2. ユーザーゲートの開始。 要件、インストール

こんにちは。これは、同社の NGFW ソリューションに関する XNUMX 番目の記事です。 UserGate。 この記事の目的は、仮想システムに UserGate ファイアウォールをインストールする方法 (VMware Workstation 仮想化ソフトウェアを使用します) とその初期構成を実行する方法 (UserGate ゲートウェイを介したローカル ネットワークからインターネットへのアクセスを許可する) を示すことです。   

1.はじめに

まず、このゲートウェイをネットワークに実装するさまざまな方法について説明します。 選択した接続オプションによっては、ゲートウェイの特定の機能が利用できない場合があることに注意してください。 UserGate ソリューションは、次の接続モードをサポートしています。 

• L3-L7 ファイアウォール

• L2透明ブリッジ

• L3透明ブリッジ

• WCCP プロトコルを使用して、仮想的にギャップに侵入

• ポリシーベースのルーティングを使用して仮想的にギャップ内に配置

• スティック上のルーター

• 明示的に指定された WEB プロキシ

• デフォルトゲートウェイとしてのUserGate

• ミラーポート監視

UserGate は 2 種類のクラスターをサポートします。

1. クラスター構成。 構成クラスターに結合されたノードは、クラスター全体で一貫した設定を維持します。

2. フェールオーバー クラスター。 最大 4 つの構成クラスター ノードを、アクティブ-アクティブ モードまたはアクティブ-パッシブ モードでの動作をサポートするフェールオーバー クラスターに組み合わせることができます。 複数のフェイルオーバー クラスターを構築することが可能です。

2. インストール

前の記事で述べたように、UserGate はハードウェアとソフトウェアのパッケージとして提供されるか、仮想環境に展開されます。 ウェブサイト上の個人アカウントから UserGate OVF (Open Virtualization Format) でイメージをダウンロードします。この形式は VMWare および Oracle Virtualbox ベンダーに適しています。 仮想マシンのディスク イメージは、Microsoft Hyper-v および KVM 用に提供されます。

UserGate Web サイトによると、仮想マシンが正しく動作するには、少なくとも 8Gb の RAM と 2 コアの仮想プロセッサを使用することが推奨されています。 ハイパーバイザーは 64 ビット オペレーティング システムをサポートする必要があります。

インストールは、選択したハイパーバイザー (VirtualBox および VMWare) にイメージをインポートすることから始まります。 Microsoft Hyper-v および KVM の場合、仮想マシンを作成し、ダウンロードしたイメージをディスクとして指定し、作成した仮想マシンの設定で統合サービスを無効にする必要があります。

デフォルトでは、VMWare にインポートした後、次の設定で仮想マシンが作成されます。

上で述べたように、少なくとも 8 GB の RAM が必要であり、さらに 1 ユーザーごとに 100 GB を追加する必要があります。 デフォルトのハード ドライブ サイズは 100 GB ですが、通常、これではすべてのログと設定を保存するには十分ではありません。 推奨サイズは300GB以上です。 したがって、仮想マシンのプロパティで、ディスク サイズを目的のサイズに変更します。 仮想 UserGate UTM には、最初はゾーンに割り当てられた XNUMX つのインターフェイスが付属しています。

管理 - 仮想マシンの最初のインターフェイス。UserGate 管理が許可されている信頼できるネットワークに接続するためのゾーン。

Trusted は仮想マシンの XNUMX 番目のインターフェイスで、LAN ネットワークなどの信頼できるネットワークに接続するためのゾーンです。

Untrusted は仮想マシンの XNUMX 番目のインターフェイスで、インターネットなどの信頼できないネットワークに接続されているインターフェイスのゾーンです。

DMZ は仮想マシンの XNUMX 番目のインターフェイスであり、DMZ ネットワークに接続されているインターフェイスのゾーンです。

次に、仮想マシンを起動します。マニュアルには、サポート ツールを選択して UTM の出荷時設定へのリセットを実行する必要があると記載されていますが、ご覧のとおり、選択肢は XNUMX つ (UTM の初回起動) のみです。 この手順中に、UTM はネットワーク アダプタを設定し、ハード ドライブ パーティションのサイズをディスク全体のサイズに増やします。

