2. UserGate Ugefaangen. Ufuerderunge, Installatioun

Hallo, dëst ass den zweeten Artikel iwwer d'NGFW Léisung vun der Firma UserGate. Den Zweck vun dësem Artikel ass ze weisen wéi d'UserGate Firewall op engem virtuelle System installéiert gëtt (ech wäert VMware Workstation Virtualiséierungssoftware benotzen) a seng initial Konfiguratioun ausféieren (erlaabt Zougang vum lokalen Netzwierk duerch de UserGate Paart zum Internet).   

1. Aféierung

Fir unzefänken, wäert ech déi verschidde Weeër beschreiwen fir dëse Paart an d'Netzwierk ëmzesetzen. Ech géif gären notéieren datt ofhängeg vun der gewielter Verbindungsoptioun bestëmmte Funktionalitéit vum Paart vläicht net verfügbar sinn. UserGate Léisung ënnerstëtzt déi folgend Verbindungsmodi: 

• L3-L7 Firewall

• L2 transparent Bréck

• L3 transparent Bréck

• Virtuell an d'Lück, mam WCCP Protokoll

• Virtuell an der Spalt, benotzt Policy Based Routing

• Router op engem Stick

• Explizit spezifizéiert WEB Proxy

• UserGate als Standard Gateway

• Spigelport Iwwerwachung

UserGate ënnerstëtzt 2 Aarte vu Cluster:

1. Cluster Configuratioun. Noden kombinéiert an e Konfiguratiounscluster erhalen konsequent Astellunge uechter de Cluster.

2. Failover Cluster. Bis zu 4 Konfiguratiounsclusterknäppchen kënnen an e Failover-Cluster kombinéiert ginn, deen d'Operatioun am Active-Active oder Active-Passive Modus ënnerstëtzt. Et ass méiglech verschidde Failover Cluster ze sammelen.

2. Installatioun

Wéi am viregten Artikel erwähnt, gëtt UserGate als Hardware- a Softwarepaket geliwwert oder an engem virtuellen Ëmfeld ofgesat. Vun Ärem perséinleche Kont op der Websäit UserGate download d'Bild am OVF (Open Virtualization Format), dëst Format ass gëeegent fir VMWare an Oracle Virtualbox Verkeefer. Virtuell Maschinn Disk Biller gi fir Microsoft Hyper-v a KVM geliwwert.

Laut der UserGate Websäit, fir datt déi virtuell Maschinn korrekt funktionnéiert, ass et recommandéiert op d'mannst 8Gb RAM an en 2-Kär virtuelle Prozessor ze benotzen. Den Hypervisor muss 64-Bit Betribssystemer ënnerstëtzen.

D'Installatioun fänkt un andeems d'Bild an de gewielten Hypervisor importéiert (VirtualBox a VMWare). Am Fall vu Microsoft Hyper-v a KVM, musst Dir eng virtuell Maschinn erstellen an dat erofgeluede Bild als Disk spezifizéieren, an dann Integratiounsservicer an den Astellunge vun der erstallt virtueller Maschinn auszeschalten.

Par défaut, nom Import an VMWare, gëtt eng virtuell Maschinn mat de folgenden Astellungen erstallt:

Wéi uewen geschriwwen, muss et op d'mannst 8Gb RAM sinn an zousätzlech musst Dir 1Gb fir all 100 Benotzer addéieren. D'Standard Festplackgréisst ass 100Gb, awer dëst ass normalerweis net genuch fir all Logbicher an Astellungen ze späicheren. Déi recommandéiert Gréisst ass 300Gb oder méi. Dofir, an den Eegeschafte vun der virtueller Maschinn, änneren mir d'Diskgréisst op déi gewënscht. Am Ufank kënnt virtuell UserGate UTM mat véier Interfaces, déi zu Zonen zougewisen sinn:

Management - déi éischt Interface vun der virtueller Maschinn, eng Zone fir vertrauenswierdeg Netzwierker ze verbannen, aus deem UserGate Management erlaabt ass.

Trusted ass déi zweet Interface vun der virtueller Maschinn, eng Zone fir vertraut Netzwierker ze verbannen, zum Beispill LAN Netzwierker.

Untrusted ass déi drëtt Interface vun der virtueller Maschinn, eng Zone fir Schnëttplazen verbonne mat net trauen Netzwierker, zum Beispill mam Internet.

DMZ ass déi véiert Interface vun der virtueller Maschinn, eng Zone fir Interfaces verbonne mat dem DMZ Netzwierk.

