Helló, ez a cég második cikke az NGFW megoldásról
1. Bevezetés
Kezdésként leírom az átjáró hálózatba való bevezetésének különféle módjait. Szeretném megjegyezni, hogy a kiválasztott csatlakozási lehetőségtől függően előfordulhat, hogy az átjáró bizonyos funkciói nem érhetők el. A UserGate megoldás a következő csatlakozási módokat támogatja:
-
L3-L7 tűzfal
-
L2 átlátszó híd
-
L3 átlátszó híd
-
Gyakorlatilag a résbe, a WCCP protokoll használatával
-
Gyakorlatilag a résben, a Policy Based Routing használatával
-
Router egy boton
-
Kifejezetten meghatározott WEB proxy
-
UserGate alapértelmezett átjáróként
-
Tükör port figyelése
A UserGate 2 típusú fürtöt támogat:
-
Klaszter konfiguráció. A konfigurációs fürtbe egyesített csomópontok konzisztens beállításokat tartanak fenn a fürtben.
-
Feladatátvevő klaszter. Legfeljebb 4 konfigurációs fürtcsomópont kombinálható egy feladatátvételi fürtté, amely támogatja az aktív-aktív vagy az aktív-passzív módot. Lehetőség van több feladatátvételi fürt összeállítására.
2. Telepítés
Amint azt az előző cikkben említettük, a UserGate hardver- és szoftvercsomagként vagy virtuális környezetben kerül forgalomba. Az Ön személyes fiókjából a webhelyen
A UserGate honlapja szerint a virtuális gép megfelelő működéséhez legalább 8 Gb RAM és 2 magos virtuális processzor használata javasolt. A hypervisornak támogatnia kell a 64 bites operációs rendszereket.
A telepítés a kép importálásával kezdődik a kiválasztott hypervisorba (VirtualBox és VMWare). Microsoft Hyper-v és KVM esetén létre kell hozni egy virtuális gépet, és meg kell adni a letöltött képfájlt lemezként, majd a létrehozott virtuális gép beállításaiban le kell tiltani az integrációs szolgáltatásokat.
Alapértelmezés szerint a VMWare-be történő importálás után egy virtuális gép jön létre a következő beállításokkal:
Ahogy fentebb írtuk, legalább 8 Gb RAM-nak kell lennie, és ezen felül minden 1 felhasználóhoz hozzá kell adni 100 Gb-ot. Az alapértelmezett merevlemez mérete 100 Gb, de ez általában nem elegendő az összes napló és beállítás tárolásához. Az ajánlott méret 300 Gb vagy több. Ezért a virtuális gép tulajdonságainál módosítjuk a lemezméretet a kívántra. Kezdetben a virtuális UserGate UTM négy interfésszel érkezik a zónákhoz:
Kezelés - a virtuális gép első interfésze, egy zóna a megbízható hálózatok csatlakoztatására, ahonnan a UserGate kezelés engedélyezett.
A Megbízható a virtuális gép második interfésze, egy zóna megbízható hálózatok, például LAN-hálózatok csatlakoztatására.
A Untrusted a virtuális gép harmadik interfésze, a nem megbízható hálózatokhoz, például az internethez kapcsolódó interfészek zónája.
A DMZ a virtuális gép negyedik interfésze, a DMZ hálózathoz csatlakozó interfészek zónája.
