Kumusta, ito ang pangalawang artikulo tungkol sa solusyon ng NGFW mula sa kumpanya . Ang layunin ng artikulong ito ay ipakita kung paano i-install ang UserGate firewall sa isang virtual system (gagamitin ko ang VMware Workstation virtualization software) at isagawa ang paunang pagsasaayos nito (payagan ang pag-access mula sa lokal na network sa pamamagitan ng UserGate gateway sa Internet).
1. Panimula
Upang magsimula, ilalarawan ko ang iba't ibang paraan upang maipatupad ang gateway na ito sa network. Gusto kong tandaan na depende sa napiling opsyon sa koneksyon, maaaring hindi available ang ilang functionality ng gateway. Sinusuportahan ng solusyon ng UserGate ang mga sumusunod na mode ng koneksyon:
-
L3-L7 firewall
-
L2 transparent na tulay
-
L3 transparent na tulay
-
Halos sa puwang, gamit ang WCCP protocol
-
Halos nasa gap, gamit ang Policy Based Routing
-
Router sa isang Stick
-
Tahasang tinukoy ang WEB proxy
-
UserGate bilang default na gateway
-
Pagsubaybay sa mirror port
Sinusuportahan ng UserGate ang 2 uri ng mga kumpol:
-
Configuration ng cluster. Ang mga node na pinagsama sa isang configuration cluster ay nagpapanatili ng mga pare-parehong setting sa buong cluster.
-
Failover cluster. Hanggang 4 na configuration cluster node ang maaaring pagsamahin sa isang failover cluster na sumusuporta sa operasyon sa Active-Active o Active-Passive mode. Posibleng mag-ipon ng maraming failover cluster.
2. Pag-install
Tulad ng nabanggit sa nakaraang artikulo, ang UserGate ay ibinibigay bilang isang hardware at software package o na-deploy sa isang virtual na kapaligiran. Mula sa iyong personal na account sa website i-download ang imahe sa OVF (Open Virtualization Format), ang format na ito ay angkop para sa VMWare at Oracle Virtualbox vendor. Ang mga imahe ng virtual machine disk ay ibinibigay para sa Microsoft Hyper-v at KVM.
Ayon sa website ng UserGate, para gumana nang tama ang virtual machine, inirerekomendang gumamit ng hindi bababa sa 8Gb ng RAM at isang 2-core virtual processor. Dapat suportahan ng hypervisor ang 64-bit na mga operating system.
Ang pag-install ay nagsisimula sa pamamagitan ng pag-import ng imahe sa napiling hypervisor (VirtualBox at VMWare). Sa kaso ng Microsoft Hyper-v at KVM, kailangan mong lumikha ng isang virtual machine at tukuyin ang na-download na imahe bilang disk, at pagkatapos ay huwag paganahin ang mga serbisyo sa pagsasama sa mga setting ng nilikha na virtual machine.
Bilang default, pagkatapos mag-import sa VMWare, isang virtual machine ang nilikha gamit ang mga sumusunod na setting:
Gaya ng nakasulat sa itaas, dapat mayroong hindi bababa sa 8Gb ng RAM at bilang karagdagan kailangan mong magdagdag ng 1Gb para sa bawat 100 user. Ang default na laki ng hard drive ay 100Gb, ngunit ito ay karaniwang hindi sapat upang iimbak ang lahat ng mga log at setting. Ang inirerekomendang laki ay 300Gb o higit pa. Samakatuwid, sa mga katangian ng virtual machine, binabago namin ang laki ng disk sa nais. Sa una, ang virtual UserGate UTM ay may apat na interface na nakatalaga sa mga zone:
Pamamahala - ang unang interface ng virtual machine, isang zone para sa pagkonekta ng mga pinagkakatiwalaang network kung saan pinapayagan ang pamamahala ng UserGate.
Ang pinagkakatiwalaan ay ang pangalawang interface ng virtual machine, isang zone para sa pagkonekta ng mga pinagkakatiwalaang network, halimbawa, mga LAN network.
Ang hindi pinagkakatiwalaan ay ang ikatlong interface ng virtual machine, isang zone para sa mga interface na konektado sa mga hindi pinagkakatiwalaang network, halimbawa, sa Internet.
Ang DMZ ay ang ikaapat na interface ng virtual machine, isang zone para sa mga interface na konektado sa DMZ network.
