สวัสดี นี่เป็นบทความที่สองเกี่ยวกับโซลูชัน NGFW ของบริษัท
1. บทนำ
ในการเริ่มต้น ผมจะอธิบายวิธีต่างๆ ในการใช้เกตเวย์นี้ในเครือข่าย ฉันต้องการทราบว่าขึ้นอยู่กับตัวเลือกการเชื่อมต่อที่เลือก ฟังก์ชั่นบางอย่างของเกตเวย์อาจไม่พร้อมใช้งาน โซลูชัน UserGate รองรับโหมดการเชื่อมต่อต่อไปนี้:
-
ไฟร์วอลล์ L3-L7
-
สะพานใส L2
-
สะพานใส L3
-
เข้าสู่ช่องว่างอย่างแท้จริง โดยใช้โปรโตคอล WCCP
-
แทบอยู่ในช่องว่างโดยใช้การกำหนดเส้นทางตามนโยบาย
-
เราเตอร์บนสติ๊ก
-
พร็อกซีเว็บที่ระบุอย่างชัดเจน
-
UserGate เป็นเกตเวย์เริ่มต้น
-
การตรวจสอบพอร์ตมิเรอร์
UserGate รองรับคลัสเตอร์ 2 ประเภท:
-
การกำหนดค่าคลัสเตอร์ โหนดที่รวมกันเป็นคลัสเตอร์การกำหนดค่าจะรักษาการตั้งค่าที่สอดคล้องกันทั่วทั้งคลัสเตอร์
-
คลัสเตอร์ล้มเหลว สามารถรวมโหนดคลัสเตอร์การกำหนดค่าได้สูงสุด 4 โหนดในคลัสเตอร์เฟลโอเวอร์ที่รองรับการทำงานในโหมด Active-Active หรือ Active-Passive สามารถประกอบคลัสเตอร์ Failover หลายคลัสเตอร์ได้
2. การติดตั้ง
ตามที่กล่าวไว้ในบทความก่อนหน้านี้ UserGate จัดทำเป็นแพ็คเกจฮาร์ดแวร์และซอฟต์แวร์หรือปรับใช้ในสภาพแวดล้อมเสมือน จากบัญชีส่วนตัวของคุณบนเว็บไซต์
ตามเว็บไซต์ UserGate เพื่อให้เครื่องเสมือนทำงานได้อย่างถูกต้อง ขอแนะนำให้ใช้ RAM อย่างน้อย 8Gb และโปรเซสเซอร์เสมือน 2 คอร์ ไฮเปอร์ไวเซอร์ต้องรองรับระบบปฏิบัติการ 64 บิต
การติดตั้งเริ่มต้นด้วยการนำเข้าอิมเมจไปยังไฮเปอร์ไวเซอร์ที่เลือก (VirtualBox และ VMWare) ในกรณีของ Microsoft Hyper-v และ KVM คุณต้องสร้างเครื่องเสมือนและระบุอิมเมจที่ดาวน์โหลดเป็นดิสก์ จากนั้นปิดใช้งานบริการการรวมในการตั้งค่าของเครื่องเสมือนที่สร้างขึ้น
ตามค่าเริ่มต้น หลังจากอิมพอร์ตเข้าสู่ VMWare แล้ว เครื่องเสมือนจะถูกสร้างขึ้นด้วยการตั้งค่าต่อไปนี้:
ตามที่เขียนไว้ข้างต้น จะต้องมี RAM อย่างน้อย 8Gb และคุณต้องเพิ่ม 1Gb สำหรับผู้ใช้ทุกๆ 100 คน ขนาดฮาร์ดไดรฟ์เริ่มต้นคือ 100Gb แต่โดยปกติแล้วจะไม่เพียงพอที่จะจัดเก็บบันทึกและการตั้งค่าทั้งหมด ขนาดที่แนะนำคือ 300Gb ขึ้นไป ดังนั้นในคุณสมบัติของเครื่องเสมือนเราจึงเปลี่ยนขนาดดิสก์เป็นขนาดที่ต้องการ เริ่มแรก UserGate UTM เสมือนมาพร้อมกับอินเทอร์เฟซสี่แบบที่กำหนดให้กับโซน:
การจัดการ - อินเทอร์เฟซแรกของเครื่องเสมือนซึ่งเป็นโซนสำหรับเชื่อมต่อเครือข่ายที่เชื่อถือได้ซึ่งอนุญาตให้ใช้การจัดการ UserGate
