Witam, to już drugi artykuł na temat rozwiązania NGFW firmy . Celem tego artykułu jest pokazanie jak zainstalować zaporę UserGate na systemie wirtualnym (skorzystam z oprogramowania do wirtualizacji VMware Workstation) i przeprowadzić jej wstępną konfigurację (umożliwić dostęp z sieci lokalnej poprzez bramę UserGate do Internetu).
1. Wprowadzenie
Na początek opiszę różne sposoby wdrożenia tej bramy w sieci. Zwracam uwagę, że w zależności od wybranej opcji połączenia, niektóre funkcjonalności bramki mogą nie być dostępne. Rozwiązanie UserGate obsługuje następujące tryby połączenia:
-
Zapora ogniowa L3-L7
-
Przezroczysty mostek L2
-
Przezroczysty mostek L3
-
Praktycznie w szczelinę, korzystając z protokołu WCCP
-
Praktycznie w luce, korzystając z routingu opartego na zasadach
-
Router na patyku
-
Jawnie określony serwer proxy sieci Web
-
UserGate jako brama domyślna
-
Monitorowanie portu lustrzanego
UserGate obsługuje 2 typy klastrów:
-
Konfiguracja klastra. Węzły połączone w klaster konfiguracji utrzymują spójne ustawienia w całym klastrze.
-
Klaster pracy awaryjnej. Do 4 węzłów klastra konfiguracyjnego można połączyć w klaster pracy awaryjnej, który obsługuje pracę w trybie Active-Active lub Active-Passive. Możliwe jest złożenie kilku klastrów pracy awaryjnej.
2. Instalacja
Jak wspomniano w poprzednim artykule, UserGate jest dostarczany jako pakiet sprzętu i oprogramowania lub wdrażany w środowisku wirtualnym. Z Twojego osobistego konta na stronie internetowej pobierz obraz w formacie OVF (Open Virtualization Format), format ten jest odpowiedni dla dostawców VMWare i Oracle Virtualbox. Obrazy dysków maszyn wirtualnych są dostarczane dla Microsoft Hyper-v i KVM.
Według serwisu UserGate, aby maszyna wirtualna działała poprawnie, zalecane jest użycie co najmniej 8 GB pamięci RAM i 2-rdzeniowego procesora wirtualnego. Hiperwizor musi obsługiwać 64-bitowe systemy operacyjne.
Instalacja rozpoczyna się od zaimportowania obrazu do wybranego hypervisora (VirtualBox i VMWare). W przypadku Microsoft Hyper-v i KVM należy utworzyć maszynę wirtualną i określić pobrany obraz jako dysk, a następnie wyłączyć usługi integracji w ustawieniach tworzonej maszyny wirtualnej.
Domyślnie po zaimportowaniu do VMWare tworzona jest maszyna wirtualna z następującymi ustawieniami:
Tak jak napisano powyżej musi być co najmniej 8Gb RAM-u i dodatkowo trzeba dołożyć 1Gb na każde 100 użytkowników. Domyślny rozmiar dysku twardego to 100 Gb, ale zwykle nie wystarcza to do przechowywania wszystkich dzienników i ustawień. Zalecany rozmiar to 300 Gb lub więcej. Dlatego we właściwościach maszyny wirtualnej zmieniamy rozmiar dysku na żądany. Początkowo wirtualny UserGate UTM posiada cztery interfejsy przypisane do stref:
Zarządzanie - pierwszy interfejs maszyny wirtualnej, strefa łączenia zaufanych sieci, z której dozwolone jest zarządzanie UserGate.
Zaufany to drugi interfejs maszyny wirtualnej, strefa służąca do łączenia zaufanych sieci, na przykład sieci LAN.
Niezaufany to trzeci interfejs maszyny wirtualnej, strefa dla interfejsów podłączonych do niezaufanych sieci, na przykład do Internetu.
DMZ to czwarty interfejs maszyny wirtualnej, strefa dla interfejsów podłączonych do sieci DMZ.
