Hej, detta är den andra artikeln om NGFW-lösningen från företaget . Syftet med den här artikeln är att visa hur man installerar UserGate-brandväggen på ett virtuellt system (jag kommer att använda VMware Workstation-virtualiseringsprogram) och utför dess initiala konfiguration (tillåt åtkomst från det lokala nätverket via UserGate-gatewayen till Internet).
1. Introduktion
Till att börja med kommer jag att beskriva de olika sätten att implementera denna gateway i nätverket. Jag skulle vilja notera att beroende på det valda anslutningsalternativet kanske vissa funktioner hos gatewayen inte är tillgängliga. UserGate-lösningen stöder följande anslutningslägen:
-
L3-L7 brandvägg
-
L2 transparent bro
-
L3 transparent bro
-
Praktiskt taget in i gapet, med hjälp av WCCP-protokollet
-
Praktiskt taget i gapet, med policybaserad routing
-
Router på en sticka
-
Explicit specificerad WEB-proxy
-
UserGate som standardgateway
-
Övervakning av spegelport
UserGate stöder 2 typer av kluster:
-
Klusterkonfiguration. Noder kombinerade till ett konfigurationskluster upprätthåller konsekventa inställningar över hela klustret.
-
Failover-kluster. Upp till 4 konfigurationsklusternoder kan kombineras till ett failover-kluster som stöder drift i aktivt-aktivt eller aktivt-passivt läge. Det är möjligt att sätta ihop flera failover-kluster.
2. Installation
Som nämnts i föregående artikel levereras UserGate som ett hård- och mjukvarupaket eller distribueras i en virtuell miljö. Från ditt personliga konto på webbplatsen ladda ner bilden i OVF (Open Virtualization Format), detta format är lämpligt för VMWare och Oracle Virtualbox-leverantörer. Virtuella maskindiskavbildningar tillhandahålls för Microsoft Hyper-v och KVM.
Enligt UserGate-webbplatsen, för att den virtuella maskinen ska fungera korrekt, rekommenderas att du använder minst 8 Gb RAM och en 2-kärnig virtuell processor. Hypervisorn måste stödja 64-bitars operativsystem.
Installationen börjar med att importera bilden till den valda hypervisorn (VirtualBox och VMWare). När det gäller Microsoft Hyper-v och KVM måste du skapa en virtuell maskin och ange den nedladdade bilden som disken och sedan inaktivera integrationstjänster i inställningarna för den skapade virtuella maskinen.
Som standard, efter import till VMWare, skapas en virtuell maskin med följande inställningar:
Som skrevs ovan måste det finnas minst 8Gb RAM och dessutom behöver du lägga till 1Gb för var 100:e användare. Standardstorleken på hårddisken är 100 Gb, men detta är vanligtvis inte tillräckligt för att lagra alla loggar och inställningar. Rekommenderad storlek är 300 Gb eller mer. Därför, i egenskaperna för den virtuella maskinen, ändrar vi diskstorleken till den önskade. Inledningsvis kommer virtuell UserGate UTM med fyra gränssnitt tilldelade till zoner:
Management - det första gränssnittet för den virtuella maskinen, en zon för att ansluta tillförlitliga nätverk från vilken UserGate-hantering är tillåten.
Trusted är det andra gränssnittet för den virtuella maskinen, en zon för att ansluta betrodda nätverk, till exempel LAN-nätverk.
Untrusted är det tredje gränssnittet för den virtuella maskinen, en zon för gränssnitt anslutna till opålitliga nätverk, till exempel till Internet.
DMZ är den virtuella maskinens fjärde gränssnitt, en zon för gränssnitt anslutna till DMZ-nätverket.
Därefter startar vi den virtuella maskinen, även om manualen säger att du måste välja Support Tools och utföra Factory Reset UTM, men som du kan se finns det bara ett val (UTM First Boot). Under det här steget konfigurerar UTM nätverksadaptrarna och ökar storleken på hårddiskpartitionen till full diskstorlek:
För att ansluta till UserGates webbgränssnitt måste du logga in via Management zone, detta ansvarar för eth0-gränssnittet, som är konfigurerat för att erhålla en IP-adress automatiskt (DHCP). Om det inte är möjligt att tilldela en adress för hanteringsgränssnittet automatiskt med DHCP, kan det uttryckligen ställas in med CLI (Command Line Interface). För att göra detta måste du logga in på CLI med ett användarnamn och lösenord med fullständiga administratörsrättigheter (Admin med stor bokstav som standard). Om UserGate-enheten inte har genomgått initial initialisering måste du använda Admin som användarnamn och utm som lösenord för att komma åt CLI. Och skriv ett kommando som iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Senare går vi till UserGate webbkonsolen på den angivna adressen, den ska se ut ungefär så här:https://UserGateIPaddress:8001:
I webbkonsolen fortsätter vi installationen, vi måste välja gränssnittsspråk (för närvarande är det ryska eller engelska), tidszon, sedan läsa och godkänna licensavtalet. Ställ in inloggning och lösenord för att logga in på webbhanteringsgränssnittet.
3. Installation
Efter installationen ser webbgränssnittsfönstret för plattformshantering ut så här:
Sedan måste du konfigurera nätverksgränssnitten. För att göra detta, i avsnittet "Gränssnitt" måste du aktivera dem, ställa in rätt IP-adresser och tilldela lämpliga zoner.
Avsnittet "Gränssnitt" visar alla fysiska och virtuella gränssnitt som finns tillgängliga i systemet, låter dig ändra deras inställningar och lägga till VLAN-gränssnitt. Den visar också alla gränssnitt för varje klusternod. Gränssnittsinställningarna är specifika för varje nod, det vill säga de är inte globala.
