Përshëndetje, ky është artikulli i dytë në lidhje me zgjidhjen NGFW nga kompania . Qëllimi i këtij artikulli është të tregojë se si të instaloni murin e zjarrit UserGate në një sistem virtual (do të përdor softuerin e virtualizimit të VMware Workstation) dhe të kryej konfigurimin e tij fillestar (lejoni hyrjen nga rrjeti lokal përmes portës UserGate në Internet).
1. Hyrje
Për të filluar, unë do të përshkruaj mënyra të ndryshme për të zbatuar këtë portë në rrjet. Dëshiroj të vërej se në varësi të opsionit të zgjedhur të lidhjes, disa funksione të portës mund të mos jenë të disponueshme. Zgjidhja UserGate mbështet mënyrat e mëposhtme të lidhjes:
-
L3-L7 firewall
-
L2 urë transparente
-
L3 urë transparente
-
Praktikisht në boshllëk, duke përdorur protokollin WCCP
-
Praktikisht në boshllëk, duke përdorur rrugëzimin e bazuar në politikë
-
Ruteri në një shkop
-
Proxy WEB i specifikuar në mënyrë eksplicite
-
UserGate si portë e paracaktuar
-
Monitorimi i portit të pasqyrës
UserGate mbështet 2 lloje grupesh:
-
Konfigurimi i grupit. Nyjet e kombinuara në një grup konfigurimi mbajnë cilësime të qëndrueshme në të gjithë grupin.
-
Grup dështimi. Deri në 4 nyje të grupimit të konfigurimit mund të kombinohen në një grup të rimbushjes që mbështet funksionimin në modalitetin Active-Active ose Active-Passive. Është e mundur të mblidhen disa grupime të dështimit.
2. Instalimi
Siç u përmend në artikullin e mëparshëm, UserGate ofrohet si një paketë harduerike dhe softuerike ose vendoset në një mjedis virtual. Nga llogaria juaj personale në faqen e internetit shkarkoni imazhin në OVF (Open Virtualization Format), ky format është i përshtatshëm për shitësit e VMWare dhe Oracle Virtualbox. Imazhet e diskut të makinës virtuale ofrohen për Microsoft Hyper-v dhe KVM.
Sipas faqes së internetit UserGate, që makina virtuale të funksionojë siç duhet, rekomandohet përdorimi i të paktën 8 Gb RAM dhe një procesor virtual me 2 bërthama. Hipervizori duhet të mbështesë sistemet operative 64-bit.
Instalimi fillon duke importuar imazhin në hipervizorin e zgjedhur (VirtualBox dhe VMWare). Në rastin e Microsoft Hyper-v dhe KVM, duhet të krijoni një makinë virtuale dhe të specifikoni imazhin e shkarkuar si disk, dhe më pas të çaktivizoni shërbimet e integrimit në cilësimet e makinës virtuale të krijuar.
Si parazgjedhje, pas importimit në VMWare, krijohet një makinë virtuale me cilësimet e mëposhtme:
Siç u shkrua më lart, duhet të ketë të paktën 8 Gb RAM dhe përveç kësaj ju duhet të shtoni 1 Gb për çdo 100 përdorues. Madhësia e parazgjedhur e diskut të diskut është 100 Gb, por kjo zakonisht nuk mjafton për të ruajtur të gjitha regjistrat dhe cilësimet. Madhësia e rekomanduar është 300 Gb ose më shumë. Prandaj, në vetitë e makinës virtuale, ne ndryshojmë madhësinë e diskut në atë të dëshiruar. Fillimisht, UTM virtuale UserGate vjen me katër ndërfaqe të caktuara për zona:
Menaxhimi - ndërfaqja e parë e makinës virtuale, një zonë për lidhjen e rrjeteve të besuara nga e cila lejohet menaxhimi i UserGate.
Trusted është ndërfaqja e dytë e makinës virtuale, një zonë për lidhjen e rrjeteve të besuara, për shembull, rrjetet LAN.
E pabesueshme është ndërfaqja e tretë e makinës virtuale, një zonë për ndërfaqet e lidhura me rrjete të pabesueshme, për shembull, me internetin.
DMZ është ndërfaqja e katërt e makinës virtuale, një zonë për ndërfaqet e lidhura me rrjetin DMZ.
