2. UserGate Ինչից սկսել: Պահանջներ, տեղադրում

Ողջույն, սա ընկերության NGFW լուծման մասին երկրորդ հոդվածն է UserGate. Այս հոդվածի նպատակն է ցույց տալ, թե ինչպես տեղադրել UserGate firewall-ը վիրտուալ համակարգի վրա (ես կօգտագործեմ VMware Workstation վիրտուալացման ծրագրակազմը) և կատարել դրա նախնական կազմաձևումը (թույլատրել մուտքը տեղական ցանցից UserGate դարպասի միջոցով դեպի ինտերնետ):   

1. Ներածություն

Սկսելու համար ես նկարագրելու եմ այս դարպասը ցանցում ներդրման տարբեր եղանակներ: Ցանկանում եմ նշել, որ կախված ընտրված կապի տարբերակից, դարպասի որոշակի ֆունկցիոնալությունը կարող է հասանելի չլինել: UserGate լուծումն աջակցում է կապի հետևյալ ռեժիմներին. 

• L3-L7 firewall

• L2 թափանցիկ կամուրջ

• L3 թափանցիկ կամուրջ

• Փաստացիորեն բացը, օգտագործելով WCCP արձանագրությունը

• Փաստացիորեն բացը, օգտագործելով քաղաքականության վրա հիմնված երթուղին

• Ուղղորդիչը փայտիկի վրա

• Հստակորեն նշված WEB վստահված անձ

• UserGate-ը որպես լռելյայն դարպաս

• Հայելի պորտի մոնիտորինգ

UserGate-ն աջակցում է 2 տեսակի կլաստերներ.

1. Կլաստերի կոնֆիգուրացիա: Հանգույցները, որոնք միավորված են կազմաձևման կլաստերի մեջ, պահպանում են հետևողական կարգավորումները ամբողջ կլաստերի վրա:

2. Failover կլաստեր: Մինչև 4 կոնֆիգուրացիայի կլաստերային հանգույցներ կարող են միավորվել ձախողման կլաստերի մեջ, որն աջակցում է Ակտիվ-Ակտիվ կամ Ակտիվ-պասիվ ռեժիմում գործողությանը: Հնարավոր է հավաքել մի քանի failover կլաստերներ:

2. Տեղադրում

Ինչպես նշվեց նախորդ հոդվածում, UserGate-ը տրամադրվում է որպես ապարատային և ծրագրային փաթեթ կամ տեղակայվում է վիրտուալ միջավայրում: Կայքում ձեր անձնական հաշվից UserGate ներբեռնեք պատկերը OVF-ով (Open Virtualization Format), այս ձևաչափը հարմար է VMWare և Oracle Virtualbox վաճառողների համար: Վիրտուալ մեքենայի սկավառակի պատկերները տրամադրվում են Microsoft Hyper-v-ի և KVM-ի համար:

Ըստ UserGate կայքի՝ վիրտուալ մեքենայի ճիշտ աշխատանքի համար խորհուրդ է տրվում օգտագործել առնվազն 8 Գբ օպերատիվ հիշողություն և 2 միջուկ վիրտուալ պրոցեսոր։ Հիպերվիզորը պետք է աջակցի 64-բիթանոց օպերացիոն համակարգերին:

Տեղադրումը սկսվում է պատկերը ներմուծելով ընտրված հիպերվիզոր (VirtualBox և VMWare): Microsoft Hyper-v-ի և KVM-ի դեպքում դուք պետք է ստեղծեք վիրտուալ մեքենա և նշեք ներբեռնված պատկերը որպես սկավառակ, այնուհետև անջատեք ինտեգրացիոն ծառայությունները ստեղծված վիրտուալ մեքենայի կարգավորումներում։

Լռելյայնորեն, VMWare ներմուծելուց հետո ստեղծվում է վիրտուալ մեքենա հետևյալ կարգավորումներով.

Ինչպես վերը գրվեց, պետք է լինի առնվազն 8 Գբ օպերատիվ հիշողություն, և բացի այդ, յուրաքանչյուր 1 օգտագործողի համար պետք է ավելացնել 100 Գբ: Կոշտ սկավառակի կանխադրված չափը 100 Գբ է, բայց դա սովորաբար բավարար չէ բոլոր տեղեկամատյաններն ու կարգավորումները պահելու համար: Առաջարկվող չափը 300 Գբ է կամ ավելի: Հետեւաբար, վիրտուալ մեքենայի հատկություններում մենք փոխում ենք սկավառակի չափը ցանկալիին: Սկզբում վիրտուալ UserGate UTM-ը գալիս է չորս ինտերֆեյսով, որոնք նշանակված են գոտիներին.

