2. UserGate เริ่มต้นใช้งาน ข้อกำหนดการติดตั้ง

สวัสดี นี่เป็นบทความที่สองเกี่ยวกับโซลูชัน NGFW ของบริษัท ยูสเซอร์เกท. วัตถุประสงค์ของบทความนี้คือเพื่อแสดงวิธีการติดตั้งไฟร์วอลล์ UserGate บนระบบเสมือน (ฉันจะใช้ซอฟต์แวร์การจำลองเสมือน VMware Workstation) และดำเนินการกำหนดค่าเริ่มต้น (อนุญาตการเข้าถึงจากเครือข่ายท้องถิ่นผ่านเกตเวย์ UserGate ไปยังอินเทอร์เน็ต)   

1. บทนำ

ในการเริ่มต้น ผมจะอธิบายวิธีต่างๆ ในการใช้เกตเวย์นี้ในเครือข่าย ฉันต้องการทราบว่าขึ้นอยู่กับตัวเลือกการเชื่อมต่อที่เลือก ฟังก์ชั่นบางอย่างของเกตเวย์อาจไม่พร้อมใช้งาน โซลูชัน UserGate รองรับโหมดการเชื่อมต่อต่อไปนี้: 

• ไฟร์วอลล์ L3-L7

• สะพานใส L2

• สะพานใส L3

• เข้าสู่ช่องว่างอย่างแท้จริง โดยใช้โปรโตคอล WCCP

• แทบอยู่ในช่องว่างโดยใช้การกำหนดเส้นทางตามนโยบาย

• เราเตอร์บนสติ๊ก

• พร็อกซีเว็บที่ระบุอย่างชัดเจน

• UserGate เป็นเกตเวย์เริ่มต้น

• การตรวจสอบพอร์ตมิเรอร์

UserGate รองรับคลัสเตอร์ 2 ประเภท:

1. การกำหนดค่าคลัสเตอร์ โหนดที่รวมกันเป็นคลัสเตอร์การกำหนดค่าจะรักษาการตั้งค่าที่สอดคล้องกันทั่วทั้งคลัสเตอร์

2. คลัสเตอร์ล้มเหลว สามารถรวมโหนดคลัสเตอร์การกำหนดค่าได้สูงสุด 4 โหนดในคลัสเตอร์เฟลโอเวอร์ที่รองรับการทำงานในโหมด Active-Active หรือ Active-Passive สามารถประกอบคลัสเตอร์ Failover หลายคลัสเตอร์ได้

2. การติดตั้ง

ตามที่กล่าวไว้ในบทความก่อนหน้านี้ UserGate จัดทำเป็นแพ็คเกจฮาร์ดแวร์และซอฟต์แวร์หรือปรับใช้ในสภาพแวดล้อมเสมือน จากบัญชีส่วนตัวของคุณบนเว็บไซต์ ยูสเซอร์เกท ดาวน์โหลดอิมเมจในรูปแบบ OVF (Open Virtualization Format) รูปแบบนี้เหมาะสำหรับผู้จำหน่าย VMWare และ Oracle Virtualbox อิมเมจดิสก์เครื่องเสมือนมีให้สำหรับ Microsoft Hyper-v และ KVM

ตามเว็บไซต์ UserGate เพื่อให้เครื่องเสมือนทำงานได้อย่างถูกต้อง ขอแนะนำให้ใช้ RAM อย่างน้อย 8Gb และโปรเซสเซอร์เสมือน 2 คอร์ ไฮเปอร์ไวเซอร์ต้องรองรับระบบปฏิบัติการ 64 บิต

การติดตั้งเริ่มต้นด้วยการนำเข้าอิมเมจไปยังไฮเปอร์ไวเซอร์ที่เลือก (VirtualBox และ VMWare) ในกรณีของ Microsoft Hyper-v และ KVM คุณต้องสร้างเครื่องเสมือนและระบุอิมเมจที่ดาวน์โหลดเป็นดิสก์ จากนั้นปิดใช้งานบริการการรวมในการตั้งค่าของเครื่องเสมือนที่สร้างขึ้น

