2. UserGate 시작하기. 요구 사항, 설치

안녕하세요, 회사의 NGFW 솔루션에 대한 두 번째 기사입니다. UserGate. 이 기사의 목적은 가상 시스템에 UserGate 방화벽을 설치하는 방법(VMware Workstation 가상화 소프트웨어를 사용함)과 초기 구성(UserGate 게이트웨이를 통해 로컬 네트워크에서 인터넷으로의 액세스 허용)을 수행하는 방법을 보여주는 것입니다.   

1. 소개

먼저 이 게이트웨이를 네트워크에 구현하는 다양한 방법을 설명하겠습니다. 선택한 연결 옵션에 따라 게이트웨이의 특정 기능을 사용하지 못할 수도 있다는 점을 알려드립니다. UserGate 솔루션은 다음 연결 모드를 지원합니다. 

• L3-L7 방화벽

• L2 투명 브리지

• L3 투명 브리지

• WCCP 프로토콜을 사용하여 사실상 격차를 해소합니다.

• 정책 기반 라우팅을 사용하여 사실상 격차가 있음

• 스틱형 라우터

• 명시적으로 지정된 웹 프록시

• UserGate를 기본 게이트웨이로 사용

• 미러 포트 모니터링

UserGate는 두 가지 유형의 클러스터를 지원합니다.

1. 클러스터 구성. 구성 클러스터에 결합된 노드는 클러스터 전체에서 일관된 설정을 유지합니다.

2. 장애 조치 클러스터. 최대 4개의 구성 클러스터 노드를 활성-활성 또는 활성-수동 모드의 작업을 지원하는 장애 조치 클러스터로 결합할 수 있습니다. 여러 개의 장애 조치 클러스터를 조합할 수 있습니다.

2. 설치

이전 기사에서 언급했듯이 UserGate는 하드웨어 및 소프트웨어 패키지로 제공되거나 가상 환경에 배포됩니다. 웹사이트의 개인 계정에서 UserGate OVF(Open Virtualization Format)로 이미지를 다운로드합니다. 이 형식은 VMWare 및 Oracle Virtualbox 공급업체에 적합합니다. Microsoft Hyper-v 및 KVM용으로 가상 머신 디스크 이미지가 제공됩니다.

UserGate 웹사이트에 따르면 가상 머신이 올바르게 작동하려면 최소 8GB RAM과 2코어 가상 프로세서를 사용하는 것이 좋습니다. 하이퍼바이저는 64비트 운영 체제를 지원해야 합니다.

선택한 하이퍼바이저(VirtualBox 및 VMWare)로 이미지를 가져오는 것으로 설치가 시작됩니다. Microsoft Hyper-v, KVM의 경우 가상 머신을 생성하고 다운로드한 이미지를 디스크로 지정한 후 생성된 가상 머신의 설정에서 통합 서비스를 비활성화해야 합니다.

기본적으로 VMWare로 가져온 후 다음 설정으로 가상 머신이 생성됩니다.

위에서 설명한 대로 최소 8GB의 RAM이 있어야 하며 추가적으로 사용자 1명마다 100GB를 추가해야 합니다. 기본 하드 드라이브 크기는 100Gb이지만 일반적으로 모든 로그와 설정을 저장하기에는 충분하지 않습니다. 권장 크기는 300GB 이상입니다. 따라서 가상 머신의 속성에서 디스크 크기를 원하는 크기로 변경합니다. 처음에 가상 UserGate UTM에는 영역에 할당된 XNUMX개의 인터페이스가 제공됩니다.

관리 - UserGate 관리가 허용되는 신뢰할 수 있는 네트워크를 연결하기 위한 영역인 가상 머신의 첫 번째 인터페이스입니다.

신뢰할 수 있음은 LAN 네트워크와 같은 신뢰할 수 있는 네트워크를 연결하기 위한 영역인 가상 머신의 두 번째 인터페이스입니다.

신뢰할 수 없음은 가상 머신의 세 번째 인터페이스로, 신뢰할 수 없는 네트워크(예: 인터넷)에 연결된 인터페이스를 위한 영역입니다.

DMZ는 가상머신의 네 번째 인터페이스로, DMZ 네트워크에 연결된 인터페이스를 위한 영역이다.

다음으로 가상 머신을 시작합니다. 설명서에는 지원 도구를 선택하고 UTM 공장 초기화를 수행해야 한다고 나와 있지만 보시다시피 선택 사항은 하나(UTM First Boot)뿐입니다. 이 단계에서 UTM은 네트워크 어댑터를 구성하고 하드 드라이브 파티션의 크기를 전체 디스크 크기로 늘립니다.