Susunod, inilunsad namin ang virtual machine, bagaman ang manu-manong ay nagsasabi na kailangan mong piliin ang Mga Tool sa Suporta at magsagawa ng Factory reset UTM, ngunit tulad ng nakikita mo, mayroon lamang isang pagpipilian (UTM First Boot). Sa hakbang na ito, kino-configure ng UTM ang mga adapter ng network at pinapataas ang laki ng partition ng hard drive sa buong laki ng disk:
Upang kumonekta sa UserGate web interface, kailangan mong mag-log in sa pamamagitan ng Management zone, ang eth0 interface ay may pananagutan para dito, na na-configure upang awtomatikong makakuha ng isang IP address (DHCP). Kung hindi posibleng magtalaga ng address para sa interface ng Pamamahala nang awtomatiko gamit ang DHCP, maaari itong tahasang itakda gamit ang CLI (Command Line Interface). Upang gawin ito, kailangan mong mag-log in sa CLI gamit ang isang username at password na may Buong mga karapatan ng administrator (Admin na may malaking titik bilang default). Kung ang UserGate device ay hindi sumailalim sa inisyal na pagsisimula, para ma-access ang CLI dapat mong gamitin ang Admin bilang username at utm bilang password. At mag-type ng command tulad ng iface config βname eth0 βipv4 192.168.1.254/24 βenable true βmode static. Mamaya pumunta kami sa UserGate web console sa tinukoy na address, dapat itong magmukhang ganito:https://UserGateIPaddress:8001:
Sa web console, ipinagpatuloy namin ang pag-install, kailangan naming piliin ang wika ng interface (sa sandaling ito ay Russian o English), time zone, pagkatapos ay basahin at sumang-ayon sa kasunduan sa lisensya. Itakda ang login at password upang mag-log in sa interface ng pamamahala sa web.
3. Pag-setup
Pagkatapos ng pag-install, ganito ang hitsura ng window ng web interface ng pamamahala ng platform:
Pagkatapos ay kailangan mong i-configure ang mga interface ng network. Upang gawin ito, sa seksyong "Mga Interface" kailangan mong paganahin ang mga ito, itakda ang tamang mga IP address at italaga ang naaangkop na mga zone.
Ang seksyong "Mga Interface" ay nagpapakita ng lahat ng pisikal at virtual na mga interface na magagamit sa system, nagbibigay-daan sa iyong baguhin ang kanilang mga setting at magdagdag ng mga interface ng VLAN. Ipinapakita rin nito ang lahat ng mga interface ng bawat cluster node. Ang mga setting ng interface ay partikular sa bawat node, ibig sabihin, hindi sila global.
Sa mga katangian ng interface:
-
Paganahin o huwag paganahin ang interface
-
Tukuyin ang uri ng interface - Layer 3 o Mirror
-
Magtalaga ng zone sa isang interface
-
Magtalaga ng profile sa Netflow upang magpadala ng istatistikal na data sa kolektor ng Netflow
-
Baguhin ang mga pisikal na parameter ng interface - MAC address at laki ng MTU
-
Piliin ang uri ng pagtatalaga ng IP address - walang address, static na IP address o nakuha sa pamamagitan ng DHCP
-
I-configure ang DHCP relay sa napiling interface.
Ang "Add" button ay nagbibigay-daan sa iyo upang magdagdag ng mga sumusunod na uri ng mga lohikal na interface:
-
Mga VLAN
-
Bond
-
Bridge
-
PPPoE
-
VPN
-
Tunnel
Bilang karagdagan sa mga dating nakalistang zone kung saan ipinapadala ang imahe ng Usergate, may tatlo pang paunang natukoy na uri:
Cluster - zone para sa mga interface na ginagamit para sa operasyon ng cluster
VPN para sa Site-to-Site - isang zone kung saan inilalagay ang lahat ng kliyente ng Office-Office na konektado sa UserGate sa pamamagitan ng VPN
VPN para sa malayuang pag-access - isang zone na kinabibilangan ng lahat ng mga mobile user na konektado sa UserGate sa pamamagitan ng VPN
Maaaring baguhin ng mga administrator ng UserGate ang mga setting ng mga default na zone at lumikha din ng mga karagdagang zone, ngunit tulad ng nakasaad sa manual na bersyon 5, ang maximum na 15 zone ay maaaring gawin. Upang baguhin o likhain ang mga ito, kailangan mong pumunta sa seksyon ng zone. Para sa bawat zone, maaari kang magtakda ng packet drop threshold; SYN, UDP, ICMP ay suportado. Ang kontrol sa pag-access sa mga serbisyo ng Usergate ay na-configure din, at pinagana ang proteksyon laban sa panggagaya.
Pagkatapos i-configure ang mga interface, kailangan mong i-configure ang default na ruta sa seksyong "Mga Gateway". Yung. Upang ikonekta ang UserGate sa Internet, dapat mong tukuyin ang IP address ng isa o higit pang mga gateway. Kung gumagamit ka ng ilang provider para kumonekta sa Internet, dapat kang tumukoy ng ilang gateway. Ang configuration ng gateway ay natatangi para sa bawat cluster node. Kung dalawa o higit pang gateway ang tinukoy, 2 opsyon ang posible:
-
Pagbalanse ng trapiko sa pagitan ng mga gateway.