Më pas, ne nisim makinën virtuale, megjithëse manuali thotë që ju duhet të zgjidhni Mjetet e Mbështetjes dhe të kryeni rivendosjen e fabrikës UTM, por siç mund ta shihni, ka vetëm një zgjedhje (UTM First Boot). Gjatë këtij hapi, UTM konfiguron përshtatësit e rrjetit dhe rrit madhësinë e ndarjes së diskut në madhësinë e plotë të diskut:
Për t'u lidhur me ndërfaqen e internetit UserGate, duhet të identifikoheni përmes zonës së Menaxhimit; kjo është përgjegjësi e ndërfaqes eth0, e cila është konfiguruar për të marrë një adresë IP automatikisht (DHCP). Nëse nuk është e mundur të caktohet një adresë për ndërfaqen e menaxhimit automatikisht duke përdorur DHCP, atëherë ajo mund të vendoset në mënyrë eksplicite duke përdorur CLI (Ndërfaqja e linjës së komandës). Për ta bërë këtë, duhet të identifikoheni në CLI duke përdorur një emër përdoruesi dhe fjalëkalim me të drejta të plota administratori (Admin me shkronjë të madhe si parazgjedhje). Nëse pajisja UserGate nuk i është nënshtruar inicializimit fillestar, atëherë për të hyrë në CLI duhet të përdorni Admin si emër përdoruesi dhe utm si fjalëkalim. Dhe shkruani një komandë si iface config –name eth0 –ipv4 192.168.1.254/24 –aktivizo true –mode static. Më vonë shkojmë në tastierën e internetit UserGate në adresën e specifikuar, duhet të duket diçka si kjo:https://UserGateIPaddress:8001:
Në tastierën e uebit ne vazhdojmë instalimin, duhet të zgjedhim gjuhën e ndërfaqes (për momentin është rusisht ose anglisht), zonën kohore, pastaj lexojmë dhe pajtohemi me marrëveshjen e licencës. Vendosni hyrjen dhe fjalëkalimin për të hyrë në ndërfaqen e menaxhimit të uebit.
3. Konfigurimi
Pas instalimit, ja se si duket dritarja e ndërfaqes së uebit të menaxhimit të platformës:
Pastaj ju duhet të konfiguroni ndërfaqet e rrjetit. Për ta bërë këtë, në seksionin "Interfaces" duhet t'i aktivizoni ato, të vendosni adresat e sakta IP dhe të caktoni zonat e duhura.
Seksioni "Interfaces" shfaq të gjitha ndërfaqet fizike dhe virtuale të disponueshme në sistem, ju lejon të ndryshoni cilësimet e tyre dhe të shtoni ndërfaqe VLAN. Ai gjithashtu tregon të gjitha ndërfaqet e secilës nyje të grupimit. Cilësimet e ndërfaqes janë specifike për secilën nyje, domethënë ato nuk janë globale.
Në vetitë e ndërfaqes:
-
Aktivizo ose çaktivizo ndërfaqen
-
Specifikoni llojin e ndërfaqes - Shtresa 3 ose Pasqyra
-
Caktoni një zonë në një ndërfaqe
-
Caktoni një profil Netflow për të dërguar të dhëna statistikore te mbledhësi i Netflow
-
Ndryshoni parametrat fizikë të ndërfaqes - adresën MAC dhe madhësinë MTU
-
Zgjidhni llojin e caktimit të adresës IP - pa adresë, adresë IP statike ose e marrë përmes DHCP
-
Konfiguro rele DHCP në ndërfaqen e zgjedhur.
Butoni "Shto" ju lejon të shtoni llojet e mëposhtme të ndërfaqeve logjike:
-
VLAN-et
-
lidhje
-
urë
-
PPPoE
-
VPN
-
Tuneli
Përveç zonave të listuara më parë me të cilat dërgohet imazhi i Usergate, ekzistojnë tre lloje të tjera të paracaktuara:
Cluster - zonë për ndërfaqet e përdorura për funksionimin e grupimeve
VPN për Site në Site - një zonë në të cilën vendosen të gjithë klientët Office-Office të lidhur me UserGate përmes VPN
VPN për qasje në distancë - një zonë që përfshin të gjithë përdoruesit celularë të lidhur me UserGate përmes VPN
Administratorët e UserGate mund të ndryshojnë cilësimet e zonave të paracaktuara dhe gjithashtu të krijojnë zona shtesë, por siç thuhet në manualin e versionit 5, mund të krijohen maksimumi 15 zona. Për t'i ndryshuar ose krijuar ato, duhet të shkoni te seksioni i zonës. Për secilën zonë, mund të vendosni një prag të rënies së paketave; SYN, UDP, ICMP mbështeten. Gjithashtu është konfiguruar kontrolli i aksesit në shërbimet e Usergate dhe është aktivizuar mbrojtja kundër mashtrimit.
