2. UserGate Баштоо. Талаптар, орнотуу

Салам, бул компаниянын NGFW чечими жөнүндө экинчи макала UserGate. Бул макаланын максаты - UserGate брандмауэрин виртуалдык системага кантип орнотууну көрсөтүү (мен VMware Workstation виртуалдаштыруу программасын колдоном) жана анын баштапкы конфигурациясын (Интернеттин UserGate шлюзи аркылуу жергиликтүү тармактан кирүүгө уруксат берүү).   

1. тааныштыруу

Баштоо үчүн, мен тармакка бул шлюзду ишке ашыруунун ар кандай жолдорун сүрөттөп берем. Тандалган туташуу опциясына жараша шлюздун белгилүү бир функциялары иштебей калышы мүмкүн экенин белгилегим келет. UserGate чечими төмөнкү туташуу режимдерин колдойт: 

• L3-L7 брандмауэр

• L2 ачык көпүрө

• L3 ачык көпүрө

• WCCP протоколун колдонуп, иш жүзүндө боштукка

• Иш жүзүндө боштукта, Саясатка негизделген Маршрутизацияны колдонуу

• Таяктагы роутер

• Ачык көрсөтүлгөн WEB прокси

• UserGate демейки шлюз катары

• Mirror порт мониторинги

UserGate кластерлердин 2 түрүн колдойт:

1. Кластердин конфигурациясы. Конфигурация кластерине бириктирилген түйүндөр кластер боюнча ырааттуу орнотууларды сактайт.

2. Иштен чыгуу кластери. 4 конфигурациялык кластердин түйүндөрүн Активдүү-Активдүү же Активдүү-Пассивдүү режимде иштөөнү колдогон иштен чыгуу кластерине бириктирсе болот. Бир нече иштебей калган кластерлерди чогултууга болот.

2. Орнотуу

Мурунку макалада айтылгандай, UserGate аппараттык жана программалык пакет катары берилет же виртуалдык чөйрөдө орнотулган. Вебсайттагы жеке аккаунтуңуздан UserGate Сүрөттү OVF (Open Virtualization Format) форматында жүктөп алыңыз, бул формат VMWare жана Oracle Virtualbox сатуучулары үчүн ылайыктуу. Microsoft Hyper-v жана KVM үчүн виртуалдык машина диск сүрөттөрү берилген.

UserGate сайтынын маалыматы боюнча, виртуалдык машинанын туура иштеши үчүн кеминде 8 Гб оперативдүү эстутум жана 2 ядролуу виртуалдык процессорду колдонуу сунушталат. Гипервизор 64-бит операциялык тутумдарды колдоого алышы керек.

Орнотуу сүрөттү тандалган гипервизорго (VirtualBox жана VMWare) импорттоо менен башталат. Microsoft Hyper-v жана KVM учурда, сиз виртуалдык машинаны түзүп, жүктөлүп алынган сүрөттү диск катары көрсөтүшүңүз керек, андан кийин түзүлгөн виртуалдык машинанын орнотууларында интеграциялык кызматтарды өчүрүшүңүз керек.

Демейки боюнча, VMWareге импорттоодон кийин, виртуалдык машина төмөнкү орнотуулар менен түзүлөт:

Жогоруда жазылгандай, кеминде 8 Гб оперативдүү эс тутум болушу керек жана андан тышкары ар бир 1 колдонуучуга 100 Гб кошуу керек. Демейки катуу дисктин өлчөмү 100 Гб, бирок бул, адатта, бардык журналдарды жана орнотууларды сактоо үчүн жетиштүү эмес. Сунушталган өлчөмү 300 Гб же андан көп. Ошондуктан, виртуалдык машинанын касиеттеринде биз дисктин көлөмүн каалаганга өзгөртөбүз. Башында, виртуалдык UserGate UTM аймактарга дайындалган төрт интерфейс менен келет:

Башкаруу - виртуалдык машинанын биринчи интерфейси, UserGate башкарууга уруксат берилген ишенимдүү тармактарды туташтыруу зонасы.

Ишенимдүү – бул виртуалдык машинанын экинчи интерфейси, ишенимдүү тармактарды, мисалы, LAN тармактарын туташтыруу зонасы.

Ишенимсиз – бул виртуалдык машинанын үчүнчү интерфейси, ишенимсиз тармактарга, мисалы, Интернетке туташкан интерфейстер үчүн аймак.

DMZ – виртуалдык машинанын төртүнчү интерфейси, DMZ тармагына туташтырылган интерфейстер үчүн аймак.

