ProHoster > Blog > Administrasi > 2. UserGate Ngamimitian. Sarat, instalasi

2. UserGate Ngamimitian. Sarat, instalasi

2. UserGate Ngamimitian. Sarat, instalasi

Halo, ieu mangrupikeun tulisan kadua ngeunaan solusi NGFW ti perusahaan UserGate. Tujuan tina tulisan ieu nyaéta pikeun nunjukkeun kumaha masang firewall UserGate dina sistem virtual (kuring nganggo parangkat lunak virtualisasi VMware Workstation) sareng ngalaksanakeun konfigurasi awalna (ngawenangkeun aksés tina jaringan lokal ngalangkungan gerbang UserGate ka Internét).   

1. Pambuka

Pikeun ngamimitian, kuring bakal ngajelaskeun sababaraha cara pikeun nerapkeun gateway ieu kana jaringan. Abdi hoyong dicatet yén gumantung kana pilihan sambungan dipilih, fungsionalitas tangtu gateway nu bisa jadi teu sadia. Solusi UserGate ngadukung modeu sambungan ieu: 

  • L3-L7 firewall

  • L2 sasak transparan

  • L3 sasak transparan

  • Ampir kana sela, ngagunakeun protokol WCCP

  • Ampir dina sela, ngagunakeun Routing Dumasar Kabijakan

  • Router dina iteuk

  • Proksi WEB sacara eksplisit

  • UserGate salaku gateway standar

  • ngawaskeun port eunteung

UserGate ngadukung 2 jinis klaster:

  1. Konfigurasi klaster. Titik digabungkeun kana klaster konfigurasi ngajaga setélan konsisten sakuliah klaster.

  2. Kluster Failover. Nepi ka 4 titik klaster konfigurasi bisa digabungkeun kana klaster failover nu ngarojong operasi dina mode Active-Active atawa Active-Passive. Kasebut nyaéta dimungkinkeun pikeun ngumpul sababaraha klaster failover.

2. Pamasangan

Sakumaha anu disebatkeun dina tulisan sateuacana, UserGate disayogikeun salaku pakét parangkat lunak sareng parangkat lunak atanapi dipasang dina lingkungan virtual. Tina akun pribadi anjeun dina situs wéb UserGate ngundeur gambar di OVF (Buka Virtualization Format), format ieu cocog pikeun VMWare na Oracle ngical paralatan Virtualbox. Gambar disk mesin virtual disayogikeun pikeun Microsoft Hyper-v sareng KVM.

Numutkeun kana halaman wéb UserGate, pikeun mesin virtual tiasa beroperasi leres, disarankeun ngagunakeun sahenteuna 8Gb RAM sareng prosesor virtual 2-inti. Hypervisor kedah ngadukung sistem operasi 64-bit.

Pamasangan dimimitian ku ngimpor gambar kana hypervisor anu dipilih (VirtualBox sareng VMWare). Dina kasus Microsoft Hyper-v sareng KVM, anjeun kedah nyiptakeun mesin virtual sareng netepkeun gambar anu diunduh salaku disk, teras mareuman jasa integrasi dina setélan mesin virtual anu diciptakeun.

Sacara standar, saatos ngimpor kana VMWare, mesin virtual didamel nganggo setélan ieu:

2. UserGate Ngamimitian. Sarat, instalasi

Sakumaha anu diserat di luhur, kedah aya sahenteuna 8Gb RAM sareng salian ti anjeun kedah nambihan 1Gb pikeun unggal 100 pangguna. Ukuran hard drive standar nyaéta 100Gb, tapi ieu biasana henteu cekap pikeun nyimpen sadaya log sareng setélan. Ukuran anu disarankeun nyaéta 300Gb atanapi langkung. Ku alatan éta, dina sipat mesin virtual, urang ngarobah ukuran disk ka nu dipikahoyong. Awalna, maya UserGate UTM hadir kalawan opat interfaces ditugaskeun ka zona:

Manajemén - antarbeungeut munggaran tina mesin virtual, zona pikeun nyambungkeun jaringan anu dipercaya ti mana manajemén UserGate diidinan.

Dipercaya nyaéta panganteur kadua mesin virtual, zona pikeun nyambungkeun jaringan dipercaya, contona, jaringan LAN.

Untrusted teh panganteur katilu tina mesin virtual, zona pikeun panganteur disambungkeun ka jaringan untrusted, contona, ka Internet.

DMZ teh panganteur kaopat tina mesin virtual, zona pikeun interfaces disambungkeun ka jaringan DMZ.