Pas konfigurimit të ndërfaqeve, duhet të konfiguroni rrugën e paracaktuar në seksionin "Gateways". Ato. Për të lidhur UserGate me internetin, duhet të specifikoni adresën IP të një ose më shumë portave. Nëse përdorni disa ofrues për t'u lidhur me internetin, duhet të specifikoni disa porta. Konfigurimi i portës është unik për çdo nyje grupi. Nëse specifikohen dy ose më shumë porta, 2 opsione janë të mundshme:
-
Balancimi i trafikut midis portave.
-
Porta kryesore me kalimin në një rezervë.
Statusi i portës (e disponueshme - jeshile, e padisponueshme - e kuqe) përcaktohet si më poshtë:
-
Kontrolli i rrjetit është i çaktivizuar - një portë konsiderohet e aksesueshme nëse UserGate mund të marrë adresën e tij MAC duke përdorur një kërkesë ARP. Nuk ka asnjë kontroll për qasje në internet përmes kësaj porte. Nëse adresa MAC e portës nuk mund të përcaktohet, porta konsiderohet e paarritshme.
-
Kontrolli i rrjetit është aktivizuar - porta konsiderohet e aksesueshme nëse:
-
UserGate mund të marrë adresën e tij MAC duke përdorur një kërkesë ARP.
-
Kontrolli për akses në internet përmes kësaj porte u krye me sukses.
Përndryshe, porta konsiderohet e padisponueshme.
Në seksionin "DNS" ju duhet të shtoni serverët DNS që do të përdorë UserGate. Ky cilësim specifikohet në zonën e serverëve DNS të sistemit. Më poshtë janë cilësimet për menaxhimin e kërkesave DNS nga përdoruesit. UserGate ju lejon të përdorni një përfaqësues DNS. Shërbimi proxy DNS ju lejon të përgjoni kërkesat DNS nga përdoruesit dhe t'i ndryshoni ato në varësi të nevojave të administratorit. Rregullat e proxy DNS mund të përdoren për të specifikuar serverët DNS tek të cilët dërgohen kërkesat për domene specifike. Përveç kësaj, duke përdorur një përfaqësues DNS, mund të vendosni regjistrime statike të llojit të hostit (rekord A).
Në seksionin "NAT dhe Routing" ju duhet të krijoni rregullat e nevojshme NAT. Për aksesin në internet nga përdoruesit e rrjetit të besuar, tashmë është krijuar rregulli NAT - "Trusted->Itrusted", gjithçka që mbetet është ta aktivizoni atë. Rregullat zbatohen nga lart poshtë në rendin që janë renditur në tastierë. Vetëm rregulli i parë për të cilin kushtet e specifikuara në rregullin përputhen gjithmonë ekzekutohen. Që rregulli të aktivizohet, të gjitha kushtet e specifikuara në parametrat e rregullit duhet të përputhen. UserGate rekomandon krijimin e rregullave të përgjithshme NAT, për shembull, një rregull NAT nga një rrjet lokal (zakonisht një zonë e besuar) në internet (zakonisht një zonë e pabesueshme) dhe kufizimin e aksesit nga përdoruesit, shërbimet dhe aplikacionet duke përdorur rregullat e murit të zjarrit.
Është gjithashtu e mundur të krijohen rregulla të DNAT, përcjellja e portit, rrugëtimi i bazuar në politika, hartëzimi i rrjetit.
Pas kësaj, në seksionin "Firewall" ju duhet të krijoni rregullat e murit të zjarrit. Për akses të pakufizuar në internet për përdoruesit e rrjetit të besuar, tashmë është krijuar një rregull i murit të zjarrit - "Internet për të besuar" dhe duhet të aktivizohet. Duke përdorur rregullat e murit të zjarrit, administratori mund të lejojë ose mohojë çdo lloj trafiku të rrjetit transit që kalon përmes UserGate. Kushtet e rregullave mund të përfshijnë zonat dhe adresat IP të burimit/destinacionit, përdoruesit dhe grupet, shërbimet dhe aplikacionet. Rregullat zbatohen në të njëjtën mënyrë si në seksionin "NAT dhe Routing", d.m.th. nga lart poshtë. Nëse nuk janë krijuar rregulla, atëherë çdo trafik transit përmes UserGate është i ndaluar.
4. përfundim
Kjo përfundon artikullin. Ne instaluam murin e zjarrit UserGate në një makinë virtuale dhe bëmë cilësimet minimale të nevojshme që Interneti të funksionojë në rrjetin Trusted. Ne do të shqyrtojmë konfigurimin e mëtejshëm në artikujt vijues.
Qëndroni të sintonizuar për përditësimet në kanalet tona (, , , )!
Burimi: www.habr.com