2. UserGate-ის დაწყება. მოთხოვნები, მონტაჟი

გამარჯობა, ეს არის მეორე სტატია კომპანიისგან NGFW გადაწყვეტის შესახებ UserGate. ამ სტატიის მიზანია აჩვენოს, თუ როგორ უნდა დააინსტალიროთ UserGate firewall ვირტუალურ სისტემაზე (გამოვიყენებ VMware Workstation ვირტუალიზაციის პროგრამულ უზრუნველყოფას) და შეასრულოს მისი საწყისი კონფიგურაცია (დაუშვას წვდომა ლოკალური ქსელიდან UserGate კარიბჭის საშუალებით ინტერნეტში).   

1. შესავალი

დასაწყისისთვის, მე აღვწერ ამ კარიბჭის ქსელში დანერგვის სხვადასხვა გზებს. მინდა აღვნიშნო, რომ შერჩეული კავშირის ვარიანტიდან გამომდინარე, კარიბჭის გარკვეული ფუნქციონირება შეიძლება არ იყოს ხელმისაწვდომი. UserGate გადაწყვეტა მხარს უჭერს შემდეგი კავშირის რეჟიმებს: 

• L3-L7 firewall

• L2 გამჭვირვალე ხიდი

• L3 გამჭვირვალე ხიდი

• ვირტუალურად უფსკრული WCCP პროტოკოლის გამოყენებით

• პრაქტიკულად უფსკრული, პოლიტიკაზე დაფუძნებული მარშრუტის გამოყენებით

• როუტერი ჯოხზე

• აშკარად მითითებული WEB პროქსი

• UserGate როგორც ნაგულისხმევი კარიბჭე

• სარკის პორტის მონიტორინგი

UserGate მხარს უჭერს 2 ტიპის კლასტერებს:

1. კლასტერის კონფიგურაცია. კონფიგურაციის კლასტერში გაერთიანებული კვანძები ინარჩუნებენ თანმიმდევრულ პარამეტრებს მთელს კლასტერში.

2. წარუმატებლობის კლასტერი. 4-მდე კონფიგურაციის კლასტერული კვანძი შეიძლება გაერთიანდეს ჩავარდნილ კლასტერში, რომელიც მხარს უჭერს მუშაობას Active-Active ან Active-Passive რეჟიმში. შესაძლებელია რამდენიმე ავარიული კლასტერის აწყობა.

2. მონტაჟი

როგორც წინა სტატიაში აღვნიშნეთ, UserGate მოწოდებულია როგორც აპარატურა და პროგრამული პაკეტი ან განლაგებულია ვირტუალურ გარემოში. თქვენი პირადი ანგარიშიდან საიტზე UserGate ჩამოტვირთეთ სურათი OVF-ში (ღია ვირტუალიზაციის ფორმატი), ეს ფორმატი შესაფერისია VMWare და Oracle Virtualbox მომწოდებლებისთვის. ვირტუალური აპარატის დისკის სურათები მოწოდებულია Microsoft Hyper-v და KVM-სთვის.

UserGate ვებსაიტის მიხედვით, ვირტუალური მანქანის სწორად მუშაობისთვის რეკომენდებულია მინიმუმ 8 გბ ოპერატიული მეხსიერების და 2 ბირთვიანი ვირტუალური პროცესორის გამოყენება. ჰიპერვიზორს უნდა ჰქონდეს 64-ბიტიანი ოპერაციული სისტემების მხარდაჭერა.

ინსტალაცია იწყება სურათის შერჩეულ ჰიპერვიზორში (VirtualBox და VMWare) იმპორტით. Microsoft Hyper-v და KVM-ის შემთხვევაში, თქვენ უნდა შექმნათ ვირტუალური მანქანა და მიუთითოთ გადმოწერილი სურათი, როგორც დისკი, შემდეგ კი გამორთოთ ინტეგრაციის სერვისები შექმნილი ვირტუალური მანქანის პარამეტრებში.

