ProHoster > blog > Amministrazzjoni > 2. UserGate Nibdew. Rekwiżiti, installazzjoni

2. UserGate Nibdew. Rekwiżiti, installazzjoni

2. UserGate Nibdew. Rekwiżiti, installazzjoni

Hello, dan huwa t-tieni artiklu dwar is-soluzzjoni NGFW mill-kumpanija UserGate. L-iskop ta 'dan l-artikolu huwa li juri kif tinstalla l-firewall UserGate fuq sistema virtwali (se nuża softwer ta' virtualization VMware Workstation) u nwettaq il-konfigurazzjoni inizjali tiegħu (jippermetti aċċess min-netwerk lokali permezz tal-gateway UserGate għall-Internet).   

1. Introduzzjoni

Biex tibda, ser niddeskrivi d-diversi modi biex nimplimenta dan il-portal fin-netwerk. Nixtieq ninnota li skont l-għażla ta 'konnessjoni magħżula, ċerta funzjonalità tal-portal tista' ma tkunx disponibbli. Is-soluzzjoni UserGate tappoġġja l-modi ta 'konnessjoni li ġejjin: 

  • L3-L7 firewall

  • L2 pont trasparenti

  • L3 pont trasparenti

  • Prattikament fil-vojt, bl-użu tal-protokoll WCCP

  • Prattikament fid-distakk, bl-użu ta 'Rotot Ibbażat fuq Politika

  • Router fuq Stick

  • Prokura WEB speċifikata b'mod espliċitu

  • UserGate bħala gateway default

  • Monitoraġġ tal-port tal-mera

UserGate jappoġġja 2 tipi ta 'clusters:

  1. Konfigurazzjoni tal-cluster. Nodi magħquda fi cluster ta 'konfigurazzjoni jżommu settings konsistenti madwar il-cluster.

  2. Raggruppament ta' failover. Sa 4 nodi ta’ cluster ta’ konfigurazzjoni jistgħu jiġu kkombinati fi cluster ta’ failover li jappoġġja l-operat fil-modalità Attiva-Attiva jew Attiva-Passiva. Huwa possibbli li jinġabru diversi clusters ta' failover.

2. Installazzjoni

Kif imsemmi fl-artikolu preċedenti, UserGate huwa fornut bħala pakkett ta 'ħardwer u softwer jew skjerat f'ambjent virtwali. Mill-kont personali tiegħek fuq il-websajt UserGate niżżel l-immaġni f'OVF (Open Virtualization Format), dan il-format huwa adattat għall-bejjiegħa VMWare u Oracle Virtualbox. Immaġini tad-disk tal-magni virtwali huma fornuti għal Microsoft Hyper-v u KVM.

Skont il-websajt tal-UserGate, biex il-magna virtwali topera b'mod korrett, huwa rakkomandat li tuża mill-inqas 8Gb ta 'RAM u proċessur virtwali b'2-core. L-hypervisor għandu jappoġġja sistemi operattivi 64-bit.

L-installazzjoni tibda billi timporta l-immaġni fl-hypervisor magħżul (VirtualBox u VMWare). Fil-każ ta 'Microsoft Hyper-v u KVM, għandek bżonn toħloq magna virtwali u tispeċifika l-immaġni mniżżla bħala d-diska, u mbagħad tiddiżattiva s-servizzi ta' integrazzjoni fis-settings tal-magna virtwali maħluqa.

B'mod awtomatiku, wara l-importazzjoni f'VMWare, tinħoloq magna virtwali bis-settings li ġejjin:

2. UserGate Nibdew. Rekwiżiti, installazzjoni

Kif inkiteb hawn fuq, irid ikun hemm mill-inqas 8Gb ta 'RAM u barra minn hekk trid iżżid 1Gb għal kull 100 utent. Id-daqs default tal-hard drive huwa 100Gb, iżda dan ġeneralment mhux biżżejjed biex taħżen ir-zkuk u s-settings kollha. Id-daqs rakkomandat huwa 300Gb jew aktar. Għalhekk, fil-proprjetajiet tal-magna virtwali, aħna nibdlu d-daqs tad-diska għal dak mixtieq. Inizjalment, UserGate UTM virtwali jiġi b'erba' interfaces assenjati għal żoni:

Ġestjoni - l-ewwel interface tal-magna virtwali, żona għall-konnessjoni ta 'netwerks ta' fiduċja li minnhom hija permessa l-ġestjoni tal-UserGate.

