Ողջույն, սա ընկերության NGFW լուծման մասին երկրորդ հոդվածն է
1. Ներածություն
Սկսելու համար ես նկարագրելու եմ այս դարպասը ցանցում ներդրման տարբեր եղանակներ: Ցանկանում եմ նշել, որ կախված ընտրված կապի տարբերակից, դարպասի որոշակի ֆունկցիոնալությունը կարող է հասանելի չլինել: UserGate լուծումն աջակցում է կապի հետևյալ ռեժիմներին.
-
L3-L7 firewall
-
L2 թափանցիկ կամուրջ
-
L3 թափանցիկ կամուրջ
-
Փաստացիորեն բացը, օգտագործելով WCCP արձանագրությունը
-
Փաստացիորեն բացը, օգտագործելով քաղաքականության վրա հիմնված երթուղին
-
Ուղղորդիչը փայտիկի վրա
-
Հստակորեն նշված WEB վստահված անձ
-
UserGate-ը որպես լռելյայն դարպաս
-
Հայելի պորտի մոնիտորինգ
UserGate-ն աջակցում է 2 տեսակի կլաստերներ.
-
Կլաստերի կոնֆիգուրացիա: Հանգույցները, որոնք միավորված են կազմաձևման կլաստերի մեջ, պահպանում են հետևողական կարգավորումները ամբողջ կլաստերի վրա:
-
Failover կլաստեր: Մինչև 4 կոնֆիգուրացիայի կլաստերային հանգույցներ կարող են միավորվել ձախողման կլաստերի մեջ, որն աջակցում է Ակտիվ-Ակտիվ կամ Ակտիվ-պասիվ ռեժիմում գործողությանը: Հնարավոր է հավաքել մի քանի failover կլաստերներ:
2. Տեղադրում
Ինչպես նշվեց նախորդ հոդվածում, UserGate-ը տրամադրվում է որպես ապարատային և ծրագրային փաթեթ կամ տեղակայվում է վիրտուալ միջավայրում: Կայքում ձեր անձնական հաշվից
Ըստ UserGate կայքի՝ վիրտուալ մեքենայի ճիշտ աշխատանքի համար խորհուրդ է տրվում օգտագործել առնվազն 8 Գբ օպերատիվ հիշողություն և 2 միջուկ վիրտուալ պրոցեսոր։ Հիպերվիզորը պետք է աջակցի 64-բիթանոց օպերացիոն համակարգերին:
Տեղադրումը սկսվում է պատկերը ներմուծելով ընտրված հիպերվիզոր (VirtualBox և VMWare): Microsoft Hyper-v-ի և KVM-ի դեպքում դուք պետք է ստեղծեք վիրտուալ մեքենա և նշեք ներբեռնված պատկերը որպես սկավառակ, այնուհետև անջատեք ինտեգրացիոն ծառայությունները ստեղծված վիրտուալ մեքենայի կարգավորումներում։
Լռելյայնորեն, VMWare ներմուծելուց հետո ստեղծվում է վիրտուալ մեքենա հետևյալ կարգավորումներով.
Ինչպես վերը գրվեց, պետք է լինի առնվազն 8 Գբ օպերատիվ հիշողություն, և բացի այդ, յուրաքանչյուր 1 օգտագործողի համար պետք է ավելացնել 100 Գբ: Կոշտ սկավառակի կանխադրված չափը 100 Գբ է, բայց դա սովորաբար բավարար չէ բոլոր տեղեկամատյաններն ու կարգավորումները պահելու համար: Առաջարկվող չափը 300 Գբ է կամ ավելի: Հետեւաբար, վիրտուալ մեքենայի հատկություններում մենք փոխում ենք սկավառակի չափը ցանկալիին: Սկզբում վիրտուալ UserGate UTM-ը գալիս է չորս ինտերֆեյսով, որոնք նշանակված են գոտիներին.