ნაგულისხმევად, VMWare-ში იმპორტის შემდეგ, იქმნება ვირტუალური მანქანა შემდეგი პარამეტრებით:

როგორც ზემოთ დაიწერა, უნდა იყოს მინიმუმ 8 გბ ოპერატიული მეხსიერება და დამატებით უნდა დაამატოთ 1 გბ ყოველ 100 მომხმარებელზე. მყარი დისკის ნაგულისხმევი ზომაა 100 გბ, მაგრამ ეს ჩვეულებრივ საკმარისი არ არის ყველა ჟურნალისა და პარამეტრის შესანახად. რეკომენდებული ზომაა 300 გბ ან მეტი. ამიტომ ვირტუალური მანქანის თვისებებში ჩვენ ვცვლით დისკის ზომას სასურველზე. თავდაპირველად, ვირტუალურ UserGate UTM-ს გააჩნია ოთხი ინტერფეისი, რომელიც ენიჭება ზონებს:

მენეჯმენტი - ვირტუალური მანქანის პირველი ინტერფეისი, სანდო ქსელების დამაკავშირებელი ზონა, საიდანაც ნებადართულია UserGate-ის მართვა.

Trusted არის ვირტუალური მანქანის მეორე ინტერფეისი, სანდო ქსელების დასაკავშირებელი ზონა, მაგალითად, LAN ქსელები.

არასანდო არის ვირტუალური მანქანის მესამე ინტერფეისი, ზონა ინტერფეისებისთვის, რომლებიც დაკავშირებულია არასანდო ქსელებთან, მაგალითად, ინტერნეტთან.

DMZ არის ვირტუალური მანქანის მეოთხე ინტერფეისი, DMZ ქსელთან დაკავშირებული ინტერფეისების ზონა.

შემდეგი, ჩვენ გავუშვით ვირტუალური მანქანა, თუმცა სახელმძღვანელოში ნათქვამია, რომ თქვენ უნდა აირჩიოთ Support Tools და შეასრულოთ Factory Reset UTM, მაგრამ როგორც ხედავთ, არჩევანი მხოლოდ ერთია (UTM First Boot). ამ ნაბიჯის დროს, UTM აკონფიგურირებს ქსელის გადამყვანებს და ზრდის მყარი დისკის დანაყოფის ზომას დისკის სრულ ზომამდე:

UserGate ვებ ინტერფეისთან დასაკავშირებლად, თქვენ უნდა შეხვიდეთ მართვის ზონაში; ეს პასუხისმგებელია eth0 ინტერფეისზე, რომელიც კონფიგურირებულია IP მისამართის ავტომატურად (DHCP) მისაღებად. თუ შეუძლებელია მენეჯმენტის ინტერფეისისთვის მისამართის ავტომატურად მინიჭება DHCP-ის გამოყენებით, მაშინ მისი ცალსახად დაყენება შესაძლებელია CLI-ის (Command Line Interface) გამოყენებით. ამისათვის თქვენ უნდა შეხვიდეთ CLI-ში მომხმარებლის სახელისა და პაროლის გამოყენებით სრული ადმინისტრატორის უფლებებით (ადმინისტრატორი სტანდარტულად დიდი ასოებით). თუ UserGate მოწყობილობას არ გაუვლია საწყისი ინიციალიზაცია, მაშინ CLI-ზე წვდომისთვის თქვენ უნდა გამოიყენოთ Admin მომხმარებლის სახელით და utm როგორც პაროლი. და ჩაწერეთ ბრძანება, როგორიცაა iface config –name eth0 –ipv4 192.168.1.254/24 – enable true –mode static. მოგვიანებით ჩვენ მივდივართ UserGate ვებ კონსოლზე მითითებულ მისამართზე, ის ასე უნდა გამოიყურებოდეს: https://UserGateIPaddress:8001:

ვებ კონსოლში ვაგრძელებთ ინსტალაციას, უნდა ავირჩიოთ ინტერფეისის ენა (ამ მომენტში არის რუსული ან ინგლისური), დროის ზონა, შემდეგ წავიკითხოთ და დავეთანხმოთ სალიცენზიო ხელშეკრულებას. დააყენეთ შესვლა და პაროლი ვებ მართვის ინტერფეისში შესასვლელად.

3. მორგება

ინსტალაციის შემდეგ, ასე გამოიყურება პლატფორმის მართვის ვებ ინტერფეისის ფანჯარა:

შემდეგ თქვენ უნდა დააკონფიგურიროთ ქსელის ინტერფეისები. ამისათვის, "ინტერფეისების" განყოფილებაში თქვენ უნდა ჩართოთ ისინი, დააყენოთ სწორი IP მისამართები და მიანიჭოთ შესაბამისი ზონები.

განყოფილება "ინტერფეისები" აჩვენებს სისტემაში არსებულ ყველა ფიზიკურ და ვირტუალურ ინტერფეისს, საშუალებას გაძლევთ შეცვალოთ მათი პარამეტრები და დაამატოთ VLAN ინტერფეისები. ის ასევე აჩვენებს თითოეული კლასტერული კვანძის ყველა ინტერფეისს. ინტერფეისის პარამეტრები სპეციფიკურია თითოეული კვანძისთვის, ანუ ისინი არ არიან გლობალური.

