Сәлеметсіз бе, бұл компанияның NGFW шешімі туралы екінші мақаласы . Бұл мақаланың мақсаты виртуалды жүйеге UserGate брандмауэрін орнату жолын көрсету (VMware Workstation виртуалдандыру бағдарламалық құралын қолданамын) және оның бастапқы конфигурациясын орындау (жергілікті желіден UserGate шлюзі арқылы Интернетке кіруге рұқсат беру).
1. Кіріспе
Бастау үшін мен бұл шлюзді желіге енгізудің әртүрлі жолдарын сипаттаймын. Таңдалған қосылым опциясына байланысты шлюздің белгілі бір функционалдығы қол жетімді болмауы мүмкін екенін атап өткім келеді. UserGate шешімі келесі қосылым режимдерін қолдайды:
-
L3-L7 брандмауэр
-
L2 мөлдір көпір
-
L3 мөлдір көпір
-
WCCP протоколын пайдаланып, іс жүзінде бос орынға
-
Саясатқа негізделген маршруттауды пайдалану арқылы іс жүзінде бос жерде
-
Таяқшадағы маршрутизатор
-
Айқын көрсетілген WEB прокси
-
UserGate әдепкі шлюз ретінде
-
Айна портын бақылау
UserGate кластерлердің 2 түрін қолдайды:
-
Кластер конфигурациясы. Конфигурация кластеріне біріктірілген түйіндер кластер бойынша дәйекті параметрлерді сақтайды.
-
Ауыспалы кластер. 4 конфигурация кластерінің түйіндерін Белсенді-Белсенді немесе Белсенді-Пассивті режимде әрекетті қолдайтын ауыстырып-қосу кластеріне біріктіруге болады. Бірнеше істен шығу кластерін жинауға болады.
2. Орнату
Алдыңғы мақалада айтылғандай, UserGate аппараттық және бағдарламалық пакет ретінде жеткізіледі немесе виртуалды ортада орналастырылады. Веб-сайттағы жеке кабинетіңізден кескінді OVF (Open Virtualization Format) форматында жүктеп алыңыз, бұл пішім VMWare және Oracle Virtualbox жеткізушілері үшін қолайлы. Виртуалды машина дискінің кескіндері Microsoft Hyper-v және KVM үшін жеткізіледі.
UserGate веб-сайтына сәйкес, виртуалды машина дұрыс жұмыс істеуі үшін кемінде 8 Гб жедел жады мен 2 ядролы виртуалды процессорды пайдалану ұсынылады. Гипервизор 64 биттік операциялық жүйелерді қолдауы керек.
Орнату кескінді таңдалған гипервизорға (VirtualBox және VMWare) импорттау арқылы басталады. Microsoft Hyper-v және KVM жағдайында виртуалды машинаны жасап, жүктелген кескінді диск ретінде көрсету керек, содан кейін жасалған виртуалды машинаның параметрлерінде біріктіру қызметтерін өшіру керек.
Әдепкі бойынша, VMWare-ге импорттағаннан кейін виртуалды машина келесі параметрлермен жасалады:
Жоғарыда жазылғандай, кемінде 8 Гб жедел жады болуы керек, сонымен қатар әрбір 1 пайдаланушыға 100 Гб қосу керек. Әдепкі қатты диск өлшемі 100 Гб, бірақ бұл әдетте барлық журналдар мен параметрлерді сақтау үшін жеткіліксіз. Ұсынылатын өлшем 300 Гб немесе одан да көп. Сондықтан виртуалды машинаның қасиеттерінде біз диск өлшемін қалағанға өзгертеміз. Бастапқыда виртуалды UserGate UTM аймақтарға тағайындалған төрт интерфейспен келеді:
Басқару - виртуалды машинаның бірінші интерфейсі, UserGate басқаруына рұқсат етілген сенімді желілерді қосу аймағы.
Сенімді — виртуалды машинаның екінші интерфейсі, сенімді желілерді қосу аймағы, мысалы, LAN желілері.
Сенімсіз – виртуалды машинаның үшінші интерфейсі, сенімсіз желілерге, мысалы, Интернетке қосылған интерфейстерге арналған аймақ.
DMZ – виртуалды машинаның төртінші интерфейсі, DMZ желісіне қосылған интерфейстерге арналған аймақ.
