ProHoster > Blog > Pentadbiran > 2. UserGate Bermula. Keperluan, pemasangan

2. UserGate Bermula. Keperluan, pemasangan

2. UserGate Bermula. Keperluan, pemasangan

Halo, ini adalah artikel kedua mengenai penyelesaian NGFW daripada syarikat UserGate. Tujuan artikel ini adalah untuk menunjukkan cara memasang tembok api UserGate pada sistem maya (saya akan menggunakan perisian virtualisasi VMware Workstation) dan melaksanakan konfigurasi awalnya (membenarkan akses daripada rangkaian tempatan melalui gerbang UserGate ke Internet).   

1. Pengenalan

Sebagai permulaan, saya akan menerangkan pelbagai cara untuk melaksanakan gerbang ini ke dalam rangkaian. Saya ingin ambil perhatian bahawa bergantung pada pilihan sambungan yang dipilih, fungsi tertentu get laluan mungkin tidak tersedia. Penyelesaian UserGate menyokong mod sambungan berikut: 

  • Dinding api L3-L7

  • L2 jambatan lutsinar

  • L3 jambatan lutsinar

  • Hampir ke jurang, menggunakan protokol WCCP

  • Hampir dalam jurang, menggunakan Penghalaan Berdasarkan Dasar

  • Penghala pada Kayu

  • Proksi WEB yang dinyatakan secara eksplisit

  • UserGate sebagai gerbang lalai

  • Pemantauan port cermin

UserGate menyokong 2 jenis kluster:

  1. Konfigurasi kluster. Nod yang digabungkan menjadi kluster konfigurasi mengekalkan tetapan yang konsisten merentas kluster.

  2. Kelompok Failover. Sehingga 4 nod kluster konfigurasi boleh digabungkan menjadi kluster failover yang menyokong operasi dalam mod Aktif-Aktif atau Aktif-Pasif. Adalah mungkin untuk memasang beberapa kluster failover.

2. Pemasangan

Seperti yang dinyatakan dalam artikel sebelumnya, UserGate dibekalkan sebagai pakej perkakasan dan perisian atau digunakan dalam persekitaran maya. Dari akaun peribadi anda di laman web UserGate muat turun imej dalam OVF (Format Virtualisasi Terbuka), format ini sesuai untuk vendor VMWare dan Oracle Virtualbox. Imej cakera mesin maya disediakan untuk Microsoft Hyper-v dan KVM.

Menurut laman web UserGate, untuk mesin maya beroperasi dengan betul, disyorkan untuk menggunakan sekurang-kurangnya 8Gb RAM dan pemproses maya 2 teras. Hypervisor mesti menyokong sistem pengendalian 64-bit.

Pemasangan bermula dengan mengimport imej ke dalam hipervisor yang dipilih (VirtualBox dan VMWare). Dalam kes Microsoft Hyper-v dan KVM, anda perlu mencipta mesin maya dan menentukan imej yang dimuat turun sebagai cakera, dan kemudian melumpuhkan perkhidmatan penyepaduan dalam tetapan mesin maya yang dicipta.

Secara lalai, selepas mengimport ke VMWare, mesin maya dicipta dengan tetapan berikut:

2. UserGate Bermula. Keperluan, pemasangan

Seperti yang ditulis di atas, mesti ada sekurang-kurangnya 8Gb RAM dan sebagai tambahan anda perlu menambah 1Gb untuk setiap 100 pengguna. Saiz cakera keras lalai ialah 100Gb, tetapi ini biasanya tidak mencukupi untuk menyimpan semua log dan tetapan. Saiz yang disyorkan ialah 300Gb atau lebih. Oleh itu, dalam sifat mesin maya, kami menukar saiz cakera kepada yang dikehendaki. Pada mulanya, UserGate UTM maya dilengkapi dengan empat antara muka yang diberikan kepada zon:

Pengurusan - antara muka pertama mesin maya, zon untuk menyambungkan rangkaian yang dipercayai dari mana pengurusan UserGate dibenarkan.

Dipercayai ialah antara muka kedua mesin maya, zon untuk menyambungkan rangkaian yang dipercayai, contohnya, rangkaian LAN.

Untrusted ialah antara muka ketiga mesin maya, zon untuk antara muka yang disambungkan ke rangkaian yang tidak dipercayai, contohnya, ke Internet.

DMZ ialah antara muka keempat mesin maya, zon untuk antara muka yang disambungkan ke rangkaian DMZ.

