Hei, dette er den andre artikkelen om NGFW-løsningen fra selskapet . Hensikten med denne artikkelen er å vise hvordan du installerer UserGate-brannmuren på et virtuelt system (jeg vil bruke VMware Workstation-virtualiseringsprogramvare) og utfører den første konfigurasjonen (tillat tilgang fra det lokale nettverket gjennom UserGate-porten til Internett).
1. Introduksjon
Til å begynne med vil jeg beskrive de ulike måtene å implementere denne gatewayen i nettverket. Jeg vil merke meg at avhengig av det valgte tilkoblingsalternativet, kan det hende at visse funksjoner til gatewayen ikke er tilgjengelige. UserGate-løsningen støtter følgende tilkoblingsmoduser:
-
L3-L7 brannmur
-
L2 gjennomsiktig bro
-
L3 gjennomsiktig bro
-
Nesten inn i gapet, ved hjelp av WCCP-protokollen
-
Nesten i gapet, ved hjelp av policybasert ruting
-
Ruter på en pinne
-
Eksplisitt spesifisert WEB-proxy
-
UserGate som standard gateway
-
Overvåking av speilport
UserGate støtter 2 typer klynger:
-
Klyngekonfigurasjon. Noder kombinert til en konfigurasjonsklynge opprettholder konsistente innstillinger på tvers av klyngen.
-
Failover-klynge. Opptil 4 konfigurasjonsklyngenoder kan kombineres til en failover-klynge som støtter drift i Active-Active eller Active-Passive-modus. Det er mulig å sette sammen flere failover-klynger.
2. Installasjon
Som nevnt i forrige artikkel, leveres UserGate som en maskinvare- og programvarepakke eller distribueres i et virtuelt miljø. Fra din personlige konto på nettstedet last ned bildet i OVF (Open Virtualization Format), dette formatet passer for VMWare og Oracle Virtualbox-leverandører. Virtuelle maskindiskbilder leveres for Microsoft Hyper-v og KVM.
I følge UserGate-nettstedet, for at den virtuelle maskinen skal fungere riktig, anbefales det å bruke minst 8 Gb RAM og en 2-kjerners virtuell prosessor. Hypervisoren må støtte 64-biters operativsystemer.
Installasjonen begynner med å importere bildet til den valgte hypervisoren (VirtualBox og VMWare). Når det gjelder Microsoft Hyper-v og KVM, må du opprette en virtuell maskin og spesifisere det nedlastede bildet som disken, og deretter deaktivere integrasjonstjenester i innstillingene til den opprettede virtuelle maskinen.
Som standard, etter import til VMWare, opprettes en virtuell maskin med følgende innstillinger:
Som skrevet ovenfor må det være minst 8Gb RAM og i tillegg må du legge til 1Gb for hver 100 brukere. Standard harddiskstørrelse er 100 Gb, men dette er vanligvis ikke nok til å lagre alle logger og innstillinger. Anbefalt størrelse er 300 Gb eller mer. Derfor, i egenskapene til den virtuelle maskinen, endrer vi diskstørrelsen til den ønskede. I utgangspunktet kommer virtuell UserGate UTM med fire grensesnitt tildelt soner:
Management - det første grensesnittet til den virtuelle maskinen, en sone for tilkobling av pålitelige nettverk som UserGate-administrasjon er tillatt fra.
Trusted er det andre grensesnittet til den virtuelle maskinen, en sone for tilkobling av klarerte nettverk, for eksempel LAN-nettverk.
Utrustet er det tredje grensesnittet til den virtuelle maskinen, en sone for grensesnitt koblet til ikke-klarerte nettverk, for eksempel til Internett.
DMZ er det fjerde grensesnittet til den virtuelle maskinen, en sone for grensesnitt koblet til DMZ-nettverket.
Deretter starter vi den virtuelle maskinen, selv om manualen sier at du må velge Support Tools og utføre Factory Reset UTM, men som du kan se, er det bare ett valg (UTM First Boot). I løpet av dette trinnet konfigurerer UTM nettverkskortene og øker størrelsen på harddiskpartisjonen til full diskstørrelse:
For å koble til UserGate-nettgrensesnittet må du logge inn gjennom Management-sonen, dette er eth0-grensesnittets ansvar, som er konfigurert til å få en IP-adresse automatisk (DHCP). Hvis det ikke er mulig å tilordne en adresse for administrasjonsgrensesnittet automatisk ved hjelp av DHCP, kan det eksplisitt angis ved hjelp av CLI (Command Line Interface). For å gjøre dette, må du logge på CLI med brukernavn og passord med fulle administratorrettigheter (Admin med stor bokstav som standard). Hvis UserGate-enheten ikke har gjennomgått initialisering, må du bruke Admin som brukernavn og utm som passord for å få tilgang til CLI. Og skriv inn en kommando som iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Senere går vi til UserGate-nettkonsollen på den angitte adressen, den skal se omtrent slik ut:https://UserGateIPaddress:8001:
I nettkonsollen fortsetter vi installasjonen, vi må velge grensesnittspråk (for øyeblikket er det russisk eller engelsk), tidssone, og deretter lese og godta lisensavtalen. Angi pålogging og passord for å logge på webadministrasjonsgrensesnittet.
3. Oppsett
Etter installasjonen ser webgrensesnittvinduet for plattformadministrasjon slik ut:
Deretter må du konfigurere nettverksgrensesnittene. For å gjøre dette, i delen "Grensesnitt" må du aktivere dem, angi riktige IP-adresser og tilordne de riktige sonene.
"Grensesnitt"-delen viser alle de fysiske og virtuelle grensesnittene som er tilgjengelige i systemet, lar deg endre innstillingene og legge til VLAN-grensesnitt. Den viser også alle grensesnittene til hver klyngennode. Grensesnittinnstillinger er spesifikke for hver node, det vil si at de ikke er globale.