Әрі қарай, біз виртуалды машинаны іске қосамыз, дегенмен нұсқаулықта Қолдау құралдарын таңдау және UTM зауыттық параметрлерін қалпына келтіруді орындау керек екендігі айтылған, бірақ көріп отырғаныңыздай, бір ғана таңдау бар (UTM First Boot). Бұл қадамда UTM желі адаптерлерін конфигурациялайды және қатты диск бөлігінің өлшемін толық диск өлшеміне дейін арттырады:
UserGate веб-интерфейсіне қосылу үшін басқару аймағы арқылы жүйеге кіру керек; бұл IP мекенжайын автоматты түрде (DHCP) алу үшін конфигурацияланған eth0 интерфейсінің жауапкершілігі. DHCP арқылы Басқару интерфейсі үшін мекенжайды автоматты түрде тағайындау мүмкін болмаса, оны CLI (Command Line Interface) арқылы анық орнатуға болады. Ол үшін толық әкімші құқықтары бар пайдаланушы аты мен құпия сөзді пайдаланып CLI жүйесіне кіру керек (әдепкі бойынша Бас әріппен әкімші). UserGate құрылғысы бастапқы инициализациядан өтпесе, CLI-ге кіру үшін пайдаланушы аты ретінде Admin және құпия сөз ретінде utm пайдалану керек. Сондай-ақ iface config –name eth0 –ipv4 192.168.1.254/24 – шын мәніндегі статикалық режимді қосу сияқты пәрменді теріңіз. Кейінірек біз көрсетілген мекенжай бойынша UserGate веб-консоліне барамыз, ол келесідей болуы керек:https://UserGateIPaddress:8001:
Веб-консольде біз орнатуды жалғастырамыз, интерфейс тілін (қазір ол орыс немесе ағылшын тілі), уақыт белдеуін таңдауымыз керек, содан кейін лицензиялық келісімді оқып келісеміз. Веб басқару интерфейсіне кіру үшін логин мен құпия сөзді орнатыңыз.
3. Орнату
Орнатқаннан кейін платформаны басқару веб-интерфейсінің терезесі келесідей болады:
Содан кейін желі интерфейстерін конфигурациялау керек. Мұны істеу үшін «Интерфейстер» бөлімінде оларды қосу, дұрыс IP мекенжайларын орнату және сәйкес аймақтарды тағайындау керек.
«Интерфейстер» бөлімі жүйеде қол жетімді барлық физикалық және виртуалды интерфейстерді көрсетеді, олардың параметрлерін өзгертуге және VLAN интерфейстерін қосуға мүмкіндік береді. Ол сондай-ақ әрбір кластер түйінінің барлық интерфейстерін көрсетеді. Интерфейс параметрлері әрбір түйінге тән, яғни олар ғаламдық емес.
Интерфейс қасиеттерінде:
-
Интерфейсті қосыңыз немесе өшіріңіз
-
Интерфейс түрін көрсетіңіз - Layer 3 немесе Mirror
-
Интерфейске аймақ тағайындаңыз
-
Netflow коллекторына статистикалық деректерді жіберу үшін Netflow профилін тағайындаңыз
-
Интерфейстің физикалық параметрлерін өзгертіңіз - MAC мекенжайы және MTU өлшемі
-
IP мекенжайын тағайындау түрін таңдаңыз - мекенжай жоқ, статикалық IP мекенжайы немесе DHCP арқылы алынған
-
Таңдалған интерфейсте DHCP релесін конфигурациялаңыз.
«Қосу» түймесі келесі логикалық интерфейс түрлерін қосуға мүмкіндік береді:
-
VLAN желілері
-
Облигация
-
Көпір
-
PPPoE
-
VPN
-
Туннель
Usergate кескіні жеткізілетін бұрын тізімделген аймақтардан басқа, тағы үш алдын ала анықталған түрі бар:
Кластер – кластер жұмысы үшін пайдаланылатын интерфейстерге арналған аймақ
Сайттан сайтқа арналған VPN – VPN арқылы UserGate бағдарламасына қосылған барлық Office-Office клиенттері орналастырылған аймақ
Қашықтан қол жеткізуге арналған VPN - VPN арқылы UserGate қосылған барлық ұялы пайдаланушыларды қамтитын аймақ
UserGate әкімшілері әдепкі аймақтардың параметрлерін өзгерте алады, сонымен қатар қосымша аймақтарды жасай алады, бірақ 5 нұсқа нұсқаулығында айтылғандай, ең көбі 15 аймақты жасауға болады. Оларды өзгерту немесе жасау үшін аймақ бөліміне өту керек. Әрбір аймақ үшін пакетті түсіру шегін орнатуға болады; SYN, UDP, ICMP қолдау көрсетіледі. Usergate қызметтеріне кіруді басқару да конфигурацияланған және спуфингтен қорғау қосылған.
