Здраво, ова е втор напис за NGFW решението од компанијата . Целта на овој напис е да покаже како да го инсталирате заштитниот ѕид UserGate на виртуелен систем (ќе користам софтвер за виртуелизација на VMware Workstation) и да ја изведам неговата почетна конфигурација (дозволете пристап од локалната мрежа преку портата UserGate на Интернет).
1. Вовед
За почеток, ќе ги опишам различните начини за имплементирање на оваа порта во мрежата. Би сакал да забележам дека во зависност од избраната опција за поврзување, одредена функционалност на портата може да не е достапна. Решението UserGate ги поддржува следните начини на поврзување:
-
Заштитен ѕид L3-L7
-
L2 транспарентен мост
-
L3 транспарентен мост
-
Виртуелно во празнината, користејќи го протоколот WCCP
-
Практично во празнината, користејќи рутирање базирано на политика
-
Рутер на стап
-
Експлицитно наведен WEB прокси
-
UserGate како стандардна порта
-
Следење на порта за огледало
UserGate поддржува 2 типа кластери:
-
Конфигурација на кластерот. Јазлите комбинирани во конфигурацискиот кластер одржуваат конзистентни поставки низ кластерот.
-
Кластер за неуспех. До 4 конфигурациски јазли на кластерот може да се комбинираат во кластер за неуспех што поддржува работа во Активно-Активен или Активно-пасивен режим. Можно е да се соберат неколку кластери за попуштање.
2. Инсталација
Како што беше споменато во претходната статија, UserGate се испорачува како хардверски и софтверски пакет или распореден во виртуелна средина. Од вашата лична сметка на веб-страницата преземете ја сликата во OVF (Отворен формат за виртуелизација), овој формат е погоден за продавачите на VMWare и Oracle Virtualbox. Сликите на дискот на виртуелната машина се испорачуваат за Microsoft Hyper-v и KVM.
Според веб-страницата UserGate, за виртуелната машина да работи правилно, се препорачува да се користат најмалку 8 GB RAM и виртуелен процесор со 2 јадра. Хипервизорот мора да поддржува 64-битни оперативни системи.
Инсталирањето започнува со увоз на сликата во избраниот хипервизор (VirtualBox и VMWare). Во случај на Microsoft Hyper-v и KVM, треба да креирате виртуелна машина и да ја наведете преземената слика како диск, а потоа да ги оневозможите услугите за интеграција во поставките на креираната виртуелна машина.
Стандардно, по увозот во VMWare, се креира виртуелна машина со следните поставки:
Како што беше напишано погоре, мора да има најмалку 8Gb RAM и дополнително треба да додадете 1Gb на секои 100 корисници. Стандардната големина на хард дискот е 100 Gb, но тоа обично не е доволно за складирање на сите дневници и поставки. Препорачаната големина е 300 Gb или повеќе. Затоа, во својствата на виртуелната машина, ја менуваме големината на дискот до саканата. Првично, виртуелниот UserGate UTM доаѓа со четири интерфејси доделени на зони:
Управување - првиот интерфејс на виртуелната машина, зона за поврзување на доверливи мрежи од кои е дозволено управување со UserGate.
Trusted е вториот интерфејс на виртуелната машина, зона за поврзување на доверливи мрежи, на пример, LAN мрежи.
Недоверлив е третиот интерфејс на виртуелната машина, зона за интерфејси поврзани со недоверливи мрежи, на пример, на Интернет.
DMZ е четвртиот интерфејс на виртуелната машина, зона за интерфејси поврзани со мрежата DMZ.
Следно, ја стартуваме виртуелната машина, иако упатството вели дека треба да изберете Алатки за поддршка и да извршите фабричко ресетирање UTM, но како што можете да видите, има само еден избор (UTM First Boot). За време на овој чекор, UTM ги конфигурира мрежните адаптери и ја зголемува големината на партицијата на хард дискот до целосна големина на дискот:
За да се поврзете со веб-интерфејсот UserGate, треба да се најавите преку зоната за управување, за ова е одговорен интерфејсот eth0, кој е конфигуриран да добива IP адреса автоматски (DHCP). Ако не е можно автоматски да се додели адреса за интерфејсот за управување со помош на DHCP, тогаш таа може експлицитно да се постави со помош на CLI (интерфејс на командната линија). За да го направите ова, треба да се најавите на CLI користејќи корисничко име и лозинка со целосни администраторски права (администратор со голема буква по дифолт). Ако уредот UserGate не претрпел почетна иницијализација, тогаш за да пристапите до CLI мора да користите Admin како корисничко име и utm како лозинка. И напишете команда како iface config –name eth0 –ipv4 192.168.1.254/24 – enable true –mode static. Подоцна одиме на веб-конзолата UserGate на наведената адреса, треба да изгледа вака:https://UserGateIPaddress:8001:
Во веб-конзолата ја продолжуваме инсталацијата, треба да го избереме јазикот на интерфејсот (во моментот е руски или англиски), временската зона, потоа да прочитаме и да се согласиме со договорот за лиценца. Поставете ги најавувањето и лозинката за да се најавите во интерфејсот за управување со веб.
3. Поставување
По инсталацијата, вака изгледа прозорецот за веб-интерфејс за управување со платформата:
Потоа треба да ги конфигурирате мрежните интерфејси. За да го направите ова, во делот „Интерфејси“ треба да ги овозможите, да ги поставите точните IP адреси и да ги доделите соодветните зони.