Fdat huwa t-tieni interface tal-magna virtwali, żona għall-konnessjoni ta 'netwerks ta' fiduċja, pereżempju, netwerks LAN.

Untrusted hija t-tielet interface tal-magna virtwali, żona għal interfaces konnessi ma 'netwerks mhux fdati, pereżempju, mal-Internet.

DMZ hija r-raba 'interface tal-magna virtwali, żona għall-interfaces konnessi man-netwerk DMZ.

Sussegwentement, inniedu l-magna virtwali, għalkemm il-manwal jgħid li għandek bżonn tagħżel Għodod ta 'Appoġġ u twettaq Factory reset UTM, iżda kif tistgħu taraw, hemm għażla waħda biss (UTM First Boot). Matul dan il-pass, UTM tikkonfigura l-adapters tan-netwerk u żżid id-daqs tal-partizzjoni tal-hard drive għad-daqs sħiħ tad-disk:

2. UserGate Nibdew. Rekwiżiti, installazzjoni

Biex tikkonnettja mal-interface tal-web UserGate, trid tidħol fiż-żona tal-Ġestjoni; din hija r-responsabbiltà tal-interface eth0, li hija kkonfigurata biex tikseb indirizz IP awtomatikament (DHCP). Jekk ma jkunx possibbli li jiġi assenjat indirizz għall-interface ta' Ġestjoni awtomatikament bl-użu tad-DHCP, allura jista' jiġi ssettjat b'mod espliċitu bl-użu tal-CLI (Command Line Interface). Biex tagħmel dan, trid tidħol fis-CLI billi tuża username u password bi drittijiet ta' amministratur sħiħ (Amministratur b'ittra Kapitali awtomatikament). Jekk l-apparat UserGate ma jkunx għadda minn inizjalizzazzjoni inizjali, allura biex taċċessa l-CLI trid tuża Admin bħala l-isem tal-utent u utm bħala l-password. U ikteb kmand bħal iface config –name eth0 –ipv4 192.168.1.254/24 – enable true –mode static. Aktar tard immorru fil-console tal-web UserGate fl-indirizz speċifikat, għandha tidher xi ħaġa bħal din: https://UserGateIPaddress:8001:

2. UserGate Nibdew. Rekwiżiti, installazzjoni2. UserGate Nibdew. Rekwiżiti, installazzjoni

Fil-console tal-web inkomplu l-installazzjoni, għandna bżonn nagħżlu l-lingwa tal-interface (fil-mument huwa Russu jew Ingliż), iż-żona tal-ħin, imbagħad aqra u naqblu mal-ftehim tal-liċenzja. Issettja l-login u l-password biex tidħol fl-interface tal-ġestjoni tal-web.

3. Setup

Wara l-installazzjoni, dan huwa kif tidher it-tieqa tal-interface tal-web tal-ġestjoni tal-pjattaforma:

2. UserGate Nibdew. Rekwiżiti, installazzjoni

Imbagħad għandek bżonn tikkonfigura l-interfaces tan-netwerk. Biex tagħmel dan, fis-sezzjoni "Interfaces" għandek bżonn tattivahom, issettja l-indirizzi IP korretti u tassenja ż-żoni xierqa.

Is-sezzjoni "Interfaces" turi l-interfaces fiżiċi u virtwali kollha disponibbli fis-sistema, tippermettilek tibdel is-settings tagħhom u żżid interfaces VLAN. Juri wkoll l-interfaces kollha ta 'kull node cluster. Is-settings tal-interface huma speċifiċi għal kull node, jiġifieri mhumiex globali.

