Halo, ini artikel kedua tentang solusi NGFW dari perusahaan . Tujuan artikel ini adalah untuk menunjukkan cara menginstal firewall UserGate pada sistem virtual (Saya akan menggunakan perangkat lunak virtualisasi VMware Workstation) dan melakukan konfigurasi awalnya (mengizinkan akses dari jaringan lokal melalui gateway UserGate ke Internet).
1. Pendahuluan
Untuk memulai, saya akan menjelaskan berbagai cara untuk mengimplementasikan gateway ini ke dalam jaringan. Saya ingin mencatat bahwa tergantung pada opsi koneksi yang dipilih, fungsi gateway tertentu mungkin tidak tersedia. Solusi UserGate mendukung mode koneksi berikut:
-
Firewall L3-L7
-
Jembatan transparan L2
-
Jembatan transparan L3
-
Sebenarnya ke dalam kesenjangan, menggunakan protokol WCCP
-
Hampir di celah tersebut, menggunakan Perutean Berbasis Kebijakan
-
Router pada Tongkat
-
Proksi WEB yang ditentukan secara eksplisit
-
UserGate sebagai gerbang default
-
Pemantauan port cermin
UserGate mendukung 2 jenis cluster:
-
Konfigurasi klaster. Node yang digabungkan ke dalam cluster konfigurasi mempertahankan pengaturan yang konsisten di seluruh cluster.
-
Kluster kegagalan. Hingga 4 node cluster konfigurasi dapat digabungkan menjadi cluster failover yang mendukung operasi dalam mode Aktif-Aktif atau Aktif-Pasif. Dimungkinkan untuk merakit beberapa kluster failover.
2. Instalasi
Seperti disebutkan dalam artikel sebelumnya, UserGate disediakan sebagai paket perangkat keras dan perangkat lunak atau digunakan dalam lingkungan virtual. Dari akun pribadi Anda di situs web unduh gambar dalam OVF (Open Virtualization Format), format ini cocok untuk vendor VMWare dan Oracle Virtualbox. Gambar disk mesin virtual disediakan untuk Microsoft Hyper-v dan KVM.
Menurut situs UserGate, agar mesin virtual dapat beroperasi dengan benar, disarankan untuk menggunakan setidaknya 8Gb RAM dan prosesor virtual 2-inti. Hypervisor harus mendukung sistem operasi 64-bit.
Instalasi dimulai dengan mengimpor gambar ke hypervisor yang dipilih (VirtualBox dan VMWare). Dalam kasus Microsoft Hyper-v dan KVM, Anda perlu membuat mesin virtual dan menentukan image yang diunduh sebagai disk, lalu menonaktifkan layanan integrasi dalam pengaturan mesin virtual yang dibuat.
Secara default, setelah mengimpor ke VMWare, mesin virtual dibuat dengan pengaturan berikut:
Seperti yang sudah ditulis di atas, RAM minimal harus 8Gb dan selain itu Anda perlu menambahkan 1Gb untuk setiap 100 pengguna. Ukuran hard drive default adalah 100 Gb, tetapi ini biasanya tidak cukup untuk menyimpan semua log dan pengaturan. Ukuran yang disarankan adalah 300Gb atau lebih. Oleh karena itu, di properti mesin virtual, kami mengubah ukuran disk ke yang diinginkan. Awalnya, UserGate UTM virtual hadir dengan empat antarmuka yang ditetapkan ke zona:
Manajemen - antarmuka pertama mesin virtual, zona untuk menghubungkan jaringan tepercaya yang memungkinkan manajemen UserGate.
Tepercaya adalah antarmuka kedua dari mesin virtual, zona untuk menghubungkan jaringan tepercaya, misalnya jaringan LAN.
Tidak tepercaya adalah antarmuka ketiga dari mesin virtual, zona untuk antarmuka yang terhubung ke jaringan tidak tepercaya, misalnya, ke Internet.
DMZ adalah antarmuka keempat dari mesin virtual, zona untuk antarmuka yang terhubung ke jaringan DMZ.