Կառավարում - վիրտուալ մեքենայի առաջին ինտերֆեյսը, վստահելի ցանցերի միացման գոտի, որտեղից թույլատրվում է UserGate-ի կառավարումը:

Trusted-ը վիրտուալ մեքենայի երկրորդ ինտերֆեյսն է՝ վստահելի ցանցերը միացնելու գոտի, օրինակ՝ LAN ցանցեր։

Untrusted-ը վիրտուալ մեքենայի երրորդ ինտերֆեյսն է, անվստահելի ցանցերին միացված ինտերֆեյսների գոտի, օրինակ՝ ինտերնետին:

DMZ-ը վիրտուալ մեքենայի չորրորդ ինտերֆեյսն է՝ DMZ ցանցին միացված ինտերֆեյսների գոտի:

Հաջորդը, մենք գործարկում ենք վիրտուալ մեքենան, թեև ձեռնարկում ասվում է, որ դուք պետք է ընտրեք «Աջակցման գործիքներ» և կատարեք «Factory reset» UTM, բայց, ինչպես տեսնում եք, կա միայն մեկ ընտրություն (UTM First Boot): Այս քայլի ընթացքում UTM-ը կարգավորում է ցանցային ադապտերները և մեծացնում է կոշտ սկավառակի բաժանման չափը մինչև ամբողջական սկավառակի չափը.

UserGate վեբ ինտերֆեյսին միանալու համար դուք պետք է մուտք գործեք Կառավարման գոտու միջոցով, սա է eth0 ինտերֆեյսի պատասխանատվությունը, որը կազմաձևված է IP հասցե ավտոմատ կերպով (DHCP) ստանալու համար: Եթե ​​հնարավոր չէ ավտոմատ կերպով նշանակել հասցե կառավարման միջերեսի համար՝ օգտագործելով DHCP, ապա այն կարող է բացահայտորեն սահմանվել՝ օգտագործելով CLI (Command Line Interface): Դա անելու համար դուք պետք է մուտք գործեք CLI՝ օգտագործելով օգտվողի անուն և գաղտնաբառ՝ ամբողջական ադմինիստրատորի իրավունքներով (Ադմինիստրատորը լռելյայն մեծատառով): Եթե ​​UserGate սարքը չի ենթարկվել նախնական սկզբնավորմանը, ապա CLI մուտք գործելու համար դուք պետք է օգտագործեք Admin որպես օգտվողի անուն և utm որպես գաղտնաբառ: Եվ մուտքագրեք հրաման, ինչպիսին է iface config –name eth0 –ipv4 192.168.1.254/24 – enable true –mode static: Ավելի ուշ մենք գնում ենք UserGate վեբ վահանակ նշված հասցեով, այն պետք է նման լինի հետևյալին. https://UserGateIPaddress:8001:

Վեբ վահանակում մենք շարունակում ենք տեղադրումը, մենք պետք է ընտրենք ինտերֆեյսի լեզուն (այս պահին դա ռուսերեն կամ անգլերեն է), ժամային գոտին, այնուհետև կարդալ և համաձայնել լիցենզային պայմանագրին: Սահմանեք մուտքի և գաղտնաբառը՝ վեբ կառավարման միջերես մուտք գործելու համար:

3. Կարգավորում

Տեղադրվելուց հետո պլատֆորմի կառավարման վեբ ինտերֆեյսի պատուհանն այսպիսի տեսք ունի.

Այնուհետև դուք պետք է կարգավորեք ցանցային միջերեսները: Դա անելու համար «Ինտերֆեյս» բաժնում անհրաժեշտ է միացնել դրանք, սահմանել ճիշտ IP հասցեները և նշանակել համապատասխան գոտիներ:

«Ինտերֆեյս» բաժինը ցուցադրում է համակարգում առկա բոլոր ֆիզիկական և վիրտուալ ինտերֆեյսները, թույլ է տալիս փոխել դրանց կարգավորումները և ավելացնել VLAN միջերեսներ: Այն նաև ցույց է տալիս յուրաքանչյուր կլաստերի հանգույցի բոլոր միջերեսները: Ինտերֆեյսի կարգավորումները հատուկ են յուրաքանչյուր հանգույցի համար, այսինքն՝ դրանք գլոբալ չեն։

Ինտերֆեյսի հատկություններում.

