Sveiki, Å”is ir otrais uzÅÄmuma raksts par NGFW risinÄjumu
1. Ievads
SÄkumÄ es aprakstÄ«Å”u dažÄdus veidus, kÄ ieviest Å”o vÄrteju tÄ«klÄ. VÄlos atzÄ«mÄt, ka atkarÄ«bÄ no izvÄlÄtÄs savienojuma opcijas noteikta vÄrtejas funkcionalitÄte var nebÅ«t pieejama. UserGate risinÄjums atbalsta Å”Ädus savienojuma režīmus:
-
L3-L7 ugunsmūris
-
L2 caurspīdīgs tilts
-
L3 caurspīdīgs tilts
-
Praktiski spraugÄ, izmantojot WCCP protokolu
-
Praktiski trÅ«kst, izmantojot politiku balstÄ«tu marÅ”rutÄÅ”anu
-
MarÅ”rutÄtÄjs uz nÅ«jas
-
Skaidri norÄdÄ«ts WEB starpniekserveris
-
UserGate kÄ noklusÄjuma vÄrteja
-
Spoguļporta uzraudzība
UserGate atbalsta 2 veidu klasterus:
-
Klastera konfigurÄcija. KonfigurÄcijas klasterÄ« apvienotie mezgli uztur konsekventus iestatÄ«jumus visÄ klasterÄ«.
-
KļūmjpÄrlÄces klasteris. Ne vairÄk kÄ 4 konfigurÄcijas klastera mezglus var apvienot kļūmjpÄrlÄces klasterÄ«, kas atbalsta darbÄ«bu Active-Active vai Active-Passive režīmÄ. Ir iespÄjams salikt vairÄkus kļūmjpÄrlÄces klasterus.
2. UzstÄdÄ«Å”ana
KÄ minÄts iepriekÅ”ÄjÄ rakstÄ, UserGate tiek piegÄdÄts kÄ aparatÅ«ras un programmatÅ«ras pakotne vai izvietots virtuÄlajÄ vidÄ. No jÅ«su personÄ«gÄ konta vietnÄ
SaskaÅÄ ar UserGate vietni, lai virtuÄlÄ maŔīna darbotos pareizi, ieteicams izmantot vismaz 8Gb RAM un 2 kodolu virtuÄlo procesoru. Hipervizoram jÄatbalsta 64 bitu operÄtÄjsistÄmas.
InstalÄÅ”ana sÄkas, importÄjot attÄlu atlasÄ«tajÄ hipervizorÄ (VirtualBox un VMWare). Microsoft Hyper-v un KVM gadÄ«jumÄ jums ir jÄizveido virtuÄlÄ maŔīna un jÄnorÄda lejupielÄdÄtais attÄls kÄ disks, un pÄc tam izveidotÄs virtuÄlÄs maŔīnas iestatÄ«jumos ir jÄatspÄjo integrÄcijas pakalpojumi.
PÄc noklusÄjuma pÄc importÄÅ”anas VMWare tiek izveidota virtuÄlÄ maŔīna ar Å”Ädiem iestatÄ«jumiem:
KÄ jau rakstÄ«ts iepriekÅ”, jÄbÅ«t vismaz 8Gb RAM un papildus jÄpievieno 1Gb uz katriem 100 lietotÄjiem. NoklusÄjuma cietÄ diska izmÄrs ir 100 Gb, taÄu ar to parasti nepietiek, lai saglabÄtu visus žurnÄlus un iestatÄ«jumus. Ieteicamais izmÄrs ir 300 Gb vai vairÄk. TÄpÄc virtuÄlÄs maŔīnas Ä«paŔībÄs mÄs mainÄm diska izmÄru uz vÄlamo. SÄkotnÄji virtuÄlajam UserGate UTM ir Äetras zonÄm pieŔķirtas saskarnes:
PÄrvaldÄ«ba - pirmais virtuÄlÄs maŔīnas interfeiss, zona uzticamu tÄ«klu savienoÅ”anai, no kuras ir atļauta UserGate pÄrvaldÄ«ba.