ตามค่าเริ่มต้น หลังจากอิมพอร์ตเข้าสู่ VMWare แล้ว เครื่องเสมือนจะถูกสร้างขึ้นด้วยการตั้งค่าต่อไปนี้:

ตามที่เขียนไว้ข้างต้น จะต้องมี RAM อย่างน้อย 8Gb และคุณต้องเพิ่ม 1Gb สำหรับผู้ใช้ทุกๆ 100 คน ขนาดฮาร์ดไดรฟ์เริ่มต้นคือ 100Gb แต่โดยปกติแล้วจะไม่เพียงพอที่จะจัดเก็บบันทึกและการตั้งค่าทั้งหมด ขนาดที่แนะนำคือ 300Gb ขึ้นไป ดังนั้นในคุณสมบัติของเครื่องเสมือนเราจึงเปลี่ยนขนาดดิสก์เป็นขนาดที่ต้องการ เริ่มแรก UserGate UTM เสมือนมาพร้อมกับอินเทอร์เฟซสี่แบบที่กำหนดให้กับโซน:

การจัดการ - อินเทอร์เฟซแรกของเครื่องเสมือนซึ่งเป็นโซนสำหรับเชื่อมต่อเครือข่ายที่เชื่อถือได้ซึ่งอนุญาตให้ใช้การจัดการ UserGate

Trusted คืออินเทอร์เฟซที่สองของเครื่องเสมือน ซึ่งเป็นโซนสำหรับเชื่อมต่อเครือข่ายที่เชื่อถือได้ เช่น เครือข่าย LAN

ไม่น่าเชื่อถือเป็นอินเทอร์เฟซที่สามของเครื่องเสมือน ซึ่งเป็นโซนสำหรับอินเทอร์เฟซที่เชื่อมต่อกับเครือข่ายที่ไม่น่าเชื่อถือ เช่น อินเทอร์เน็ต

DMZ เป็นอินเทอร์เฟซที่สี่ของเครื่องเสมือน ซึ่งเป็นโซนสำหรับอินเทอร์เฟซที่เชื่อมต่อกับเครือข่าย DMZ

ต่อไป เราจะเปิดตัวเครื่องเสมือน แม้ว่าคู่มือจะบอกว่าคุณต้องเลือกเครื่องมือสนับสนุนและทำการรีเซ็ต UTM จากโรงงาน แต่อย่างที่คุณเห็น มีเพียงทางเลือกเดียวเท่านั้น (UTM First Boot) ในระหว่างขั้นตอนนี้ UTM จะกำหนดค่าอะแดปเตอร์เครือข่ายและเพิ่มขนาดของพาร์ติชันฮาร์ดไดรฟ์ให้เป็นขนาดดิสก์เต็ม:

ในการเชื่อมต่อกับเว็บอินเตอร์เฟส UserGate คุณต้องเข้าสู่ระบบผ่านโซนการจัดการซึ่งอินเทอร์เฟซ eth0 มีหน้าที่รับผิดชอบในเรื่องนี้ซึ่งได้รับการกำหนดค่าให้รับที่อยู่ IP โดยอัตโนมัติ (DHCP) หากไม่สามารถกำหนดที่อยู่สำหรับอินเทอร์เฟซการจัดการโดยอัตโนมัติโดยใช้ DHCP ได้ ก็สามารถตั้งค่าได้อย่างชัดเจนโดยใช้ CLI (อินเทอร์เฟซบรรทัดคำสั่ง) ในการดำเนินการนี้ คุณต้องเข้าสู่ระบบ CLI โดยใช้ชื่อผู้ใช้และรหัสผ่านที่มีสิทธิ์ของผู้ดูแลระบบแบบเต็ม (ผู้ดูแลระบบจะใช้อักษรตัวพิมพ์ใหญ่ตามค่าเริ่มต้น) หากอุปกรณ์ UserGate ไม่ได้รับการเริ่มต้น ดังนั้นในการเข้าถึง CLI คุณต้องใช้ผู้ดูแลระบบเป็นชื่อผู้ใช้และ utm เป็นรหัสผ่าน และพิมพ์คำสั่งเช่น iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static หลังจากนั้นเราไปที่เว็บคอนโซล UserGate ตามที่อยู่ที่ระบุซึ่งควรมีลักษณะดังนี้: https://UserGateIPaddress:8001:

