Sveiki, tai jau antras straipsnis apie NGFW sprendimą iš įmonės . Šio straipsnio tikslas – parodyti, kaip įdiegti UserGate ugniasienę virtualioje sistemoje (naudosiu VMware Workstation virtualizacijos programinę įrangą) ir atlikti pradinę jos konfigūraciją (leisti pasiekti iš vietinio tinklo per UserGate vartus į internetą).
1. Įvadas
Pirmiausia aprašysiu įvairius būdus, kaip įdiegti šį šliuzą tinkle. Norėčiau atkreipti dėmesį, kad priklausomai nuo pasirinktos ryšio parinkties, tam tikros šliuzo funkcijos gali būti neprieinamos. „UserGate“ sprendimas palaiko šiuos ryšio režimus:
-
L3-L7 ugniasienė
-
L2 skaidrus tiltelis
-
L3 skaidrus tiltelis
-
Praktiškai į spragą, naudojant WCCP protokolą
-
Praktiškai spragoje, naudojant politika pagrįstą maršruto parinkimą
-
Maršrutizatorius ant lazdos
-
Aiškiai nurodytas WEB tarpinis serveris
-
UserGate kaip numatytasis šliuzas
-
Veidrodinio prievado stebėjimas
„UserGate“ palaiko 2 tipų grupes:
-
Klasterio konfigūracija. Į konfigūracijos grupę sujungti mazgai palaiko nuoseklius nustatymus visame klasteryje.
-
Failover klasteris. Iki 4 konfigūracijos klasterio mazgų galima sujungti į perjungimo klasterį, kuris palaiko aktyvų aktyvų arba aktyvų pasyvų režimą. Galima surinkti keletą failover klasterių.
2. Montavimas
Kaip minėta ankstesniame straipsnyje, „UserGate“ tiekiamas kaip aparatinės ir programinės įrangos paketas arba įdiegtas virtualioje aplinkoje. Iš savo asmeninės paskyros svetainėje atsisiųskite vaizdą OVF (Open Virtualization Format), šis formatas tinka VMWare ir Oracle Virtualbox pardavėjams. Virtualios mašinos disko vaizdai pateikiami Microsoft Hyper-v ir KVM.
Kaip rašoma „UserGate“ svetainėje, norint, kad virtuali mašina veiktų tinkamai, rekomenduojama naudoti bent 8 Gb RAM ir 2 branduolių virtualų procesorių. Hipervizorius turi palaikyti 64 bitų operacines sistemas.
Diegimas prasideda importuojant vaizdą į pasirinktą hipervizorių (VirtualBox ir VMWare). Microsoft Hyper-v ir KVM atveju reikia sukurti virtualią mašiną ir nurodyti atsisiųstą vaizdą kaip diską, o tada sukurtos virtualios mašinos nustatymuose išjungti integravimo paslaugas.
Pagal numatytuosius nustatymus, importavus į VMWare, sukuriama virtuali mašina su šiais parametrais:
Kaip buvo parašyta aukščiau, turi būti bent 8 Gb RAM ir papildomai reikia pridėti 1 Gb kiekvienam 100 vartotojų. Numatytasis standžiojo disko dydis yra 100 Gb, tačiau paprastai to nepakanka visiems žurnalams ir nustatymams išsaugoti. Rekomenduojamas dydis yra 300 Gb ar daugiau. Todėl virtualios mašinos savybėse keičiame disko dydį į norimą. Iš pradžių virtualus UserGate UTM yra su keturiomis zonoms priskirtomis sąsajomis:
Valdymas – pirmoji virtualios mašinos sąsaja, patikimų tinklų sujungimo zona, iš kurios leidžiamas UserGate valdymas.
Patikima yra antroji virtualios mašinos sąsaja, zona patikimiems tinklams, pavyzdžiui, LAN tinklams, prijungti.
Nepatikima yra trečioji virtualios mašinos sąsaja, zona sąsajoms, prijungtoms prie nepatikimų tinklų, pavyzdžiui, prie interneto.
DMZ yra ketvirtoji virtualios mašinos sąsaja, zona sąsajoms, prijungtoms prie DMZ tinklo.