• Միացնել կամ անջատել ինտերֆեյսը 

• Նշեք ինտերֆեյսի տեսակը՝ շերտ 3 կամ հայելի

• Ինտերֆեյսին նշանակեք գոտի

• Նշանակեք Netflow պրոֆիլ՝ վիճակագրական տվյալներ Netflow հավաքողին ուղարկելու համար

• Փոխեք ինտերֆեյսի ֆիզիկական պարամետրերը՝ MAC հասցեն և MTU չափը

• Ընտրեք IP հասցեի նշանակման տեսակը՝ առանց հասցեի, ստատիկ IP հասցեի կամ ստացված DHCP-ի միջոցով

• Կարգավորեք DHCP ռելեն ընտրված ինտերֆեյսի վրա:

«Ավելացնել» կոճակը թույլ է տալիս ավելացնել տրամաբանական միջերեսների հետևյալ տեսակները.

• ՎԼԱՆ

• Բոնդ

• Կամուրջ

• PPPoE

• VPN

• Թունել

Բացի նախկինում թվարկված գոտիներից, որոնցով ուղարկվում է Usergate պատկերը, կան ևս երեք նախապես սահմանված տեսակներ.

Կլաստեր - կլաստերի շահագործման համար օգտագործվող միջերեսների գոտի

VPN Կայքից Կայք - գոտի, որտեղ տեղադրվում են Office-Office-ի բոլոր հաճախորդները, որոնք միացված են UserGate-ին VPN-ի միջոցով

VPN հեռավոր մուտքի համար - գոտի, որը ներառում է բոլոր բջջային օգտվողներին, որոնք միացված են UserGate-ին VPN-ի միջոցով

UserGate-ի ադմինիստրատորները կարող են փոխել լռելյայն գոտիների կարգավորումները և նաև ստեղծել լրացուցիչ գոտիներ, սակայն, ինչպես նշված է տարբերակի 5-ի ձեռնարկում, կարող է ստեղծվել առավելագույնը 15 գոտի: Դրանք փոխելու կամ ստեղծելու համար հարկավոր է գնալ գոտի բաժին: Յուրաքանչյուր գոտու համար դուք կարող եք սահմանել փաթեթի անկման շեմ, աջակցվում են SYN, UDP, ICMP: Usergate ծառայությունների մուտքի վերահսկումը նույնպես կազմաձևված է, և պաշտպանությունը խարդախությունից միացված է:

Միջերեսները կարգավորելուց հետո դուք պետք է կարգավորեք լռելյայն երթուղին «Դարպասներ» բաժնում: Նրանք. UserGate-ը ինտերնետին միացնելու համար դուք պետք է նշեք մեկ կամ մի քանի դարպասների IP հասցեն: Եթե ​​դուք օգտագործում եք մի քանի պրովայդերներ ինտերնետին միանալու համար, դուք պետք է նշեք մի քանի դարպասներ: Դարպասի կոնֆիգուրացիան եզակի է յուրաքանչյուր կլաստերային հանգույցի համար: Եթե ​​նշված են երկու կամ ավելի դարպասներ, հնարավոր է 2 տարբերակ.

1. Դարպասների միջև երթևեկության հավասարակշռում:

2. Հիմնական դարպասը պահեստայինի անցումով:

Դարպասի կարգավիճակը (հասանելի - կանաչ, անհասանելի - կարմիր) որոշվում է հետևյալ կերպ.