เราดำเนินการติดตั้งต่อในเว็บคอนโซล เราต้องเลือกภาษาของอินเทอร์เฟซ (ในขณะนี้คือภาษารัสเซียหรืออังกฤษ) เขตเวลา จากนั้นอ่านและยอมรับข้อตกลงใบอนุญาต ตั้งค่าล็อกอินและรหัสผ่านเพื่อล็อกอินเข้าสู่อินเทอร์เฟซการจัดการเว็บ

3. ตั้งค่า

หลังการติดตั้ง หน้าต่างอินเทอร์เฟซการจัดการแพลตฟอร์มจะมีลักษณะดังนี้:

จากนั้นคุณจะต้องกำหนดค่าอินเทอร์เฟซเครือข่าย ในการดำเนินการนี้ในส่วน "อินเทอร์เฟซ" คุณต้องเปิดใช้งานให้ตั้งค่าที่อยู่ IP ที่ถูกต้องและกำหนดโซนที่เหมาะสม

ส่วน "อินเทอร์เฟซ" จะแสดงอินเทอร์เฟซทางกายภาพและเสมือนทั้งหมดที่มีอยู่ในระบบ ช่วยให้คุณสามารถเปลี่ยนการตั้งค่าและเพิ่มอินเทอร์เฟซ VLAN นอกจากนี้ยังแสดงอินเทอร์เฟซทั้งหมดของแต่ละโหนดคลัสเตอร์ด้วย การตั้งค่าอินเทอร์เฟซเฉพาะสำหรับแต่ละโหนด กล่าวคือ ไม่ใช่แบบโกลบอล

ในคุณสมบัติของอินเทอร์เฟซ:

• เปิดหรือปิดอินเทอร์เฟซ 

• ระบุประเภทอินเทอร์เฟซ - เลเยอร์ 3 หรือมิเรอร์

• กำหนดโซนให้กับอินเทอร์เฟซ

• กำหนดโปรไฟล์ Netflow เพื่อส่งข้อมูลทางสถิติไปยังตัวรวบรวม Netflow

• เปลี่ยนพารามิเตอร์ทางกายภาพของอินเทอร์เฟซ - ที่อยู่ MAC และขนาด MTU

• เลือกประเภทการกำหนดที่อยู่ IP - ไม่มีที่อยู่, ที่อยู่ IP แบบคงที่ หรือรับผ่าน DHCP

• กำหนดค่ารีเลย์ DHCP บนอินเทอร์เฟซที่เลือก

ปุ่ม "เพิ่ม" ช่วยให้คุณเพิ่มอินเทอร์เฟซแบบลอจิคัลประเภทต่อไปนี้:

• VLAN

• บอนด์

• สะพาน

• PPPoE

• VPN

• อุโมงค์

นอกเหนือจากโซนที่ระบุไว้ก่อนหน้านี้ซึ่งอิมเมจ Usergate จัดส่งด้วยแล้ว ยังมีประเภทที่กำหนดไว้ล่วงหน้าอีกสามประเภท:

คลัสเตอร์ - โซนสำหรับอินเทอร์เฟซที่ใช้สำหรับการดำเนินการคลัสเตอร์

VPN สำหรับ Site-to-Site - โซนที่ไคลเอนต์ Office-Office ทั้งหมดที่เชื่อมต่อกับ UserGate ผ่าน VPN ถูกวาง