Uzticama ir otrÄ virtuÄlÄs maŔīnas saskarne, zona uzticamu tÄ«klu, piemÄram, LAN tÄ«klu, savienoÅ”anai.
Neuzticamais ir treÅ”ais virtuÄlÄs maŔīnas interfeiss, zona saskarnÄm, kas savienotas ar neuzticamiem tÄ«kliem, piemÄram, ar internetu.
DMZ ir ceturtÄ virtuÄlÄs maŔīnas saskarne, zona saskarnÄm, kas savienotas ar DMZ tÄ«klu.
TÄlÄk mÄs palaižam virtuÄlo maŔīnu, lai gan rokasgrÄmatÄ ir rakstÄ«ts, ka jums ir jÄizvÄlas atbalsta rÄ«ki un jÄveic rÅ«pnÄ«cas atiestatÄ«Å”ana UTM, taÄu, kÄ redzat, ir tikai viena izvÄle (UTM First Boot). Å Ä«s darbÄ«bas laikÄ UTM konfigurÄ tÄ«kla adapterus un palielina cietÄ diska nodalÄ«juma lielumu lÄ«dz pilnam diska izmÄram:
Lai izveidotu savienojumu ar UserGate tÄ«mekļa saskarni, jums jÄpiesakÄs caur pÄrvaldÄ«bas zonu; par to atbild eth0 saskarne, kas ir konfigurÄta, lai automÄtiski iegÅ«tu IP adresi (DHCP). Ja pÄrvaldÄ«bas saskarnei nav iespÄjams automÄtiski pieŔķirt adresi, izmantojot DHCP, tad to var tieÅ”i iestatÄ«t, izmantojot CLI (komandrindas interfeisu). Lai to izdarÄ«tu, jums ir jÄpiesakÄs CLI, izmantojot lietotÄjvÄrdu un paroli ar pilnÄm administratora tiesÄ«bÄm (administrators ar lielo burtu pÄc noklusÄjuma). Ja UserGate ierÄ«cei nav veikta sÄkotnÄjÄ inicializÄcija, tad, lai piekļūtu CLI, kÄ lietotÄjvÄrds ir jÄizmanto Admin un parole utm. Un ierakstiet komandu, piemÄram, iface config āname eth0 āipv4 192.168.1.254/24 āenable true āmode static. VÄlÄk mÄs ejam uz UserGate tÄ«mekļa konsoli norÄdÄ«tajÄ adresÄ, tai vajadzÄtu izskatÄ«ties apmÄram Å”Ädi:
TÄ«mekļa konsolÄ turpinÄm instalÄÅ”anu, jÄizvÄlas saskarnes valoda (Å”obrÄ«d tÄ ir krievu vai angļu), laika josla, pÄc tam jÄizlasa un jÄpiekrÄ«t licences lÄ«gumam. Iestatiet pieteikumvÄrdu un paroli, lai pieteiktos tÄ«mekļa pÄrvaldÄ«bas saskarnÄ.
3. IestatīŔana
PÄc instalÄÅ”anas platformas pÄrvaldÄ«bas tÄ«mekļa saskarnes logs izskatÄs Å”Ädi:
PÄc tam jums jÄkonfigurÄ tÄ«kla saskarnes. Lai to izdarÄ«tu, sadaÄ¼Ä āInterfeisiā tie jÄiespÄjo, jÄiestata pareizÄs IP adreses un jÄpieŔķir atbilstoÅ”Äs zonas.
SadaÄ¼Ä āInterfeisiā tiek parÄdÄ«tas visas sistÄmÄ pieejamÄs fiziskÄs un virtuÄlÄs saskarnes, kas ļauj mainÄ«t to iestatÄ«jumus un pievienot VLAN saskarnes. Tas parÄda arÄ« visas katra klastera mezgla saskarnes. Interfeisa iestatÄ«jumi ir specifiski katram mezglam, tas ir, tie nav globÄli.
