Pozdravljeni, to je drugi članek o rešitvi NGFW podjetja . Namen tega članka je prikazati, kako namestiti požarni zid UserGate na virtualni sistem (uporabil bom programsko opremo za virtualizacijo VMware Workstation) in izvesti njegovo začetno konfiguracijo (omogočiti dostop iz lokalnega omrežja prek prehoda UserGate do interneta).
1. Uvod
Za začetek bom opisal različne načine implementacije tega prehoda v omrežje. Opozoriti želim, da glede na izbrano možnost povezave nekatere funkcije prehoda morda ne bodo na voljo. Rešitev UserGate podpira naslednje načine povezave:
-
Požarni zid L3-L7
-
L2 transparentni most
-
L3 transparentni most
-
Skoraj v vrzel, z uporabo protokola WCCP
-
Praktično v vrzeli z uporabo usmerjanja na podlagi pravilnika
-
Usmerjevalnik na palici
-
Eksplicitno določen WEB proxy
-
UserGate kot privzeti prehod
-
Spremljanje zrcalnih vrat
UserGate podpira 2 vrsti grozdov:
-
Konfiguracija gruče. Vozlišča, združena v konfiguracijsko gručo, ohranjajo dosledne nastavitve po vsej gruči.
-
Odpovedna gruča. Do 4 vozlišča konfiguracijske gruče je mogoče združiti v samodejni gručo, ki podpira delovanje v načinu aktivno-aktivno ali aktivno-pasivno. Možno je sestaviti več failover grozdov.
2. Namestitev
Kot je bilo omenjeno v prejšnjem članku, je UserGate dobavljen kot paket strojne in programske opreme ali nameščen v virtualnem okolju. Iz vašega osebnega računa na spletnem mestu prenesite sliko v OVF (Open Virtualization Format), ta oblika je primerna za prodajalce VMWare in Oracle Virtualbox. Slike diska navideznega stroja so na voljo za Microsoft Hyper-v in KVM.
Glede na spletno stran UserGate je za pravilno delovanje virtualnega stroja priporočljiva uporaba vsaj 8 Gb RAM-a in 2-jedrni virtualni procesor. Hipervizor mora podpirati 64-bitne operacijske sisteme.
Namestitev se začne z uvozom slike v izbrani hipervizor (VirtualBox in VMWare). V primeru Microsoft Hyper-v in KVM morate ustvariti virtualni stroj in kot disk določiti preneseno sliko, nato pa v nastavitvah ustvarjenega virtualnega stroja onemogočiti storitve integracije.
Privzeto se po uvozu v VMWare ustvari virtualni stroj z naslednjimi nastavitvami:
Kot je bilo napisano zgoraj, mora biti vsaj 8Gb RAM-a in poleg tega morate dodati 1Gb na vsakih 100 uporabnikov. Privzeta velikost trdega diska je 100 Gb, vendar to običajno ni dovolj za shranjevanje vseh dnevnikov in nastavitev. Priporočena velikost je 300 Gb ali več. Zato v lastnostih virtualnega stroja spremenimo velikost diska na želeno. Na začetku ima virtualni UserGate UTM štiri vmesnike, dodeljene območjem:
Upravljanje - prvi vmesnik virtualnega stroja, območje za povezovanje zaupanja vrednih omrežij, iz katerega je dovoljeno upravljanje UserGate.
Trusted je drugi vmesnik navideznega stroja, območje za povezovanje zaupanja vrednih omrežij, na primer omrežij LAN.
Untrusted je tretji vmesnik virtualnega stroja, območje za vmesnike, povezane z nezaupljivimi omrežji, na primer z internetom.
DMZ je četrti vmesnik virtualnega stroja, območje za vmesnike, povezane v omrežje DMZ.