Fil-proprjetajiet tal-interface:

  • Ippermetti jew tiddiżattiva l-interface 

  • Speċifika t-tip ta 'interface - Saff 3 jew Mera

  • Assenja żona għal interface

  • Assenja profil Netflow biex tibgħat data statistika lill-kollettur Netflow

  • Ibdel il-parametri fiżiċi tal-interface - indirizz MAC u daqs MTU

  • Agħżel it-tip ta 'assenjazzjoni ta' indirizz IP - l-ebda indirizz, indirizz IP statiku jew miksub permezz ta 'DHCP

  • Ikkonfigura r-relay DHCP fuq l-interface magħżula.

Il-buttuna "Żid" tippermettilek li żżid it-tipi li ġejjin ta 'interfaces loġiċi:

  • VLAN

  • Bond

  • Bridge

  • PPPoE

  • VPN

  • Mina

2. UserGate Nibdew. Rekwiżiti, installazzjoni

Minbarra ż-żoni elenkati qabel li l-immaġni Usergate tintbagħat magħhom, hemm tliet tipi oħra predefiniti:

Cluster - żona għall-interfaces użati għall-operat tal-cluster

VPN għal Site-to-Site - żona li fiha jitqiegħdu l-klijenti kollha tal-Uffiċċju-Uffiċċju konnessi ma 'UserGate permezz ta' VPN

VPN għal aċċess mill-bogħod - żona li tinkludi l-utenti mobbli kollha konnessi ma 'UserGate permezz ta' VPN

L-amministraturi tal-UserGate jistgħu jibdlu s-settings taż-żoni default u joħolqu wkoll żoni addizzjonali, iżda kif iddikjarat fil-manwal tal-verżjoni 5, jista 'jinħoloq massimu ta' 15-il żona. Biex tbiddel jew toħloqhom, trid tmur fit-taqsima taż-żona. Għal kull żona, tista 'tissettja limitu ta' waqgħa tal-pakketti; SYN, UDP, ICMP huma appoġġjati. Il-kontroll tal-aċċess għas-servizzi Usergate huwa kkonfigurat ukoll, u l-protezzjoni kontra l-ispoofing hija attivata.

2. UserGate Nibdew. Rekwiżiti, installazzjoni

Wara li kkonfigurat l-interfaces, għandek bżonn tikkonfigura r-rotta default fit-taqsima "Gateways". Dawk. Biex tikkonnettja l-UserGate mal-Internet, trid tispeċifika l-indirizz IP ta 'portal wieħed jew aktar. Jekk tuża diversi fornituri biex tikkonnettja mal-Internet, trid tispeċifika diversi gateways. Il-konfigurazzjoni tal-gateway hija unika għal kull node tal-cluster. Jekk jiġu speċifikati żewġ gateways jew aktar, 2 għażliet huma possibbli:

  1. Ibbilanċjar tat-traffiku bejn il-gateways.

  2. Il-portal prinċipali bil-bidla għal waħda żejda.

L-istatus tal-gateway (disponibbli - aħdar, mhux disponibbli - aħmar) huwa determinat kif ġej:

  1. L-iċċekkjar tan-netwerk huwa diżattivat - gateway jitqies bħala aċċessibbli jekk UserGate jista' jikseb l-indirizz MAC tiegħu billi juża talba ARP. M'hemm l-ebda kontroll għall-aċċess għall-Internet permezz ta 'dan il-portal. Jekk l-indirizz MAC tal-gateway ma jistax jiġi determinat, il-gateway jitqies li ma jistax jintlaħaq.

  2. Il-verifika tan-netwerk hija attivata - il-portal jitqies aċċessibbli jekk:

  • UserGate jista 'jikseb l-indirizz MAC tiegħu billi juża talba ARP.

  • Il-kontroll għall-aċċess għall-Internet permezz ta' dan il-portal tlesta b'suċċess.

