Halló, þetta er önnur greinin um NGFW lausnina frá fyrirtækinu . Tilgangur þessarar greinar er að sýna hvernig á að setja upp UserGate eldvegginn á sýndarkerfi (ég mun nota VMware Workstation virtualization hugbúnað) og framkvæma fyrstu stillingu hans (leyfa aðgang frá staðarnetinu í gegnum UserGate gáttina að internetinu).
1. Inngangur
Til að byrja, mun ég lýsa hinum ýmsu leiðum til að innleiða þessa hlið inn á netið. Ég vil taka það fram að það fer eftir völdum tengimöguleika, að ákveðin virkni gáttarinnar gæti ekki verið tiltæk. UserGate lausn styður eftirfarandi tengistillingar:
-
L3-L7 eldvegg
-
L2 gagnsæ brú
-
L3 gagnsæ brú
-
Nánast í bilið, með því að nota WCCP siðareglur
-
Nánast í bilinu, með því að nota stefnumiðaða leið
-
Router á Stick
-
Sérstaklega tilgreint WEB proxy
-
UserGate sem sjálfgefin gátt
-
Vöktun spegilports
UserGate styður 2 tegundir af þyrpingum:
-
Uppsetning klasa. Hnútar sameinaðir í stillingarklasa viðhalda samræmdum stillingum yfir klasann.
-
Bilunarþyrping. Hægt er að sameina allt að 4 stillingarklasahnúta í bilunarklasa sem styður aðgerð í Active-Active eða Active-Passive ham. Það er hægt að setja saman nokkra bilunarklasa.
2. Uppsetning
Eins og getið er um í fyrri grein er UserGate afhent sem vélbúnaðar- og hugbúnaðarpakki eða notaður í sýndarumhverfi. Af persónulegum reikningi þínum á vefsíðunni hlaðið niður myndinni í OVF (Open Virtualization Format), þetta snið hentar VMWare og Oracle Virtualbox söluaðilum. Diskamyndir sýndarvéla eru til staðar fyrir Microsoft Hyper-v og KVM.
Samkvæmt UserGate vefsíðunni, til að sýndarvélin virki rétt, er mælt með því að nota að minnsta kosti 8Gb af vinnsluminni og 2 kjarna sýndarörgjörva. Yfirvísirinn verður að styðja 64 bita stýrikerfi.
Uppsetningin hefst með því að flytja myndina inn í valda yfirsýnarforritið (VirtualBox og VMWare). Ef um er að ræða Microsoft Hyper-v og KVM þarftu að búa til sýndarvél og tilgreina niðurhalaða mynd sem diskinn og slökkva síðan á samþættingarþjónustu í stillingum sýndarvélarinnar sem búið var til.
Sjálfgefið er, eftir innflutning í VMWare, sýndarvél búin til með eftirfarandi stillingum:
Eins og skrifað var hér að ofan þarf að vera að minnsta kosti 8Gb af vinnsluminni og auk þess þarf að bæta við 1Gb fyrir hverja 100 notendur. Sjálfgefin stærð á harða diskinum er 100Gb, en þetta er venjulega ekki nóg til að geyma allar skrár og stillingar. Ráðlögð stærð er 300Gb eða meira. Þess vegna, í eiginleikum sýndarvélarinnar, breytum við diskstærðinni í þá sem óskað er eftir. Upphaflega kemur sýndar UserGate UTM með fjórum viðmótum sem eru úthlutað á svæði:
Stjórnun - fyrsta viðmót sýndarvélarinnar, svæði til að tengja traust net sem UserGate stjórnun er leyfð frá.
Traust er annað viðmót sýndarvélarinnar, svæði til að tengja traust netkerfi, til dæmis staðarnet.
Ótraust er þriðja viðmót sýndarvélarinnar, svæði fyrir viðmót tengd ótraustum netum, til dæmis við internetið.
DMZ er fjórða viðmót sýndarvélarinnar, svæði fyrir viðmót tengd DMZ netinu.