Интерфейстерді конфигурациялаудан кейін «Шлюздер» бөлімінде әдепкі маршрутты конфигурациялау қажет. Анау. UserGate-ті Интернетке қосу үшін бір немесе бірнеше шлюздердің IP мекенжайын көрсету керек. Интернетке қосылу үшін бірнеше провайдерді пайдалансаңыз, бірнеше шлюзді көрсету керек. Шлюз конфигурациясы әрбір кластер түйіні үшін бірегей болып табылады. Екі немесе одан да көп шлюз көрсетілген болса, 2 опция мүмкін:
-
Шлюздер арасындағы трафикті теңестіру.
-
Қосалқыға ауысатын негізгі шлюз.
Шлюз күйі (қол жетімді – жасыл, қолжетімсіз – қызыл) келесідей анықталады:
-
Желіні тексеру өшірілген – UserGate өзінің MAC мекенжайын ARP сұрауы арқылы ала алатын болса, шлюз қолжетімді болып саналады. Бұл шлюз арқылы Интернетке кіруді тексеру жоқ. Шлюздің MAC мекенжайын анықтау мүмкін болмаса, шлюз қол жетімсіз болып саналады.
-
Желіні тексеру қосылды - шлюз қол жетімді болып саналады, егер:
-
UserGate өзінің MAC мекенжайын ARP сұрауы арқылы ала алады.
-
Осы шлюз арқылы Интернетке кіруді тексеру сәтті аяқталды.
Әйтпесе, шлюз қолжетімсіз болып саналады.
«DNS» бөлімінде UserGate пайдаланатын DNS серверлерін қосу керек. Бұл параметр Жүйенің DNS серверлері аймағында көрсетілген. Төменде пайдаланушылардың DNS сұрауларын басқару параметрлері берілген. UserGate DNS проксиін пайдалануға мүмкіндік береді. DNS прокси қызметі пайдаланушылардың DNS сұрауларын ұстауға және оларды әкімшінің қажеттіліктеріне қарай өзгертуге мүмкіндік береді. DNS прокси ережелерін нақты домендерге сұраулар жіберілетін DNS серверлерін көрсету үшін пайдалануға болады. Сонымен қатар, DNS проксиін пайдаланып, хост түрінің (A жазбасы) статикалық жазбаларын орнатуға болады.
«NAT және маршруттау» бөлімінде сізге қажетті NAT ережелерін жасау керек. Сенімді желі пайдаланушыларының Интернетке кіруі үшін NAT ережесі әлдеқашан жасалған - «Сенімді-> Сенімсіз», оны қосу ғана қалады. Ережелер консольде көрсетілген ретпен жоғарыдан төменге қарай қолданылады. Ережеде көрсетілген шарттар әрқашан орындалатын бірінші ереже ғана. Ереже іске қосылуы үшін ереже параметрлерінде көрсетілген барлық шарттар сәйкес келуі керек. UserGate жалпы NAT ережелерін жасауды ұсынады, мысалы, жергілікті желіден (әдетте Сенімді аймақ) Интернетке (әдетте Сенімсіз аймақ) NAT ережесін және брандмауэр ережелерін пайдаланып пайдаланушылардың, қызметтер мен қолданбалардың кіруін шектеуді ұсынады.
Сондай-ақ DNAT ережелерін, портты қайта жіберуді, Саясатқа негізделген маршруттауды, Желіні салыстыруды жасауға болады.
Осыдан кейін «Брандмауэр» бөлімінде брандмауэр ережелерін жасау керек. Сенімді желі пайдаланушылары үшін Интернетке шектеусіз қол жеткізу үшін желіаралық қалқан ережесі де бұрыннан жасалған - «Сенімділерге арналған интернет» және оны қосу керек. Брандмауэр ережелерін пайдалана отырып, әкімші UserGate арқылы өтетін транзиттік желі трафигінің кез келген түріне рұқсат ете алады немесе бас тарта алады. Ереже шарттарына аймақтар мен бастапқы/тағайындалған IP мекенжайлары, пайдаланушылар мен топтар, қызметтер мен қолданбалар кіруі мүмкін. Ережелер «NAT және маршруттау» бөліміндегідей қолданылады, яғни. жоғарыдан төмен. Ешқандай ережелер жасалмаса, UserGate арқылы кез келген транзиттік трафикке тыйым салынады.
4. Қорытынды
Осымен мақала аяқталады. Біз UserGate брандмауэрін виртуалды машинаға орнаттық және Интернеттің сенімді желіде жұмыс істеуі үшін минималды қажетті параметрлерді жасадық. Қосымша конфигурацияны келесі мақалаларда қарастырамыз.
Біздің арналардағы жаңартуларды күтіңіз (, , , )!
Ақпарат көзі: www.habr.com