-
Ang pangunahing gateway na may paglipat sa isang ekstrang isa.
Ang katayuan ng gateway (available - berde, hindi available - pula) ay tinutukoy bilang mga sumusunod:
-
Ang pagsuri sa network ay hindi pinagana - ang isang gateway ay itinuturing na naa-access kung makukuha ng UserGate ang MAC address nito gamit ang isang kahilingan sa ARP. Walang check para sa Internet access sa gateway na ito. Kung hindi matukoy ang MAC address ng gateway, ituturing na hindi maabot ang gateway.
-
Ang pagsuri sa network ay pinagana - ang gateway ay itinuturing na naa-access kung:
-
Maaaring makuha ng UserGate ang MAC address nito gamit ang isang kahilingan sa ARP.
-
Matagumpay na nakumpleto ang pagsusuri para sa Internet access sa gateway na ito.
Kung hindi, ituturing na hindi available ang gateway.
Sa seksyong "DNS" kailangan mong idagdag ang mga DNS server na gagamitin ng UserGate. Ang setting na ito ay tinukoy sa lugar ng System DNS Servers. Nasa ibaba ang mga setting para sa pamamahala ng mga kahilingan sa DNS mula sa mga user. Pinapayagan ka ng UserGate na gumamit ng DNS proxy. Binibigyang-daan ka ng serbisyo ng DNS proxy na harangin ang mga kahilingan ng DNS mula sa mga user at baguhin ang mga ito depende sa mga pangangailangan ng administrator. Maaaring gamitin ang mga panuntunan ng DNS proxy upang tukuyin ang mga DNS server kung saan ipapasa ang mga kahilingan para sa mga partikular na domain. Bilang karagdagan, gamit ang isang DNS proxy, maaari kang magtakda ng mga static na tala ng uri ng host (A record).
Sa seksyong "NAT at Routing" kailangan mong lumikha ng mga kinakailangang panuntunan ng NAT. Para sa pag-access sa Internet ng mga user ng Trusted network, ang NAT rule ay nagawa na - "Trusted->Untrusted", ang natitira na lang ay paganahin ito. Inilapat ang mga panuntunan mula sa itaas hanggang sa ibaba sa pagkakasunud-sunod na nakalista sa console. Tanging ang unang panuntunan kung saan ang mga kundisyong tinukoy sa panuntunan ay tugma ang palaging isinasagawa. Para ma-trigger ang panuntunan, dapat tumugma ang lahat ng kundisyong tinukoy sa mga parameter ng panuntunan. Inirerekomenda ng UserGate ang paglikha ng mga pangkalahatang panuntunan ng NAT, halimbawa, isang panuntunan ng NAT mula sa isang lokal na network (karaniwan ay isang Trusted zone) patungo sa Internet (karaniwan ay isang Untrusted zone), at paghihigpit sa pag-access ng mga user, serbisyo, at application gamit ang mga panuntunan sa firewall.
Posible ring lumikha ng mga panuntunan sa DNAT, pagpapasa ng port, pagruruta na nakabatay sa patakaran, pagmamapa ng network.
Pagkatapos nito, sa seksyong "Firewall" kailangan mong lumikha ng mga panuntunan sa firewall. Para sa walang limitasyong pag-access sa Internet para sa mga user ng Trusted network, isang panuntunan sa firewall ay nagawa na rin - "Internet for Trusted" at dapat na paganahin. Gamit ang mga panuntunan sa firewall, maaaring payagan o tanggihan ng administrator ang anumang uri ng trapiko ng transit network na dumadaan sa UserGate. Maaaring kabilang sa mga kundisyon ng panuntunan ang mga zone at pinagmulan/destinasyon na IP address, mga user at grupo, mga serbisyo at application. Nalalapat ang mga patakaran sa parehong paraan tulad ng sa seksyong "NAT at Routing", i.e. itaas pababa. Kung walang nagawang mga panuntunan, ipinagbabawal ang anumang trapiko sa transit sa pamamagitan ng UserGate.
4. Konklusyon
Ito ang nagtatapos sa artikulo. Nag-install kami ng UserGate firewall sa isang virtual machine at ginawa ang pinakamababang kinakailangang setting para gumana ang Internet sa Trusted network. Isasaalang-alang namin ang karagdagang pagsasaayos sa mga sumusunod na artikulo.
Manatiling nakatutok para sa mga update sa aming mga channel (, , , )!
Pinagmulan: www.habr.com