Inkella, il-portal jitqies bħala mhux disponibbli.

2. UserGate Nibdew. Rekwiżiti, installazzjoni

Fit-taqsima "DNS" għandek bżonn iżżid is-servers DNS li UserGate se juża. Dan is-setting huwa speċifikat fiż-żona Servers DNS tas-Sistema. Hawn taħt hemm is-settings għall-ġestjoni tat-talbiet tad-DNS mill-utenti. UserGate jippermettilek tuża prokura DNS. Is-servizz ta' prokura DNS jippermettilek li tinterċetta t-talbiet tad-DNS mill-utenti u tibdelhom skont il-ħtiġijiet tal-amministratur. DNS proxy regoli jistgħu jintużaw biex jispeċifikaw is-servers DNS li lilhom jintbagħtu talbiet għal oqsma speċifiċi. Barra minn hekk, bl-użu ta 'prokura DNS, tista' tissettja rekords statiċi tat-tip ospitanti (rekord A).

2. UserGate Nibdew. Rekwiżiti, installazzjoni

Fit-taqsima "NAT u Rotot" għandek bżonn toħloq ir-regoli NAT meħtieġa. Għal aċċess għall-Internet mill-utenti tan-netwerk Trusted, ir-regola NAT diġà nħolqot - "Trusted->Untrusted", dak kollu li jibqa 'huwa li din tkun tista' ssir. Ir-regoli huma applikati minn fuq għal isfel fl-ordni li huma elenkati fil-console. L-ewwel regola biss li għaliha l-kundizzjonijiet speċifikati fir-regola jaqblu dejjem huma eżegwiti. Biex ir-regola tiġi attivata, il-kundizzjonijiet kollha speċifikati fil-parametri tar-regola għandhom jaqblu. UserGate jirrakkomanda li jinħolqu regoli NAT ġenerali, pereżempju, regola NAT minn netwerk lokali (ġeneralment żona Trusted) għall-Internet (ġeneralment żona Untrusted), u jirrestrinġu l-aċċess minn utenti, servizzi u applikazzjonijiet li jużaw regoli tal-firewall.

Huwa wkoll possibbli li jinħolqu regoli DNAT, port forwarding, Rotot ibbażat fuq Politika, Mapping tan-Netwerk.

2. UserGate Nibdew. Rekwiżiti, installazzjoni

Wara dan, fit-taqsima "Firewall" għandek bżonn toħloq regoli tal-firewall. Għal aċċess illimitat għall-Internet għall-utenti tan-netwerk Trusted, diġà nħolqot regola tal-firewall - "Internet għal Trusted" u għandha tkun attivata. Bl-użu tar-regoli tal-firewall, l-amministratur jista 'jippermetti jew jiċħad kwalunkwe tip ta' traffiku tan-netwerk ta 'tranżitu li jgħaddi minn UserGate. Il-kundizzjonijiet tar-regola jistgħu jinkludu żoni u indirizzi IP tas-sors/destinazzjoni, utenti u gruppi, servizzi u applikazzjonijiet. Ir-regoli japplikaw bl-istess mod bħal fit-taqsima “NAT u Rotot”, i.e. minn fuq għal isfel. Jekk ma nħolqu l-ebda regoli, allura kwalunkwe traffiku ta 'tranżitu permezz ta' UserGate huwa pprojbit.

2. UserGate Nibdew. Rekwiżiti, installazzjoni

4. Konklużjoni

Dan jikkonkludi l-artiklu. Installajna l-firewall UserGate fuq magna virtwali u għamilna s-settings minimi meħtieġa biex l-Internet jaħdem fuq in-netwerk Trusted. Se nikkunsidraw aktar konfigurazzjoni fl-artikoli li ġejjin.

Oqgħod attent għal aġġornamenti fil-kanali tagħna (TelegrammafacebookVKTS Soluzzjoni Blog)!

Sors: www.habr.com

Żid kumment