VPN สำหรับการเข้าถึงระยะไกล - โซนที่รวมผู้ใช้มือถือทั้งหมดที่เชื่อมต่อกับ UserGate ผ่าน VPN

ผู้ดูแลระบบ UserGate สามารถเปลี่ยนการตั้งค่าของโซนเริ่มต้นและสร้างโซนเพิ่มเติมได้ แต่ตามที่ระบุไว้ในคู่มือเวอร์ชัน 5 สามารถสร้างได้สูงสุด 15 โซน หากต้องการเปลี่ยนหรือสร้างคุณต้องไปที่ส่วนโซน สำหรับแต่ละโซน คุณสามารถตั้งค่าเกณฑ์การปล่อยแพ็กเก็ตได้ รองรับ SYN, UDP, ICMP มีการกำหนดค่าการควบคุมการเข้าถึงบริการ Usergate และเปิดใช้งานการป้องกันการปลอมแปลง

หลังจากกำหนดค่าอินเทอร์เฟซแล้ว คุณต้องกำหนดค่าเส้นทางเริ่มต้นในส่วน "เกตเวย์" เหล่านั้น. ในการเชื่อมต่อ UserGate กับอินเทอร์เน็ต คุณต้องระบุที่อยู่ IP ของเกตเวย์ตั้งแต่หนึ่งเกตเวย์ขึ้นไป หากคุณใช้ผู้ให้บริการหลายรายในการเชื่อมต่ออินเทอร์เน็ต คุณต้องระบุเกตเวย์หลายรายการ การกำหนดค่าเกตเวย์จะไม่ซ้ำกันสำหรับแต่ละโหนดคลัสเตอร์ หากมีการระบุเกตเวย์ตั้งแต่ 2 รายการขึ้นไป จะมี XNUMX ตัวเลือกให้เลือก:

1. ปรับสมดุลการรับส่งข้อมูลระหว่างเกตเวย์

2. เกตเวย์หลักที่มีการสลับไปใช้เกตเวย์สำรอง

สถานะเกตเวย์ (พร้อมใช้งาน - สีเขียว, ไม่พร้อมใช้งาน - สีแดง) ถูกกำหนดดังนี้:

1. การตรวจสอบเครือข่ายถูกปิดใช้งาน - ถือว่าเกตเวย์สามารถเข้าถึงได้หาก UserGate สามารถรับที่อยู่ MAC โดยใช้คำขอ ARP ไม่มีการตรวจสอบการเข้าถึงอินเทอร์เน็ตผ่านเกตเวย์นี้ หากไม่สามารถกำหนดที่อยู่ MAC ของเกตเวย์ได้ จะถือว่าเกตเวย์ไม่สามารถเข้าถึงได้

2. เปิดใช้งานการตรวจสอบเครือข่าย - เกตเวย์จะถือว่าสามารถเข้าถึงได้หาก:

• UserGate สามารถรับที่อยู่ MAC ได้โดยใช้คำขอ ARP

• การตรวจสอบการเข้าถึงอินเทอร์เน็ตผ่านเกตเวย์นี้เสร็จสมบูรณ์แล้ว

มิฉะนั้นจะถือว่าเกตเวย์ไม่พร้อมใช้งาน

ในส่วน “DNS” คุณต้องเพิ่มเซิร์ฟเวอร์ DNS ที่ UserGate จะใช้ การตั้งค่านี้ระบุไว้ในพื้นที่เซิร์ฟเวอร์ DNS ของระบบ ด้านล่างนี้คือการตั้งค่าสำหรับจัดการคำขอ DNS จากผู้ใช้ UserGate อนุญาตให้คุณใช้พร็อกซี DNS บริการพร็อกซี DNS ช่วยให้คุณสามารถสกัดกั้นคำขอ DNS จากผู้ใช้และเปลี่ยนแปลงได้ตามความต้องการของผู้ดูแลระบบ กฎพร็อกซี DNS สามารถใช้เพื่อระบุเซิร์ฟเวอร์ DNS ที่จะส่งต่อคำขอสำหรับโดเมนเฉพาะ นอกจากนี้ เมื่อใช้พร็อกซี DNS คุณสามารถตั้งค่าบันทึกแบบคงที่ของประเภทโฮสต์ (บันทึก A)

