ProHoster > Blog > Adminisztráció > 2. UserGate Kezdő lépések. Követelmények, telepítés

2. UserGate Kezdő lépések. Követelmények, telepítés

2. UserGate Kezdő lépések. Követelmények, telepítés

Helló, ez a cég második cikke az NGFW megoldásról UserGate. Ennek a cikknek a célja, hogy bemutassa, hogyan kell telepíteni a UserGate tűzfalat egy virtuális rendszerre (VMware Workstation virtualizációs szoftvert fogok használni), és elvégezni a kezdeti konfigurálást (engedélyezni a hozzáférést a helyi hálózatról a UserGate átjárón keresztül az Internetre).   

1. Bevezetés

Kezdésként leírom az átjáró hálózatba való bevezetésének különféle módjait. Szeretném megjegyezni, hogy a kiválasztott csatlakozási lehetőségtől függően előfordulhat, hogy az átjáró bizonyos funkciói nem érhetők el. A UserGate megoldás a következő csatlakozási módokat támogatja: 

  • L3-L7 tűzfal

  • L2 átlátszó híd

  • L3 átlátszó híd

  • Gyakorlatilag a résbe, a WCCP protokoll használatával

  • Gyakorlatilag a résben, a Policy Based Routing használatával

  • Router egy boton

  • Kifejezetten meghatározott WEB proxy

  • UserGate alapértelmezett átjáróként

  • Tükör port figyelése

A UserGate 2 típusú fürtöt támogat:

  1. Klaszter konfiguráció. A konfigurációs fürtbe egyesített csomópontok konzisztens beállításokat tartanak fenn a fürtben.

  2. Feladatátvevő klaszter. Legfeljebb 4 konfigurációs fürtcsomópont kombinálható egy feladatátvételi fürtté, amely támogatja az aktív-aktív vagy az aktív-passzív módot. Lehetőség van több feladatátvételi fürt összeállítására.

2. Telepítés

Amint azt az előző cikkben említettük, a UserGate hardver- és szoftvercsomagként vagy virtuális környezetben kerül forgalomba. Az Ön személyes fiókjából a webhelyen UserGate töltse le a képet OVF-ben (Open Virtualization Format), ez a formátum a VMWare és az Oracle Virtualbox gyártói számára alkalmas. A Microsoft Hyper-v-hez és a KVM-hez virtuális gép lemezképek állnak rendelkezésre.

A UserGate honlapja szerint a virtuális gép megfelelő működéséhez legalább 8 Gb RAM és 2 magos virtuális processzor használata javasolt. A hypervisornak támogatnia kell a 64 bites operációs rendszereket.

A telepítés a kép importálásával kezdődik a kiválasztott hypervisorba (VirtualBox és VMWare). Microsoft Hyper-v és KVM esetén létre kell hozni egy virtuális gépet, és meg kell adni a letöltött képfájlt lemezként, majd a létrehozott virtuális gép beállításaiban le kell tiltani az integrációs szolgáltatásokat.

Alapértelmezés szerint a VMWare-be történő importálás után egy virtuális gép jön létre a következő beállításokkal:

2. UserGate Kezdő lépések. Követelmények, telepítés

Ahogy fentebb írtuk, legalább 8 Gb RAM-nak kell lennie, és ezen felül minden 1 felhasználóhoz hozzá kell adni 100 Gb-ot. Az alapértelmezett merevlemez mérete 100 Gb, de ez általában nem elegendő az összes napló és beállítás tárolásához. Az ajánlott méret 300 Gb vagy több. Ezért a virtuális gép tulajdonságainál módosítjuk a lemezméretet a kívántra. Kezdetben a virtuális UserGate UTM négy interfésszel érkezik a zónákhoz:

Kezelés - a virtuális gép első interfésze, egy zóna a megbízható hálózatok csatlakoztatására, ahonnan a UserGate kezelés engedélyezett.

A Megbízható a virtuális gép második interfésze, egy zóna megbízható hálózatok, például LAN-hálózatok csatlakoztatására.

A Untrusted a virtuális gép harmadik interfésze, a nem megbízható hálózatokhoz, például az internethez kapcsolódó interfészek zónája.

A DMZ a virtuális gép negyedik interfésze, a DMZ hálózathoz csatlakozó interfészek zónája.