Seterusnya, kami melancarkan mesin maya, walaupun manual mengatakan bahawa anda perlu memilih Alat Sokongan dan melakukan tetapan semula Kilang UTM, tetapi seperti yang anda lihat, hanya ada satu pilihan (UTM First Boot). Semasa langkah ini, UTM mengkonfigurasi penyesuai rangkaian dan meningkatkan saiz partition cakera keras kepada saiz cakera penuh:

2. UserGate Bermula. Keperluan, pemasangan

Untuk menyambung ke antara muka web UserGate, anda mesti log masuk melalui zon Pengurusan; ini adalah tanggungjawab antara muka eth0, yang dikonfigurasikan untuk mendapatkan alamat IP secara automatik (DHCP). Jika tidak mungkin untuk menetapkan alamat untuk antara muka Pengurusan secara automatik menggunakan DHCP, maka ia boleh ditetapkan secara eksplisit menggunakan CLI (Antara Muka Talian Perintah). Untuk melakukan ini, anda perlu log masuk ke CLI menggunakan nama pengguna dan kata laluan dengan hak pentadbir Penuh (Pentadbir dengan huruf besar secara lalai). Jika peranti UserGate belum menjalani permulaan permulaan, maka untuk mengakses CLI anda mesti menggunakan Admin sebagai nama pengguna dan utm sebagai kata laluan. Dan taip arahan seperti iface config –name eth0 –ipv4 192.168.1.254/24 –dayakan true –mode static. Kemudian kita pergi ke konsol web UserGate di alamat yang ditentukan, ia sepatutnya kelihatan seperti ini: https://UserGateIPaddress:8001:

2. UserGate Bermula. Keperluan, pemasangan2. UserGate Bermula. Keperluan, pemasangan

Dalam konsol web kami meneruskan pemasangan, kami perlu memilih bahasa antara muka (pada masa ini adalah Rusia atau Inggeris), zon waktu, kemudian baca dan bersetuju dengan perjanjian lesen. Tetapkan log masuk dan kata laluan untuk log masuk ke antara muka pengurusan web.

3. Persediaan

Selepas pemasangan, inilah rupa tetingkap antara muka web pengurusan platform:

2. UserGate Bermula. Keperluan, pemasangan

Kemudian anda perlu mengkonfigurasi antara muka rangkaian. Untuk melakukan ini, dalam bahagian "Antara Muka" anda perlu mendayakannya, tetapkan alamat IP yang betul dan tetapkan zon yang sesuai.

Bahagian "Antara Muka" memaparkan semua antara muka fizikal dan maya yang tersedia dalam sistem, membolehkan anda menukar tetapannya dan menambah antara muka VLAN. Ia juga menunjukkan semua antara muka setiap nod kluster. Tetapan antara muka adalah khusus untuk setiap nod, iaitu, ia bukan global.

Dalam sifat antara muka:

  • Dayakan atau lumpuhkan antara muka 

  • Tentukan jenis antara muka - Lapisan 3 atau Cermin

  • Tetapkan zon kepada antara muka

  • Tetapkan profil Netflow untuk menghantar data statistik kepada pengumpul Netflow

  • Tukar parameter fizikal antara muka - alamat MAC dan saiz MTU

  • Pilih jenis penetapan alamat IP - tiada alamat, alamat IP statik atau diperoleh melalui DHCP

  • Konfigurasikan geganti DHCP pada antara muka yang dipilih.

Butang "Tambah" membolehkan anda menambah jenis antara muka logik berikut:

  • VLAN

  • Bond

  • Jambatan

  • PPPoE

  • VPN

  • Terowong

2. UserGate Bermula. Keperluan, pemasangan

Sebagai tambahan kepada zon yang disenaraikan sebelum ini yang dihantar oleh imej Usergate, terdapat tiga lagi jenis yang dipratentukan:

Kluster - zon untuk antara muka yang digunakan untuk operasi kelompok

VPN untuk Site-to-Site - zon di mana semua klien Office-Office yang disambungkan ke UserGate melalui VPN diletakkan

VPN untuk akses jauh - zon yang merangkumi semua pengguna mudah alih yang disambungkan ke UserGate melalui VPN

Pentadbir UserGate boleh menukar tetapan zon lalai dan juga membuat zon tambahan, tetapi seperti yang dinyatakan dalam manual versi 5, maksimum 15 zon boleh dibuat. Untuk menukar atau menciptanya, anda perlu pergi ke bahagian zon. Untuk setiap zon, anda boleh menetapkan ambang penurunan paket; SYN, UDP, ICMP disokong. Kawalan akses kepada perkhidmatan Usergate juga dikonfigurasikan dan perlindungan terhadap penipuan didayakan.