Als nächst lancéiere mir déi virtuell Maschinn, obwuel d'Handbuch seet datt Dir Support Tools auswielen musst a Factory Reset UTM ausféieren, awer wéi Dir gesitt, gëtt et nëmmen eng Wiel (UTM First Boot). Wärend dësem Schrëtt konfiguréiert UTM d'Netzwierkadapter an erhéicht d'Gréisst vun der Festplackpartition op déi voll Diskgréisst:

Fir mat der UserGate Web Interface ze verbannen, musst Dir Iech iwwer d'Management Zone aloggen, d'eth0 Interface ass verantwortlech fir dëst, déi konfiguréiert ass fir eng IP Adress automatesch ze kréien (DHCP). Wann et net méiglech ass eng Adress fir d'Management-Interface automatesch mat DHCP ze ginn, da kann se explizit mat der CLI (Command Line Interface) gesat ginn. Fir dëst ze maachen, musst Dir Iech op de CLI aloggen mat engem Benotzernumm a Passwuert mat Voll Administrator Rechter (Admin mat engem Kapital Buschtaf als Standard). Wann de UserGate-Apparat keng initial Initialiséierung erliewt huet, da fir Zougang zum CLI ze kréien, musst Dir Admin als Benotzernumm an utm als Passwuert benotzen. A gitt e Kommando wéi iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Spéider gi mir op d'UserGate Webkonsole op der spezifizéierter Adress, et sollt esou ausgesinn: https://UserGateIPaddress:8001:

An der Webkonsole fuere mir d'Installatioun weider, mir mussen d'Interface Sprooch auswielen (am Moment ass et Russesch oder Englesch), Zäitzone, da liesen an averstane mam Lizenzvertrag. Setzt de Login a Passwuert fir an de Webmanagement-Interface ze loggen.

3. Opriichten

No der Installatioun ass dëst wéi d'Plattformverwaltung Web Interface Fënster ausgesäit:

Da musst Dir d'Netzwierksinterfaces konfiguréieren. Fir dëst ze maachen, an der Rubrik "Interfaces" musst Dir se aktivéieren, déi richteg IP Adressen setzen an déi entspriechend Zonen zouginn.

D'Sektioun "Interfaces" weist all déi physesch a virtuell Schnëttplazen déi am System verfügbar sinn, erlaabt Iech hir Astellungen z'änneren an VLAN Schnëttplazen ze addéieren. Et weist och all Interfaces vun all Cluster Node. Interface Astellunge sinn spezifesch fir all Node, dat ass, si sinn net global.

An Interface Eegeschaften:

• Den Interface aktivéieren oder deaktivéieren 

• Spezifizéieren Interface Typ - Layer 3 oder Spigel

• Gitt eng Zone op eng Interface

• Gitt en Netflow Profil un fir statistesch Donnéeën un den Netflow Sammler ze schécken

• Änneren déi kierperlech Parameteren vun der Interface - MAC Adress an MTU Gréisst

• Wielt d'Zort vun der IP Adressastellung - keng Adress, statesch IP Adress oder kritt iwwer DHCP

• Konfiguréiert den DHCP Relais op der gewielter Interface.

De "Add" Knäppchen erlaabt Iech déi folgend Aarte vu logeschen Interfaces ze addéieren:

• VLANs

• Bond

• Bréck

• PPPoE

• Opportunitéit

• Tunnel

Zousätzlech zu de virdru opgezielt Zonen, mat deenen d'Usergate Bild verschéckt gëtt, ginn et dräi méi virdefinéiert Aarte:

Cluster - Zone fir Schnëttplazen fir Cluster Operatioun benotzt

VPN fir Site-to-Site - eng Zone an där all Office-Office Cliente verbonne mat UserGate iwwer VPN plazéiert sinn

VPN fir Fernzougang - eng Zone déi all mobil Benotzer mat UserGate iwwer VPN verbonne enthält

UserGate Administrateuren kënnen d'Astellunge vun de Standardzonen änneren an och zousätzlech Zonen erstellen, awer wéi an der Versioun 5 Handbuch uginn, kënnen maximal 15 Zonen erstallt ginn. Fir se z'änneren oder ze kreéieren, musst Dir op d'Zone Sektioun goen. Fir all Zone kënnt Dir e Packet Drop Schwell setzen; SYN, UDP, ICMP ginn ënnerstëtzt. Zougangskontroll op Usergate Servicer ass och konfiguréiert, a Schutz géint Spoofing ass aktivéiert.