UserGate 웹 인터페이스에 연결하려면 관리 영역을 통해 로그인해야 하며, 이는 자동으로 IP 주소(DHCP)를 얻도록 구성된 eth0 인터페이스의 책임입니다. DHCP를 사용하여 관리 인터페이스에 주소를 자동으로 할당할 수 없는 경우 CLI(명령줄 인터페이스)를 사용하여 명시적으로 설정할 수 있습니다. 이렇게 하려면 전체 관리자 권한(기본적으로 대문자를 사용하는 관리자)이 있는 사용자 이름과 비밀번호를 사용하여 CLI에 로그인해야 합니다. UserGate 장치가 초기 초기화를 거치지 않은 경우 CLI에 액세스하려면 사용자 이름으로 Admin을, 비밀번호로 utm을 사용해야 합니다. 그리고 iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static과 같은 명령을 입력합니다. 나중에 지정된 주소의 UserGate 웹 콘솔로 이동하면 다음과 같이 보일 것입니다. https://UserGateIPaddress:8001:

웹 콘솔에서 설치를 계속하고 인터페이스 언어(현재 러시아어 또는 영어), 시간대를 선택한 다음 라이센스 계약을 읽고 동의해야 합니다. 웹 관리 인터페이스에 로그인하기 위한 로그인과 비밀번호를 설정하세요.

3. 설정

설치 후 플랫폼 관리 웹 인터페이스 창은 다음과 같습니다.

그런 다음 네트워크 인터페이스를 구성해야 합니다. 이렇게 하려면 "인터페이스" 섹션에서 이를 활성화하고 올바른 IP 주소를 설정하고 적절한 영역을 할당해야 합니다.

"인터페이스" 섹션에는 시스템에서 사용 가능한 모든 물리적 및 가상 인터페이스가 표시되며, 이를 통해 해당 설정을 변경하고 VLAN 인터페이스를 추가할 수 있습니다. 또한 각 클러스터 노드의 모든 인터페이스도 표시됩니다. 인터페이스 설정은 각 노드마다 다릅니다. 즉, 전역적이지 않습니다.

인터페이스 속성에서:

• 인터페이스 활성화 또는 비활성화 

• 인터페이스 유형 지정 - 레이어 3 또는 미러

• 인터페이스에 영역 할당

• Netflow 수집기에 통계 데이터를 보내도록 Netflow 프로필을 할당합니다.

• 인터페이스의 물리적 매개변수 변경 - MAC 주소 및 MTU 크기

• IP 주소 할당 유형을 선택합니다(주소 없음, 고정 IP 주소 또는 DHCP를 통해 획득).

• 선택한 인터페이스에서 DHCP 릴레이를 구성합니다.

"추가" 버튼을 사용하면 다음 유형의 논리 인터페이스를 추가할 수 있습니다.

• VLAN

• 본드

• 다리

• PPPoE를

• VPN

• 터널

Usergate 이미지와 함께 제공되는 이전에 나열된 영역 외에도 사전 정의된 세 가지 유형이 더 있습니다.

클러스터 - 클러스터 작업에 사용되는 인터페이스 영역

Site-to-Site용 VPN - VPN을 통해 UserGate에 연결된 모든 Office-Office 클라이언트가 배치되는 영역

원격 액세스를 위한 VPN - VPN을 통해 UserGate에 연결된 모든 모바일 사용자를 포함하는 영역

UserGate 관리자는 기본 영역의 설정을 변경하고 추가 영역을 생성할 수도 있지만 버전 5 매뉴얼에 명시된 대로 최대 15개 영역을 생성할 수 있습니다. 이를 변경하거나 생성하려면 영역 섹션으로 이동해야 합니다. 각 영역에 대해 패킷 삭제 임계값을 설정할 수 있으며 SYN, UDP, ICMP가 지원됩니다. Usergate 서비스에 대한 액세스 제어도 구성되고 스푸핑 방지 기능이 활성화됩니다.

인터페이스를 구성한 후 "게이트웨이" 섹션에서 기본 경로를 구성해야 합니다. 저것들. UserGate를 인터넷에 연결하려면 하나 이상의 게이트웨이의 IP 주소를 지정해야 합니다. 여러 공급자를 사용하여 인터넷에 연결하는 경우 여러 게이트웨이를 지정해야 합니다. 게이트웨이 구성은 각 클러스터 노드마다 고유합니다. 두 개 이상의 게이트웨이가 지정된 경우 두 가지 옵션이 가능합니다.