Nato zaženemo virtualni stroj, čeprav priročnik pravi, da morate izbrati Support Tools in izvesti Factory reset UTM, vendar kot vidite, obstaja samo ena izbira (UTM First Boot). Med tem korakom UTM konfigurira omrežne kartice in poveča velikost particije trdega diska na polno velikost diska:
Za povezavo s spletnim vmesnikom UserGate se morate prijaviti prek območja upravljanja; za to je odgovoren vmesnik eth0, ki je konfiguriran za samodejno pridobivanje naslova IP (DHCP). Če naslova za vmesnik za upravljanje ni mogoče samodejno dodeliti z uporabo DHCP, ga je mogoče izrecno nastaviti z uporabo CLI (vmesnika ukazne vrstice). Če želite to narediti, se morate prijaviti v CLI z uporabniškim imenom in geslom s polnimi skrbniškimi pravicami (Admin privzeto z veliko začetnico). Če naprava UserGate ni bila podvržena začetni inicializaciji, morate za dostop do CLI uporabiti Admin kot uporabniško ime in utm kot geslo. In vnesite ukaz, kot je iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Kasneje gremo na spletno konzolo UserGate na navedenem naslovu, izgledati mora nekako takole:https://UserGateIPaddress:8001:
V spletni konzoli nadaljujemo namestitev, moramo izbrati jezik vmesnika (trenutno je to ruščina ali angleščina), časovni pas, nato prebrati in se strinjati z licenčno pogodbo. Nastavite prijavo in geslo za prijavo v spletni vmesnik za upravljanje.
3. Nastavitev
Po namestitvi je okno spletnega vmesnika za upravljanje platforme videti takole:
Nato morate konfigurirati omrežne vmesnike. Če želite to narediti, jih morate v razdelku »Vmesniki« omogočiti, nastaviti pravilne naslove IP in dodeliti ustrezna območja.
V razdelku »Vmesniki« so prikazani vsi fizični in virtualni vmesniki, ki so na voljo v sistemu, omogoča spreminjanje njihovih nastavitev in dodajanje vmesnikov VLAN. Prikazuje tudi vse vmesnike vsakega vozlišča gruče. Nastavitve vmesnika so specifične za vsako vozlišče, kar pomeni, da niso globalne.
V lastnostih vmesnika:
-
Omogočite ali onemogočite vmesnik
-
Določite vrsto vmesnika - Layer 3 ali Mirror
-
Vmesniku dodelite območje
-
Dodelite profil Netflow za pošiljanje statističnih podatkov v zbiralnik Netflow
-
Spremenite fizične parametre vmesnika - naslov MAC in velikost MTU
-
Izberite vrsto dodelitve naslova IP - brez naslova, statični naslov IP ali pridobljen prek DHCP
-
Konfigurirajte DHCP rele na izbranem vmesniku.
Gumb »Dodaj« vam omogoča dodajanje naslednjih vrst logičnih vmesnikov:
-
VLAN
-
Bond
-
Most
-
PPPoE
-
VPN
-
Predor
Poleg prej naštetih območij, s katerimi je priložena slika Usergate, obstajajo še trije vnaprej določeni tipi:
Gruča - območje za vmesnike, ki se uporabljajo za delovanje gruče
VPN za Site-to-Site - območje, v katerem so vsi odjemalci Office-Office, povezani z UserGate prek VPN
VPN za oddaljeni dostop - območje, ki vključuje vse mobilne uporabnike, povezane z UserGate prek VPN
Skrbniki UserGate lahko spremenijo nastavitve privzetih območij in tudi ustvarijo dodatna območja, vendar kot je navedeno v priročniku različice 5, je mogoče ustvariti največ 15 območij. Če jih želite spremeniti ali ustvariti, morate iti v razdelek cone. Za vsako cono lahko nastavite prag padca paketov; podprti so SYN, UDP, ICMP. Konfiguriran je tudi nadzor dostopa do storitev Usergate in omogočena je zaščita pred ponarejanjem.
Po konfiguraciji vmesnikov morate konfigurirati privzeto pot v razdelku »Gateways«. Tisti. Če želite povezati UserGate z internetom, morate določiti naslov IP enega ali več prehodov. Če za povezavo z internetom uporabljate več ponudnikov, morate določiti več prehodov. Konfiguracija prehoda je edinstvena za vsako vozlišče gruče. Če sta navedena dva ali več prehodov, sta možni 2 možnosti:
-
Uravnoteženje prometa med prehodi.