Կառավարում - վիրտուալ մեքենայի առաջին ինտերֆեյսը, վստահելի ցանցերի միացման գոտի, որտեղից թույլատրվում է UserGate-ի կառավարումը:
Trusted-ը վիրտուալ մեքենայի երկրորդ ինտերֆեյսն է՝ վստահելի ցանցերը միացնելու գոտի, օրինակ՝ LAN ցանցեր։
Untrusted-ը վիրտուալ մեքենայի երրորդ ինտերֆեյսն է, անվստահելի ցանցերին միացված ինտերֆեյսների գոտի, օրինակ՝ ինտերնետին:
DMZ-ը վիրտուալ մեքենայի չորրորդ ինտերֆեյսն է՝ DMZ ցանցին միացված ինտերֆեյսների գոտի:
Հաջորդը, մենք գործարկում ենք վիրտուալ մեքենան, թեև ձեռնարկում ասվում է, որ դուք պետք է ընտրեք «Աջակցման գործիքներ» և կատարեք «Factory reset» UTM, բայց, ինչպես տեսնում եք, կա միայն մեկ ընտրություն (UTM First Boot): Այս քայլի ընթացքում UTM-ը կարգավորում է ցանցային ադապտերները և մեծացնում է կոշտ սկավառակի բաժանման չափը մինչև ամբողջական սկավառակի չափը.
UserGate վեբ ինտերֆեյսին միանալու համար դուք պետք է մուտք գործեք Կառավարման գոտու միջոցով, սա է eth0 ինտերֆեյսի պատասխանատվությունը, որը կազմաձևված է IP հասցե ավտոմատ կերպով (DHCP) ստանալու համար: Եթե հնարավոր չէ ավտոմատ կերպով նշանակել հասցե կառավարման միջերեսի համար՝ օգտագործելով DHCP, ապա այն կարող է բացահայտորեն սահմանվել՝ օգտագործելով CLI (Command Line Interface): Դա անելու համար դուք պետք է մուտք գործեք CLI՝ օգտագործելով օգտվողի անուն և գաղտնաբառ՝ ամբողջական ադմինիստրատորի իրավունքներով (Ադմինիստրատորը լռելյայն մեծատառով): Եթե UserGate սարքը չի ենթարկվել նախնական սկզբնավորմանը, ապա CLI մուտք գործելու համար դուք պետք է օգտագործեք Admin որպես օգտվողի անուն և utm որպես գաղտնաբառ: Եվ մուտքագրեք հրաման, ինչպիսին է iface config –name eth0 –ipv4 192.168.1.254/24 – enable true –mode static: Ավելի ուշ մենք գնում ենք UserGate վեբ վահանակ նշված հասցեով, այն պետք է նման լինի հետևյալին.
Վեբ վահանակում մենք շարունակում ենք տեղադրումը, մենք պետք է ընտրենք ինտերֆեյսի լեզուն (այս պահին դա ռուսերեն կամ անգլերեն է), ժամային գոտին, այնուհետև կարդալ և համաձայնել լիցենզային պայմանագրին: Սահմանեք մուտքի և գաղտնաբառը՝ վեբ կառավարման միջերես մուտք գործելու համար:
3. Կարգավորում
Տեղադրվելուց հետո պլատֆորմի կառավարման վեբ ինտերֆեյսի պատուհանն այսպիսի տեսք ունի.
Այնուհետև դուք պետք է կարգավորեք ցանցային միջերեսները: Դա անելու համար «Ինտերֆեյս» բաժնում անհրաժեշտ է միացնել դրանք, սահմանել ճիշտ IP հասցեները և նշանակել համապատասխան գոտիներ:
«Ինտերֆեյս» բաժինը ցուցադրում է համակարգում առկա բոլոր ֆիզիկական և վիրտուալ ինտերֆեյսները, թույլ է տալիս փոխել դրանց կարգավորումները և ավելացնել VLAN միջերեսներ: Այն նաև ցույց է տալիս յուրաքանչյուր կլաստերի հանգույցի բոլոր միջերեսները: Ինտերֆեյսի կարգավորումները հատուկ են յուրաքանչյուր հանգույցի համար, այսինքն՝ դրանք գլոբալ չեն։
Ինտերֆեյսի հատկություններում.