Ezután elindítjuk a virtuális gépet, bár a kézikönyv azt írja, hogy ki kell választania a Támogatási eszközöket, és végre kell hajtania az UTM gyári alaphelyzetbe állítását, de amint látja, csak egy választási lehetőség van (UTM First Boot). E lépés során az UTM konfigurálja a hálózati adaptereket, és a merevlemez-partíció méretét a teljes lemezméretre növeli:
A UserGate webes felületéhez való csatlakozáshoz be kell jelentkezni a felügyeleti zónán keresztül, ez az eth0 interfész feladata, amely úgy van beállítva, hogy automatikusan megkapja az IP-címet (DHCP). Ha nem lehetséges DHCP-vel automatikusan címet rendelni a felügyeleti interfészhez, akkor az explicit módon beállítható a CLI (Command Line Interface) segítségével. Ehhez be kell jelentkeznie a CLI-be teljes rendszergazdai jogosultságokkal rendelkező felhasználónévvel és jelszóval (alapértelmezésben nagybetűs Admin). Ha a UserGate eszköz nem esett át kezdeti inicializáláson, akkor a CLI eléréséhez az Admin nevet kell használnia felhasználónévként és az utm jelszót. És írjon be egy parancsot, például: iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Később a UserGate webkonzolra lépünk a megadott címen, valahogy így kell kinéznie:
A webkonzolban folytatjuk a telepítést, ki kell választanunk a felület nyelvét (jelenleg orosz vagy angol), az időzónát, majd el kell olvasni és el kell fogadnunk a licencszerződést. Állítsa be a bejelentkezési nevet és jelszót a webkezelő felületre való bejelentkezéshez.
3. Beállítás
A telepítés után így néz ki a platformkezelő webes felület ablaka:
Ezután konfigurálnia kell a hálózati interfészeket. Ehhez az „Interfészek” részben engedélyeznie kell őket, be kell állítania a megfelelő IP-címeket és hozzá kell rendelnie a megfelelő zónákat.
Az „Interfészek” rész megjeleníti a rendszerben elérhető összes fizikai és virtuális interfészt, lehetővé teszi a beállítások módosítását és VLAN interfészek hozzáadását. Megmutatja az egyes fürtcsomópontok összes interfészét is. Az interfész beállításai minden csomópontra jellemzőek, vagyis nem globálisak.
Az interfész tulajdonságainál:
-
Az interfész engedélyezése vagy letiltása
-
Adja meg az interfész típusát - Layer 3 vagy Mirror
-
Rendeljen hozzá egy zónát egy interfészhez
-
Rendeljen hozzá egy Netflow profilt, hogy statisztikai adatokat küldjön a Netflow gyűjtőnek
-
Módosítsa az interfész fizikai paramétereit - MAC-címet és MTU-méretet
-
Válassza ki az IP-cím hozzárendelésének típusát – nincs cím, statikus IP-cím vagy DHCP-n keresztül szereztük be
-
Konfigurálja a DHCP relét a kiválasztott interfészen.
A „Hozzáadás” gombbal a következő típusú logikai interfészeket adhatja hozzá:
-
VLAN
-
Kötvény
-
híd
-
PPPoE
-
VPN
-
Az alagút
A korábban felsorolt zónákon kívül, amelyekkel a Usergate képfájl tartozik, további három előre meghatározott típus létezik:
Cluster - zóna a fürt működéséhez használt interfészek számára
Site-to-Site VPN – egy zóna, amelyben a UserGate-hez VPN-en keresztül csatlakoztatott Office-Office kliensek el vannak helyezve
VPN távoli eléréshez – egy zóna, amely magában foglalja a UserGate-hez VPN-en keresztül csatlakozó összes mobilfelhasználót
A UserGate rendszergazdák módosíthatják az alapértelmezett zónák beállításait, és további zónákat is létrehozhatnak, de az 5-ös verzió kézikönyvében leírtak szerint maximum 15 zóna hozható létre. Módosításához vagy létrehozásához a zóna szakaszba kell lépnie. Minden zónához beállíthat egy csomagledobási küszöböt; a SYN, UDP és ICMP támogatott. A Usergate szolgáltatásokhoz való hozzáférés szabályozása is konfigurálva van, és engedélyezve van a hamisítás elleni védelem.
Az interfészek konfigurálása után az „Átjárók” részben be kell állítani az alapértelmezett útvonalat. Azok. A UserGate internethez való csatlakoztatásához meg kell adnia egy vagy több átjáró IP-címét. Ha több szolgáltatót használ az internethez való csatlakozáshoz, több átjárót kell megadnia. Az átjáró konfigurációja minden fürtcsomópont esetében egyedi. Ha két vagy több átjáró van megadva, 2 lehetőség lehetséges:
-
A forgalom kiegyenlítése az átjárók között.
