Bună ziua, acesta este al doilea articol despre soluția NGFW de la companie . Scopul acestui articol este de a arăta cum să instalez firewall-ul UserGate pe un sistem virtual (voi folosi software-ul de virtualizare VMware Workstation) și să realizez configurarea inițială a acestuia (permite accesul din rețeaua locală prin gateway-ul UserGate la Internet).
1. Introducere
Pentru început, voi descrie diferitele modalități de implementare a acestui gateway în rețea. Aș dori să remarc că, în funcție de opțiunea de conectare selectată, este posibil ca anumite funcționalități ale gateway-ului să nu fie disponibile. Soluția UserGate acceptă următoarele moduri de conectare:
-
Firewall L3-L7
-
punte transparentă L2
-
punte transparentă L3
-
Practic în gol, folosind protocolul WCCP
-
Practic, în decalaj, folosind Rutarea bazată pe politici
-
Router pe un stick
-
Proxy WEB specificat explicit
-
UserGate ca gateway implicit
-
Monitorizarea portului oglindă
UserGate acceptă 2 tipuri de clustere:
-
Configurarea clusterului. Nodurile combinate într-un cluster de configurare mențin setări consistente în cluster.
-
Cluster de failover. Până la 4 noduri de cluster de configurare pot fi combinate într-un cluster de failover care acceptă funcționarea în modul Active-Active sau Active-Passive. Este posibil să asamblați mai multe clustere de failover.
2. Instalare
După cum sa menționat în articolul anterior, UserGate este furnizat ca pachet hardware și software sau implementat într-un mediu virtual. Din contul personal de pe site descărcați imaginea în OVF (Open Virtualization Format), acest format este potrivit pentru furnizorii de VMWare și Oracle Virtualbox. Imaginile de disc ale mașinii virtuale sunt furnizate pentru Microsoft Hyper-v și KVM.
Potrivit site-ului UserGate, pentru ca mașina virtuală să funcționeze corect, se recomandă utilizarea a cel puțin 8Gb de RAM și un procesor virtual cu 2 nuclee. Hypervisorul trebuie să accepte sisteme de operare pe 64 de biți.
Instalarea începe prin importarea imaginii în hypervisorul selectat (VirtualBox și VMWare). În cazul Microsoft Hyper-v și KVM, trebuie să creați o mașină virtuală și să specificați imaginea descărcată ca disc, apoi să dezactivați serviciile de integrare în setările mașinii virtuale create.
În mod implicit, după importarea în VMWare, este creată o mașină virtuală cu următoarele setări:
După cum a fost scris mai sus, trebuie să existe cel puțin 8Gb de RAM și, în plus, trebuie să adăugați 1Gb pentru fiecare 100 de utilizatori. Dimensiunea implicită a hard disk-ului este de 100 Gb, dar aceasta nu este de obicei suficientă pentru a stoca toate jurnalele și setările. Dimensiunea recomandată este de 300 Gb sau mai mult. Prin urmare, în proprietățile mașinii virtuale, schimbăm dimensiunea discului la cea dorită. Inițial, virtual UserGate UTM vine cu patru interfețe alocate zonelor:
Management - prima interfață a mașinii virtuale, o zonă pentru conectarea rețelelor de încredere din care este permisă administrarea UserGate.
Trusted este a doua interfață a mașinii virtuale, o zonă pentru conectarea rețelelor de încredere, de exemplu, rețelele LAN.
Untrusted este a treia interfață a mașinii virtuale, o zonă pentru interfețe conectate la rețele nesigure, de exemplu, la Internet.
DMZ este a patra interfață a mașinii virtuale, o zonă pentru interfețe conectate la rețeaua DMZ.