Selanjutnya, kami meluncurkan mesin virtual, meskipun manual mengatakan bahwa Anda harus memilih Alat Dukungan dan melakukan Reset pabrik UTM, tetapi seperti yang Anda lihat, hanya ada satu pilihan (Boot Pertama UTM). Selama langkah ini, UTM mengonfigurasi adaptor jaringan dan meningkatkan ukuran partisi hard drive ke ukuran disk penuh:
Untuk terhubung ke antarmuka web UserGate, Anda harus masuk melalui zona Manajemen; ini adalah tanggung jawab antarmuka eth0, yang dikonfigurasi untuk mendapatkan alamat IP secara otomatis (DHCP). Jika tidak memungkinkan untuk menetapkan alamat untuk antarmuka Manajemen secara otomatis menggunakan DHCP, maka alamat tersebut dapat diatur secara eksplisit menggunakan CLI (Command Line Interface). Untuk melakukan ini, Anda perlu masuk ke CLI menggunakan nama pengguna dan kata sandi dengan hak administrator penuh (Admin dengan huruf kapital secara default). Jika perangkat UserGate belum mengalami inisialisasi awal, maka untuk mengakses CLI harus menggunakan Admin sebagai username dan utm sebagai password. Dan ketik perintah seperti iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Nanti kita masuk ke konsol web UserGate di alamat yang ditentukan, akan terlihat seperti ini:https://UserGateIPaddress:8001:
Di konsol web kami melanjutkan instalasi, kami perlu memilih bahasa antarmuka (saat ini Rusia atau Inggris), zona waktu, lalu membaca dan menyetujui perjanjian lisensi. Tetapkan login dan kata sandi untuk masuk ke antarmuka manajemen web.
3. Pengaturan
Setelah instalasi, seperti inilah jendela antarmuka web manajemen platform:
Maka Anda perlu mengkonfigurasi antarmuka jaringan. Untuk melakukan ini, di bagian “Antarmuka” Anda harus mengaktifkannya, mengatur alamat IP yang benar dan menetapkan zona yang sesuai.
Bagian "Antarmuka" menampilkan semua antarmuka fisik dan virtual yang tersedia di sistem, memungkinkan Anda mengubah pengaturannya dan menambahkan antarmuka VLAN. Ini juga menunjukkan semua antarmuka dari setiap node cluster. Pengaturan antarmuka bersifat spesifik untuk setiap node, artinya tidak bersifat global.
Di properti antarmuka:
-
Mengaktifkan atau menonaktifkan antarmuka
-
Tentukan jenis antarmuka - Layer 3 atau Mirror
-
Tetapkan zona ke antarmuka
-
Tetapkan profil Netflow untuk mengirim data statistik ke pengumpul Netflow
-
Ubah parameter fisik antarmuka - alamat MAC dan ukuran MTU
-
Pilih jenis penetapan alamat IP - tanpa alamat, alamat IP statis atau diperoleh melalui DHCP
-
Konfigurasikan relai DHCP pada antarmuka yang dipilih.
Tombol “Tambah” memungkinkan Anda menambahkan jenis antarmuka logis berikut:
-
VLAN
-
menjalin kedekatan
-
Bridge
-
PPPoE
-
VPN
-
Terowongan
Selain zona yang disebutkan sebelumnya yang disertakan dengan gambar Usergate, ada tiga tipe yang telah ditentukan sebelumnya:
Cluster - zona untuk antarmuka yang digunakan untuk operasi cluster
VPN untuk Situs-ke-Situs - zona tempat semua klien Office-Office yang terhubung ke UserGate melalui VPN ditempatkan
VPN untuk akses jarak jauh - zona yang mencakup semua pengguna seluler yang terhubung ke UserGate melalui VPN
Administrator UserGate dapat mengubah pengaturan zona default dan juga membuat zona tambahan, namun sebagaimana tercantum dalam manual versi 5, maksimal 15 zona dapat dibuat. Untuk mengubah atau membuatnya, Anda harus pergi ke bagian zona. Untuk setiap zona, Anda dapat mengatur ambang batas pelepasan paket; SYN, UDP, ICMP didukung. Kontrol akses ke layanan Usergate juga dikonfigurasi, dan perlindungan terhadap spoofing diaktifkan.