ინტერფეისის თვისებებში:

• ჩართეთ ან გამორთეთ ინტერფეისი 

• მიუთითეთ ინტერფეისის ტიპი - Layer 3 ან Mirror

• მიანიჭეთ ზონა ინტერფეისს

• მიანიჭეთ Netflow პროფილი სტატისტიკური მონაცემების გასაგზავნად Netflow კოლექციონერთან

• შეცვალეთ ინტერფეისის ფიზიკური პარამეტრები - MAC მისამართი და MTU ზომა

• აირჩიეთ IP მისამართის მინიჭების ტიპი - მისამართის გარეშე, სტატიკური IP მისამართი ან მიღებული DHCP-ით

• დააკონფიგურირეთ DHCP რელე არჩეულ ინტერფეისზე.

ღილაკი "დამატება" საშუალებას გაძლევთ დაამატოთ შემდეგი ტიპის ლოგიკური ინტერფეისები:

• VLAN

• ბონდი

• ხიდი

• PPPoE

• VPN

• გვირაბი

გარდა ადრე ჩამოთვლილი ზონებისა, რომლებითაც იგზავნება Usergate სურათი, არსებობს კიდევ სამი წინასწარ განსაზღვრული ტიპი:

კლასტერი - ზონა კლასტერის მუშაობისთვის გამოყენებული ინტერფეისებისთვის

VPN Site-to-Site-სთვის - ზონა, რომელშიც განთავსებულია ყველა Office-Office კლიენტი, რომელიც დაკავშირებულია UserGate-თან VPN-ით

VPN დისტანციური წვდომისთვის - ზონა, რომელიც მოიცავს ყველა მობილურ მომხმარებელს, რომლებიც დაკავშირებულია UserGate-თან VPN-ით

UserGate-ის ადმინისტრატორებს შეუძლიათ შეცვალონ ნაგულისხმევი ზონების პარამეტრები და ასევე შექმნან დამატებითი ზონები, მაგრამ როგორც მითითებულია მე-5 ვერსიის სახელმძღვანელოში, მაქსიმუმ 15 ზონის შექმნაა შესაძლებელი. მათი შესაცვლელად ან შესაქმნელად, თქვენ უნდა გადახვიდეთ ზონის განყოფილებაში. თითოეული ზონისთვის შეგიძლიათ დააყენოთ პაკეტის დაცემის ბარიერი; SYN, UDP, ICMP მხარდაჭერილია. Usergate სერვისებზე წვდომის კონტროლი ასევე კონფიგურირებულია და გაყალბებისგან დაცვა ჩართულია.

ინტერფეისების კონფიგურაციის შემდეგ, თქვენ უნდა დააკონფიგურიროთ ნაგულისხმევი მარშრუტი "Gateways" განყოფილებაში. იმათ. UserGate-ის ინტერნეტთან დასაკავშირებლად, თქვენ უნდა მიუთითოთ ერთი ან მეტი კარიბჭის IP მისამართი. თუ იყენებთ რამდენიმე პროვაიდერს ინტერნეტთან დასაკავშირებლად, უნდა მიუთითოთ რამდენიმე კარიბჭე. კარიბჭის კონფიგურაცია უნიკალურია თითოეული კლასტერული კვანძისთვის. თუ მითითებულია ორი ან მეტი კარიბჭე, შესაძლებელია 2 ვარიანტი:

1. კარიბჭეებს შორის მოძრაობის დაბალანსება.

2. მთავარი კარიბჭე სათადარიგოზე გადასვლით.

კარიბჭის სტატუსი (ხელმისაწვდომია - მწვანე, მიუწვდომელი - წითელი) განისაზღვრება შემდეგნაირად:

1. ქსელის შემოწმება გამორთულია – კარიბჭე ითვლება ხელმისაწვდომად, თუ UserGate-ს შეუძლია მიიღოს თავისი MAC მისამართი ARP მოთხოვნის გამოყენებით. ამ კარიბჭის მეშვეობით ინტერნეტთან წვდომის შემოწმება არ არის. თუ კარიბჭის MAC მისამართის დადგენა შეუძლებელია, კარიბჭე ჩაითვლება მიუწვდომელად.

2. ქსელის შემოწმება ჩართულია - კარიბჭე ითვლება ხელმისაწვდომად, თუ:

• UserGate-ს შეუძლია მიიღოს თავისი MAC მისამართი ARP მოთხოვნის გამოყენებით.