În continuare, lansăm mașina virtuală, deși manualul spune că trebuie să selectați Instrumente de asistență și să efectuați Resetare din fabrică UTM, dar după cum puteți vedea, există o singură alegere (UTM First Boot). În timpul acestui pas, UTM configurează adaptoarele de rețea și crește dimensiunea partiției hard disk-ului la dimensiunea completă a discului:
Pentru a vă conecta la interfața web UserGate, trebuie să vă conectați prin zona de management; aceasta este responsabilitatea interfeței eth0, care este configurată pentru a obține o adresă IP automat (DHCP). Dacă nu este posibilă atribuirea automată a unei adrese pentru interfața de management folosind DHCP, atunci aceasta poate fi setată în mod explicit folosind CLI (Command Line Interface). Pentru a face acest lucru, trebuie să vă conectați la CLI folosind un nume de utilizator și o parolă cu drepturi complete de administrator (administrator cu o literă majusculă în mod implicit). Dacă dispozitivul UserGate nu a fost supus inițializării, atunci pentru a accesa CLI trebuie să utilizați Admin ca nume de utilizator și utm ca parolă. Și tastați o comandă precum iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Mai târziu, mergem la consola web UserGate la adresa specificată, ar trebui să arate cam așa:https://UserGateIPaddress:8001:
În consola web continuăm instalarea, trebuie să selectăm limba interfeței (momentan rusă sau engleză), fusul orar, apoi citim și suntem de acord cu acordul de licență. Setați numele de autentificare și parola pentru a vă conecta la interfața de administrare web.
3. Configurare
După instalare, așa arată fereastra interfeței web de gestionare a platformei:
Apoi trebuie să configurați interfețele de rețea. Pentru a face acest lucru, în secțiunea „Interfețe”, trebuie să le activați, să setați adresele IP corecte și să atribuiți zonele corespunzătoare.
Secțiunea „Interfețe” afișează toate interfețele fizice și virtuale disponibile în sistem, vă permite să le schimbați setările și să adăugați interfețe VLAN. De asemenea, arată toate interfețele fiecărui nod de cluster. Setările de interfață sunt specifice fiecărui nod, adică nu sunt globale.
În proprietățile interfeței:
-
Activați sau dezactivați interfața
-
Specificați tipul de interfață - Layer 3 sau Mirror
-
Atribuiți o zonă unei interfețe
-
Atribuiți un profil Netflow pentru a trimite date statistice colectorului Netflow
-
Modificați parametrii fizici ai interfeței - adresa MAC și dimensiunea MTU
-
Selectați tipul de atribuire a adresei IP - fără adresă, adresă IP statică sau obținută prin DHCP
-
Configurați releul DHCP pe interfața selectată.
Butonul „Adăugați” vă permite să adăugați următoarele tipuri de interfețe logice:
-
VLAN
-
Legătură
-
pod
-
PPPoE
-
VPN
-
Tunelul
În plus față de zonele enumerate anterior cu care se livrează imaginea Usergate, există încă trei tipuri predefinite:
Cluster - zonă pentru interfețele utilizate pentru funcționarea clusterului
VPN pentru Site-to-Site - o zonă în care sunt plasați toți clienții Office-Office conectați la UserGate prin VPN
VPN pentru acces la distanță - o zonă care include toți utilizatorii de telefonie mobilă conectați la UserGate prin VPN
Administratorii UserGate pot modifica setările zonelor implicite și, de asemenea, pot crea zone suplimentare, dar așa cum se precizează în manualul versiunii 5, pot fi create maximum 15 zone. Pentru a le modifica sau crea, trebuie să accesați secțiunea zone. Pentru fiecare zonă, puteți seta un prag de eliminare a pachetelor; SYN, UDP, ICMP sunt acceptate. Controlul accesului la serviciile Usergate este de asemenea configurat, iar protecția împotriva falsificării este activată.