Ezután elindítjuk a virtuális gépet, bár a kézikönyv azt írja, hogy ki kell választania a Támogatási eszközöket, és végre kell hajtania az UTM gyári alaphelyzetbe állítását, de amint látja, csak egy választási lehetőség van (UTM First Boot). E lépés során az UTM konfigurálja a hálózati adaptereket, és a merevlemez-partíció méretét a teljes lemezméretre növeli:

2. UserGate Kezdő lépések. Követelmények, telepítés

A UserGate webes felületéhez való csatlakozáshoz be kell jelentkezni a felügyeleti zónán keresztül, ez az eth0 interfész feladata, amely úgy van beállítva, hogy automatikusan megkapja az IP-címet (DHCP). Ha nem lehetséges DHCP-vel automatikusan címet rendelni a felügyeleti interfészhez, akkor az explicit módon beállítható a CLI (Command Line Interface) segítségével. Ehhez be kell jelentkeznie a CLI-be teljes rendszergazdai jogosultságokkal rendelkező felhasználónévvel és jelszóval (alapértelmezésben nagybetűs Admin). Ha a UserGate eszköz nem esett át kezdeti inicializáláson, akkor a CLI eléréséhez az Admin nevet kell használnia felhasználónévként és az utm jelszót. És írjon be egy parancsot, például: iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Később a UserGate webkonzolra lépünk a megadott címen, valahogy így kell kinéznie: https://UserGateIPaddress:8001:

2. UserGate Kezdő lépések. Követelmények, telepítés2. UserGate Kezdő lépések. Követelmények, telepítés

A webkonzolban folytatjuk a telepítést, ki kell választanunk a felület nyelvét (jelenleg orosz vagy angol), az időzónát, majd el kell olvasni és el kell fogadnunk a licencszerződést. Állítsa be a bejelentkezési nevet és jelszót a webkezelő felületre való bejelentkezéshez.

3. Beállítás

A telepítés után így néz ki a platformkezelő webes felület ablaka:

2. UserGate Kezdő lépések. Követelmények, telepítés

Ezután konfigurálnia kell a hálózati interfészeket. Ehhez az „Interfészek” részben engedélyeznie kell őket, be kell állítania a megfelelő IP-címeket és hozzá kell rendelnie a megfelelő zónákat.

Az „Interfészek” rész megjeleníti a rendszerben elérhető összes fizikai és virtuális interfészt, lehetővé teszi a beállítások módosítását és VLAN interfészek hozzáadását. Megmutatja az egyes fürtcsomópontok összes interfészét is. Az interfész beállításai minden csomópontra jellemzőek, vagyis nem globálisak.

Az interfész tulajdonságainál:

  • Az interfész engedélyezése vagy letiltása 

  • Adja meg az interfész típusát - Layer 3 vagy Mirror

  • Rendeljen hozzá egy zónát egy interfészhez

  • Rendeljen hozzá egy Netflow profilt, hogy statisztikai adatokat küldjön a Netflow gyűjtőnek

  • Módosítsa az interfész fizikai paramétereit - MAC-címet és MTU-méretet

  • Válassza ki az IP-cím hozzárendelésének típusát – nincs cím, statikus IP-cím vagy DHCP-n keresztül szereztük be

  • Konfigurálja a DHCP relét a kiválasztott interfészen.

A „Hozzáadás” gombbal a következő típusú logikai interfészeket adhatja hozzá:

  • VLAN

  • Kötvény

  • híd

  • PPPoE

  • VPN

  • Az alagút

2. UserGate Kezdő lépések. Követelmények, telepítés

A korábban felsorolt ​​zónákon kívül, amelyekkel a Usergate képfájl tartozik, további három előre meghatározott típus létezik:

Cluster - zóna a fürt működéséhez használt interfészek számára

Site-to-Site VPN – egy zóna, amelyben a UserGate-hez VPN-en keresztül csatlakoztatott Office-Office kliensek el vannak helyezve

VPN távoli eléréshez – egy zóna, amely magában foglalja a UserGate-hez VPN-en keresztül csatlakozó összes mobilfelhasználót

A UserGate rendszergazdák módosíthatják az alapértelmezett zónák beállításait, és további zónákat is létrehozhatnak, de az 5-ös verzió kézikönyvében leírtak szerint maximum 15 zóna hozható létre. Módosításához vagy létrehozásához a zóna szakaszba kell lépnie. Minden zónához beállíthat egy csomagledobási küszöböt; a SYN, UDP és ICMP támogatott. A Usergate szolgáltatásokhoz való hozzáférés szabályozása is konfigurálva van, és engedélyezve van a hamisítás elleni védelem.

