Merhaba, bu firmanın NGFW çözümü ile ilgili ikinci yazısıdır. . Bu makalenin amacı, UserGate güvenlik duvarının sanal bir sisteme nasıl kurulacağını (VMware Workstation sanallaştırma yazılımını kullanacağım) göstermek ve ilk konfigürasyonunu (Yerel ağdan UserGate ağ geçidi üzerinden internete erişime izin vermek) nasıl gerçekleştireceğimi göstermektir.
1. Giriş
Başlangıç olarak, bu ağ geçidini ağa uygulamanın çeşitli yollarını anlatacağım. Seçilen bağlantı seçeneğine bağlı olarak ağ geçidinin belirli işlevlerinin kullanılamayabileceğini belirtmek isterim. UserGate çözümü aşağıdaki bağlantı modlarını destekler:
-
L3-L7 güvenlik duvarı
-
L2 şeffaf köprü
-
L3 şeffaf köprü
-
WCCP protokolünü kullanarak neredeyse boşluğa
-
Politika Tabanlı Yönlendirmeyi kullanarak neredeyse boşluktayız
-
Çubuk Üzerinde Yönlendirici
-
Açıkça belirtilen WEB proxy'si
-
Varsayılan ağ geçidi olarak UserGate
-
Ayna bağlantı noktası izleme
UserGate 2 tür kümeyi destekler:
-
Küme yapılandırması. Bir yapılandırma kümesinde birleştirilen düğümler, küme genelinde tutarlı ayarları korur.
-
Yük devretme kümesi. En fazla 4 yapılandırma kümesi düğümü, Aktif-Aktif veya Aktif-Pasif modunda çalışmayı destekleyen bir yük devretme kümesinde birleştirilebilir. Birkaç yük devretme kümesini bir araya getirmek mümkündür.
2. Kurulum
Önceki makalede de belirtildiği gibi UserGate, donanım ve yazılım paketi olarak sunulur veya sanal ortamda dağıtılır. Web sitesindeki kişisel hesabınızdan görüntüyü OVF (Açık Sanallaştırma Formatı) formatında indirin; bu format, VMWare ve Oracle Virtualbox satıcıları için uygundur. Microsoft Hyper-v ve KVM için sanal makine disk görüntüleri sağlanmıştır.
UserGate sitesine göre sanal makinenin düzgün çalışabilmesi için en az 8Gb RAM ve 2 çekirdekli sanal işlemci kullanılması tavsiye ediliyor. Hiper yöneticinin 64 bit işletim sistemlerini desteklemesi gerekir.
Kurulum, görüntünün seçilen hipervizöre (VirtualBox ve VMWare) aktarılmasıyla başlar. Microsoft Hyper-v ve KVM durumunda, bir sanal makine oluşturmanız ve indirilen görüntüyü disk olarak belirtmeniz ve ardından oluşturulan sanal makinenin ayarlarında entegrasyon hizmetlerini devre dışı bırakmanız gerekir.
Varsayılan olarak VMWare'e içe aktardıktan sonra aşağıdaki ayarlarla bir sanal makine oluşturulur:
Yukarıda yazdığımız gibi en az 8 Gb RAM olmalı ve ayrıca her 1 kullanıcı için 100 Gb eklemeniz gerekmektedir. Varsayılan sabit sürücü boyutu 100 Gb'dir ancak bu genellikle tüm günlükleri ve ayarları depolamak için yeterli değildir. Önerilen boyut 300 Gb veya daha fazladır. Bu nedenle sanal makinenin özelliklerinde disk boyutunu istediğimiz gibi değiştiriyoruz. Başlangıçta, sanal UserGate UTM bölgelere atanmış dört arayüzle birlikte gelir:
Yönetim - sanal makinenin ilk arayüzü, UserGate yönetimine izin verilen güvenilir ağları bağlamak için bir bölge.
Güvenilir, sanal makinenin ikinci arayüzüdür; güvenilir ağları, örneğin LAN ağlarını bağlamak için bir bölgedir.
Güvenilmeyen, sanal makinenin üçüncü arayüzüdür; güvenilmeyen ağlara, örneğin İnternet'e bağlanan arayüzler için bir bölgedir.
DMZ, DMZ ağına bağlı arayüzler için bir bölge olan sanal makinenin dördüncü arayüzüdür.
Daha sonra sanal makineyi başlatıyoruz, her ne kadar kılavuzda Destek Araçları'nı seçip Fabrika ayarlarına sıfırlama UTM yapmanız gerektiği söylense de, görebileceğiniz gibi tek bir seçenek var (UTM İlk Önyükleme). Bu adım sırasında UTM, ağ bağdaştırıcılarını yapılandırır ve sabit sürücü bölümünün boyutunu tam disk boyutuna çıkarır:
UserGate web arayüzüne bağlanmak için Yönetim bölgesi üzerinden oturum açmalısınız; bu, otomatik olarak bir IP adresi (DHCP) alacak şekilde yapılandırılmış olan eth0 arayüzünün sorumluluğundadır. DHCP kullanarak Yönetim arayüzüne otomatik olarak bir adres atamak mümkün değilse, CLI (Komut Satırı Arayüzü) kullanılarak açıkça ayarlanabilir. Bunu yapmak için, Tam yönetici haklarına (Yönetici varsayılan olarak Büyük harfle yazılır) sahip bir kullanıcı adı ve şifre kullanarak CLI'de oturum açmanız gerekir. UserGate cihazı ilk başlatma işlemine tabi tutulmadıysa, CLI'ye erişmek için kullanıcı adı olarak Admin'i ve şifre olarak utm'yi kullanmanız gerekir. Ve iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static gibi bir komut yazın. Daha sonra belirtilen adresteki UserGate web konsoluna gidiyoruz, şöyle görünmeli:https://UserGateIPaddress:8001:
Web konsolunda kuruluma devam ediyoruz, arayüz dilini (şu anda Rusça veya İngilizce), saat dilimini seçmemiz, ardından lisans sözleşmesini okuyup kabul etmemiz gerekiyor. Web yönetimi arayüzünde oturum açmak için kullanıcı adını ve şifreyi ayarlayın.