Trusted คืออินเทอร์เฟซที่สองของเครื่องเสมือน ซึ่งเป็นโซนสำหรับเชื่อมต่อเครือข่ายที่เชื่อถือได้ เช่น เครือข่าย LAN
ไม่น่าเชื่อถือเป็นอินเทอร์เฟซที่สามของเครื่องเสมือน ซึ่งเป็นโซนสำหรับอินเทอร์เฟซที่เชื่อมต่อกับเครือข่ายที่ไม่น่าเชื่อถือ เช่น อินเทอร์เน็ต
DMZ เป็นอินเทอร์เฟซที่สี่ของเครื่องเสมือน ซึ่งเป็นโซนสำหรับอินเทอร์เฟซที่เชื่อมต่อกับเครือข่าย DMZ
ต่อไป เราจะเปิดตัวเครื่องเสมือน แม้ว่าคู่มือจะบอกว่าคุณต้องเลือกเครื่องมือสนับสนุนและทำการรีเซ็ต UTM จากโรงงาน แต่อย่างที่คุณเห็น มีเพียงทางเลือกเดียวเท่านั้น (UTM First Boot) ในระหว่างขั้นตอนนี้ UTM จะกำหนดค่าอะแดปเตอร์เครือข่ายและเพิ่มขนาดของพาร์ติชันฮาร์ดไดรฟ์ให้เป็นขนาดดิสก์เต็ม:
ในการเชื่อมต่อกับเว็บอินเตอร์เฟส UserGate คุณต้องเข้าสู่ระบบผ่านโซนการจัดการซึ่งอินเทอร์เฟซ eth0 มีหน้าที่รับผิดชอบในเรื่องนี้ซึ่งได้รับการกำหนดค่าให้รับที่อยู่ IP โดยอัตโนมัติ (DHCP) หากไม่สามารถกำหนดที่อยู่สำหรับอินเทอร์เฟซการจัดการโดยอัตโนมัติโดยใช้ DHCP ได้ ก็สามารถตั้งค่าได้อย่างชัดเจนโดยใช้ CLI (อินเทอร์เฟซบรรทัดคำสั่ง) ในการดำเนินการนี้ คุณต้องเข้าสู่ระบบ CLI โดยใช้ชื่อผู้ใช้และรหัสผ่านที่มีสิทธิ์ของผู้ดูแลระบบแบบเต็ม (ผู้ดูแลระบบจะใช้อักษรตัวพิมพ์ใหญ่ตามค่าเริ่มต้น) หากอุปกรณ์ UserGate ไม่ได้รับการเริ่มต้น ดังนั้นในการเข้าถึง CLI คุณต้องใช้ผู้ดูแลระบบเป็นชื่อผู้ใช้และ utm เป็นรหัสผ่าน และพิมพ์คำสั่งเช่น iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static หลังจากนั้นเราไปที่เว็บคอนโซล UserGate ตามที่อยู่ที่ระบุซึ่งควรมีลักษณะดังนี้:
เราดำเนินการติดตั้งต่อในเว็บคอนโซล เราต้องเลือกภาษาของอินเทอร์เฟซ (ในขณะนี้คือภาษารัสเซียหรืออังกฤษ) เขตเวลา จากนั้นอ่านและยอมรับข้อตกลงใบอนุญาต ตั้งค่าล็อกอินและรหัสผ่านเพื่อล็อกอินเข้าสู่อินเทอร์เฟซการจัดการเว็บ
3. ตั้งค่า
หลังการติดตั้ง หน้าต่างอินเทอร์เฟซการจัดการแพลตฟอร์มจะมีลักษณะดังนี้:
จากนั้นคุณจะต้องกำหนดค่าอินเทอร์เฟซเครือข่าย ในการดำเนินการนี้ในส่วน "อินเทอร์เฟซ" คุณต้องเปิดใช้งานให้ตั้งค่าที่อยู่ IP ที่ถูกต้องและกำหนดโซนที่เหมาะสม
ส่วน "อินเทอร์เฟซ" จะแสดงอินเทอร์เฟซทางกายภาพและเสมือนทั้งหมดที่มีอยู่ในระบบ ช่วยให้คุณสามารถเปลี่ยนการตั้งค่าและเพิ่มอินเทอร์เฟซ VLAN นอกจากนี้ยังแสดงอินเทอร์เฟซทั้งหมดของแต่ละโหนดคลัสเตอร์ด้วย การตั้งค่าอินเทอร์เฟซเฉพาะสำหรับแต่ละโหนด กล่าวคือ ไม่ใช่แบบโกลบอล
ในคุณสมบัติของอินเทอร์เฟซ:
-
เปิดหรือปิดอินเทอร์เฟซ