I grensesnittegenskaper:
-
Aktiver eller deaktiver grensesnittet
-
Angi grensesnitttype - Layer 3 eller Mirror
-
Tilordne en sone til et grensesnitt
-
Tilordne en Netflow-profil for å sende statistiske data til Netflow-samleren
-
Endre de fysiske parameterne til grensesnittet - MAC-adresse og MTU-størrelse
-
Velg type IP-adressetilordning - ingen adresse, statisk IP-adresse eller hentet via DHCP
-
Konfigurer DHCP-reléet på det valgte grensesnittet.
"Legg til"-knappen lar deg legge til følgende typer logiske grensesnitt:
-
VLAN
-
Knytte bånd
-
bro
-
PPPoE
-
VPN
-
Tunnelen
I tillegg til de tidligere oppførte sonene som Usergate-bildet leveres med, er det tre flere forhåndsdefinerte typer:
Cluster - sone for grensesnitt som brukes til klyngedrift
VPN for Site-to-Site - en sone der alle Office-Office-klienter koblet til UserGate via VPN er plassert
VPN for ekstern tilgang – en sone som inkluderer alle mobilbrukere koblet til UserGate via VPN
UserGate-administratorer kan endre innstillingene for standardsonene og også opprette flere soner, men som det fremgår av manualen for versjon 5, kan det opprettes maksimalt 15 soner. For å endre eller opprette dem, må du gå til sonedelen. For hver sone kan du angi en terskel for pakkeslipp; SYN, UDP, ICMP støttes. Tilgangskontroll til Usergate-tjenester er også konfigurert, og beskyttelse mot spoofing er aktivert.
Etter å ha konfigurert grensesnittene, må du konfigurere standardruten i delen "Gateways". De. For å koble UserGate til Internett, må du spesifisere IP-adressen til en eller flere gatewayer. Hvis du bruker flere leverandører for å koble til Internett, må du spesifisere flere gatewayer. Gateway-konfigurasjonen er unik for hver klyngennode. Hvis to eller flere gatewayer er spesifisert, er 2 alternativer mulig:
-
Balansere trafikk mellom gatewayer.
-
Hovedporten med å bytte til en ekstra.
Gatewaystatusen (tilgjengelig - grønn, utilgjengelig - rød) bestemmes som følger:
-
Nettverkskontroll er deaktivert – en gateway anses som tilgjengelig hvis UserGate kan få MAC-adressen sin ved å bruke en ARP-forespørsel. Det er ingen sjekk for Internett-tilgang gjennom denne gatewayen. Hvis gatewayens MAC-adresse ikke kan bestemmes, anses gatewayen som utilgjengelig.
-
Nettverkskontroll er aktivert - gatewayen anses som tilgjengelig hvis:
-
UserGate kan få sin MAC-adresse ved å bruke en ARP-forespørsel.
-
Sjekken for Internett-tilgang gjennom denne gatewayen ble fullført.
Ellers anses gatewayen som utilgjengelig.
I "DNS"-delen må du legge til DNS-serverne som UserGate vil bruke. Denne innstillingen er spesifisert i området System DNS Servers. Nedenfor er innstillinger for administrasjon av DNS-forespørsler fra brukere. UserGate lar deg bruke en DNS-proxy. DNS proxy-tjenesten lar deg avskjære DNS-forespørsler fra brukere og endre dem avhengig av administratorens behov. DNS-proxy-regler kan brukes til å spesifisere DNS-servere som forespørsler for spesifikke domener videresendes til. I tillegg, ved å bruke en DNS-proxy, kan du sette statiske poster av vertstypen (A-post).
I delen "NAT og ruting" må du opprette de nødvendige NAT-reglene. For tilgang til Internett for brukere av det klarerte nettverket, er NAT-regelen allerede opprettet - "Trusted->Utrusted", alt som gjenstår er å aktivere den. Regler brukes fra topp til bunn i den rekkefølgen de er oppført i konsollen. Bare den første regelen som betingelsene spesifisert i regelen samsvarer med blir alltid utført. For at regelen skal utløses, må alle betingelsene som er spesifisert i regelparameterne samsvare. UserGate anbefaler å lage generelle NAT-regler, for eksempel en NAT-regel fra et lokalt nettverk (vanligvis en klarert sone) til Internett (vanligvis en ikke-klarert sone), og begrense tilgang for brukere, tjenester og applikasjoner som bruker brannmurregler.
Det er også mulig å lage DNAT-regler, portvideresending, policybasert ruting, nettverkskartlegging.
Etter dette, i "Brannmur"-delen må du lage brannmurregler. For ubegrenset tilgang til Internett for brukere av det klarerte nettverket, er det også allerede opprettet en brannmurregel - "Internet for Trusted" og må være aktivert. Ved å bruke brannmurregler kan administratoren tillate eller nekte enhver type transittnettverkstrafikk som går gjennom UserGate. Regelbetingelser kan inkludere soner og kilde-/destinasjons-IP-adresser, brukere og grupper, tjenester og applikasjoner. Reglene gjelder på samme måte som i avsnittet "NAT og ruting", dvs. ovenfra og ned. Hvis ingen regler er opprettet, er all transittrafikk gjennom UserGate forbudt.
4. Konklusjon
Dette avslutter artikkelen. Vi installerte UserGate-brannmuren på en virtuell maskin og gjorde de minste nødvendige innstillingene for at Internett skulle fungere på det klarerte nettverket. Vi vil vurdere ytterligere konfigurasjon i de følgende artiklene.
Følg med for oppdateringer i våre kanaler (, , , )!
Kilde: www.habr.com