2. UserGate Darba sākšana. Prasības, uzstādīšana

Sveiki, šis ir otrais uzņēmuma raksts par NGFW risinājumu UserGate. Šī raksta mērķis ir parādīt, kā instalēt UserGate ugunsmūri virtuālajā sistēmā (es izmantošu virtualizācijas programmatūru VMware Workstation) un veikt tā sākotnējo konfigurāciju (atļaut piekļuvi no lokālā tīkla caur UserGate vārteju uz internetu).   

1. Ievads

Sākumā es aprakstīšu dažādus veidus, kā ieviest šo vārteju tīklā. Vēlos atzīmēt, ka atkarībā no izvēlētās savienojuma opcijas noteikta vārtejas funkcionalitāte var nebūt pieejama. UserGate risinājums atbalsta šādus savienojuma režīmus: 

• L3-L7 ugunsmūris

• L2 caurspīdīgs tilts

• L3 caurspīdīgs tilts

• Praktiski spraugā, izmantojot WCCP protokolu

• Praktiski trūkst, izmantojot politiku balstītu maršrutēšanu

• Maršrutētājs uz nūjas

• Skaidri norādīts WEB starpniekserveris

• UserGate kā noklusējuma vārteja

• Spoguļporta uzraudzība

UserGate atbalsta 2 veidu klasterus:

1. Klastera konfigurācija. Konfigurācijas klasterī apvienotie mezgli uztur konsekventus iestatījumus visā klasterī.

2. Kļūmjpārlēces klasteris. Ne vairāk kā 4 konfigurācijas klastera mezglus var apvienot kļūmjpārlēces klasterī, kas atbalsta darbību Active-Active vai Active-Passive režīmā. Ir iespējams salikt vairākus kļūmjpārlēces klasterus.

2. Uzstādīšana

Kā minēts iepriekšējā rakstā, UserGate tiek piegādāts kā aparatūras un programmatūras pakotne vai izvietots virtuālajā vidē. No jūsu personīgā konta vietnē UserGate lejupielādējiet attēlu OVF (Open Virtualization Format), šis formāts ir piemērots VMWare un Oracle Virtualbox pārdevējiem. Virtuālās mašīnas diska attēli tiek piegādāti Microsoft Hyper-v un KVM.

Saskaņā ar UserGate vietni, lai virtuālā mašīna darbotos pareizi, ieteicams izmantot vismaz 8Gb RAM un 2 kodolu virtuālo procesoru. Hipervizoram jāatbalsta 64 bitu operētājsistēmas.

Instalēšana sākas, importējot attēlu atlasītajā hipervizorā (VirtualBox un VMWare). Microsoft Hyper-v un KVM gadījumā jums ir jāizveido virtuālā mašīna un jānorāda lejupielādētais attēls kā disks, un pēc tam izveidotās virtuālās mašīnas iestatījumos ir jāatspējo integrācijas pakalpojumi.

Pēc noklusējuma pēc importēšanas VMWare tiek izveidota virtuālā mašīna ar šādiem iestatījumiem:

Kā jau rakstīts iepriekš, jābūt vismaz 8Gb RAM un papildus jāpievieno 1Gb uz katriem 100 lietotājiem. Noklusējuma cietā diska izmērs ir 100 Gb, taču ar to parasti nepietiek, lai saglabātu visus žurnālus un iestatījumus. Ieteicamais izmērs ir 300 Gb vai vairāk. Tāpēc virtuālās mašīnas īpašībās mēs mainām diska izmēru uz vēlamo. Sākotnēji virtuālajam UserGate UTM ir četras zonām piešķirtas saskarnes:

Pārvaldība - pirmais virtuālās mašīnas interfeiss, zona uzticamu tīklu savienošanai, no kuras ir atļauta UserGate pārvaldība.

Uzticama ir otrā virtuālās mašīnas saskarne, zona uzticamu tīklu, piemēram, LAN tīklu, savienošanai.

Neuzticamais ir trešais virtuālās mašīnas interfeiss, zona saskarnēm, kas savienotas ar neuzticamiem tīkliem, piemēram, ar internetu.

DMZ ir ceturtā virtuālās mašīnas saskarne, zona saskarnēm, kas savienotas ar DMZ tīklu.