-
ระบุประเภทอินเทอร์เฟซ - เลเยอร์ 3 หรือมิเรอร์
-
กำหนดโซนให้กับอินเทอร์เฟซ
-
กำหนดโปรไฟล์ Netflow เพื่อส่งข้อมูลทางสถิติไปยังตัวรวบรวม Netflow
-
เปลี่ยนพารามิเตอร์ทางกายภาพของอินเทอร์เฟซ - ที่อยู่ MAC และขนาด MTU
-
เลือกประเภทการกำหนดที่อยู่ IP - ไม่มีที่อยู่, ที่อยู่ IP แบบคงที่ หรือรับผ่าน DHCP
-
กำหนดค่ารีเลย์ DHCP บนอินเทอร์เฟซที่เลือก
ปุ่ม "เพิ่ม" ช่วยให้คุณเพิ่มอินเทอร์เฟซแบบลอจิคัลประเภทต่อไปนี้:
-
VLAN
-
บอนด์
-
สะพาน
-
PPPoE
-
VPN
-
อุโมงค์
นอกเหนือจากโซนที่ระบุไว้ก่อนหน้านี้ซึ่งอิมเมจ Usergate จัดส่งด้วยแล้ว ยังมีประเภทที่กำหนดไว้ล่วงหน้าอีกสามประเภท:
คลัสเตอร์ - โซนสำหรับอินเทอร์เฟซที่ใช้สำหรับการดำเนินการคลัสเตอร์
VPN สำหรับ Site-to-Site - โซนที่ไคลเอนต์ Office-Office ทั้งหมดที่เชื่อมต่อกับ UserGate ผ่าน VPN ถูกวาง
VPN สำหรับการเข้าถึงระยะไกล - โซนที่รวมผู้ใช้มือถือทั้งหมดที่เชื่อมต่อกับ UserGate ผ่าน VPN
ผู้ดูแลระบบ UserGate สามารถเปลี่ยนการตั้งค่าของโซนเริ่มต้นและสร้างโซนเพิ่มเติมได้ แต่ตามที่ระบุไว้ในคู่มือเวอร์ชัน 5 สามารถสร้างได้สูงสุด 15 โซน หากต้องการเปลี่ยนหรือสร้างคุณต้องไปที่ส่วนโซน สำหรับแต่ละโซน คุณสามารถตั้งค่าเกณฑ์การปล่อยแพ็กเก็ตได้ รองรับ SYN, UDP, ICMP มีการกำหนดค่าการควบคุมการเข้าถึงบริการ Usergate และเปิดใช้งานการป้องกันการปลอมแปลง
หลังจากกำหนดค่าอินเทอร์เฟซแล้ว คุณต้องกำหนดค่าเส้นทางเริ่มต้นในส่วน "เกตเวย์" เหล่านั้น. ในการเชื่อมต่อ UserGate กับอินเทอร์เน็ต คุณต้องระบุที่อยู่ IP ของเกตเวย์ตั้งแต่หนึ่งเกตเวย์ขึ้นไป หากคุณใช้ผู้ให้บริการหลายรายในการเชื่อมต่ออินเทอร์เน็ต คุณต้องระบุเกตเวย์หลายรายการ การกำหนดค่าเกตเวย์จะไม่ซ้ำกันสำหรับแต่ละโหนดคลัสเตอร์ หากมีการระบุเกตเวย์ตั้งแต่ 2 รายการขึ้นไป จะมี XNUMX ตัวเลือกให้เลือก:
-
ปรับสมดุลการรับส่งข้อมูลระหว่างเกตเวย์
-
เกตเวย์หลักที่มีการสลับไปใช้เกตเวย์สำรอง
สถานะเกตเวย์ (พร้อมใช้งาน - สีเขียว, ไม่พร้อมใช้งาน - สีแดง) ถูกกำหนดดังนี้:
-
การตรวจสอบเครือข่ายถูกปิดใช้งาน - ถือว่าเกตเวย์สามารถเข้าถึงได้หาก UserGate สามารถรับที่อยู่ MAC โดยใช้คำขอ ARP ไม่มีการตรวจสอบการเข้าถึงอินเทอร์เน็ตผ่านเกตเวย์นี้ หากไม่สามารถกำหนดที่อยู่ MAC ของเกตเวย์ได้ จะถือว่าเกตเวย์ไม่สามารถเข้าถึงได้
-
เปิดใช้งานการตรวจสอบเครือข่าย - เกตเวย์จะถือว่าสามารถเข้าถึงได้หาก:
-
UserGate สามารถรับที่อยู่ MAC ได้โดยใช้คำขอ ARP