ในส่วน "NAT และการกำหนดเส้นทาง" คุณต้องสร้างกฎ NAT ที่จำเป็น สำหรับการเข้าถึงอินเทอร์เน็ตโดยผู้ใช้เครือข่าย Trusted กฎ NAT ได้ถูกสร้างขึ้นแล้ว - "Trusted->Untrusted" สิ่งที่เหลืออยู่คือการเปิดใช้งาน กฎจะถูกใช้จากบนลงล่างตามลำดับที่แสดงในคอนโซล เฉพาะกฎข้อแรกซึ่งเงื่อนไขที่ระบุในการจับคู่กฎเท่านั้นที่จะถูกดำเนินการเสมอ เพื่อให้กฎถูกทริกเกอร์ เงื่อนไขทั้งหมดที่ระบุในพารามิเตอร์กฎจะต้องตรงกัน UserGate แนะนำให้สร้างกฎ NAT ทั่วไป เช่น กฎ NAT จากเครือข่ายท้องถิ่น (โดยปกติจะเป็นโซนที่เชื่อถือ) กับอินเทอร์เน็ต (โดยปกติจะเป็นโซนที่ไม่น่าเชื่อถือ) และการจำกัดการเข้าถึงโดยผู้ใช้ บริการ และแอปพลิเคชันโดยใช้กฎไฟร์วอลล์

นอกจากนี้ยังสามารถสร้างกฎ DNAT, การส่งต่อพอร์ต, การกำหนดเส้นทางตามนโยบาย, การทำแผนที่เครือข่าย

หลังจากนี้ในส่วน "ไฟร์วอลล์" คุณต้องสร้างกฎไฟร์วอลล์ สำหรับการเข้าถึงอินเทอร์เน็ตแบบไม่จำกัดสำหรับผู้ใช้เครือข่าย Trusted กฎไฟร์วอลล์ได้ถูกสร้างขึ้นแล้ว - "Internet for Trusted" และจะต้องเปิดใช้งาน เมื่อใช้กฎไฟร์วอลล์ ผู้ดูแลระบบสามารถอนุญาตหรือปฏิเสธการรับส่งข้อมูลเครือข่ายการขนส่งสาธารณะทุกประเภทที่ผ่าน UserGate เงื่อนไขของกฎอาจรวมถึงโซนและที่อยู่ IP ต้นทาง/ปลายทาง ผู้ใช้และกลุ่ม บริการและแอปพลิเคชัน กฎมีผลใช้ในลักษณะเดียวกับในส่วน "NAT และการกำหนดเส้นทาง" เช่น จากบนลงล่าง หากไม่มีการสร้างกฎใดๆ ก็ตาม การขนส่งสาธารณะผ่าน UserGate เป็นสิ่งต้องห้าม

4 ข้อสรุป

นี่เป็นการสรุปบทความ เราติดตั้งไฟร์วอลล์ UserGate บนเครื่องเสมือนและทำการตั้งค่าขั้นต่ำที่จำเป็นเพื่อให้อินเทอร์เน็ตทำงานบนเครือข่ายที่เชื่อถือได้ เราจะพิจารณาการกำหนดค่าเพิ่มเติมในบทความต่อไปนี้

คอยติดตามการอัปเดตในช่องของเรา (Telegram, Facebook, VK, บล็อกโซลูชัน TS)!

ที่มา: will.com