-
Glavni prehod s preklopom na rezervnega.
Stanje prehoda (na voljo - zeleno, nedosegljivo - rdeče) se določi na naslednji način:
-
Preverjanje omrežja je onemogočeno – prehod se šteje za dostopnega, če lahko UserGate pridobi njegov naslov MAC z zahtevo ARP. Prek tega prehoda ni mogoče preveriti dostopa do interneta. Če naslova MAC prehoda ni mogoče določiti, se šteje, da je prehod nedosegljiv.
-
Preverjanje omrežja je omogočeno – prehod se šteje za dostopnega, če:
-
UserGate lahko pridobi svoj naslov MAC z zahtevo ARP.
-
Preverjanje dostopa do interneta prek tega prehoda je bilo uspešno zaključeno.
V nasprotnem primeru se šteje, da prehod ni na voljo.
V razdelku »DNS« morate dodati DNS strežnike, ki jih bo uporabljal UserGate. Ta nastavitev je podana v območju sistemskih strežnikov DNS. Spodaj so nastavitve za upravljanje zahtev DNS uporabnikov. UserGate vam omogoča uporabo strežnika DNS proxy. Storitev DNS proxy vam omogoča prestrezanje DNS zahtev uporabnikov in njihovo spreminjanje glede na potrebe skrbnika. Pravila posrednika DNS lahko uporabite za določanje strežnikov DNS, na katere se posredujejo zahteve za določene domene. Poleg tega lahko s proxyjem DNS nastavite statične zapise vrste gostitelja (zapis A).
V razdelku »NAT in usmerjanje« morate ustvariti potrebna pravila NAT. Za dostop do interneta s strani uporabnikov zaupanja vrednega omrežja je pravilo NAT že ustvarjeno - “Trusted->Untrusted”, ostalo je le, da ga omogočite. Pravila se uporabljajo od zgoraj navzdol v vrstnem redu, kot so navedena v konzoli. Vedno se izvede samo prvo pravilo, za katerega se ujemajo pogoji, podani v pravilu. Da se pravilo sproži, se morajo ujemati vsi pogoji, navedeni v parametrih pravila. UserGate priporoča ustvarjanje splošnih pravil NAT, na primer pravila NAT iz lokalnega omrežja (običajno zaupanja vrednega območja) v internet (običajno nezaupanja vrednega območja) in omejevanje dostopa uporabnikom, storitvam in aplikacijam s pravili požarnega zidu.
Prav tako je mogoče ustvariti pravila DNAT, posredovanje vrat, usmerjanje na podlagi pravilnika, preslikavo omrežja.
Po tem morate v razdelku »Požarni zid« ustvariti pravila požarnega zidu. Za neomejen dostop do interneta za uporabnike zaupanja vrednega omrežja je že ustvarjeno tudi pravilo požarnega zidu - “Internet za zaupanja vredne” in mora biti omogočeno. S pomočjo pravil požarnega zidu lahko skrbnik dovoli ali zavrne katero koli vrsto tranzitnega omrežnega prometa, ki poteka skozi UserGate. Pogoji pravil lahko vključujejo območja in izvorne/ciljne naslove IP, uporabnike in skupine, storitve in aplikacije. Pravila veljajo na enak način kot v razdelku »NAT in usmerjanje«, tj. zgoraj navzdol. Če pravila niso ustvarjena, je kakršen koli tranzitni promet prek UserGate prepovedan.
4. Zaključek
S tem se članek zaključuje. Na virtualni stroj smo namestili požarni zid UserGate in naredili minimalne potrebne nastavitve za delovanje interneta v zaupanja vrednem omrežju. Nadaljnjo konfiguracijo bomo obravnavali v naslednjih člankih.
Spremljajte novosti na naših kanalih (, , , )!
Vir: www.habr.com