-
การตรวจสอบการเข้าถึงอินเทอร์เน็ตผ่านเกตเวย์นี้เสร็จสมบูรณ์แล้ว
มิฉะนั้นจะถือว่าเกตเวย์ไม่พร้อมใช้งาน
ในส่วน “DNS” คุณต้องเพิ่มเซิร์ฟเวอร์ DNS ที่ UserGate จะใช้ การตั้งค่านี้ระบุไว้ในพื้นที่เซิร์ฟเวอร์ DNS ของระบบ ด้านล่างนี้คือการตั้งค่าสำหรับจัดการคำขอ DNS จากผู้ใช้ UserGate อนุญาตให้คุณใช้พร็อกซี DNS บริการพร็อกซี DNS ช่วยให้คุณสามารถสกัดกั้นคำขอ DNS จากผู้ใช้และเปลี่ยนแปลงได้ตามความต้องการของผู้ดูแลระบบ กฎพร็อกซี DNS สามารถใช้เพื่อระบุเซิร์ฟเวอร์ DNS ที่จะส่งต่อคำขอสำหรับโดเมนเฉพาะ นอกจากนี้ เมื่อใช้พร็อกซี DNS คุณสามารถตั้งค่าบันทึกแบบคงที่ของประเภทโฮสต์ (บันทึก A)
ในส่วน "NAT และการกำหนดเส้นทาง" คุณต้องสร้างกฎ NAT ที่จำเป็น สำหรับการเข้าถึงอินเทอร์เน็ตโดยผู้ใช้เครือข่าย Trusted กฎ NAT ได้ถูกสร้างขึ้นแล้ว - "Trusted->Untrusted" สิ่งที่เหลืออยู่คือการเปิดใช้งาน กฎจะถูกใช้จากบนลงล่างตามลำดับที่แสดงในคอนโซล เฉพาะกฎข้อแรกซึ่งเงื่อนไขที่ระบุในการจับคู่กฎเท่านั้นที่จะถูกดำเนินการเสมอ เพื่อให้กฎถูกทริกเกอร์ เงื่อนไขทั้งหมดที่ระบุในพารามิเตอร์กฎจะต้องตรงกัน UserGate แนะนำให้สร้างกฎ NAT ทั่วไป เช่น กฎ NAT จากเครือข่ายท้องถิ่น (โดยปกติจะเป็นโซนที่เชื่อถือ) กับอินเทอร์เน็ต (โดยปกติจะเป็นโซนที่ไม่น่าเชื่อถือ) และการจำกัดการเข้าถึงโดยผู้ใช้ บริการ และแอปพลิเคชันโดยใช้กฎไฟร์วอลล์
นอกจากนี้ยังสามารถสร้างกฎ DNAT, การส่งต่อพอร์ต, การกำหนดเส้นทางตามนโยบาย, การทำแผนที่เครือข่าย
หลังจากนี้ในส่วน "ไฟร์วอลล์" คุณต้องสร้างกฎไฟร์วอลล์ สำหรับการเข้าถึงอินเทอร์เน็ตแบบไม่จำกัดสำหรับผู้ใช้เครือข่าย Trusted กฎไฟร์วอลล์ได้ถูกสร้างขึ้นแล้ว - "Internet for Trusted" และจะต้องเปิดใช้งาน เมื่อใช้กฎไฟร์วอลล์ ผู้ดูแลระบบสามารถอนุญาตหรือปฏิเสธการรับส่งข้อมูลเครือข่ายการขนส่งสาธารณะทุกประเภทที่ผ่าน UserGate เงื่อนไขของกฎอาจรวมถึงโซนและที่อยู่ IP ต้นทาง/ปลายทาง ผู้ใช้และกลุ่ม บริการและแอปพลิเคชัน กฎมีผลใช้ในลักษณะเดียวกับในส่วน "NAT และการกำหนดเส้นทาง" เช่น จากบนลงล่าง หากไม่มีการสร้างกฎใดๆ ก็ตาม การขนส่งสาธารณะผ่าน UserGate เป็นสิ่งต้องห้าม
4 ข้อสรุป
นี่เป็นการสรุปบทความ เราติดตั้งไฟร์วอลล์ UserGate บนเครื่องเสมือนและทำการตั้งค่าขั้นต่ำที่จำเป็นเพื่อให้อินเทอร์เน็ตทำงานบนเครือข่ายที่เชื่อถือได้ เราจะพิจารณาการกำหนดค่าเพิ่มเติมในบทความต่อไปนี้
คอยติดตามการอัปเดตในช่องของเรา (
ที่มา: will.com