Tālāk mēs palaižam virtuālo mašīnu, lai gan rokasgrāmatā ir rakstīts, ka jums ir jāizvēlas atbalsta rīki un jāveic rūpnīcas atiestatīšana UTM, taču, kā redzat, ir tikai viena izvēle (UTM First Boot). Šīs darbības laikā UTM konfigurē tīkla adapterus un palielina cietā diska nodalījuma lielumu līdz pilnam diska izmēram:

Lai izveidotu savienojumu ar UserGate tīmekļa saskarni, jums jāpiesakās caur pārvaldības zonu; par to atbild eth0 saskarne, kas ir konfigurēta, lai automātiski iegūtu IP adresi (DHCP). Ja pārvaldības saskarnei nav iespējams automātiski piešķirt adresi, izmantojot DHCP, tad to var tieši iestatīt, izmantojot CLI (komandrindas interfeisu). Lai to izdarītu, jums ir jāpiesakās CLI, izmantojot lietotājvārdu un paroli ar pilnām administratora tiesībām (administrators ar lielo burtu pēc noklusējuma). Ja UserGate ierīcei nav veikta sākotnējā inicializācija, tad, lai piekļūtu CLI, kā lietotājvārds ir jāizmanto Admin un parole utm. Un ierakstiet komandu, piemēram, iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Vēlāk mēs ejam uz UserGate tīmekļa konsoli norādītajā adresē, tai vajadzētu izskatīties apmēram šādi: https://UserGateIPaddress:8001:

Tīmekļa konsolē turpinām instalēšanu, jāizvēlas saskarnes valoda (šobrīd tā ir krievu vai angļu), laika josla, pēc tam jāizlasa un jāpiekrīt licences līgumam. Iestatiet pieteikumvārdu un paroli, lai pieteiktos tīmekļa pārvaldības saskarnē.

3. Iestatīšana

Pēc instalēšanas platformas pārvaldības tīmekļa saskarnes logs izskatās šādi:

Pēc tam jums jākonfigurē tīkla saskarnes. Lai to izdarītu, sadaļā “Interfeisi” tie jāiespējo, jāiestata pareizās IP adreses un jāpiešķir atbilstošās zonas.

Sadaļā “Interfeisi” tiek parādītas visas sistēmā pieejamās fiziskās un virtuālās saskarnes, kas ļauj mainīt to iestatījumus un pievienot VLAN saskarnes. Tas parāda arī visas katra klastera mezgla saskarnes. Interfeisa iestatījumi ir specifiski katram mezglam, tas ir, tie nav globāli.

Interfeisa īpašībās:

• Iespējot vai atspējot saskarni 

• Norādiet saskarnes veidu - Layer 3 vai Mirror

• Piešķiriet saskarnei zonu

• Piešķiriet Netflow profilu, lai nosūtītu statistikas datus Netflow savācējam

• Mainiet saskarnes fiziskos parametrus - MAC adresi un MTU izmēru

• Izvēlieties IP adreses piešķiršanas veidu - bez adreses, statiska IP adrese vai iegūta, izmantojot DHCP

• Konfigurējiet DHCP releju atlasītajā interfeisā.

Poga “Pievienot” ļauj pievienot šāda veida loģiskās saskarnes:

• VLAN

• Bonds

• Tilts

• PPPoE

• VPN

• Tunelis

Papildus iepriekš uzskaitītajām zonām, ar kurām tiek piegādāts Usergate attēls, ir vēl trīs iepriekš noteikti veidi:

Klasteris - zona saskarnēm, ko izmanto klastera darbībai

VPN vietnei-vietnei — zona, kurā atrodas visi Office-Office klienti, kas savienoti ar UserGate, izmantojot VPN

VPN attālinātai piekļuvei - zona, kurā ietilpst visi mobilie lietotāji, kas ir savienoti ar UserGate caur VPN

UserGate administratori var mainīt noklusējuma zonu iestatījumus un arī izveidot papildu zonas, taču, kā teikts 5. versijas rokasgrāmatā, var izveidot ne vairāk kā 15 zonas. Lai tos mainītu vai izveidotu, jums jāiet uz zonas sadaļu. Katrai zonai varat iestatīt pakešu krituma slieksni; tiek atbalstīti SYN, UDP, ICMP. Ir arī konfigurēta piekļuves kontrole Usergate pakalpojumiem, un ir iespējota aizsardzība pret viltošanu.

