-Pasif. Li posib pou rasanble plizyè grap failover.
2. Enstalasyon
Kòm mansyone nan atik anvan an, UserGate apwovizyone kòm yon pake pyès ki nan konpitè ak lojisyèl oswa deplwaye nan yon anviwònman vityèl. Soti nan kont pèsonèl ou sou sit entènèt la telechaje imaj la nan OVF (Open Virtualization Format), fòma sa a apwopriye pou vandè VMWare ak Oracle Virtualbox. Yo bay imaj ki gen kapasite machin vityèl pou Microsoft Hyper-v ak KVM.
Dapre sit entènèt UserGate la, pou machin vityèl la fonksyone kòrèkteman, li rekòmande pou itilize omwen 8Gb RAM ak yon processeur vityèl 2-nwayo. Hypervisor la dwe sipòte sistèm operasyon 64-bit.
Enstalasyon an kòmanse pa enpòte imaj la nan hypervisor la chwazi (VirtualBox ak VMWare). Nan ka Microsoft Hyper-v ak KVM, ou bezwen kreye yon machin vityèl epi presize imaj la telechaje kòm disk la, ak Lè sa a, enfim sèvis entegrasyon nan anviwònman yo nan machin vityèl kreye a.
Pa default, apre enpòte nan VMWare, yo kreye yon machin vityèl ak paramèt sa yo:
Jan sa te ekri pi wo a, dwe genyen omwen 8Gb RAM epi anplis ou bezwen ajoute 1Gb pou chak 100 itilizatè. Gwosè default kondwi a se 100Gb, men sa a se nòmalman pa ase pou estoke tout mòso bwa ak paramèt. Gwosè rekòmande a se 300Gb oswa plis. Se poutèt sa, nan pwopriyete yo nan machin nan vityèl, nou chanje gwosè a ki gen kapasite nan yon sèl la vle. Okòmansman, Virtual UserGate UTM vini ak kat entèfas ki asiyen nan zòn:
Jesyon - premye koòdone nan machin vityèl la, yon zòn pou konekte rezo ou fè konfyans ki pèmèt jesyon UserGate.
Trusted se dezyèm koòdone nan machin vityèl la, yon zòn pou konekte rezo ou fè konfyans, pou egzanp, rezo LAN.
Untrusted se twazyèm koòdone nan machin vityèl la, yon zòn pou koòdone ki konekte ak rezo ki pa fè konfyans, pou egzanp, sou entènèt la.
DMZ se katriyèm koòdone nan machin vityèl la, yon zòn pou interfaces ki konekte nan rezo DMZ la.
Apre sa, nou lanse machin vityèl la, byenke manyèl la di ke ou bezwen chwazi zouti sipò ak fè faktori reset UTM, men jan ou ka wè, gen yon sèl chwa (UTM Premye bòt). Pandan etap sa a, UTM konfigirasyon adaptè rezo yo ak ogmante gwosè patisyon an dis lou pou tout gwosè disk la:
Pou konekte ak koòdone entènèt UserGate, ou dwe konekte nan zòn Jesyon an; sa a se responsablite koòdone eth0 a, ki se configuré pou jwenn yon adrès IP otomatikman (DHCP). Si li pa posib pou bay yon adrès pou koòdone Jesyon otomatikman lè l sèvi avèk DHCP, Lè sa a, li ka klèman mete lè l sèvi avèk CLI (Command Line Interface). Pou fè sa, ou bezwen konekte nan CLI lè l sèvi avèk yon non itilizatè ak modpas ak dwa administratè konplè (Admin ak yon lèt majiskil pa default). Si aparèy UserGate la pa sibi inisyalizasyon inisyal la, Lè sa a, pou jwenn aksè nan CLI a ou dwe itilize Admin kòm non itilizatè a ak utm kòm modpas la. Epi tape yon lòd tankou iface config -name eth0 -ipv4 192.168.1.254/24 -pèmèt vre -mode static. Apre sa, nou ale nan konsole entènèt UserGate nan adrès espesifye a, li ta dwe gade yon bagay tankou sa a:https://UserGateIPaddress:8001:
Nan konsole entènèt la nou kontinye enstalasyon an, nou bezwen chwazi lang nan koòdone (nan moman sa a li se Ris oswa angle), zòn tan, Lè sa a, li epi dakò ak akò a lisans. Mete login ak modpas pou konekte nan koòdone jesyon entènèt la.
3. personnalisation
Apre enstalasyon, men sa fenèt koòdone entènèt jesyon platfòm la sanble:
Lè sa a, ou bezwen configured interfaces rezo yo. Pou fè sa, nan seksyon "Entèfas" ou bezwen pèmèt yo, mete adrès IP kòrèk yo epi bay zòn ki apwopriye yo.
Seksyon "Entèfas" montre tout entèfas fizik ak vityèl ki disponib nan sistèm nan, pèmèt ou chanje paramèt yo epi ajoute entèfas VLAN. Li montre tou tout koòdone chak ne grap. Anviwònman koòdone yo espesifik pou chak ne, se sa ki, yo pa mondyal.
Nan pwopriyete koòdone:
-
Pèmèt oswa enfim koòdone a
-
Espesifye kalite koòdone - Kouch 3 oswa glas
-
Bay yon zòn nan yon koòdone
-
Bay yon pwofil Netflow pou voye done estatistik bay pèseptè Netflow la
-
Chanje paramèt fizik koòdone a - adrès MAC ak gwosè MTU
-
Chwazi ki kalite adrès IP plasman - pa gen adrès, adrès IP estatik oswa jwenn atravè DHCP
-
Konfigirasyon relè DHCP sou koòdone chwazi a.