Toliau paleidžiame virtualią mašiną, nors instrukcijoje rašoma, kad reikia pasirinkti palaikymo įrankius ir atlikti gamyklinius UTM nustatymus, tačiau, kaip matote, yra tik vienas pasirinkimas (UTM First Boot). Šio veiksmo metu UTM sukonfigūruoja tinklo adapterius ir padidina standžiojo disko skaidinio dydį iki viso disko dydžio:
Norėdami prisijungti prie UserGate žiniatinklio sąsajos, turite prisijungti per valdymo zoną; už tai atsakinga eth0 sąsaja, kuri sukonfigūruota automatiškai gauti IP adresą (DHCP). Jei neįmanoma priskirti valdymo sąsajos adreso automatiškai naudojant DHCP, jį galima aiškiai nustatyti naudojant CLI (komandinės eilutės sąsają). Norėdami tai padaryti, turite prisijungti prie CLI naudodami vartotojo vardą ir slaptažodį su visomis administratoriaus teisėmis (administratorius su didžiosiomis raidėmis pagal numatytuosius nustatymus). Jei „UserGate“ įrenginys nebuvo pradinis inicijavimas, norėdami pasiekti CLI turite naudoti „Admin“ kaip vartotojo vardą ir „utm“ kaip slaptažodį. Ir įveskite komandą, pvz., iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Vėliau nurodytu adresu einame į „UserGate“ žiniatinklio konsolę, ji turėtų atrodyti maždaug taip:https://UserGateIPaddress:8001:
Interneto konsolėje tęsiame diegimą, turime pasirinkti sąsajos kalbą (šiuo metu ji yra rusų arba anglų), laiko juostą, tada perskaityti ir sutikti su licencijos sutartimi. Norėdami prisijungti prie žiniatinklio valdymo sąsajos, nustatykite prisijungimo vardą ir slaptažodį.
3. Nustatymas
Po įdiegimo taip atrodo platformos valdymo žiniatinklio sąsajos langas:
Tada turite sukonfigūruoti tinklo sąsajas. Norėdami tai padaryti, skiltyje „Sąsajos“ turite jas įjungti, nustatyti teisingus IP adresus ir priskirti atitinkamas zonas.
Skiltyje „Sąsajos“ rodomos visos sistemoje turimos fizinės ir virtualios sąsajos, galima keisti jų nustatymus ir pridėti VLAN sąsajų. Tai taip pat rodo visas kiekvieno klasterio mazgo sąsajas. Sąsajos parametrai yra specifiniai kiekvienam mazgui, tai yra, jie nėra visuotiniai.
Sąsajos ypatybėse:
-
Įjungti arba išjungti sąsają
-
Nurodykite sąsajos tipą – Layer 3 arba Mirror
-
Priskirkite zoną sąsajai
-
Norėdami siųsti statistinius duomenis į Netflow rinktuvą, priskirkite „Netflow“ profilį
-
Pakeiskite fizinius sąsajos parametrus – MAC adresą ir MTU dydį
-
Pasirinkite IP adreso priskyrimo tipą – be adreso, statinis IP adresas arba gautas per DHCP
-
Sukonfigūruokite DHCP relę pasirinktoje sąsajoje.
Mygtukas „Pridėti“ leidžia pridėti šių tipų logines sąsajas:
-
VLAN
-
Bondas
-
Tiltas
-
PPPoE
-
VPT
-
Tunelis
Be anksčiau išvardytų zonų, su kuriomis pristatomas Usergate vaizdas, yra dar trys iš anksto nustatyti tipai:
Klasteris – zona sąsajoms, naudojamoms klasterio darbui
Svetainių VPN – zona, kurioje yra visi „Office-Office“ klientai, prijungti prie „UserGate“ per VPN
VPN nuotolinei prieigai – zona, apimanti visus mobiliuosius vartotojus, prisijungusius prie UserGate per VPN
„UserGate“ administratoriai gali keisti numatytųjų zonų nustatymus, taip pat sukurti papildomų zonų, tačiau, kaip nurodyta 5 versijos vadove, galima sukurti daugiausia 15 zonų. Norėdami juos pakeisti ar sukurti, turite eiti į zonos skyrių. Kiekvienai zonai galite nustatyti paketų kritimo slenkstį; palaikomi SYN, UDP, ICMP. Taip pat sukonfigūruota prieigos prie „Usergate“ paslaugų kontrolė ir įjungta apsauga nuo klastojimo.