UserGate Web インターフェイスに接続するには、管理ゾーン経由でログインする必要があります。eth0 インターフェイスがこれを担当し、IP アドレスを自動的に取得するように構成されています (DHCP)。 DHCP を使用して管理インターフェイスのアドレスを自動的に割り当てることができない場合は、CLI (コマンド ライン インターフェイス) を使用して明示的に設定できます。 これを行うには、完全な管理者権限 (デフォルトでは大文字の管理者) を持つユーザー名とパスワードを使用して CLI にログインする必要があります。 UserGate デバイスが初期化されていない場合、CLI にアクセスするには、ユーザー名として Admin を使用し、パスワードとして utm を使用する必要があります。 そして、 iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static のようなコマンドを入力します。 後で、指定したアドレスにある UserGate Web コンソールにアクセスすると、次のようになります。 https://UserGateIPaddress:8001:

Web コンソールでインストールを続行し、インターフェース言語 (現時点ではロシア語または英語)、タイムゾーンを選択し、ライセンス契約を読んで同意する必要があります。 Web管理インターフェースにログインするためのログイン名とパスワードを設定します。

3.セットアップ

インストール後のプラットフォーム管理 Web インターフェイス ウィンドウは次のようになります。

次に、ネットワーク インターフェイスを構成する必要があります。 これを行うには、「インターフェイス」セクションでインターフェイスを有効にし、正しい IP アドレスを設定し、適切なゾーンを割り当てる必要があります。

「インターフェイス」セクションには、システムで使用可能なすべての物理インターフェイスと仮想インターフェイスが表示され、それらの設定を変更したり、VLAN インターフェイスを追加したりできます。 また、各クラスター ノードのすべてのインターフェイスも表示されます。 インターフェイス設定は各ノードに固有です。つまり、グローバルではありません。

インターフェースのプロパティで:

• インターフェースを有効または無効にする 

• インターフェイス タイプを指定します - レイヤ 3 またはミラー

• インターフェイスにゾーンを割り当てる

• Netflow プロファイルを割り当てて統計データを Netflow コレクターに送信する

• インターフェイスの物理パラメータの変更 - MAC アドレスと MTU サイズ

• IP アドレス割り当てのタイプを選択します - アドレスなし、静的 IP アドレス、または DHCP 経由で取得

• 選択したインターフェイスで DHCP リレーを構成します。

「追加」ボタンを使用すると、次のタイプの論理インターフェースを追加できます。

• VLAN

• ボンド

• 橋

• PPPoEの

• VPN

• トンネル

Usergate イメージに同梱されている前述のゾーンに加えて、さらに XNUMX つの事前定義されたタイプがあります。

クラスター - クラスター操作に使用されるインターフェースのゾーン

サイト間VPN - VPN経由でUserGateに接続されているすべてのOffice-Officeクライアントが配置されるゾーン

リモート アクセス用の VPN - VPN 経由で UserGate に接続しているすべてのモバイル ユーザーを含むゾーン

UserGate 管理者は、デフォルト ゾーンの設定を変更したり、追加のゾーンを作成したりできますが、バージョン 5 のマニュアルに記載されているように、作成できるゾーンは最大 15 個です。 それらを変更または作成するには、ゾーンセクションに移動する必要があります。 ゾーンごとにパケット ドロップのしきい値を設定できます。SYN、UDP、ICMP がサポートされています。 Usergate サービスへのアクセス制御も構成され、なりすましに対する保護が有効になります。