1. Ցանցի ստուգումն անջատված է. դարպասը համարվում է հասանելի, եթե UserGate-ը կարողանա ստանալ իր MAC հասցեն՝ օգտագործելով ARP հարցումը: Այս դարպասի միջոցով ինտերնետ հասանելիության ստուգում չկա: Եթե ​​դարպասի MAC հասցեն հնարավոր չէ որոշել, դարպասը համարվում է անհասանելի:

2. Ցանցի ստուգումը միացված է. դարպասը համարվում է հասանելի, եթե՝

• UserGate-ը կարող է ստանալ իր MAC հասցեն՝ օգտագործելով ARP հարցումը:

• Այս դարպասի միջոցով ինտերնետ հասանելիության ստուգումը հաջողությամբ ավարտվեց:

Հակառակ դեպքում դարպասը համարվում է անհասանելի:

«DNS» բաժնում դուք պետք է ավելացնեք այն DNS սերվերները, որոնք կօգտագործի UserGate-ը: Այս պարամետրը նշված է System DNS սերվերների տարածքում: Ստորև ներկայացված են օգտատերերի DNS հարցումները կառավարելու կարգավորումները: UserGate-ը թույլ է տալիս օգտագործել DNS վստահված անձ: DNS վստահված անձի ծառայությունը թույլ է տալիս գաղտնալսել օգտատերերի DNS հարցումները և փոխել դրանք՝ կախված ադմինիստրատորի կարիքներից: DNS վստահված անձի կանոնները կարող են օգտագործվել՝ նշելու DNS սերվերները, որոնց ուղարկվում են կոնկրետ տիրույթների հարցումները: Բացի այդ, օգտագործելով DNS վստահված անձ, կարող եք սահմանել հյուրընկալողի տիպի ստատիկ գրառումներ (A գրառում):

«NAT և Routing» բաժնում դուք պետք է ստեղծեք անհրաժեշտ NAT կանոնները: Վստահելի ցանցի օգտատերերի կողմից ինտերնետ մուտք գործելու համար արդեն ստեղծվել է NAT կանոնը՝ «Վստահելի->Անվստահելի», մնում է միայն միացնել այն: Կանոնները կիրառվում են վերևից ներքև այն հաջորդականությամբ, որոնք նշված են վահանակում: Միշտ կատարվում է միայն առաջին կանոնը, որի համար կանոններում նշված պայմանները համընկնում են: Որպեսզի կանոնը գործարկվի, կանոնի պարամետրերում նշված բոլոր պայմանները պետք է համապատասխանեն: UserGate-ը խորհուրդ է տալիս ստեղծել ընդհանուր NAT կանոններ, օրինակ՝ NAT կանոն տեղական ցանցից (սովորաբար վստահելի գոտի) դեպի ինտերնետ (սովորաբար անվստահելի գոտի) և սահմանափակել օգտատերերի, ծառայությունների և հավելվածների մուտքը՝ օգտագործելով firewall-ի կանոնները:

Հնարավոր է նաև ստեղծել DNAT կանոններ, նավահանգիստների վերահասցեավորում, քաղաքականության վրա հիմնված երթուղում, ցանցային քարտեզագրում:

Դրանից հետո «Firewall» բաժնում դուք պետք է ստեղծեք firewall կանոններ: Վստահելի ցանցի օգտվողների համար ինտերնետ անսահմանափակ մուտքի համար արդեն ստեղծվել է նաև firewall կանոն՝ «Ինտերնետ վստահելիների համար» և պետք է միացված լինի: Օգտագործելով firewall-ի կանոնները՝ ադմինիստրատորը կարող է թույլատրել կամ մերժել UserGate-ով անցնող տարանցիկ ցանցի ցանկացած տեսակի տրաֆիկ: Կանոնների պայմանները կարող են ներառել գոտիներ և սկզբնաղբյուր/նպատակակետ IP հասցեներ, օգտվողներ և խմբեր, ծառայություններ և հավելվածներ: Կանոնները կիրառվում են այնպես, ինչպես «NAT and Routing» բաժնում, այսինքն. վերևից վար: Եթե ​​կանոններ չեն ստեղծվել, ապա UserGate-ի միջոցով ցանկացած տարանցիկ երթևեկություն արգելված է:

4. Եզրակացություն

Սա եզրափակում է հոդվածը։ Մենք տեղադրեցինք UserGate firewall-ը վիրտուալ մեքենայի վրա և կատարեցինք նվազագույն անհրաժեշտ կարգավորումները, որպեսզի ինտերնետը աշխատի Trusted ցանցում: Մենք կքննարկենք հետագա կոնֆիգուրացիան հաջորդ հոդվածներում:

Հետևեք թարմացումներին մեր ալիքներում (Telegram, facebook, VK, TS Solution բլոգ)!

Source: www.habr.com