Андан кийин, биз виртуалдык машинаны ишке киргизебиз, бирок колдонмодо сиз Колдоо куралдарын тандап, UTMди заводдук абалга келтиришиңиз керек деп айтылат, бирок сиз көрүп тургандай, бир гана тандоо бар (UTM Биринчи жүктөө). Бул кадамдын жүрүшүндө, UTM тармак адаптерлерин конфигурациялайт жана катуу дисктин бөлүгүнүн көлөмүн толук диск өлчөмүнө чейин көбөйтөт:

UserGate веб-интерфейсине туташуу үчүн башкаруу зонасы аркылуу кирүү керек, бул үчүн eth0 интерфейси жооп берет, ал IP даректи автоматтык түрдө (DHCP) алуу үчүн конфигурацияланган. Эгерде DHCP аркылуу Башкаруу интерфейси үчүн даректи автоматтык түрдө ыйгаруу мүмкүн болбосо, анда аны CLI (Command Line Interface) аркылуу ачык эле коюуга болот. Бул үчүн, сиз толук администратордук укуктары менен (демейки боюнча баш тамга менен Админ) колдонуучу атын жана паролду колдонуп CLIге киришиңиз керек. Эгерде UserGate түзмөгү баштапкы инициализациядан өтпөсө, анда CLIге кирүү үчүн сиз колдонуучунун аты катары Admin жана сырсөз катары utm колдонушуңуз керек. Жана iface config –name eth0 –ipv4 192.168.1.254/24 сыяктуу буйрукту териңиз – true –mode static иштетүү. Кийинчерээк биз көрсөтүлгөн дарек боюнча UserGate веб консолуна барабыз, ал төмөнкүдөй көрүнүшү керек: https://UserGateIPaddress:8001:

Веб консолунда биз орнотууну улантабыз, интерфейстин тилин (учурда ал орусча же англисче), убакыт алкагын тандап, андан кийин окуп чыгып, лицензиялык келишимди кабыл алышыбыз керек. Веб башкаруу интерфейсине кирүү үчүн логин менен сырсөздү коюңуз.

3. Орнотуу

Орнотуудан кийин, платформаны башкаруу веб-интерфейс терезеси ушундай көрүнөт:

Андан кийин сиз тармак интерфейстерин конфигурациялашыңыз керек. Бул үчүн, "Интерфейстер" бөлүмүндө сиз аларды иштетип, туура IP даректерин коюп, тиешелүү зоналарды дайындыңыз.

"Интерфейстер" бөлүмүндө системада жеткиликтүү болгон бардык физикалык жана виртуалдык интерфейстер көрсөтүлөт, алардын орнотууларын өзгөртүүгө жана VLAN интерфейстерин кошууга мүмкүндүк берет. Ал ошондой эле ар бир кластер түйүнүнүн бардык интерфейстерин көрсөтөт. Интерфейс орнотуулары ар бир түйүн үчүн өзгөчө болуп саналат, башкача айтканда, алар глобалдуу эмес.

Интерфейс касиеттеринде:

• Интерфейсти иштетүү же өчүрүү 

• Интерфейс түрүн көрсөтүңүз - Layer 3 же Mirror

• Интерфейске аймакты дайындоо

• Netflow коллекторуна статистикалык маалыматтарды жөнөтүү үчүн Netflow профилин дайындаңыз

• Интерфейстин физикалык параметрлерин өзгөртүү - MAC дареги жана MTU өлчөмү

• IP дарегин дайындоо түрүн тандаңыз - дареги жок, статикалык IP дареги же DHCP аркылуу алынган

• Тандалган интерфейсте DHCP релесин конфигурациялаңыз.

"Кошуу" баскычы логикалык интерфейстердин төмөнкү түрлөрүн кошууга мүмкүндүк берет:

• VLANлар

• Bond

• көпүрө

• Подключение

• VPN

• Туннел

Usergate сүрөтү жөнөтүлгөн мурда саналган аймактардан тышкары, дагы үч алдын ала аныкталган түрү бар:

Кластер - кластердин иштеши үчүн колдонулган интерфейстер үчүн аймак

Сайттан Сайтка VPN - VPN аркылуу UserGate менен байланышкан бардык Office-Office кардарлары жайгаштырылган аймак

Алыстан кирүү үчүн VPN - VPN аркылуу UserGate менен байланышкан бардык мобилдик колдонуучуларды камтыган аймак

UserGate администраторлору демейки зоналардын жөндөөлөрүн өзгөртө алат, ошондой эле кошумча аймактарды түзө алат, бирок 5-версиянын колдонмосунда айтылгандай, эң көп дегенде 15 зонаны түзүүгө болот. Аларды өзгөртүү же түзүү үчүн зона бөлүмүнө өтүшүңүз керек. Ар бир аймак үчүн сиз пакетти түшүрүү босогосун орното аласыз; SYN, UDP, ICMP колдоого алынат. Usergate кызматтарына кирүү көзөмөлү да конфигурацияланган жана спуфингден коргоо иштетилген.