Setelah mengkonfigurasi antarmuka, Anda perlu mengkonfigurasi rute default di bagian “Gateways”. Itu. Untuk menghubungkan UserGate ke Internet, Anda harus menentukan alamat IP dari satu atau lebih gateway. Jika Anda menggunakan beberapa penyedia untuk menyambung ke Internet, Anda harus menentukan beberapa gateway. Konfigurasi gateway unik untuk setiap node cluster. Jika dua atau lebih gateway ditentukan, 2 opsi mungkin dilakukan:
-
Menyeimbangkan lalu lintas antar gateway.
-
Gerbang utama dengan peralihan ke gerbang cadangan.
Status gateway (tersedia - hijau, tidak tersedia - merah) ditentukan sebagai berikut:
-
Pemeriksaan jaringan dinonaktifkan – gateway dianggap dapat diakses jika UserGate dapat memperoleh alamat MAC-nya menggunakan permintaan ARP. Tidak ada pemeriksaan akses Internet melalui gateway ini. Jika alamat MAC gateway tidak dapat ditentukan, gateway dianggap tidak dapat dijangkau.
-
Pemeriksaan jaringan diaktifkan - gateway dianggap dapat diakses jika:
-
UserGate dapat memperoleh alamat MAC-nya menggunakan permintaan ARP.
-
Pemeriksaan akses Internet melalui gateway ini berhasil diselesaikan.
Jika tidak, gateway dianggap tidak tersedia.
Di bagian “DNS” Anda perlu menambahkan server DNS yang akan digunakan UserGate. Pengaturan ini ditentukan di area Server DNS Sistem. Di bawah ini adalah pengaturan untuk mengelola permintaan DNS dari pengguna. UserGate memungkinkan Anda menggunakan proksi DNS. Layanan proksi DNS memungkinkan Anda mencegat permintaan DNS dari pengguna dan mengubahnya tergantung kebutuhan administrator. Aturan proksi DNS dapat digunakan untuk menentukan server DNS yang akan meneruskan permintaan domain tertentu. Selain itu, dengan menggunakan proksi DNS, Anda dapat mengatur catatan statis dari jenis host (catatan A).
Di bagian “NAT dan Perutean” Anda perlu membuat aturan NAT yang diperlukan. Untuk akses ke Internet oleh pengguna jaringan Tepercaya, aturan NAT telah dibuat - “Tepercaya->Tidak Tepercaya”, yang tersisa hanyalah mengaktifkannya. Aturan diterapkan dari atas ke bawah sesuai urutan yang dicantumkan di konsol. Hanya aturan pertama yang kondisinya ditentukan dalam aturan yang cocok yang selalu dijalankan. Agar aturan dapat dipicu, semua kondisi yang ditentukan dalam parameter aturan harus cocok. UserGate merekomendasikan pembuatan aturan NAT umum, misalnya, aturan NAT dari jaringan lokal (biasanya zona Tepercaya) ke Internet (biasanya zona Tidak Tepercaya), dan membatasi akses oleh pengguna, layanan, dan aplikasi menggunakan aturan firewall.
Dimungkinkan juga untuk membuat aturan DNAT, penerusan porta, perutean berbasis kebijakan, pemetaan jaringan.
Setelah ini, di bagian “Firewall” Anda perlu membuat aturan firewall. Untuk akses tak terbatas ke Internet bagi pengguna jaringan Tepercaya, aturan firewall juga telah dibuat - “Internet untuk Tepercaya” dan harus diaktifkan. Dengan menggunakan aturan firewall, administrator dapat mengizinkan atau menolak segala jenis lalu lintas jaringan transit yang melewati UserGate. Ketentuan aturan dapat mencakup zona dan alamat IP sumber/tujuan, pengguna dan grup, layanan dan aplikasi. Aturan berlaku dengan cara yang sama seperti di bagian “NAT dan Perutean”, yaitu. Perintahkan ke bawah. Jika tidak ada aturan yang dibuat, lalu lintas transit apa pun melalui UserGate dilarang.
4. Kesimpulan
Ini menyimpulkan artikelnya. Kami memasang firewall UserGate pada mesin virtual dan membuat pengaturan minimum yang diperlukan agar Internet dapat berfungsi di jaringan Tepercaya. Kami akan mempertimbangkan konfigurasi lebih lanjut di artikel berikut.
Nantikan pembaruan di saluran kami (, , , )!
Sumber: www.habr.com