Nodeems Dir d'Interfaces konfiguréiert hutt, musst Dir d'Standardroute an der Rubrik "Gateways" konfiguréieren. Déi. Fir UserGate mam Internet ze verbannen, musst Dir d'IP Adress vun engem oder méi Paarte spezifizéieren. Wann Dir e puer Ubidder benotzt fir mam Internet ze verbannen, musst Dir e puer Paarte spezifizéieren. D'Paartkonfiguratioun ass eenzegaarteg fir all Cluster Node. Wann zwee oder méi Paarte spezifizéiert sinn, sinn 2 Optiounen méiglech:

1. Gläichgewiicht Verkéier tëscht Paarte.

2. D'Haaptpaart mam Wiessel op eng Ersatzstéck.

De Gateway Status (verfügbar - gréng, net verfügbar - rout) gëtt wéi follegt festgeluegt:

1. Network Checking ass behënnert - e Paart gëtt als zougänglech ugesinn wann UserGate seng MAC Adress mat enger ARP Ufro ka kréien. Et gëtt kee Scheck fir den Internetzougang duerch dëse Paart. Wann d'MAC-Adress vum Paart net bestëmmt ka ginn, gëtt de Paart als onerreechbar ugesinn.

2. Network Checking ass aktivéiert - de Paart gëtt als zougänglech ugesinn wann:

• UserGate kann seng MAC Adress mat enger ARP Ufro kréien.

• D'Check fir den Internetzougang duerch dëse Paart gouf erfollegräich ofgeschloss.

Soss gëtt de Paart als net verfügbar ugesinn.

An der Rubrik "DNS" musst Dir d'DNS-Server addéieren déi UserGate benotzt. Dës Astellung gëtt am System DNS Servers Beräich spezifizéiert. Drënner sinn Astellunge fir DNS Ufroe vu Benotzer ze managen. UserGate erlaabt Iech en DNS Proxy ze benotzen. Den DNS Proxy Service erlaabt Iech DNS Ufroe vu Benotzer z'ënnerscheeden an ze änneren ofhängeg vun de Bedierfnesser vum Administrator. DNS Proxy Regele kënne benotzt ginn fir d'DNS Server ze spezifizéieren op déi Ufroe fir spezifesch Domainen weidergeleet ginn. Zousätzlech, mat engem DNS Proxy, kënnt Dir statesch records vum Hosttyp (A Rekord) setzen.

An der Rubrik "NAT a Routing" musst Dir déi néideg NAT Regelen erstellen. Fir den Internetzougang vun de Benotzer vum Vertrauenswierdeg Netz, ass d'NAT-Regel scho geschaf ginn - "Trusted->Untrusted", alles wat bleift ass et z'aktivéieren. Regele ginn vun uewe bis ënnen applizéiert an der Uerdnung déi se an der Konsole opgelëscht sinn. Nëmmen déi éischt Regel, fir déi d'Konditiounen, déi an der Regel ugepasst sinn, ëmmer ausgefouert ginn. Fir datt d'Regel ausgeléist gëtt, mussen all d'Konditiounen, déi an de Regelparameter spezifizéiert sinn, passen. UserGate recommandéiert allgemeng NAT Regelen ze kreéieren, zum Beispill eng NAT Regel vun engem lokalen Netzwierk (normalerweis eng Vertrauenszon) op den Internet (normalerweis eng Onvertrauenszon), an den Zougang vu Benotzer, Servicer an Uwendungen ze beschränken mat Firewall Regelen.

Et ass och méiglech DNAT Regelen ze kreéieren, Port Forwarding, Politik-baséiert Routing, Network Mapping.

Duerno, an der Rubrik "Firewall" musst Dir Firewall Regelen erstellen. Fir onlimitéiert Zougang zum Internet fir Benotzer vum Trusted Reseau ass och schonn eng Firewall Regel erstallt - "Internet for Trusted" a muss aktivéiert ginn. Mat Firewall-Regelen kann den Administrateur all Zort Transit-Netzverkéier duerch UserGate erlaben oder verweigeren. Regelbedingunge kënnen Zonen a Quell- / Destinatiouns-IP Adressen, Benotzer a Gruppen, Servicer an Uwendungen enthalen. D'Regele gëllen an der selwechter Manéier wéi an der Rubrik "NAT a Routing", d.h. uewen erof. Wa keng Regele geschaf goufen, dann ass all Transitverkéier duerch UserGate verbueden.

4. Konklusioun

Dëst schléisst den Artikel. Mir hunn d'UserGate Firewall op enger virtueller Maschinn installéiert an déi minimal néideg Astellunge gemaach fir datt den Internet am Trusted Network funktionnéiert. Mir wäerte weider Konfiguratioun an de folgenden Artikelen betruechten.

Bleift ofgeschloss fir Updates an eise Kanäl (Hëllefe profitéieren, Facebook, VK, TS Léisung Blog)!

Source: will.com