Интерфейстерди конфигурациялагандан кийин "Шлюздар" бөлүмүндө демейки маршрутту конфигурациялашыңыз керек. Ошол. UserGate Интернетке туташтыруу үчүн, сиз бир же бир нече шлюздун IP дарегин көрсөтүшүңүз керек. Эгер сиз Интернетке туташуу үчүн бир нече провайдерлерди колдонсоңуз, анда бир нече шлюздарды көрсөтүшүңүз керек. Шлюз конфигурациясы ар бир кластер түйүнү үчүн уникалдуу. Эгерде эки же андан көп шлюз көрсөтүлгөн болсо, 2 вариант болушу мүмкүн:

1. Шлюздардын ортосундагы трафикти теңдөө.

2. Запастыкка өтүү менен негизги шлюз.

Шлюз статусу (жеткиликтүү - жашыл, жеткиликтүү эмес - кызыл) төмөнкүдөй аныкталат:

1. Тармакты текшерүү өчүрүлгөн – UserGate өзүнүн MAC дарегин ARP сурамы аркылуу ала алса, шлюз жеткиликтүү болуп эсептелет. Бул шлюз аркылуу Интернетке кирүүнү текшерүү жок. Шлюздун MAC дарегин аныктоо мүмкүн болбосо, шлюз жеткиликсиз деп эсептелет.

2. Тармакты текшерүү иштетилген - шлюз жеткиликтүү болуп эсептелет, эгерде:

• UserGate өзүнүн MAC дарегин ARP өтүнүчүн колдонуп ала алат.

• Бул шлюз аркылуу Интернетке кирүүнү текшерүү ийгиликтүү аяктады.

Болбосо, шлюз жеткиликсиз деп эсептелет.

"DNS" бөлүмүндө сиз UserGate колдоно турган DNS серверлерин кошушуңуз керек. Бул жөндөө Системанын DNS серверлери аймагында көрсөтүлгөн. Төмөндө колдонуучулардын DNS сурамдарын башкаруу үчүн жөндөөлөр бар. UserGate сизге DNS проксисин колдонууга мүмкүндүк берет. DNS прокси кызматы колдонуучулардын DNS сурамдарын кармоого жана администратордун муктаждыктарына жараша аларды өзгөртүүгө мүмкүндүк берет. DNS прокси эрежелери белгилүү домендерге суроо-талаптар жөнөтүлө турган DNS серверлерин көрсөтүү үчүн колдонулушу мүмкүн. Мындан тышкары, DNS проксиди колдонуп, сиз хост түрүндөгү статикалык жазууларды орното аласыз (А рекорду).

"NAT жана Routing" бөлүмүндө сиз керектүү NAT эрежелерин түзүшүңүз керек. Ишенимдүү тармактын колдонуучулары Интернетке кирүү үчүн NAT эрежеси мурунтан эле түзүлгөн - “Ишенимдүү->Ишенимсиз”, аны иштетүү гана калды. Эрежелер консолдо көрсөтүлгөн тартипте жогорудан ылдыйга карата колдонулат. Эрежеде көрсөтүлгөн шарттар дайыма аткарылуучу биринчи эреже гана. Эреже ишке кириши үчүн эреженин параметрлеринде көрсөтүлгөн бардык шарттар дал келиши керек. UserGate жалпы NAT эрежелерин түзүүнү сунуштайт, мисалы, жергиликтүү тармактан (көбүнчө Ишенимдүү аймак) Интернетке (көбүнчө Ишенимсиз зонага) NAT эрежесин түзүүнү жана брандмауэр эрежелерин колдонуу менен колдонуучулардын, кызматтардын жана тиркемелердин кирүү мүмкүнчүлүгүн чектөө.

Ошондой эле DNAT эрежелерин, порт багыттоосун, Саясатка негизделген маршрутизацияны, Тармак картасын түзүүгө болот.

Андан кийин, "Брандмауэр" бөлүмүндө сиз брандмауэр эрежелерин түзүшүңүз керек. Ишенимдүү тармактын колдонуучулары үчүн Интернетке чексиз жетүү үчүн брандмауэр эрежеси да мурунтан эле түзүлгөн - "Ишенимдүү Интернет" жана аны иштетүү керек. Брандмауэр эрежелерин колдонуу менен администратор UserGate аркылуу өтүүчү транзиттик тармак трафигинин каалаган түрүнө уруксат бере алат же баш тарта алат. Эреже шарттары аймактарды жана булак/даярдалган IP даректерди, колдонуучуларды жана топторду, кызматтарды жана тиркемелерди камтышы мүмкүн. Эрежелер "NAT жана Багыттоо" бөлүмүндөгүдөй эле колдонулат, б.а. жогорудан төмөн. Эч кандай эрежелер түзүлбөсө, UserGate аркылуу транзиттик трафикке тыюу салынат.

4. жыйынтыктоо

Бул макаланы жыйынтыктайт. Виртуалдык машинага UserGate брандмауэрин орноттук жана Интернеттин Trusted тармагында иштөөсү үчүн минималдуу зарыл орнотууларды жасадык. Андан аркы конфигурацияны кийинки макалаларда карап чыгабыз.

Биздин каналдардагы жаңылыктардан кабардар болуңуз (телеграмма, Facebook, VK, TS Solution блогу)!

Source: www.habr.com