1. 게이트웨이 간 트래픽 균형을 조정합니다.

2. 예비 게이트웨이로 전환되는 기본 게이트웨이.

게이트웨이 상태(사용 가능 - 녹색, 사용할 수 없음 - 빨간색)는 다음과 같이 결정됩니다.

1. 네트워크 검사가 비활성화됩니다. UserGate가 ARP 요청을 사용하여 MAC 주소를 얻을 수 있으면 게이트웨이에 액세스할 수 있는 것으로 간주됩니다. 이 게이트웨이를 통한 인터넷 액세스는 확인되지 않습니다. 게이트웨이의 MAC 주소를 확인할 수 없는 경우 게이트웨이에 연결할 수 없는 것으로 간주됩니다.

2. 네트워크 검사가 활성화되었습니다. 다음과 같은 경우 게이트웨이에 액세스할 수 있는 것으로 간주됩니다.

• UserGate는 ARP 요청을 사용하여 MAC 주소를 얻을 수 있습니다.

• 이 게이트웨이를 통한 인터넷 액세스 확인이 성공적으로 완료되었습니다.

그렇지 않으면 게이트웨이를 사용할 수 없는 것으로 간주됩니다.

"DNS" 섹션에서 UserGate가 사용할 DNS 서버를 추가해야 합니다. 이 설정은 시스템 DNS 서버 영역에서 지정됩니다. 다음은 사용자의 DNS 요청을 관리하기 위한 설정입니다. UserGate를 사용하면 DNS 프록시를 사용할 수 있습니다. DNS 프록시 서비스를 사용하면 사용자의 DNS 요청을 가로채서 관리자의 필요에 따라 변경할 수 있습니다. DNS 프록시 규칙을 사용하여 특정 도메인에 대한 요청이 전달되는 DNS 서버를 지정할 수 있습니다. 또한 DNS 프록시를 사용하면 호스트 유형의 정적 레코드(A 레코드)를 설정할 수 있습니다.

"NAT 및 라우팅" 섹션에서 필요한 NAT 규칙을 생성해야 합니다. 신뢰할 수 있는 네트워크 사용자가 인터넷에 액세스하기 위해 NAT 규칙이 이미 생성되었습니다("신뢰할 수 있음->신뢰할 수 없음"). 남은 것은 이를 활성화하는 것뿐입니다. 규칙은 콘솔에 나열된 순서대로 위에서 아래로 적용됩니다. 규칙에 지정된 조건이 항상 일치하는 첫 번째 규칙만 실행됩니다. 규칙이 트리거되려면 규칙 매개변수에 지정된 모든 조건이 일치해야 합니다. UserGate는 로컬 네트워크(일반적으로 신뢰할 수 있는 영역)에서 인터넷(일반적으로 신뢰할 수 없는 영역)으로의 NAT 규칙과 같은 일반 NAT 규칙을 만들고 방화벽 규칙을 사용하여 사용자, 서비스 및 애플리케이션의 액세스를 제한할 것을 권장합니다.

DNAT 규칙, 포트 포워딩, 정책 기반 라우팅, 네트워크 매핑을 생성하는 것도 가능합니다.

그런 다음 "방화벽" 섹션에서 방화벽 규칙을 생성해야 합니다. 신뢰할 수 있는 네트워크 사용자가 인터넷에 무제한으로 액세스하려면 "신뢰할 수 있는 인터넷"이라는 방화벽 규칙도 이미 생성되어 있어야 하며 활성화해야 합니다. 방화벽 규칙을 사용하여 관리자는 UserGate를 통과하는 모든 유형의 전송 네트워크 트래픽을 허용하거나 거부할 수 있습니다. 규칙 조건에는 영역, 소스/대상 IP 주소, 사용자 및 그룹, 서비스 및 애플리케이션이 포함될 수 있습니다. 규칙은 "NAT 및 라우팅" 섹션과 동일한 방식으로 적용됩니다. 위에서 아래로. 규칙이 생성되지 않은 경우 UserGate를 통한 모든 전송 트래픽이 금지됩니다.

4. 결론

이것으로 기사를 마칩니다. 가상 머신에 UserGate 방화벽을 설치하고 신뢰할 수 있는 네트워크에서 인터넷이 작동하는 데 필요한 최소한의 설정을 지정했습니다. 다음 문서에서는 추가 구성을 고려할 것입니다.

우리 채널(텔레그램, 페이스북, VK, TS 솔루션 블로그)!

출처 : habr.com