-
A fő átjáró egy tartalék átjáróra váltással.
Az átjáró állapota (elérhető - zöld, nem elérhető - piros) a következőképpen kerül meghatározásra:
-
A hálózati ellenőrzés le van tiltva – az átjáró akkor tekinthető elérhetőnek, ha a UserGate ARP-kérés segítségével megszerezheti a MAC-címét. Ezen az átjárón keresztül nincs internet-hozzáférés ellenőrzése. Ha az átjáró MAC-címe nem határozható meg, az átjáró elérhetetlennek minősül.
-
A hálózat ellenőrzése engedélyezve van – az átjáró elérhetőnek tekinthető, ha:
-
A UserGate MAC-címét ARP-kérés segítségével szerezheti meg.
-
Az ezen az átjárón keresztüli internet-hozzáférés ellenőrzése sikeresen befejeződött.
Ellenkező esetben az átjáró nem elérhető.
A „DNS” részben hozzá kell adnia a UserGate által használt DNS-kiszolgálókat. Ez a beállítás a Rendszer DNS-kiszolgálók területen van megadva. Az alábbiakban a felhasználóktól érkező DNS-kérések kezelésére vonatkozó beállítások találhatók. A UserGate lehetővé teszi a DNS-proxy használatát. A DNS-proxy szolgáltatás lehetővé teszi a felhasználók DNS-kérelmeinek lehallgatását és azok módosítását a rendszergazda igényei szerint. A DNS-proxyszabályok segítségével meghatározhatók azok a DNS-kiszolgálók, amelyekre az adott tartományokra vonatkozó kéréseket továbbítják. Ezenkívül DNS-proxy használatával beállíthatja a gazdatípus statikus rekordjait (A rekord).
A „NAT és útválasztás” részben létre kell hoznia a szükséges NAT-szabályokat. A Megbízható hálózat felhasználóinak internethez való hozzáféréséhez a NAT-szabályt már létrehozták - „Trusted->Untrusted”, csak engedélyezni kell. A szabályok felülről lefelé kerülnek alkalmazásra a konzolon felsorolt sorrendben. Csak az első szabály, amelyre a szabályban megadott feltételek mindig egyeznek. A szabály aktiválásához a szabályparaméterekben megadott összes feltételnek meg kell egyeznie. A UserGate általános NAT-szabályok létrehozását javasolja, például NAT-szabályt a helyi hálózatról (általában megbízható zónáról) az internetre (általában nem megbízható zónára), valamint a felhasználók, szolgáltatások és alkalmazások hozzáférésének korlátozását tűzfalszabályok segítségével.
Lehetőség van DNAT-szabályok létrehozására, port-továbbításra, házirend-alapú útválasztásra, hálózatleképezésre is.
Ezt követően a „Tűzfal” részben tűzfalszabályokat kell létrehoznia. A megbízható hálózat felhasználóinak korlátlan internet-hozzáféréséhez egy tűzfalszabályt is létrehoztak - „Internet for Trusted”, és azt engedélyezni kell. A tűzfalszabályok használatával az adminisztrátor engedélyezheti vagy letilthatja a UserGate-en áthaladó bármilyen típusú tranzit hálózati forgalmat. A szabályfeltételek magukban foglalhatnak zónákat és forrás/cél IP-címeket, felhasználókat és csoportokat, szolgáltatásokat és alkalmazásokat. A szabályok ugyanúgy érvényesek, mint a „NAT és Routing” részben, azaz. felülről lefelé. Ha nem hoztak létre szabályokat, akkor a UserGate-en keresztüli tranzitforgalom tilos.
4. következtetés
Ezzel zárul a cikk. Telepítettük a UserGate tűzfalat egy virtuális gépre, és elvégeztük a minimálisan szükséges beállításokat, hogy az Internet működjön a megbízható hálózaton. A további beállításokat a következő cikkekben tárgyaljuk.
Kísérje figyelemmel csatornáinkon megjelenő újdonságokat (
Forrás: will.com