-
Միացնել կամ անջատել ինտերֆեյսը
-
Նշեք ինտերֆեյսի տեսակը՝ շերտ 3 կամ հայելի
-
Ինտերֆեյսին նշանակեք գոտի
-
Նշանակեք Netflow պրոֆիլ՝ վիճակագրական տվյալներ Netflow հավաքողին ուղարկելու համար
-
Փոխեք ինտերֆեյսի ֆիզիկական պարամետրերը՝ MAC հասցեն և MTU չափը
-
Ընտրեք IP հասցեի նշանակման տեսակը՝ առանց հասցեի, ստատիկ IP հասցեի կամ ստացված DHCP-ի միջոցով
-
Կարգավորեք DHCP ռելեն ընտրված ինտերֆեյսի վրա:
«Ավելացնել» կոճակը թույլ է տալիս ավելացնել տրամաբանական միջերեսների հետևյալ տեսակները.
-
ՎԼԱՆ
-
Բոնդ
-
Կամուրջ
-
PPPoE
-
VPN
-
Թունել
Բացի նախկինում թվարկված գոտիներից, որոնցով ուղարկվում է Usergate պատկերը, կան ևս երեք նախապես սահմանված տեսակներ.
Կլաստեր - կլաստերի շահագործման համար օգտագործվող միջերեսների գոտի
VPN Կայքից Կայք - գոտի, որտեղ տեղադրվում են Office-Office-ի բոլոր հաճախորդները, որոնք միացված են UserGate-ին VPN-ի միջոցով
VPN հեռավոր մուտքի համար - գոտի, որը ներառում է բոլոր բջջային օգտվողներին, որոնք միացված են UserGate-ին VPN-ի միջոցով
UserGate-ի ադմինիստրատորները կարող են փոխել լռելյայն գոտիների կարգավորումները և նաև ստեղծել լրացուցիչ գոտիներ, սակայն, ինչպես նշված է տարբերակի 5-ի ձեռնարկում, կարող է ստեղծվել առավելագույնը 15 գոտի: Դրանք փոխելու կամ ստեղծելու համար հարկավոր է գնալ գոտի բաժին: Յուրաքանչյուր գոտու համար դուք կարող եք սահմանել փաթեթի անկման շեմ, աջակցվում են SYN, UDP, ICMP: Usergate ծառայությունների մուտքի վերահսկումը նույնպես կազմաձևված է, և պաշտպանությունը խարդախությունից միացված է:
Միջերեսները կարգավորելուց հետո դուք պետք է կարգավորեք լռելյայն երթուղին «Դարպասներ» բաժնում: Նրանք. UserGate-ը ինտերնետին միացնելու համար դուք պետք է նշեք մեկ կամ մի քանի դարպասների IP հասցեն: Եթե դուք օգտագործում եք մի քանի պրովայդերներ ինտերնետին միանալու համար, դուք պետք է նշեք մի քանի դարպասներ: Դարպասի կոնֆիգուրացիան եզակի է յուրաքանչյուր կլաստերային հանգույցի համար: Եթե նշված են երկու կամ ավելի դարպասներ, հնարավոր է 2 տարբերակ.
-
Դարպասների միջև երթևեկության հավասարակշռում:
-
Հիմնական դարպասը պահեստայինի անցումով:
Դարպասի կարգավիճակը (հասանելի - կանաչ, անհասանելի - կարմիր) որոշվում է հետևյալ կերպ.