După configurarea interfețelor, trebuie să configurați ruta implicită în secțiunea „Gateway-uri”. Acestea. Pentru a conecta UserGate la Internet, trebuie să specificați adresa IP a unuia sau mai multor gateway-uri. Dacă utilizați mai mulți furnizori pentru a vă conecta la Internet, trebuie să specificați mai multe gateway-uri. Configurația gateway-ului este unică pentru fiecare nod de cluster. Dacă sunt specificate două sau mai multe gateway-uri, sunt posibile 2 opțiuni:
-
Echilibrarea traficului între gateway-uri.
-
Poarta de acces principală cu trecere la una de rezervă.
Starea gateway-ului (disponibil - verde, indisponibil - roșu) este determinată după cum urmează:
-
Verificarea rețelei este dezactivată – un gateway este considerat accesibil dacă UserGate își poate obține adresa MAC folosind o solicitare ARP. Nu se verifică accesul la Internet prin această poartă. Dacă adresa MAC a gateway-ului nu poate fi determinată, gateway-ul este considerat inaccesibil.
-
Verificarea rețelei este activată - gateway-ul este considerat accesibil dacă:
-
UserGate își poate obține adresa MAC folosind o solicitare ARP.
-
Verificarea accesului la Internet prin acest gateway a fost finalizată cu succes.
În caz contrar, gateway-ul este considerat indisponibil.
În secțiunea „DNS” trebuie să adăugați serverele DNS pe care le va folosi UserGate. Această setare este specificată în zona System DNS Servers. Mai jos sunt setările pentru gestionarea solicitărilor DNS de la utilizatori. UserGate vă permite să utilizați un proxy DNS. Serviciul proxy DNS vă permite să interceptați solicitările DNS de la utilizatori și să le modificați în funcție de nevoile administratorului. Regulile proxy DNS pot fi folosite pentru a specifica serverele DNS către care sunt redirecționate cererile pentru anumite domenii. În plus, folosind un proxy DNS, puteți seta înregistrări statice de tip gazdă (înregistrare A).
În secțiunea „NAT și rutare”, trebuie să creați regulile NAT necesare. Pentru accesul la Internet de către utilizatorii rețelei Trusted, regula NAT a fost deja creată - „Trusted->Untrusted”, tot ce rămâne este să o activați. Regulile sunt aplicate de sus în jos în ordinea în care sunt listate în consolă. Numai prima regulă pentru care condițiile specificate în regulă se potrivesc sunt întotdeauna executate. Pentru ca regula să fie declanșată, toate condițiile specificate în parametrii regulii trebuie să se potrivească. UserGate recomandă crearea unor reguli NAT generale, de exemplu, o regulă NAT dintr-o rețea locală (de obicei o zonă de încredere) la Internet (de obicei o zonă neîncrezătoare) și restricționarea accesului utilizatorilor, serviciilor și aplicațiilor folosind reguli de firewall.
De asemenea, este posibil să se creeze reguli DNAT, redirecționare porturi, rutare bazată pe politici, mapare rețea.
După aceasta, în secțiunea „Firewall” trebuie să creați reguli pentru firewall. Pentru acces nelimitat la Internet pentru utilizatorii rețelei Trusted, a fost deja creată și o regulă de firewall - „Internet pentru Trusted” și trebuie activată. Folosind reguli de firewall, administratorul poate permite sau interzice orice tip de trafic din rețeaua de tranzit care trece prin UserGate. Condițiile regulilor pot include zone și adrese IP sursă/destinație, utilizatori și grupuri, servicii și aplicații. Regulile se aplică în același mod ca în secțiunea „NAT și rutare”, adică. de sus în jos. Dacă nu au fost create reguli, atunci orice trafic de tranzit prin UserGate este interzis.
4. concluzie
Aceasta încheie articolul. Am instalat firewall-ul UserGate pe o mașină virtuală și am făcut setările minime necesare pentru ca Internetul să funcționeze în rețeaua Trusted. Vom lua în considerare configurarea ulterioară în articolele următoare.
Rămâneți pe fază pentru actualizări pe canalele noastre (, , , )!
Sursa: www.habr.com