Pēc saskarņu konfigurēšanas sadaļā “Vārtejas” ir jākonfigurē noklusējuma maršruts. Tie. Lai UserGate savienotu ar internetu, jānorāda vienas vai vairāku vārteju IP adrese. Ja izmantojat vairākus pakalpojumu sniedzējus, lai izveidotu savienojumu ar internetu, jums ir jānorāda vairākas vārtejas. Vārtejas konfigurācija ir unikāla katram klastera mezglam. Ja ir norādītas divas vai vairākas vārtejas, ir iespējamas 2 iespējas:

1. Satiksmes līdzsvarošana starp vārtejām.

2. Galvenā vārteja ar pārslēgšanos uz rezerves vārtiem.

Vārtejas statuss (pieejams - zaļš, nav pieejams - sarkans) tiek noteikts šādi:

1. Tīkla pārbaude ir atspējota — vārteja tiek uzskatīta par pieejamu, ja UserGate var iegūt savu MAC adresi, izmantojot ARP pieprasījumu. Izmantojot šo vārteju, netiek pārbaudīta piekļuve internetam. Ja vārtejas MAC adresi nevar noteikt, vārteja tiek uzskatīta par nesasniedzamu.

2. Tīkla pārbaude ir iespējota — vārteja tiek uzskatīta par pieejamu, ja:

• UserGate var iegūt savu MAC adresi, izmantojot ARP pieprasījumu.

• Interneta piekļuves pārbaude, izmantojot šo vārteju, tika veiksmīgi pabeigta.

Pretējā gadījumā vārteja tiek uzskatīta par nepieejamu.

Sadaļā “DNS” jāpievieno DNS serveri, kurus izmantos UserGate. Šis iestatījums ir norādīts apgabalā Sistēmas DNS serveri. Tālāk ir norādīti iestatījumi lietotāju DNS pieprasījumu pārvaldībai. UserGate ļauj izmantot DNS starpniekserveri. DNS starpniekservera pakalpojums ļauj pārtvert lietotāju DNS pieprasījumus un mainīt tos atkarībā no administratora vajadzībām. DNS starpniekservera noteikumus var izmantot, lai norādītu DNS serverus, uz kuriem tiek pārsūtīti konkrētu domēnu pieprasījumi. Turklāt, izmantojot DNS starpniekserveri, varat iestatīt statiskus resursdatora tipa ierakstus (A ieraksts).

Sadaļā “NAT un maršrutēšana” ir jāizveido nepieciešamie NAT noteikumi. Lai uzticamā tīkla lietotāji varētu piekļūt internetam, NAT noteikums jau ir izveidots - “Trusted-> Untrusted”, atliek tikai to iespējot. Noteikumi tiek piemēroti no augšas uz leju tādā secībā, kā tie ir norādīti konsolē. Vienmēr tiek izpildīts tikai pirmais noteikums, kuram atbilst kārtulā norādītie nosacījumi. Lai kārtula tiktu aktivizēta, ir jāatbilst visiem kārtulas parametros norādītajiem nosacījumiem. UserGate iesaka izveidot vispārīgus NAT noteikumus, piemēram, NAT kārtulu no lokālā tīkla (parasti uzticamās zonas) uz internetu (parasti neuzticamu zonu) un ierobežot lietotāju, pakalpojumu un lietojumprogrammu piekļuvi, izmantojot ugunsmūra noteikumus.

Ir iespējams arī izveidot DNST noteikumus, portu pāradresāciju, uz politiku balstītu maršrutēšanu, tīkla kartēšanu.

Pēc tam sadaļā “Ugunsmūris” ir jāizveido ugunsmūra noteikumi. Lai uzticamā tīkla lietotājiem būtu neierobežota piekļuve internetam, jau ir izveidots arī ugunsmūra noteikums - “Internet for Trusted”, un tas ir jāiespējo. Izmantojot ugunsmūra noteikumus, administrators var atļaut vai liegt jebkāda veida tranzīta tīkla trafiku, kas iet caur UserGate. Noteikumu nosacījumi var ietvert zonas un avota/galamērķa IP adreses, lietotājus un grupas, pakalpojumus un lietojumprogrammas. Noteikumi ir spēkā tāpat kā sadaļā “NAT un maršrutēšana”, t.i. no augšas uz leju. Ja noteikumi nav izveidoti, tranzīta satiksme caur UserGate ir aizliegta.

4. Secinājums

Tas noslēdz rakstu. Mēs instalējām UserGate ugunsmūri virtuālajā mašīnā un veicām minimālos nepieciešamos iestatījumus, lai internets darbotos uzticamajā tīklā. Turpmākajos rakstos mēs apsvērsim turpmāku konfigurāciju.

Sekojiet jaunumiem mūsu kanālos (Telegram, Facebook, VK, TS risinājumu emuārs)!

Avots: www.habr.com