ProHoster > blog > administratie > 2. UserGate aan de slag. Vereisten, installatie

2. UserGate aan de slag. Vereisten, installatie

2. UserGate aan de slag. Vereisten, installatie

Hallo, dit is het tweede artikel over de NGFW-oplossing van het bedrijf Gebruikerspoort. Het doel van dit artikel is om te laten zien hoe u de UserGate-firewall op een virtueel systeem installeert (ik zal VMware Workstation-virtualisatiesoftware gebruiken) en de initiële configuratie ervan uitvoert (toegang vanaf het lokale netwerk via de UserGate-gateway tot internet toestaan).   

1. Inleiding

Om te beginnen zal ik de verschillende manieren beschrijven om deze gateway in het netwerk te implementeren. Ik wil er rekening mee houden dat, afhankelijk van de geselecteerde verbindingsoptie, bepaalde functionaliteit van de gateway mogelijk niet beschikbaar is. UserGate-oplossing ondersteunt de volgende verbindingsmodi: 

  • L3-L7-firewall

  • L2 transparante brug

  • L3 transparante brug

  • Vrijwel in de kloof, met behulp van het WCCP-protocol

  • Vrijwel in de kloof, met behulp van Policy Based Routing

  • Router op een stok

  • Expliciet gespecificeerde WEB-proxy

  • UserGate als standaardgateway

  • Spiegelpoortbewaking

UserGate ondersteunt 2 soorten clusters:

  1. Clusterconfiguratie. Knooppunten gecombineerd in een configuratiecluster behouden consistente instellingen in het hele cluster.

  2. Failovercluster. Er kunnen maximaal 4 configuratieclusterknooppunten worden gecombineerd tot een failovercluster dat werking in de Actief-Active- of Actief-Passief-modus ondersteunt. Het is mogelijk om meerdere failoverclusters samen te stellen.

2. Installatie

Zoals in het vorige artikel vermeld, wordt UserGate geleverd als hardware- en softwarepakket of ingezet in een virtuele omgeving. Vanuit uw persoonlijke account op de website Gebruikerspoort download de image in OVF (Open Virtualization Format), dit formaat is geschikt voor VMWare- en Oracle Virtualbox-leveranciers. Er zijn schijfkopieën van virtuele machines beschikbaar voor Microsoft Hyper-v en KVM.

Volgens de UserGate-website wordt het aanbevolen om minimaal 8 GB RAM en een virtuele 2-coreprocessor te gebruiken om de virtuele machine correct te laten werken. De hypervisor moet 64-bit besturingssystemen ondersteunen.

De installatie begint met het importeren van de afbeelding in de geselecteerde hypervisor (VirtualBox en VMWare). In het geval van Microsoft Hyper-v en KVM moet u een virtuele machine maken en de gedownloade image als schijf opgeven en vervolgens de integratieservices uitschakelen in de instellingen van de gemaakte virtuele machine.

Standaard wordt na het importeren in VMWare een virtuele machine aangemaakt met de volgende instellingen:

2. UserGate aan de slag. Vereisten, installatie

Zoals hierboven geschreven moet er minimaal 8Gb RAM aanwezig zijn en daarnaast moet je per 1 gebruikers 100Gb toevoegen. De standaardgrootte van de harde schijf is 100 Gb, maar dit is meestal niet voldoende om alle logs en instellingen op te slaan. De aanbevolen grootte is 300 Gb of meer. Daarom veranderen we in de eigenschappen van de virtuele machine de schijfgrootte naar de gewenste grootte. In eerste instantie wordt virtuele UserGate UTM geleverd met vier interfaces die aan zones zijn toegewezen:

Beheer - de eerste interface van de virtuele machine, een zone voor het verbinden van vertrouwde netwerken van waaruit UserGate-beheer is toegestaan.

Vertrouwd is de tweede interface van de virtuele machine, een zone voor het verbinden van vertrouwde netwerken, bijvoorbeeld LAN-netwerken.

Niet-vertrouwd is de derde interface van de virtuele machine, een zone voor interfaces die zijn verbonden met niet-vertrouwde netwerken, bijvoorbeeld met internet.

DMZ is de vierde interface van de virtuele machine, een zone voor interfaces die zijn aangesloten op het DMZ-netwerk.