• ამ კარიბჭის მეშვეობით ინტერნეტთან წვდომის შემოწმება წარმატებით დასრულდა.

წინააღმდეგ შემთხვევაში, კარიბჭე ითვლება მიუწვდომელად.

"DNS" განყოფილებაში თქვენ უნდა დაამატოთ DNS სერვერები, რომლებსაც UserGate გამოიყენებს. ეს პარამეტრი მითითებულია სისტემის DNS სერვერების ზონაში. ქვემოთ მოცემულია მომხმარებლების DNS მოთხოვნების მართვის პარამეტრები. UserGate გაძლევთ საშუალებას გამოიყენოთ DNS პროქსი. DNS მარიონეტული სერვისი საშუალებას გაძლევთ ჩაჭრათ მომხმარებლების DNS მოთხოვნები და შეცვალოთ ისინი ადმინისტრატორის საჭიროებიდან გამომდინარე. DNS პროქსის წესები შეიძლება გამოყენებულ იქნას DNS სერვერების დასაზუსტებლად, რომლებზეც გადაგზავნილია მოთხოვნები კონკრეტული დომენებისთვის. გარდა ამისა, DNS პროქსის გამოყენებით, შეგიძლიათ დააყენოთ ჰოსტის ტიპის სტატიკური ჩანაწერები (A ჩანაწერი).

"NAT და მარშრუტის" განყოფილებაში თქვენ უნდა შექმნათ საჭირო NAT წესები. სანდო ქსელის მომხმარებლების მიერ ინტერნეტში წვდომისთვის უკვე შეიქმნა NAT წესი - "სანდო->არასანდო", რჩება მხოლოდ მისი ჩართვა. წესები გამოიყენება ზემოდან ქვემოდან კონსოლში მითითებული თანმიმდევრობით. ყოველთვის სრულდება მხოლოდ პირველი წესი, რომლისთვისაც წესში მითითებული პირობები ემთხვევა. წესის ამოქმედებისთვის, წესის პარამეტრებში მითითებული ყველა პირობა უნდა ემთხვეოდეს. UserGate გირჩევთ შექმნათ ზოგადი NAT წესები, მაგალითად, NAT წესი ლოკალური ქსელიდან (ჩვეულებრივ სანდო ზონიდან) ინტერნეტში (ჩვეულებრივ არასანდო ზონაში) და შეზღუდოთ მომხმარებლების, სერვისების და აპლიკაციების წვდომა firewall-ის წესების გამოყენებით.

ასევე შესაძლებელია DNAT წესების შექმნა, პორტის გადამისამართება, პოლიტიკაზე დაფუძნებული მარშრუტირება, ქსელის რუკინგი.

ამის შემდეგ, "Firewall" განყოფილებაში თქვენ უნდა შექმნათ firewall წესები. სანდო ქსელის მომხმარებლებისთვის ინტერნეტში შეუზღუდავი წვდომისთვის, ასევე უკვე შეიქმნა firewall-ის წესი - „ინტერნეტი სანდოსთვის“ და უნდა იყოს ჩართული. Firewall-ის წესების გამოყენებით, ადმინისტრატორს შეუძლია დაუშვას ან უარყოს ნებისმიერი ტიპის სატრანზიტო ქსელის ტრაფიკი, რომელიც გადის UserGate-ზე. წესების პირობები შეიძლება შეიცავდეს ზონებს და წყაროს/დანიშნულების IP მისამართებს, მომხმარებლებს და ჯგუფებს, სერვისებსა და აპლიკაციებს. წესები მოქმედებს ისევე, როგორც "NAT და მარშრუტიზაცია" განყოფილებაში, ე.ი. ზემოდან ქვემოთ. თუ წესები არ არის შექმნილი, მაშინ ნებისმიერი სატრანზიტო ტრაფიკი UserGate-ის მეშვეობით აკრძალულია.

4. დასკვნა

ამით მთავრდება სტატია. ჩვენ დავაინსტალირეთ UserGate firewall ვირტუალურ მანქანაზე და გავაკეთეთ მინიმალური საჭირო პარამეტრები ინტერნეტისთვის Trusted ქსელში მუშაობისთვის. ჩვენ განვიხილავთ შემდგომ კონფიგურაციას შემდეგ სტატიებში.

თვალყური ადევნეთ განახლებებს ჩვენს არხებზე (დეპეშა, Facebook, VK, TS Solution ბლოგი)!

წყარო: www.habr.com