Næst ræsum við sýndarvélina, þó að handbókin segi að þú þurfir að velja Support Tools og framkvæma Factory Reset UTM, en eins og þú sérð er aðeins einn valkostur (UTM First Boot). Meðan á þessu skrefi stendur stillir UTM netkortin og eykur stærð harða diskshlutans í fulla diskstærð:
Til að tengjast UserGate vefviðmótinu verður þú að skrá þig inn í gegnum stjórnunarsvæðið; þetta er á ábyrgð eth0 viðmótsins, sem er stillt til að fá IP tölu sjálfkrafa (DHCP). Ef það er ekki hægt að úthluta heimilisfangi fyrir stjórnunarviðmótið sjálfkrafa með DHCP, þá er hægt að stilla það sérstaklega með því að nota CLI (Command Line Interface). Til að gera þetta þarftu að skrá þig inn á CLI með notendanafni og lykilorði með fullum stjórnandaréttindum (Stjórnandi með stórum staf sjálfgefið). Ef UserGate tækið hefur ekki gengist undir fyrstu frumstillingu, þá verður þú að nota Admin sem notandanafn og utm sem lykilorð til að fá aðgang að CLI. Og sláðu inn skipun eins og iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Síðar förum við í UserGate vefborðið á tilgreindu heimilisfangi, það ætti að líta eitthvað svona út:https://UserGateIPaddress:8001:
Í vefborðinu höldum við uppsetningunni áfram, við þurfum að velja viðmótstungumál (í augnablikinu er það rússneska eða enska), tímabelti, lesa síðan og samþykkja leyfissamninginn. Stilltu innskráningu og lykilorð til að skrá þig inn í vefstjórnunarviðmótið.
3. Uppsetning
Eftir uppsetningu lítur vefviðmótsglugginn fyrir vettvangsstjórnun svona út:
Þá þarftu að stilla netviðmótin. Til að gera þetta, í hlutanum „Viðmót“ þarftu að virkja þau, stilla réttar IP tölur og úthluta viðeigandi svæði.
Hlutinn „viðmót“ sýnir öll líkamleg og sýndarviðmót sem til eru í kerfinu, gerir þér kleift að breyta stillingum þeirra og bæta við VLAN viðmótum. Það sýnir einnig öll viðmót hvers klasahnúts. Viðmótsstillingar eru sérstakar fyrir hvern hnút, það er að segja þær eru ekki alþjóðlegar.
Í tengieiginleikum:
-
Virkja eða slökkva á viðmótinu
-
Tilgreindu gerð viðmóts - Layer 3 eða Mirror
-
Úthlutaðu svæði til viðmóts
-
Úthlutaðu Netflow prófíl til að senda tölfræðileg gögn til Netflow safnara
-
Breyttu líkamlegum breytum viðmótsins - MAC vistfang og MTU stærð
-
Veldu tegund IP-töluúthlutunar - ekkert heimilisfang, kyrrstæð IP-tölu eða fengin með DHCP
-
Stilltu DHCP gengið á völdum viðmóti.
Hnappurinn „Bæta við“ gerir þér kleift að bæta við eftirfarandi gerðum af rökréttum viðmótum:
-
VLAN
-
Tengsl
-
Bridge
-
Internetaðgang
-
VPN
-
Göng
Til viðbótar við áður skráð svæði sem Usergate myndin er send með, eru þrjár fyrirfram skilgreindar gerðir:
Cluster - svæði fyrir tengi sem notuð eru fyrir klasarekstur
VPN fyrir Site-to-Site - svæði þar sem allir Office-Office viðskiptavinir sem tengjast UserGate í gegnum VPN eru staðsettir
VPN fyrir fjaraðgang - svæði sem inniheldur alla farsímanotendur sem eru tengdir UserGate í gegnum VPN
Umsjónarmenn UserGate geta breytt stillingum sjálfgefinna svæða og einnig búið til viðbótarsvæði, en eins og fram kemur í útgáfu 5 handbókinni er að hámarki hægt að búa til 15 svæði. Til að breyta eða búa til þá þarftu að fara í svæðishlutann. Fyrir hvert svæði geturðu stillt þröskuld pakkafalls; SYN, UDP, ICMP eru studd. Aðgangsstýring að Usergate þjónustu er einnig stillt og vörn gegn skopstælingum er virkjuð.