Interfeisa Ä«paŔībÄs:
-
IespÄjot vai atspÄjot saskarni
-
NorÄdiet saskarnes veidu - Layer 3 vai Mirror
-
PieŔķiriet saskarnei zonu
-
PieŔķiriet Netflow profilu, lai nosÅ«tÄ«tu statistikas datus Netflow savÄcÄjam
-
Mainiet saskarnes fiziskos parametrus - MAC adresi un MTU izmÄru
-
IzvÄlieties IP adreses pieŔķirÅ”anas veidu - bez adreses, statiska IP adrese vai iegÅ«ta, izmantojot DHCP
-
KonfigurÄjiet DHCP releju atlasÄ«tajÄ interfeisÄ.
Poga āPievienotā ļauj pievienot Å”Äda veida loÄ£iskÄs saskarnes:
-
VLAN
-
Bonds
-
Tilts
-
PPPoE
-
VPN
-
Tunelis
Papildus iepriekÅ” uzskaitÄ«tajÄm zonÄm, ar kurÄm tiek piegÄdÄts Usergate attÄls, ir vÄl trÄ«s iepriekÅ” noteikti veidi:
Klasteris - zona saskarnÄm, ko izmanto klastera darbÄ«bai
VPN vietnei-vietnei ā zona, kurÄ atrodas visi Office-Office klienti, kas savienoti ar UserGate, izmantojot VPN
VPN attÄlinÄtai piekļuvei - zona, kurÄ ietilpst visi mobilie lietotÄji, kas ir savienoti ar UserGate caur VPN
UserGate administratori var mainÄ«t noklusÄjuma zonu iestatÄ«jumus un arÄ« izveidot papildu zonas, taÄu, kÄ teikts 5. versijas rokasgrÄmatÄ, var izveidot ne vairÄk kÄ 15 zonas. Lai tos mainÄ«tu vai izveidotu, jums jÄiet uz zonas sadaļu. Katrai zonai varat iestatÄ«t pakeÅ”u krituma slieksni; tiek atbalstÄ«ti SYN, UDP, ICMP. Ir arÄ« konfigurÄta piekļuves kontrole Usergate pakalpojumiem, un ir iespÄjota aizsardzÄ«ba pret viltoÅ”anu.
PÄc saskarÅu konfigurÄÅ”anas sadaÄ¼Ä āVÄrtejasā ir jÄkonfigurÄ noklusÄjuma marÅ”ruts. Tie. Lai UserGate savienotu ar internetu, jÄnorÄda vienas vai vairÄku vÄrteju IP adrese. Ja izmantojat vairÄkus pakalpojumu sniedzÄjus, lai izveidotu savienojumu ar internetu, jums ir jÄnorÄda vairÄkas vÄrtejas. VÄrtejas konfigurÄcija ir unikÄla katram klastera mezglam. Ja ir norÄdÄ«tas divas vai vairÄkas vÄrtejas, ir iespÄjamas 2 iespÄjas:
-
Satiksmes lÄ«dzsvaroÅ”ana starp vÄrtejÄm.
-
GalvenÄ vÄrteja ar pÄrslÄgÅ”anos uz rezerves vÄrtiem.
VÄrtejas statuss (pieejams - zaļŔ, nav pieejams - sarkans) tiek noteikts Å”Ädi:
-
TÄ«kla pÄrbaude ir atspÄjota ā vÄrteja tiek uzskatÄ«ta par pieejamu, ja UserGate var iegÅ«t savu MAC adresi, izmantojot ARP pieprasÄ«jumu. Izmantojot Å”o vÄrteju, netiek pÄrbaudÄ«ta piekļuve internetam. Ja vÄrtejas MAC adresi nevar noteikt, vÄrteja tiek uzskatÄ«ta par nesasniedzamu.
-
TÄ«kla pÄrbaude ir iespÄjota ā vÄrteja tiek uzskatÄ«ta par pieejamu, ja:
-
UserGate var iegūt savu MAC adresi, izmantojot ARP pieprasījumu.
-
Interneta piekļuves pÄrbaude, izmantojot Å”o vÄrteju, tika veiksmÄ«gi pabeigta.
PretÄjÄ gadÄ«jumÄ vÄrteja tiek uzskatÄ«ta par nepieejamu.