Bouton "Ajoute" a pèmèt ou ajoute kalite entèfas lojik sa yo:
-
VLAN
-
Bond
-
Bridge
-
PPPoE
-
VPN
-
Tinèl
Anplis zòn ki te deja nan lis ke imaj Usergate la anbake, gen twa lòt kalite predefini:
Cluster - zòn pou entèfas yo itilize pou operasyon gwoup
VPN pou Sit-a-Site - yon zòn kote tout kliyan Biwo-Biwo ki konekte ak UserGate atravè VPN yo mete
VPN pou aksè aleka - yon zòn ki gen ladan tout itilizatè mobil ki konekte ak UserGate atravè VPN
Administratè UserGate yo ka chanje paramèt yo nan zòn default yo epi tou kreye zòn adisyonèl, men jan sa di nan manyèl vèsyon 5 la, yo ka kreye yon maksimòm 15 zòn. Pou chanje oswa kreye yo, ou bezwen ale nan seksyon zòn nan. Pou chak zòn, ou ka mete yon papòt gout pake; SYN, UDP, ICMP yo sipòte. Kontwòl aksè nan sèvis Usergate yo tou configuré, epi pwoteksyon kont spoofing pèmèt.
Apre konfigirasyon interfaces yo, ou bezwen konfigirasyon wout la default nan seksyon "Passerelles". Moun sa yo. Pou konekte UserGate ak entènèt la, ou dwe presize adrès IP youn oswa plizyè pòtay. Si w itilize plizyè founisè pou w konekte ak Entènèt, ou dwe presize plizyè pòtay. Konfigirasyon pòtay la inik pou chak nœud gwoup. Si yo espesifye de oswa plis pòtay, 2 opsyon posib:
-
Balanse trafik ant pòtay yo.
-
Pòtay prensipal la ak chanje nan yon sèl rezèv.
Estati pòtay la (disponib - vèt, pa disponib - wouj) detèmine jan sa a:
-
Rezo tcheke se enfim - yon pòtay konsidere kòm aksesib si UserGate ka jwenn adrès MAC li lè l sèvi avèk yon demann ARP. Pa gen okenn chèk pou aksè Entènèt atravè pòtay sa a. Si adrès MAC pòtay la pa ka detèmine, pòtay la konsidere kòm inaccessible.
-
Tcheke rezo a pèmèt - pòtay la konsidere kòm aksesib si:
-
UserGate ka jwenn adrès MAC li lè l sèvi avèk yon demann ARP.
-
Tcheke pou aksè Entènèt atravè pòtay sa a te konplete avèk siksè.
Sinon, pòtay la konsidere kòm disponib.
Nan seksyon "DNS" ou bezwen ajoute serveurs DNS ke UserGate pral itilize. Anviwònman sa a espesifye nan zòn nan System DNS Servers. Anba a se paramèt pou jere demann DNS itilizatè yo. UserGate pèmèt ou sèvi ak yon prokurasyon DNS. Sèvis prokurasyon DNS la pèmèt ou entèsepte demann DNS nan men itilizatè yo epi chanje yo selon bezwen administratè a. Règ proxy DNS yo ka itilize pou presize sèvè DNS yo voye demann pou domèn espesifik yo. Anplis de sa, lè l sèvi avèk yon prokurasyon DNS, ou ka mete dosye estatik nan kalite lame a (A dosye).
Nan seksyon "NAT ak routage" ou bezwen kreye règ NAT ki nesesè yo. Pou itilizatè yo nan rezo Trusted aksè a entènèt la, règ NAT la deja kreye - "Trusted->Untrusted", tout sa ki rete se pèmèt li. Règ yo aplike soti anwo jouk anba nan lòd yo ki nan lis la nan konsole a. Se sèlman premye règ la pou ki kondisyon yo espesifye nan match la règ yo toujou egzekite. Pou règ la dwe deklanche, tout kondisyon yo espesifye nan paramèt règ yo dwe matche. UserGate rekòmande pou kreye règ jeneral NAT, pou egzanp, yon règ NAT soti nan yon rezo lokal (anjeneral yon zòn Trusted) nan Entènèt (anjeneral yon zòn Untrusted), epi mete restriksyon sou aksè pa itilizatè, sèvis, ak aplikasyon lè l sèvi avèk règ firewall.
Li posib tou pou kreye règ DNAT, transmisyon pò, routage ki baze sou politik, kat rezo.
Apre sa, nan seksyon "Firewall" ou bezwen kreye règ firewall. Pou aksè san limit nan entènèt la pou itilizatè yo nan rezo Trusted, yo te deja kreye yon règ firewall - "Entènèt pou Trusted" epi yo dwe aktive. Sèvi ak règ firewall, administratè a ka pèmèt oswa refize nenpòt kalite trafik rezo transpò ki pase nan UserGate. Kondisyon règ yo ka gen ladan zòn ak adrès IP sous/destinasyon, itilizatè yo ak gwoup, sèvis ak aplikasyon yo. Règ yo aplike menm jan ak nan seksyon "NAT ak routage", i.e. tèt anba. Si pa gen okenn règ yo te kreye, Lè sa a, nenpòt trafik transpò atravè UserGate entèdi.
4. Konklizyon
Sa a fini atik la. Nou enstale firewall UserGate la sou yon machin vityèl epi nou te fè paramèt minimòm ki nesesè pou entènèt la travay sou rezo Trusted la. Nou pral konsidere plis konfigirasyon nan atik sa yo.
Rete branche pou dènye nouvèl sou chanèl nou yo (, , , )!
Sous: www.habr.com