Następnie uruchamiamy maszynę wirtualną, choć w instrukcji jest napisane, że trzeba wybrać Narzędzia wsparcia i wykonać reset UTM do ustawień fabrycznych, ale jak widać wybór jest tylko jeden (UTM First Boot). Podczas tego kroku UTM konfiguruje karty sieciowe i zwiększa rozmiar partycji dysku twardego do pełnego rozmiaru dysku:
Aby połączyć się z interfejsem internetowym UserGate należy zalogować się poprzez strefę Zarządzania, za to odpowiada interfejs eth0, który jest skonfigurowany do automatycznego uzyskiwania adresu IP (DHCP). Jeśli nie jest możliwe automatyczne przypisanie adresu do interfejsu zarządzania przy użyciu DHCP, można go jawnie ustawić za pomocą CLI (interfejs wiersza poleceń). Aby to zrobić, musisz zalogować się do CLI przy użyciu nazwy użytkownika i hasła z pełnymi uprawnieniami administratora (domyślnie Administrator z dużej litery). Jeśli urządzenie UserGate nie zostało poddane wstępnej inicjalizacji, aby uzyskać dostęp do CLI, musisz użyć Admin jako nazwy użytkownika i utm jako hasła. I wpisz polecenie, takie jak iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Później przechodzimy do konsoli internetowej UserGate pod podanym adresem, powinna ona wyglądać mniej więcej tak:https://UserGateIPaddress:8001:
W konsoli internetowej kontynuujemy instalację, musimy wybrać język interfejsu (w tej chwili jest to rosyjski lub angielski), strefę czasową, a następnie przeczytać i zaakceptować umowę licencyjną. Ustaw login i hasło, aby zalogować się do internetowego interfejsu zarządzania.
3. Konfiguracja
Po instalacji tak wygląda okno interfejsu sieciowego zarządzania platformą:
Następnie musisz skonfigurować interfejsy sieciowe. Aby to zrobić, w sekcji „Interfejsy” należy je włączyć, ustawić prawidłowe adresy IP i przypisać odpowiednie strefy.
Sekcja „Interfejsy” wyświetla wszystkie dostępne w systemie interfejsy fizyczne i wirtualne, umożliwia zmianę ich ustawień oraz dodanie interfejsów VLAN. Pokazuje także wszystkie interfejsy każdego węzła klastra. Ustawienia interfejsu są specyficzne dla każdego węzła, to znaczy nie są globalne.
We właściwościach interfejsu:
-
Włącz lub wyłącz interfejs
-
Określ typ interfejsu — Warstwa 3 lub Lustro
-
Przypisz strefę do interfejsu
-
Przypisz profil Netflow, aby wysyłać dane statystyczne do kolektora Netflow
-
Zmień parametry fizyczne interfejsu - adres MAC i rozmiar MTU
-
Wybierz rodzaj przydzielenia adresu IP - brak adresu, statyczny adres IP lub uzyskany poprzez DHCP
-
Skonfiguruj przekaźnik DHCP na wybranym interfejsie.
Przycisk „Dodaj” umożliwia dodanie następujących typów interfejsów logicznych:
-
VLAN
-
Bond
-
Most
-
PPPoE
-
VPN
-
Tunel
Oprócz wcześniej wymienionych stref, z którymi dostarczany jest obraz Usergate, istnieją jeszcze trzy predefiniowane typy:
Klaster - strefa dla interfejsów wykorzystywanych do obsługi klastra
VPN dla Site-to-Site - strefa, w której umieszczani są wszyscy klienci Office-Office podłączeni do UserGate poprzez VPN
VPN dla zdalnego dostępu - strefa obejmująca wszystkich użytkowników mobilnych podłączonych do UserGate poprzez VPN
Administratorzy UserGate mogą zmieniać ustawienia domyślnych stref, a także tworzyć dodatkowe strefy, ale jak podano w instrukcji wersji 5, można utworzyć maksymalnie 15 stref. Aby je zmienić lub utworzyć należy przejść do sekcji stref. Dla każdej strefy można ustawić próg utraty pakietów; obsługiwane są SYN, UDP, ICMP. Skonfigurowano także kontrolę dostępu do usług Usergate i włączono ochronę przed fałszowaniem.