SadaÄ¼Ä āDNSā jÄpievieno DNS serveri, kurus izmantos UserGate. Å is iestatÄ«jums ir norÄdÄ«ts apgabalÄ SistÄmas DNS serveri. TÄlÄk ir norÄdÄ«ti iestatÄ«jumi lietotÄju DNS pieprasÄ«jumu pÄrvaldÄ«bai. UserGate ļauj izmantot DNS starpniekserveri. DNS starpniekservera pakalpojums ļauj pÄrtvert lietotÄju DNS pieprasÄ«jumus un mainÄ«t tos atkarÄ«bÄ no administratora vajadzÄ«bÄm. DNS starpniekservera noteikumus var izmantot, lai norÄdÄ«tu DNS serverus, uz kuriem tiek pÄrsÅ«tÄ«ti konkrÄtu domÄnu pieprasÄ«jumi. TurklÄt, izmantojot DNS starpniekserveri, varat iestatÄ«t statiskus resursdatora tipa ierakstus (A ieraksts).
SadaÄ¼Ä āNAT un marÅ”rutÄÅ”anaā ir jÄizveido nepiecieÅ”amie NAT noteikumi. Lai uzticamÄ tÄ«kla lietotÄji varÄtu piekļūt internetam, NAT noteikums jau ir izveidots - āTrusted-> Untrustedā, atliek tikai to iespÄjot. Noteikumi tiek piemÄroti no augÅ”as uz leju tÄdÄ secÄ«bÄ, kÄ tie ir norÄdÄ«ti konsolÄ. VienmÄr tiek izpildÄ«ts tikai pirmais noteikums, kuram atbilst kÄrtulÄ norÄdÄ«tie nosacÄ«jumi. Lai kÄrtula tiktu aktivizÄta, ir jÄatbilst visiem kÄrtulas parametros norÄdÄ«tajiem nosacÄ«jumiem. UserGate iesaka izveidot vispÄrÄ«gus NAT noteikumus, piemÄram, NAT kÄrtulu no lokÄlÄ tÄ«kla (parasti uzticamÄs zonas) uz internetu (parasti neuzticamu zonu) un ierobežot lietotÄju, pakalpojumu un lietojumprogrammu piekļuvi, izmantojot ugunsmÅ«ra noteikumus.
Ir iespÄjams arÄ« izveidot DNST noteikumus, portu pÄradresÄciju, uz politiku balstÄ«tu marÅ”rutÄÅ”anu, tÄ«kla kartÄÅ”anu.
PÄc tam sadaÄ¼Ä āUgunsmÅ«risā ir jÄizveido ugunsmÅ«ra noteikumi. Lai uzticamÄ tÄ«kla lietotÄjiem bÅ«tu neierobežota piekļuve internetam, jau ir izveidots arÄ« ugunsmÅ«ra noteikums - āInternet for Trustedā, un tas ir jÄiespÄjo. Izmantojot ugunsmÅ«ra noteikumus, administrators var atļaut vai liegt jebkÄda veida tranzÄ«ta tÄ«kla trafiku, kas iet caur UserGate. Noteikumu nosacÄ«jumi var ietvert zonas un avota/galamÄrÄ·a IP adreses, lietotÄjus un grupas, pakalpojumus un lietojumprogrammas. Noteikumi ir spÄkÄ tÄpat kÄ sadaÄ¼Ä āNAT un marÅ”rutÄÅ”anaā, t.i. no augÅ”as uz leju. Ja noteikumi nav izveidoti, tranzÄ«ta satiksme caur UserGate ir aizliegta.
4. SecinÄjums
Tas noslÄdz rakstu. MÄs instalÄjÄm UserGate ugunsmÅ«ri virtuÄlajÄ maŔīnÄ un veicÄm minimÄlos nepiecieÅ”amos iestatÄ«jumus, lai internets darbotos uzticamajÄ tÄ«klÄ. TurpmÄkajos rakstos mÄs apsvÄrsim turpmÄku konfigurÄciju.
Sekojiet jaunumiem mÅ«su kanÄlos (
Avots: www.habr.com