2. UserGate Bermula. Keperluan, pemasangan

Selepas mengkonfigurasi antara muka, anda perlu mengkonfigurasi laluan lalai dalam bahagian "Gerbang". Itu. Untuk menyambungkan UserGate ke Internet, anda mesti menentukan alamat IP satu atau lebih get laluan. Jika anda menggunakan beberapa pembekal untuk menyambung ke Internet, anda mesti menentukan beberapa get laluan. Konfigurasi get laluan adalah unik untuk setiap nod kluster. Jika dua atau lebih get laluan ditentukan, 2 pilihan adalah mungkin:

  1. Mengimbangi trafik antara pintu masuk.

  2. Gerbang utama dengan beralih kepada yang ganti.

Status get laluan (tersedia - hijau, tidak tersedia - merah) ditentukan seperti berikut:

  1. Pemeriksaan rangkaian dilumpuhkan - gerbang dianggap boleh diakses jika UserGate boleh mendapatkan alamat MACnya menggunakan permintaan ARP. Tiada semakan untuk akses Internet melalui gerbang ini. Jika alamat MAC get laluan tidak dapat ditentukan, get laluan dianggap tidak boleh dicapai.

  2. Pemeriksaan rangkaian didayakan - gerbang dianggap boleh diakses jika:

  • UserGate boleh mendapatkan alamat MACnya menggunakan permintaan ARP.

  • Semakan untuk akses Internet melalui gerbang ini telah berjaya diselesaikan.

Jika tidak, pintu masuk dianggap tidak tersedia.

2. UserGate Bermula. Keperluan, pemasangan

Dalam bahagian "DNS" anda perlu menambah pelayan DNS yang akan digunakan oleh UserGate. Tetapan ini ditentukan dalam kawasan Pelayan DNS Sistem. Di bawah ialah tetapan untuk mengurus permintaan DNS daripada pengguna. UserGate membenarkan anda menggunakan proksi DNS. Perkhidmatan proksi DNS membolehkan anda memintas permintaan DNS daripada pengguna dan mengubahnya bergantung pada keperluan pentadbir. Peraturan proksi DNS boleh digunakan untuk menentukan pelayan DNS yang permintaan untuk domain tertentu dimajukan. Selain itu, menggunakan proksi DNS, anda boleh menetapkan rekod statik jenis hos (rekod A).

2. UserGate Bermula. Keperluan, pemasangan

Dalam bahagian "NAT dan Penghalaan" anda perlu mencipta peraturan NAT yang diperlukan. Untuk akses kepada Internet oleh pengguna rangkaian Dipercayai, peraturan NAT telah pun dibuat - "Dipercayai->Tidak Dipercayai", yang tinggal hanyalah mendayakannya. Peraturan digunakan dari atas ke bawah mengikut susunan yang disenaraikan dalam konsol. Hanya peraturan pertama yang syarat yang dinyatakan dalam peraturan sepadan sentiasa dilaksanakan. Untuk peraturan dicetuskan, semua syarat yang dinyatakan dalam parameter peraturan mesti sepadan. UserGate mengesyorkan membuat peraturan umum NAT, contohnya, peraturan NAT daripada rangkaian tempatan (biasanya zon Dipercayai) ke Internet (biasanya zon Tidak Dipercayai), dan menyekat akses oleh pengguna, perkhidmatan dan aplikasi menggunakan peraturan tembok api.

Anda juga boleh membuat peraturan DNAT, penghantaran port, penghalaan berasaskan dasar, Pemetaan rangkaian.

2. UserGate Bermula. Keperluan, pemasangan

Selepas ini, dalam bahagian "Firewall" anda perlu membuat peraturan firewall. Untuk akses tanpa had ke Internet untuk pengguna rangkaian Dipercayai, peraturan tembok api juga telah dibuat - "Internet untuk Dipercayai" dan mesti didayakan. Menggunakan peraturan firewall, pentadbir boleh membenarkan atau menafikan sebarang jenis trafik rangkaian transit yang melalui UserGate. Syarat peraturan boleh termasuk zon dan alamat IP sumber/destinasi, pengguna dan kumpulan, perkhidmatan dan aplikasi. Peraturan digunakan dengan cara yang sama seperti dalam bahagian "NAT dan Penghalaan", i.e. atas bawah. Jika tiada peraturan telah dibuat, maka sebarang trafik transit melalui UserGate adalah dilarang.

2. UserGate Bermula. Keperluan, pemasangan

4. Kesimpulannya

Ini menyimpulkan artikel. Kami memasang tembok api UserGate pada mesin maya dan membuat tetapan minimum yang diperlukan untuk Internet berfungsi pada rangkaian Dipercayai. Kami akan mempertimbangkan konfigurasi lanjut dalam artikel berikut.

Nantikan kemas kini dalam saluran kami (TelegramFacebookVKBlog Penyelesaian TS)!

Sumber: www.habr.com

Tambah komen