Eftir að hafa stillt viðmótin þarftu að stilla sjálfgefna leið í hlutanum „Gáttir“. Þeir. Til að tengja UserGate við internetið verður þú að tilgreina IP tölu einnar eða fleiri gátta. Ef þú notar nokkrar veitur til að tengjast internetinu verður þú að tilgreina nokkrar gáttir. Gáttarstillingin er einstök fyrir hvern klasahnút. Ef tvær eða fleiri gáttir eru tilgreindar eru 2 valkostir mögulegir:
-
Jafnvægi á umferð milli gátta.
-
Aðalgátt með því að skipta yfir í vara.
Staða gáttar (tiltæk - græn, ekki tiltæk - rauð) er ákvörðuð sem hér segir:
-
Slökkt er á netathugun – gátt er talin aðgengileg ef UserGate getur fengið MAC vistfang sitt með því að nota ARP beiðni. Það er engin athugun á internetaðgangi í gegnum þessa gátt. Ef ekki er hægt að ákvarða MAC vistfang gáttarinnar er gáttin talin óaðgengileg.
-
Netathugun er virkjuð - gáttin er talin aðgengileg ef:
-
UserGate getur fengið MAC vistfang sitt með því að nota ARP beiðni.
-
Athugun á internetaðgangi í gegnum þessa gátt var lokið með góðum árangri.
Að öðrum kosti telst gáttin ekki vera tiltæk.
Í „DNS“ hlutanum þarftu að bæta við DNS netþjónunum sem UserGate mun nota. Þessi stilling er tilgreind í System DNS Servers svæðinu. Hér að neðan eru stillingar til að stjórna DNS beiðnum frá notendum. UserGate gerir þér kleift að nota DNS umboð. DNS umboðsþjónustan gerir þér kleift að stöðva DNS beiðnir frá notendum og breyta þeim eftir þörfum stjórnandans. Hægt er að nota DNS umboðsreglur til að tilgreina DNS netþjóna sem beiðnir um ákveðin lén eru sendar til. Að auki, með því að nota DNS umboð, geturðu stillt kyrrstöðuskrár af hýsingargerðinni (A færslu).
Í hlutanum „NAT og leið“ þarftu að búa til nauðsynlegar NAT reglur. Fyrir aðgang að internetinu fyrir notendur trausta netsins hefur NAT reglan þegar verið búin til - „Trusted->untrusted“, það eina sem er eftir er að virkja hana. Reglum er beitt frá toppi til botns í þeirri röð sem þær eru skráðar í stjórnborðinu. Aðeins fyrsta reglan sem skilyrðin sem tilgreind eru í reglunni passa við eru alltaf framkvæmd. Til þess að reglan sé virkjuð verða öll skilyrðin sem tilgreind eru í reglubreytunum að passa saman. UserGate mælir með því að búa til almennar NAT reglur, til dæmis NAT reglu frá staðarneti (venjulega traust svæði) yfir á internetið (venjulega ótraust svæði), og takmarka aðgang notenda, þjónustu og forrita sem nota eldveggsreglur.
Það er líka hægt að búa til DNAT reglur, framsendingu hafna, stefnumiðaða leið, netkortlagningu.
Eftir þetta, í „Eldvegg“ hlutanum þarftu að búa til eldveggsreglur. Fyrir ótakmarkaðan aðgang að internetinu fyrir notendur trausta netsins hefur eldveggsregla einnig þegar verið búin til - „Internet for Trusted“ og verður að vera virkjuð. Með því að nota eldveggsreglur getur stjórnandinn leyft eða hafnað hvers kyns flutningsnetumferð sem fer í gegnum UserGate. Regluskilyrði geta falið í sér svæði og IP-tölur uppruna/áfangastaða, notendur og hópa, þjónustu og forrit. Reglurnar gilda á sama hátt og í kaflanum „NAT and Routing“, þ.e. ofan frá. Ef engar reglur hafa verið búnar til, þá er öll flutningsumferð í gegnum UserGate bönnuð.
4. Niðurstaða
Þar með lýkur greininni. Við settum upp UserGate eldvegginn á sýndarvél og gerðum nauðsynlegar lágmarksstillingar til að internetið virki á trausta netinu. Við munum íhuga frekari stillingar í eftirfarandi greinum.
Fylgstu með uppfærslum á rásum okkar (, , , )!
Heimild: www.habr.com