Po skonfigurowaniu interfejsów należy skonfigurować trasę domyślną w sekcji „Bramy”. Te. Aby połączyć UserGate z Internetem, musisz określić adres IP jednej lub więcej bramek. Jeśli do łączenia się z Internetem korzystasz z usług kilku dostawców, musisz określić kilka bram. Konfiguracja bramy jest unikatowa dla każdego węzła klastra. Jeśli określono dwie lub więcej bramek, możliwe są 2 opcje:
-
Równoważenie ruchu pomiędzy bramkami.
-
Brama główna z możliwością przejścia na zapasową.
Stan bramki (dostępny – zielony, niedostępny – czerwony) określany jest w następujący sposób:
-
Sprawdzanie sieci jest wyłączone – brama jest uważana za dostępną, jeśli UserGate może uzyskać jej adres MAC za pomocą żądania ARP. Nie ma kontroli dostępu do Internetu za pośrednictwem tej bramy. Jeśli nie można określić adresu MAC bramy, bramę uważa się za nieosiągalną.
-
Sprawdzanie sieci jest włączone - brama jest uważana za dostępną, jeśli:
-
UserGate może uzyskać swój adres MAC za pomocą żądania ARP.
-
Sprawdzanie dostępu do Internetu przez tę bramę zostało zakończone pomyślnie.
W przeciwnym razie brama jest uważana za niedostępną.
W sekcji „DNS” musisz dodać serwery DNS, z których będzie korzystał UserGate. To ustawienie jest określone w obszarze Systemowe serwery DNS. Poniżej znajdują się ustawienia zarządzania żądaniami DNS od użytkowników. UserGate umożliwia korzystanie z serwera proxy DNS. Usługa proxy DNS pozwala przechwytywać żądania DNS od użytkowników i zmieniać je w zależności od potrzeb administratora. Reguły proxy DNS mogą służyć do określania serwerów DNS, do których przekazywane są żądania dotyczące określonych domen. Dodatkowo korzystając z proxy DNS można ustawić statyczne rekordy typu hosta (rekord A).
W sekcji „NAT i routing” musisz utworzyć niezbędne reguły NAT. Aby umożliwić użytkownikom sieci Zaufanej dostęp do Internetu, została już utworzona reguła NAT - „Zaufany->Niezaufany”, pozostaje tylko ją włączyć. Reguły są stosowane od góry do dołu w kolejności, w jakiej są wymienione w konsoli. Zawsze wykonywana jest tylko pierwsza reguła, dla której spełnione są warunki określone w dopasowaniu reguły. Aby reguła została wyzwolona, wszystkie warunki określone w parametrach reguły muszą być spełnione. UserGate zaleca utworzenie ogólnych reguł NAT, na przykład reguły NAT z sieci lokalnej (zwykle strefy zaufanej) do Internetu (zwykle strefy niezaufanej) i ograniczanie dostępu użytkowników, usług i aplikacji przy użyciu reguł zapory ogniowej.
Możliwe jest również tworzenie reguł DNAT, przekierowanie portów, routing oparty na zasadach, mapowanie sieci.
Następnie w sekcji „Zapora sieciowa” musisz utworzyć reguły zapory sieciowej. Aby zapewnić nieograniczony dostęp do Internetu dla użytkowników sieci Zaufanej, została już utworzona reguła zapory sieciowej - „Internet dla Zaufanych” i należy ją włączyć. Korzystając z reguł zapory sieciowej, administrator może zezwolić lub zabronić dowolnego rodzaju ruchu sieciowego przechodzącego przez UserGate. Warunki reguł mogą obejmować strefy oraz źródłowe/docelowe adresy IP, użytkowników i grupy, usługi i aplikacje. Zasady obowiązują analogicznie jak w dziale „NAT i Routing”, tj. z góry na dół. Jeśli nie utworzono żadnych reguł, wszelki ruch tranzytowy przez UserGate jest zabroniony.
4. Wniosek
Na tym kończy się artykuł. Zainstalowaliśmy zaporę UserGate na maszynie wirtualnej i dokonaliśmy minimalnych niezbędnych ustawień, aby Internet działał w sieci Zaufanej. Dalszą konfigurację rozważymy w kolejnych artykułach.
Bądź na bieżąco z aktualizacjami na naszych kanałach (, , , )!
Źródło: www.habr.com