Vervolgens starten we de virtuele machine, hoewel in de handleiding staat dat u Ondersteuningstools moet selecteren en UTM naar fabrieksinstellingen moet herstellen, maar zoals u kunt zien, is er maar één keuze (UTM First Boot). Tijdens deze stap configureert UTM de netwerkadapters en vergroot de grootte van de harde schijfpartitie tot de volledige schijfgrootte:

2. UserGate aan de slag. Vereisten, installatie

Om verbinding te maken met de UserGate-webinterface moet u inloggen via de beheerzone; dit is de verantwoordelijkheid van de eth0-interface, die is geconfigureerd om automatisch een IP-adres te verkrijgen (DHCP). Als het niet mogelijk is om automatisch een adres voor de beheerinterface toe te wijzen met behulp van DHCP, dan kan dit expliciet worden ingesteld met behulp van de CLI (Command Line Interface). Om dit te doen, moet u inloggen op de CLI met een gebruikersnaam en wachtwoord met volledige beheerdersrechten (standaard beheerder met een hoofdletter). Als het UserGate-apparaat geen initiële initialisatie heeft ondergaan, moet u voor toegang tot de CLI Admin als gebruikersnaam en utm als wachtwoord gebruiken. En typ een commando zoals iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Later gaan we naar de UserGate-webconsole op het opgegeven adres, het zou er ongeveer zo uit moeten zien: https://UserGateIPaddress:8001:

2. UserGate aan de slag. Vereisten, installatie2. UserGate aan de slag. Vereisten, installatie

In de webconsole gaan we door met de installatie, we moeten de interfacetaal selecteren (op dit moment is het Russisch of Engels), de tijdzone, en vervolgens de licentieovereenkomst lezen en ermee akkoord gaan. Stel de gebruikersnaam en het wachtwoord in om in te loggen op de webbeheerinterface.

3. Installatie

Na de installatie ziet het webinterfacevenster voor platformbeheer er zo uit:

2. UserGate aan de slag. Vereisten, installatie

Vervolgens moet u de netwerkinterfaces configureren. Om dit te doen, moet u ze in het gedeelte “Interfaces” inschakelen, de juiste IP-adressen instellen en de juiste zones toewijzen.

In het gedeelte “Interfaces” worden alle fysieke en virtuele interfaces weergegeven die beschikbaar zijn in het systeem, kunt u hun instellingen wijzigen en VLAN-interfaces toevoegen. Het toont ook alle interfaces van elk clusterknooppunt. Interface-instellingen zijn specifiek voor elk knooppunt, dat wil zeggen dat ze niet globaal zijn.

In interface-eigenschappen:

  • Schakel de interface in of uit 

  • Geef het interfacetype op: Laag 3 of Spiegel

  • Wijs een zone toe aan een interface

  • Wijs een Netflow-profiel toe om statistische gegevens naar de Netflow-collector te verzenden

  • Wijzig de fysieke parameters van de interface - MAC-adres en MTU-grootte

  • Selecteer het type IP-adrestoewijzing: geen adres, statisch IP-adres of verkregen via DHCP

  • Configureer het DHCP-relais op de geselecteerde interface.

Met de knop “Toevoegen” kunt u de volgende typen logische interfaces toevoegen:

  • VLAN

  • Bond

  • bridge

  • PPPoE

  • VPN

  • De tunnel

2. UserGate aan de slag. Vereisten, installatie

Naast de eerder genoemde zones waarmee de Usergate-afbeelding wordt meegeleverd, zijn er nog drie vooraf gedefinieerde typen:

Cluster - zone voor interfaces die worden gebruikt voor clusterwerking

VPN voor Site-to-Site - een zone waarin alle Office-Office-clients die via VPN met UserGate zijn verbonden, worden geplaatst

VPN voor externe toegang - een zone die alle mobiele gebruikers omvat die via VPN met UserGate zijn verbonden

UserGate-beheerders kunnen de instellingen van de standaardzones wijzigen en ook extra zones aanmaken, maar zoals vermeld in de versie 5-handleiding kunnen er maximaal 15 zones worden aangemaakt. Om ze te wijzigen of aan te maken, moet je naar het zonegedeelte gaan. Voor elke zone kunt u een pakketdropdrempel instellen; SYN, UDP, ICMP worden ondersteund. Toegangsbeheer tot Usergate-services is ook geconfigureerd en bescherming tegen spoofing is ingeschakeld.