Salajengna, urang ngaluncurkeun mesin virtual, sanaos manual nyarios yén anjeun kedah milih Alat Rojongan sareng ngalakukeun reset Pabrik UTM, tapi sakumaha anu anjeun tingali, ngan ukur aya hiji pilihan (UTM First Boot). Salila léngkah ieu, UTM ngonpigurasikeun adaptor jaringan sareng ningkatkeun ukuran partisi hard drive kana ukuran disk pinuh:

2. UserGate Ngamimitian. Sarat, instalasi

Pikeun nyambung ka antarmuka wéb UserGate, anjeun kedah log in ngaliwatan zona Manajemén; ieu mangrupikeun tanggung jawab antarmuka eth0, anu dikonpigurasikeun pikeun nampi alamat IP sacara otomatis (DHCP). Upami teu mungkin pikeun napelkeun alamat pikeun antarmuka Manajemén sacara otomatis nganggo DHCP, éta tiasa sacara eksplisit diatur nganggo CLI (Command Line Interface). Jang ngalampahkeun ieu, anjeun kedah log in ka CLI nganggo nami pangguna sareng kecap akses anu gaduh hak administrator lengkep (Admin nganggo hurup kapital sacara standar). Upami alat UserGate teu acan ngalaman initialization awal, teras pikeun ngakses CLI anjeun kedah nganggo Admin salaku nami pangguna sareng utm salaku kecap akses. Sareng ketik paréntah sapertos iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Engké urang buka konsol web UserGate di alamat dieusian, sakuduna kasampak kawas kieu: https://UserGateIPaddress:8001:

2. UserGate Ngamimitian. Sarat, instalasi2. UserGate Ngamimitian. Sarat, instalasi

Dina konsol web urang neruskeun pamasangan, urang kudu milih basa panganteur (dina momen éta Rusia atawa Inggris), zona waktos, lajeng maca jeung satuju kana perjanjian lisénsi. Setel login sareng kecap akses pikeun asup kana antarmuka manajemén wéb.

3. Setélan

Saatos instalasi, ieu mangrupikeun tampilan jandela antarmuka wéb manajemén platform:

2. UserGate Ngamimitian. Sarat, instalasi

Teras anjeun kedah ngonpigurasikeun antarmuka jaringan. Jang ngalampahkeun ieu, dina bagian "Interfaces" Anjeun kudu ngaktipkeun aranjeunna, nyetel alamat IP bener jeung nangtukeun zona luyu.

Bagian "Interfaces" mintonkeun sadaya interfaces fisik jeung virtual sadia dina sistem, ngidinan Anjeun pikeun ngarobah setelan maranéhanana jeung nambahkeun interfaces VLAN. Éta ogé nunjukkeun sadaya antarmuka unggal titik klaster. Setélan antarmuka khusus pikeun unggal titik, nyaéta henteu global.

Dina sipat panganteur:

  • Aktipkeun atawa mareuman panganteur 

  • Sebutkeun jinis antarmuka - Lapisan 3 atanapi Eunteung

  • Napelkeun zone ka panganteur

  • Netepkeun profil Netflow pikeun ngirim data statistik ka kolektor Netflow

  • Ngarobih parameter fisik antarmuka - alamat MAC sareng ukuran MTU

  • Pilih jinis tugas alamat IP - henteu aya alamat, alamat IP statik atanapi dicandak via DHCP

  • Konpigurasikeun relay DHCP dina panganteur dipilih.

Tombol "Tambahkeun" ngamungkinkeun anjeun pikeun nambihan jinis antarmuka logis ieu:

  • VLAN

  • Beungkeut

  • jambatan

  • PPPoE

  • VPN

  • Torowongan

2. UserGate Ngamimitian. Sarat, instalasi

Salian zona anu didaptarkeun samemehna anu dikirimkeun ku gambar Usergate, aya tilu deui jinis anu tos disetel:

Kluster - zone pikeun interfaces dipaké pikeun operasi klaster

VPN pikeun Site-to-Site - zona dimana sadaya klien Kantor-Kantor disambungkeun ka UserGate via VPN disimpen.

VPN pikeun aksés jauh - zona anu kalebet sadaya pangguna sélulér anu nyambung ka UserGate via VPN

Pangurus UserGate tiasa ngarobih setélan zona standar sareng ogé nyiptakeun zona tambahan, tapi sakumaha anu dinyatakeun dina manual versi 5, maksimal 15 zona tiasa diciptakeun. Pikeun ngarobih atanapi nyiptakeunana, anjeun kedah angkat ka bagian zona. Pikeun unggal zona, anjeun tiasa nyetél bangbarung serelek pakét; SYN, UDP, ICMP dirojong. Kontrol aksés ka jasa Usergate ogé dikonpigurasi, sareng panyalindungan ngalawan spoofing diaktipkeun.