インターフェイスを設定した後、「ゲートウェイ」セクションでデフォルト ルートを設定する必要があります。 それらの。 UserGate をインターネットに接続するには、2 つ以上のゲートウェイの IP アドレスを指定する必要があります。 複数のプロバイダーを使用してインターネットに接続する場合は、複数のゲートウェイを指定する必要があります。 ゲートウェイ構成はクラスター ノードごとに一意です。 XNUMX つ以上のゲートウェイが指定されている場合は、XNUMX つのオプションが可能です。

1. ゲートウェイ間のトラフィックのバランスをとる。

2. メインゲートウェイをスペアゲートウェイに切り替えます。

ゲートウェイのステータス (利用可能 - 緑、利用不可 - 赤) は次のように決定されます。

1. ネットワーク チェックが無効になっています。UserGate が ARP リクエストを使用して MAC アドレスを取得できる場合、ゲートウェイはアクセス可能であると見なされます。 このゲートウェイを介したインターネット アクセスのチェックはありません。 ゲートウェイの MAC アドレスを特定できない場合、ゲートウェイは到達不能とみなされます。

2. ネットワークチェックが有効になっています - 次の場合、ゲートウェイはアクセス可能であるとみなされます。

• UserGate は、ARP リクエストを使用して MAC アドレスを取得できます。

• このゲートウェイを介したインターネット アクセスのチェックは正常に完了しました。

それ以外の場合、ゲートウェイは使用できないとみなされます。

「DNS」セクションでは、UserGate が使用する DNS サーバーを追加する必要があります。 この設定は、[システム DNS サーバー] 領域で指定します。 ユーザーからの DNS リクエストを管理するための設定は次のとおりです。 UserGate を使用すると、DNS プロキシを使用できます。 DNS プロキシ サービスを使用すると、ユーザーからの DNS 要求をインターセプトし、管理者のニーズに応じて変更できます。 DNS プロキシ ルールを使用して、特定のドメインへの要求の転送先となる DNS サーバーを指定できます。 また、DNS プロキシを使用すると、ホストタイプの静的レコード (A レコード) を設定できます。

「NAT とルーティング」セクションでは、必要な NAT ルールを作成する必要があります。 信頼できるネットワークのユーザーがインターネットにアクセスする場合、NAT ルール「信頼できる -> 信頼できない」がすでに作成されているため、あとはそれを有効にするだけです。 ルールは、コンソールにリストされている順序で上から下に適用されます。 ルールで指定された条件が一致する最初のルールのみが常に実行されます。 ルールがトリガーされるには、ルール パラメーターで指定されたすべての条件が一致する必要があります。 UserGate では、一般的な NAT ルール、たとえばローカル ネットワーク (通常は信頼できるゾーン) からインターネット (通常は信頼できないゾーン) への NAT ルールを作成し、ファイアウォール ルールを使用してユーザー、サービス、およびアプリケーションによるアクセスを制限することをお勧めします。

DNAT ルール、ポート転送、ポリシーベースのルーティング、ネットワーク マッピングを作成することもできます。

この後、「ファイアウォール」セクションでファイアウォール ルールを作成する必要があります。 信頼できるネットワークのユーザーがインターネットに無制限にアクセスできるように、「信頼できるインターネット」というファイアウォール ルールもすでに作成されており、有効にする必要があります。 管理者は、ファイアウォール ルールを使用して、UserGate を通過するあらゆる種類のトランジット ネットワーク トラフィックを許可または拒否できます。 ルール条件には、ゾーンと送信元/宛先 IP アドレス、ユーザーとグループ、サービスとアプリケーションを含めることができます。 ルールは「NAT とルーティング」セクションと同じ方法で適用されます。 トップダウン。 ルールが作成されていない場合、UserGate を通過するトランジット トラフィックは禁止されます。

4。 結論

これで記事は終わりです。 UserGate ファイアウォールを仮想マシンにインストールし、インターネットが信頼されたネットワークで動作するために必要な最小限の設定を行いました。 次の記事でさらに詳しい構成を検討します。

私たちのチャンネルで最新情報をチェックしてください（Telegram, Facebook, VK, TSソリューションブログ)!

出所： habr.com