2. UserGate Kezdő lépések. Követelmények, telepítés

Az interfészek konfigurálása után az „Átjárók” részben be kell állítani az alapértelmezett útvonalat. Azok. A UserGate internethez való csatlakoztatásához meg kell adnia egy vagy több átjáró IP-címét. Ha több szolgáltatót használ az internethez való csatlakozáshoz, több átjárót kell megadnia. Az átjáró konfigurációja minden fürtcsomópont esetében egyedi. Ha két vagy több átjáró van megadva, 2 lehetőség lehetséges:

  1. A forgalom kiegyenlítése az átjárók között.

  2. A fő átjáró egy tartalék átjáróra váltással.

Az átjáró állapota (elérhető - zöld, nem elérhető - piros) a következőképpen kerül meghatározásra:

  1. A hálózati ellenőrzés le van tiltva – az átjáró akkor tekinthető elérhetőnek, ha a UserGate ARP-kérés segítségével megszerezheti a MAC-címét. Ezen az átjárón keresztül nincs internet-hozzáférés ellenőrzése. Ha az átjáró MAC-címe nem határozható meg, az átjáró elérhetetlennek minősül.

  2. A hálózat ellenőrzése engedélyezve van – az átjáró elérhetőnek tekinthető, ha:

  • A UserGate MAC-címét ARP-kérés segítségével szerezheti meg.

  • Az ezen az átjárón keresztüli internet-hozzáférés ellenőrzése sikeresen befejeződött.

Ellenkező esetben az átjáró nem elérhető.

2. UserGate Kezdő lépések. Követelmények, telepítés

A „DNS” részben hozzá kell adnia a UserGate által használt DNS-kiszolgálókat. Ez a beállítás a Rendszer DNS-kiszolgálók területen van megadva. Az alábbiakban a felhasználóktól érkező DNS-kérések kezelésére vonatkozó beállítások találhatók. A UserGate lehetővé teszi a DNS-proxy használatát. A DNS-proxy szolgáltatás lehetővé teszi a felhasználók DNS-kérelmeinek lehallgatását és azok módosítását a rendszergazda igényei szerint. A DNS-proxyszabályok segítségével meghatározhatók azok a DNS-kiszolgálók, amelyekre az adott tartományokra vonatkozó kéréseket továbbítják. Ezenkívül DNS-proxy használatával beállíthatja a gazdatípus statikus rekordjait (A rekord).

2. UserGate Kezdő lépések. Követelmények, telepítés

A „NAT és útválasztás” részben létre kell hoznia a szükséges NAT-szabályokat. A Megbízható hálózat felhasználóinak internethez való hozzáféréséhez a NAT-szabályt már létrehozták - „Trusted->Untrusted”, csak engedélyezni kell. A szabályok felülről lefelé kerülnek alkalmazásra a konzolon felsorolt ​​sorrendben. Csak az első szabály, amelyre a szabályban megadott feltételek mindig egyeznek. A szabály aktiválásához a szabályparaméterekben megadott összes feltételnek meg kell egyeznie. A UserGate általános NAT-szabályok létrehozását javasolja, például NAT-szabályt a helyi hálózatról (általában megbízható zónáról) az internetre (általában nem megbízható zónára), valamint a felhasználók, szolgáltatások és alkalmazások hozzáférésének korlátozását tűzfalszabályok segítségével.

Lehetőség van DNAT-szabályok létrehozására, port-továbbításra, házirend-alapú útválasztásra, hálózatleképezésre is.

2. UserGate Kezdő lépések. Követelmények, telepítés

Ezt követően a „Tűzfal” részben tűzfalszabályokat kell létrehoznia. A megbízható hálózat felhasználóinak korlátlan internet-hozzáféréséhez egy tűzfalszabályt is létrehoztak - „Internet for Trusted”, és azt engedélyezni kell. A tűzfalszabályok használatával az adminisztrátor engedélyezheti vagy letilthatja a UserGate-en áthaladó bármilyen típusú tranzit hálózati forgalmat. A szabályfeltételek magukban foglalhatnak zónákat és forrás/cél IP-címeket, felhasználókat és csoportokat, szolgáltatásokat és alkalmazásokat. A szabályok ugyanúgy érvényesek, mint a „NAT és Routing” részben, azaz. felülről lefelé. Ha nem hoztak létre szabályokat, akkor a UserGate-en keresztüli tranzitforgalom tilos.

2. UserGate Kezdő lépések. Követelmények, telepítés

4. következtetés

Ezzel zárul a cikk. Telepítettük a UserGate tűzfalat egy virtuális gépre, és elvégeztük a minimálisan szükséges beállításokat, hogy az Internet működjön a megbízható hálózaton. A további beállításokat a következő cikkekben tárgyaljuk.

Kísérje figyelemmel csatornáinkon megjelenő újdonságokat (TelegramFacebookVKTS Solution Blog)!

Forrás: will.com

Hozzászólás