2. UserGate Ngamimitian. Sarat, instalasi

Saatos ngonpigurasikeun antarmuka, anjeun kedah ngonpigurasikeun rute standar dina bagian "Gateways". Jelema. Pikeun nyambungkeun UserGate ka Internét, anjeun kedah netepkeun alamat IP tina hiji atanapi langkung gateway. Upami anjeun nganggo sababaraha panyadia pikeun nyambung ka Internét, anjeun kedah netepkeun sababaraha gateway. Konfigurasi gateway unik pikeun tiap titik klaster. Lamun dua atawa leuwih gateways dieusian, 2 pilihan mungkin:

  1. Balancing lalulintas antara gateways.

  2. Gerbang utama kalayan ngalih ka anu cadang.

Status gateway (sadia - héjo, teu sadia - beureum) ditangtukeun kieu:

  1. Pamariksaan jaringan dinonaktipkeun - gateway dianggap tiasa diaksés upami UserGate tiasa kéngingkeun alamat MAC na nganggo pamundut ARP. Henteu aya cek pikeun aksés Internét ngaliwatan gateway ieu. Lamun alamat MAC gateway teu bisa ditangtukeun, gateway dianggap unreachable.

  2. Pamariksaan jaringan diaktipkeun - gateway dianggap tiasa diaksés upami:

  • UserGate tiasa kéngingkeun alamat MAC na nganggo pamundut ARP.

  • Pamariksaan aksés Internét ngaliwatan gateway ieu parantos suksés.

Upami teu kitu, gateway dianggap teu sadia.

2. UserGate Ngamimitian. Sarat, instalasi

Dina bagian "DNS" anjeun kedah nambihan pangladén DNS anu bakal dianggo ku UserGate. Setelan ieu dieusian di wewengkon System DNS Servers. Di handap ieu aya setélan pikeun ngatur pamundut DNS ti pangguna. UserGate ngamungkinkeun anjeun ngagunakeun proxy DNS. Ladenan proxy DNS ngamungkinkeun anjeun pikeun nyegat pamundut DNS ti pangguna sareng ngarobihna gumantung kana kabutuhan pangurus. Aturan proxy DNS bisa dipaké pikeun nangtukeun server DNS nu requests pikeun domain husus diteruskeun. Salaku tambahan, nganggo proxy DNS, anjeun tiasa nyetél rékaman statik tina jinis host (rékam A).

2. UserGate Ngamimitian. Sarat, instalasi

Dina bagian "NAT sareng Routing" anjeun kedah nyiptakeun aturan NAT anu diperyogikeun. Pikeun aksés ka Internét ku pangguna jaringan Dipercanten, aturan NAT parantos didamel - "Trusted-> Untrusted", ngan ukur ngaktifkeunana. Aturan diterapkeun ti luhur ka handap dina urutan anu didaptarkeun dina konsol. Ngan aturan kahiji anu kaayaan anu ditunjuk dina pertandingan aturan anu salawasna dilaksanakeun. Pikeun aturan dipicu, sadaya kaayaan anu ditetepkeun dina parameter aturan kedah cocog. UserGate nyarankeun nyieun aturan umum NAT, contona, aturan NAT tina jaringan lokal (biasana zona dipercaya) ka Internet (biasana zona Untrusted), sarta ngawatesan aksés ku pamaké, jasa, jeung aplikasi maké aturan firewall.

Ieu oge mungkin keur nyieun aturan DNAT, port diteruskeun, routing basis kawijakan, pemetaan jaringan.

2. UserGate Ngamimitian. Sarat, instalasi

Saatos ieu, dina bagian "Firewall" anjeun kedah nyiptakeun aturan firewall. Pikeun aksés anu henteu terbatas ka Internét pikeun pangguna jaringan Dipercaya, aturan firewall ogé parantos didamel - "Internet pikeun Dipercaya" sareng kedah diaktipkeun. Ngagunakeun aturan firewall, administrator bisa ngidinan atawa mungkir sagala jenis lalulintas jaringan transit ngaliwatan UserGate. Kaayaan aturan tiasa kalebet zona sareng alamat IP sumber/tujuan, pangguna sareng grup, jasa sareng aplikasi. Aturan nerapkeun dina cara nu sarua sakumaha dina bagian "NAT na Routing", i.e. ti luhur ka handap. Lamun euweuh aturan geus dijieun, lajeng sagala lalulintas transit ngaliwatan UserGate dilarang.

2. UserGate Ngamimitian. Sarat, instalasi

4. Kacindekan

Ieu menyimpulkan artikel. Kami masang firewall UserGate dina mesin virtual sareng ngadamel pangaturan minimum anu dipikabutuh pikeun Internet tiasa dianggo dina jaringan Dipercaya. Urang bakal mertimbangkeun konfigurasi salajengna dina artikel di handap ieu.

Tetep katala pikeun apdet dina saluran kami (telegramFacebookVKTS Solusi Blog)!

sumber: www.habr.com

Tambahkeun komentar