I gränssnittsegenskaper:
-
Aktivera eller inaktivera gränssnittet
-
Ange gränssnittstyp - Layer 3 eller Mirror
-
Tilldela en zon till ett gränssnitt
-
Tilldela en Netflow-profil för att skicka statistisk data till Netflow-samlaren
-
Ändra de fysiska parametrarna för gränssnittet - MAC-adress och MTU-storlek
-
Välj typ av IP-adresstilldelning - ingen adress, statisk IP-adress eller erhållen via DHCP
-
Konfigurera DHCP-reläet på det valda gränssnittet.
Med knappen "Lägg till" kan du lägga till följande typer av logiska gränssnitt:
-
VLAN
-
Obligation
-
bro
-
PPPoE
-
VPN
-
Tunnel
Utöver de tidigare listade zonerna som Usergate-bilden levereras med, finns det ytterligare tre fördefinierade typer:
Cluster - zon för gränssnitt som används för klusterdrift
VPN för Site-to-Site - en zon där alla Office-Office-klienter som är anslutna till UserGate via VPN är placerade
VPN för fjärråtkomst - en zon som inkluderar alla mobilanvändare som är anslutna till UserGate via VPN
UserGate-administratörer kan ändra inställningarna för standardzonerna och även skapa ytterligare zoner, men som anges i version 5-manualen kan maximalt 15 zoner skapas. För att ändra eller skapa dem måste du gå till zonsektionen. För varje zon kan du ställa in ett tröskelvärde för paketsläpp; SYN, UDP, ICMP stöds. Åtkomstkontroll till Usergate-tjänster är också konfigurerad och skydd mot spoofing är aktiverat.
Efter att ha konfigurerat gränssnitten måste du konfigurera standardrutten i avsnittet "Gateways". De där. För att ansluta UserGate till Internet måste du ange IP-adressen för en eller flera gateways. Om du använder flera leverantörer för att ansluta till Internet måste du ange flera gateways. Gatewaykonfigurationen är unik för varje klusternod. Om två eller flera gateways är specificerade är två alternativ möjliga:
-
Balanserar trafik mellan gateways.
-
Huvudporten med byte till en reserv.
Gatewayens status (tillgänglig - grön, ej tillgänglig - röd) bestäms enligt följande:
-
Nätverkskontroll är inaktiverat – en gateway anses vara tillgänglig om UserGate kan få sin MAC-adress med en ARP-förfrågan. Det finns ingen kontroll för internetåtkomst via denna gateway. Om gatewayens MAC-adress inte kan fastställas anses gatewayen vara oåtkomlig.
-
Nätverkskontroll är aktiverad - gatewayen anses vara tillgänglig om:
-
UserGate kan få sin MAC-adress med en ARP-förfrågan.
-
Kontrollen av Internetåtkomst via denna gateway slutfördes framgångsrikt.
Annars anses gatewayen vara otillgänglig.
I avsnittet "DNS" måste du lägga till de DNS-servrar som UserGate kommer att använda. Den här inställningen anges i området System DNS-servrar. Nedan finns inställningar för hantering av DNS-förfrågningar från användare. UserGate låter dig använda en DNS-proxy. DNS-proxytjänsten låter dig fånga upp DNS-förfrågningar från användare och ändra dem beroende på administratörens behov. DNS-proxyregler kan användas för att ange de DNS-servrar till vilka förfrågningar för specifika domäner vidarebefordras. Med hjälp av en DNS-proxy kan du dessutom ställa in statiska poster av värdtypen (A-post).
I avsnittet "NAT och routing" måste du skapa de nödvändiga NAT-reglerna. För åtkomst till Internet för användare av det betrodda nätverket har NAT-regeln redan skapats - "Trusted-> Untrusted", allt som återstår är att aktivera den. Regler tillämpas uppifrån och ned i den ordning de är listade i konsolen. Endast den första regeln för vilken villkoren som anges i regeln matchar exekveras alltid. För att regeln ska utlösas måste alla villkor som anges i regelparametrarna matcha. UserGate rekommenderar att du skapar allmänna NAT-regler, till exempel en NAT-regel från ett lokalt nätverk (vanligtvis en betrodd zon) till Internet (vanligtvis en otillförlitlig zon), och begränsa åtkomst för användare, tjänster och applikationer som använder brandväggsregler.
Det är också möjligt att skapa DNAT-regler, portvidarebefordran, policybaserad routing, nätverksmapping.
Efter detta, i avsnittet "Brandvägg" måste du skapa brandväggsregler. För obegränsad tillgång till Internet för användare av det betrodda nätverket har en brandväggsregel också skapats - "Internet för betrodd" och måste vara aktiverad. Med hjälp av brandväggsregler kan administratören tillåta eller neka alla typer av transitnätverkstrafik som passerar genom UserGate. Regelvillkor kan inkludera zoner och käll-/destinations-IP-adresser, användare och grupper, tjänster och applikationer. Reglerna gäller på samma sätt som i avsnittet ”NAT och routing”, d.v.s. uppifrån och ner. Om inga regler har skapats är all transittrafik genom UserGate förbjuden.
4. slutsats
Detta avslutar artikeln. Vi installerade UserGate-brandväggen på en virtuell maskin och gjorde de minsta nödvändiga inställningarna för att Internet skulle fungera på det betrodda nätverket. Vi kommer att överväga ytterligare konfiguration i följande artiklar.
Håll utkik efter uppdateringar i våra kanaler (, , , )!
Källa: will.com