Делот „Интерфејси“ ги прикажува сите физички и виртуелни интерфејси достапни во системот, ви овозможува да ги промените нивните поставки и да додадете VLAN интерфејси. Ги прикажува и сите интерфејси на секој јазол на кластерот. Поставките за интерфејс се специфични за секој јазол, односно не се глобални.
Во својствата на интерфејсот:
-
Овозможете или оневозможете го интерфејсот
-
Наведете тип на интерфејс - Слој 3 или Огледало
-
Доделете зона на интерфејс
-
Доделете Netflow профил за испраќање статистички податоци до собирачот на Netflow
-
Променете ги физичките параметри на интерфејсот - MAC адреса и големината на MTU
-
Изберете го типот на доделување IP адреса - без адреса, статична IP адреса или добиена преку DHCP
-
Конфигурирајте го релето DHCP на избраниот интерфејс.
Копчето „Додај“ ви овозможува да ги додадете следниве типови логички интерфејси:
-
VLAN
-
Бонд
-
Мост
-
PPPoE
-
VPN
-
Тунел
Покрај претходно наведените зони со кои се испраќа сликата на Usergate, има уште три претходно дефинирани типови:
Кластер - зона за интерфејси што се користат за работа на кластерот
VPN за Site-to-Site - зона во која се сместени сите Office-Office клиенти поврзани на UserGate преку VPN
VPN за далечински пристап - зона која ги вклучува сите мобилни корисници поврзани на UserGate преку VPN
Администраторите на UserGate можат да ги променат поставките на стандардните зони и исто така да креираат дополнителни зони, но како што е наведено во прирачникот за верзија 5, може да се создадат најмногу 15 зони. За да ги промените или креирате, треба да отидете во делот зона. За секоја зона, можете да поставите праг за паѓање на пакети; поддржани се SYN, UDP, ICMP. Конфигурирана е и контролата на пристап до услугите на Usergate и овозможена е заштита од измама.
Откако ќе ги конфигурирате интерфејсите, треба да ја конфигурирате стандардната рута во делот „Портали“. Оние. За да го поврзете UserGate на Интернет, мора да ја наведете IP адресата на еден или повеќе портали. Ако користите неколку провајдери за да се поврзете на Интернет, мора да наведете неколку порти. Конфигурацијата на портата е единствена за секој јазол на кластерот. Ако се наведени два или повеќе порти, можни се 2 опции:
-
Балансирање на сообраќајот помеѓу портите.
-
Главната порта со префрлување на резервна.
Статусот на портата (достапен - зелен, недостапен - црвено) се одредува на следниов начин:
-
Проверката на мрежата е оневозможена - портата се смета за достапна ако UserGate може да ја добие својата MAC адреса користејќи барање ARP. Нема проверка за пристап до Интернет преку оваа порта. Ако MAC адресата на портата не може да се одреди, портата се смета за недостапна.
-
Проверката на мрежата е овозможена - портата се смета за достапна ако:
-
UserGate може да ја добие својата MAC адреса користејќи барање ARP.
-
Проверката за пристап до Интернет преку оваа порта беше успешно завршена.
Во спротивно, портата се смета за недостапна.
Во делот „DNS“ треба да ги додадете DNS серверите што ќе ги користи UserGate. Оваа поставка е наведена во областа Системски DNS сервери. Подолу се поставките за управување со барањата за DNS од корисниците. UserGate ви овозможува да користите DNS прокси. Услугата за прокси DNS ви овозможува да пресретнувате DNS барања од корисниците и да ги менувате во зависност од потребите на администраторот. Правилата за прокси DNS може да се користат за да се наведат DNS серверите на кои се препраќаат барањата за одредени домени. Дополнително, со помош на прокси DNS, можете да поставите статични записи од типот на домаќинот (А рекорд).
Во делот „NAT и рутирање“ треба да ги креирате потребните NAT правила. За пристап до Интернет на корисниците на доверливата мрежа, веќе е создадено правилото NAT - „Доверливо->Недоверливо“, останува само да се овозможи. Правилата се применуваат од врвот до дното по редоследот по кој се наведени во конзолата. Секогаш се извршува само првото правило за кое условите наведени во правилото се совпаѓаат. За да се активира правилото, мора да се совпаѓаат сите услови наведени во параметрите на правилото. UserGate препорачува создавање општи правила NAT, на пример, NAT правило од локална мрежа (обично доверлива зона) на Интернет (обично недоверлива зона) и ограничување на пристапот на корисниците, услугите и апликациите што користат правила за заштитен ѕид.
Исто така, можно е да се создадат правила на DNAT, препраќање порти, рутирање базирано на политики, мрежно мапирање.
После ова, во делот „Firewall“ треба да креирате правила за заштитен ѕид. За неограничен пристап до Интернет за корисниците на мрежата Trusted, веќе е создадено правило за заштитен ѕид - „Интернет за доверливи“ и мора да биде овозможено. Користејќи ги правилата за заштитен ѕид, администраторот може да дозволи или одбие каков било тип на транзитен мрежен сообраќај што минува низ UserGate. Условите на правилата може да вклучуваат зони и IP адреси на извор/дестинација, корисници и групи, услуги и апликации. Правилата се применуваат на ист начин како во делот „NAT и рутирање“, т.е. врвот надолу. Ако не се создадени правила, тогаш е забранет каков било транзитен сообраќај преку UserGate.
4. Заклучок
Ова ја заклучува статијата. Го инсталиравме заштитниот ѕид UserGate на виртуелна машина и ги направивме минималните потребни поставки за Интернет да работи на мрежата Trusted. Ќе разгледаме понатамошна конфигурација во следните написи.
Останете во тек за ажурирања на нашите канали (, , , )!
Извор: www.habr.com