-
Ցանցի ստուգումն անջատված է. դարպասը համարվում է հասանելի, եթե UserGate-ը կարողանա ստանալ իր MAC հասցեն՝ օգտագործելով ARP հարցումը: Այս դարպասի միջոցով ինտերնետ հասանելիության ստուգում չկա: Եթե դարպասի MAC հասցեն հնարավոր չէ որոշել, դարպասը համարվում է անհասանելի:
-
Ցանցի ստուգումը միացված է. դարպասը համարվում է հասանելի, եթե՝
-
UserGate-ը կարող է ստանալ իր MAC հասցեն՝ օգտագործելով ARP հարցումը:
-
Այս դարպասի միջոցով ինտերնետ հասանելիության ստուգումը հաջողությամբ ավարտվեց:
Հակառակ դեպքում դարպասը համարվում է անհասանելի:
«DNS» բաժնում դուք պետք է ավելացնեք այն DNS սերվերները, որոնք կօգտագործի UserGate-ը: Այս պարամետրը նշված է System DNS սերվերների տարածքում: Ստորև ներկայացված են օգտատերերի DNS հարցումները կառավարելու կարգավորումները: UserGate-ը թույլ է տալիս օգտագործել DNS վստահված անձ: DNS վստահված անձի ծառայությունը թույլ է տալիս գաղտնալսել օգտատերերի DNS հարցումները և փոխել դրանք՝ կախված ադմինիստրատորի կարիքներից: DNS վստահված անձի կանոնները կարող են օգտագործվել՝ նշելու DNS սերվերները, որոնց ուղարկվում են կոնկրետ տիրույթների հարցումները: Բացի այդ, օգտագործելով DNS վստահված անձ, կարող եք սահմանել հյուրընկալողի տիպի ստատիկ գրառումներ (A գրառում):
«NAT և Routing» բաժնում դուք պետք է ստեղծեք անհրաժեշտ NAT կանոնները: Վստահելի ցանցի օգտատերերի կողմից ինտերնետ մուտք գործելու համար արդեն ստեղծվել է NAT կանոնը՝ «Վստահելի->Անվստահելի», մնում է միայն միացնել այն: Կանոնները կիրառվում են վերևից ներքև այն հաջորդականությամբ, որոնք նշված են վահանակում: Միշտ կատարվում է միայն առաջին կանոնը, որի համար կանոններում նշված պայմանները համընկնում են: Որպեսզի կանոնը գործարկվի, կանոնի պարամետրերում նշված բոլոր պայմանները պետք է համապատասխանեն: UserGate-ը խորհուրդ է տալիս ստեղծել ընդհանուր NAT կանոններ, օրինակ՝ NAT կանոն տեղական ցանցից (սովորաբար վստահելի գոտի) դեպի ինտերնետ (սովորաբար անվստահելի գոտի) և սահմանափակել օգտատերերի, ծառայությունների և հավելվածների մուտքը՝ օգտագործելով firewall-ի կանոնները:
Հնարավոր է նաև ստեղծել DNAT կանոններ, նավահանգիստների վերահասցեավորում, քաղաքականության վրա հիմնված երթուղում, ցանցային քարտեզագրում:
Դրանից հետո «Firewall» բաժնում դուք պետք է ստեղծեք firewall կանոններ: Վստահելի ցանցի օգտվողների համար ինտերնետ անսահմանափակ մուտքի համար արդեն ստեղծվել է նաև firewall կանոն՝ «Ինտերնետ վստահելիների համար» և պետք է միացված լինի: Օգտագործելով firewall-ի կանոնները՝ ադմինիստրատորը կարող է թույլատրել կամ մերժել UserGate-ով անցնող տարանցիկ ցանցի ցանկացած տեսակի տրաֆիկ: Կանոնների պայմանները կարող են ներառել գոտիներ և սկզբնաղբյուր/նպատակակետ IP հասցեներ, օգտվողներ և խմբեր, ծառայություններ և հավելվածներ: Կանոնները կիրառվում են այնպես, ինչպես «NAT and Routing» բաժնում, այսինքն. վերևից վար: Եթե կանոններ չեն ստեղծվել, ապա UserGate-ի միջոցով ցանկացած տարանցիկ երթևեկություն արգելված է:
4. Եզրակացություն
Սա եզրափակում է հոդվածը։ Մենք տեղադրեցինք UserGate firewall-ը վիրտուալ մեքենայի վրա և կատարեցինք նվազագույն անհրաժեշտ կարգավորումները, որպեսզի ինտերնետը աշխատի Trusted ցանցում: Մենք կքննարկենք հետագա կոնֆիգուրացիան հաջորդ հոդվածներում:
Հետևեք թարմացումներին մեր ալիքներում (
Source: www.habr.com