Sukonfigūravę sąsajas, skiltyje „Vartai“ turite sukonfigūruoti numatytąjį maršrutą. Tie. Norėdami prisijungti prie „UserGate“ prie interneto, turite nurodyti vieno ar kelių šliuzų IP adresą. Jei prisijungdami prie interneto naudojate kelis tiekėjus, turite nurodyti kelis šliuzus. Šliuzo konfigūracija kiekvienam klasterio mazgui yra unikali. Jei nurodyti du ar daugiau šliuzų, galimos 2 parinktys:
-
Eismo balansavimas tarp šliuzų.
-
Pagrindiniai vartai su perjungimu į atsarginį.
Šliuzo būsena (galima – žalia, nepasiekiama – raudona) nustatoma taip:
-
Tinklo tikrinimas išjungtas – šliuzas laikomas pasiekiamu, jei „UserGate“ gali gauti savo MAC adresą naudodamas ARP užklausą. Prieiga prie interneto per šiuos šliuzus netikrinama. Jei šliuzo MAC adreso nustatyti nepavyksta, šliuzas laikomas nepasiekiamu.
-
Tinklo tikrinimas įjungtas – šliuzas laikomas pasiekiamu, jei:
-
„UserGate“ gali gauti savo MAC adresą naudodamas ARP užklausą.
-
Interneto prieigos per šiuos šliuzus patikrinimas sėkmingai baigtas.
Priešingu atveju vartai bus laikomi nepasiekiamais.
Skiltyje „DNS“ turite pridėti DNS serverius, kuriuos naudos „UserGate“. Šis nustatymas nurodytas srityje Sistemos DNS serveriai. Žemiau pateikiami naudotojų DNS užklausų valdymo nustatymai. „UserGate“ leidžia naudoti DNS tarpinį serverį. DNS tarpinio serverio paslauga leidžia perimti vartotojų DNS užklausas ir jas keisti priklausomai nuo administratoriaus poreikių. DNS tarpinio serverio taisyklės gali būti naudojamos norint nurodyti DNS serverius, į kuriuos persiunčiamos užklausos dėl konkrečių domenų. Be to, naudodami DNS tarpinį serverį, galite nustatyti statinius pagrindinio kompiuterio tipo įrašus (A įrašą).
Skiltyje „NAT ir maršrutas“ turite sukurti reikiamas NAT taisykles. Patikimo tinklo naudotojams prieigai prie interneto jau buvo sukurta NAT taisyklė - „Patikimas-> Nepatikimas“, belieka ją įjungti. Taisyklės taikomos iš viršaus į apačią tokia tvarka, kokia jos pateikiamos konsolėje. Visada vykdoma tik pirmoji taisyklė, kuriai taisyklėje nurodytos sąlygos atitinka. Kad taisyklė būtų suaktyvinta, turi sutapti visos taisyklės parametruose nurodytos sąlygos. „UserGate“ rekomenduoja sukurti bendrąsias NAT taisykles, pavyzdžiui, NAT taisyklę iš vietinio tinklo (dažniausiai patikimos zonos) į internetą (dažniausiai nepatikimoje zonoje) ir apriboti vartotojų, paslaugų ir programų prieigą naudojant ugniasienės taisykles.
Taip pat galima sukurti DNAT taisykles, prievadų peradresavimą, politika pagrįstą maršrutą, tinklo atvaizdavimą.
Po to skiltyje „Ugniasienė“ turite sukurti ugniasienės taisykles. Kad patikimo tinklo naudotojai galėtų neribotai prieiti prie interneto, taip pat jau buvo sukurta ugniasienės taisyklė - „Internet for Trusted“ ir turi būti įjungta. Naudodamas ugniasienės taisykles, administratorius gali leisti arba uždrausti bet kokio tipo tranzito tinklo srautą, einantį per UserGate. Taisyklių sąlygos gali apimti zonas ir šaltinio / paskirties IP adresus, vartotojus ir grupes, paslaugas ir programas. Taisyklės galioja taip pat, kaip ir skyriuje „NAT ir maršrutas“, t.y. iš viršaus žemyn. Jei taisyklių nesukurta, bet koks tranzitinis srautas per UserGate yra draudžiamas.
4. Išvada
Tuo straipsnis baigiamas. Įdiegėme „UserGate“ užkardą virtualioje mašinoje ir atlikome minimalius būtinus nustatymus, kad internetas veiktų patikimame tinkle. Tolesnę konfigūraciją apsvarstysime kituose straipsniuose.
Sekite naujienas mūsų kanaluose (, , , )!
Šaltinis: www.habr.com