2. UserGate aan de slag. Vereisten, installatie

Nadat u de interfaces heeft geconfigureerd, moet u de standaardroute configureren in het gedeelte “Gateways”. Die. Om UserGate met internet te verbinden, moet u het IP-adres van een of meer gateways opgeven. Als u meerdere providers gebruikt om verbinding te maken met internet, moet u meerdere gateways opgeven. De gatewayconfiguratie is uniek voor elk clusterknooppunt. Als er twee of meer gateways zijn opgegeven, zijn er 2 opties mogelijk:

  1. Verkeer tussen gateways balanceren.

  2. De hoofdgateway met omschakeling naar een reservegateway.

De gatewaystatus (beschikbaar - groen, niet beschikbaar - rood) wordt als volgt bepaald:

  1. Netwerkcontrole is uitgeschakeld – een gateway wordt als toegankelijk beschouwd als UserGate zijn MAC-adres kan verkrijgen met behulp van een ARP-verzoek. Er is geen controle op internettoegang via deze gateway. Als het MAC-adres van de gateway niet kan worden bepaald, wordt de gateway als onbereikbaar beschouwd.

  2. Netwerkcontrole is ingeschakeld - de gateway wordt als toegankelijk beschouwd als:

  • UserGate kan zijn MAC-adres verkrijgen met behulp van een ARP-verzoek.

  • De controle op internettoegang via deze gateway is succesvol afgerond.

Anders wordt de gateway als niet beschikbaar beschouwd.

2. UserGate aan de slag. Vereisten, installatie

In het gedeelte "DNS" moet u de DNS-servers toevoegen die UserGate zal gebruiken. Deze instelling wordt opgegeven in het gebied Systeem DNS-servers. Hieronder vindt u instellingen voor het beheren van DNS-verzoeken van gebruikers. Met UserGate kunt u een DNS-proxy gebruiken. Met de DNS-proxyservice kunt u DNS-verzoeken van gebruikers onderscheppen en wijzigen afhankelijk van de behoeften van de beheerder. DNS-proxyregels kunnen worden gebruikt om de DNS-servers te specificeren waarnaar verzoeken voor specifieke domeinen worden doorgestuurd. Bovendien kunt u met behulp van een DNS-proxy statische records van het hosttype (A-record) instellen.

2. UserGate aan de slag. Vereisten, installatie

In het gedeelte “NAT en Routing” moet u de benodigde NAT-regels aanmaken. Voor toegang tot internet door gebruikers van het vertrouwde netwerk is de NAT-regel al aangemaakt - "Vertrouwd->Niet-vertrouwd", het enige dat overblijft is deze in te schakelen. Regels worden van boven naar beneden toegepast in de volgorde waarin ze in de console worden vermeld. Alleen de eerste regel waarvoor de in de regel gespecificeerde voorwaarden overeenkomen, wordt altijd uitgevoerd. Om de regel te activeren, moeten alle voorwaarden die zijn opgegeven in de regelparameters overeenkomen. UserGate raadt aan algemene NAT-regels te maken, bijvoorbeeld een NAT-regel van een lokaal netwerk (meestal een vertrouwde zone) naar het internet (meestal een niet-vertrouwde zone), en de toegang voor gebruikers, services en applicaties te beperken met behulp van firewallregels.

Het is ook mogelijk om DNAT-regels, port forwarding, op beleid gebaseerde routering en netwerktoewijzing te creëren.

2. UserGate aan de slag. Vereisten, installatie

Hierna moet u in het gedeelte “Firewall” firewallregels maken. Voor onbeperkte toegang tot internet voor gebruikers van het vertrouwde netwerk is er ook al een firewallregel aangemaakt - "Internet voor vertrouwd" en deze moet worden ingeschakeld. Met behulp van firewallregels kan de beheerder elk type transitnetwerkverkeer dat via UserGate loopt, toestaan ​​of weigeren. Regelvoorwaarden kunnen zones en bron-/bestemmings-IP-adressen, gebruikers en groepen, services en applicaties omvatten. De regels zijn op dezelfde manier van toepassing als in de sectie “NAT en Routing”, d.w.z. ondersteboven. Als er geen regels zijn gemaakt, is elk transitverkeer via UserGate verboden.

2. UserGate aan de slag. Vereisten, installatie

4. conclusie

Hiermee wordt het artikel afgesloten. We hebben de UserGate-firewall op een virtuele machine geïnstalleerd en de minimaal noodzakelijke instellingen gemaakt om internet op het vertrouwde netwerk te laten werken. In de volgende artikelen zullen we verdere configuratie bespreken.

Blijf op de hoogte voor updates in onze kanalen (TelegramFacebookVKTS Solution-blog)!

Bron: www.habr.com

Voeg een reactie