3. Kurulum
Kurulumdan sonra platform yönetimi web arayüzü penceresi şu şekilde görünür:
Daha sonra ağ arayüzlerini yapılandırmanız gerekir. Bunu yapmak için "Arayüzler" bölümünde bunları etkinleştirmeniz, doğru IP adreslerini ayarlamanız ve uygun bölgeleri atamanız gerekir.
“Arayüzler” bölümü sistemde mevcut olan tüm fiziksel ve sanal arayüzleri görüntüler, ayarlarını değiştirmenize ve VLAN arayüzleri eklemenize olanak tanır. Ayrıca her küme düğümünün tüm arayüzlerini gösterir. Arayüz ayarları her düğüme özeldir, yani genel değildir.
Arayüz özelliklerinde:
-
Arayüzü etkinleştirme veya devre dışı bırakma
-
Arayüz türünü belirtin - Katman 3 veya Ayna
-
Bir arayüze bölge atama
-
Netflow toplayıcıya istatistiksel veriler göndermek için bir Netflow profili atayın
-
Arayüzün fiziksel parametrelerini değiştirin - MAC adresi ve MTU boyutu
-
IP adresi atama türünü seçin - adres yok, statik IP adresi veya DHCP aracılığıyla alındı
-
Seçilen arayüzdeki DHCP rölesini yapılandırın.
“Ekle” düğmesi aşağıdaki mantıksal arayüz türlerini eklemenizi sağlar:
-
VLAN
-
Bağ
-
köprü
-
PPPoE
-
VPN
-
Tünel
Usergate görüntüsünün birlikte geldiği, önceden listelenen bölgelere ek olarak, önceden tanımlanmış üç tür daha vardır:
Küme - küme işlemi için kullanılan arayüzler için bölge
Siteden Siteye VPN - UserGate'e VPN yoluyla bağlanan tüm Ofis-Ofis istemcilerinin yerleştirildiği bir bölge
Uzaktan erişim için VPN - UserGate'e VPN aracılığıyla bağlanan tüm mobil kullanıcıları içeren bir bölge
UserGate yöneticileri varsayılan bölgelerin ayarlarını değiştirebilir ve ayrıca ek bölgeler de oluşturabilirler ancak versiyon 5 kılavuzunda belirtildiği gibi maksimum 15 bölge oluşturulabilir. Bunları değiştirmek veya oluşturmak için bölge bölümüne gitmeniz gerekir. Her bölge için bir paket düşme eşiği ayarlayabilirsiniz; SYN, UDP, ICMP desteklenir. Usergate hizmetlerine erişim kontrolü de yapılandırılmıştır ve sahteciliğe karşı koruma etkinleştirilmiştir.
Arayüzleri yapılandırdıktan sonra “Ağ Geçitleri” bölümünde varsayılan rotayı yapılandırmanız gerekir. Onlar. UserGate'i internete bağlamak için bir veya daha fazla ağ geçidinin IP adresini belirtmeniz gerekir. İnternet'e bağlanmak için birden fazla sağlayıcı kullanıyorsanız, birden fazla ağ geçidi belirtmeniz gerekir. Ağ geçidi yapılandırması her küme düğümü için benzersizdir. İki veya daha fazla ağ geçidi belirtilirse 2 seçenek mümkündür:
-
Ağ geçitleri arasındaki trafiği dengelemek.
-
Yedek olana geçiş sağlayan ana ağ geçidi.
Ağ geçidi durumu (var - yeşil, mevcut değil - kırmızı) şu şekilde belirlenir:
-
Ağ kontrolü devre dışı bırakıldı - eğer UserGate bir ARP isteği kullanarak MAC adresini alabiliyorsa, bir ağ geçidinin erişilebilir olduğu kabul edilir. Bu ağ geçidi üzerinden İnternet erişimi için herhangi bir kontrol yoktur. Ağ geçidinin MAC adresi belirlenemezse, ağ geçidinin ulaşılamadığı kabul edilir.
-
Ağ kontrolü etkinleştirildi - aşağıdaki durumlarda ağ geçidinin erişilebilir olduğu kabul edilir:
-
UserGate, bir ARP isteği kullanarak MAC adresini alabilir.
-
Bu ağ geçidi üzerinden İnternet erişiminin kontrolü başarıyla tamamlandı.
Aksi halde ağ geçidinin kullanılamadığı kabul edilir.
“DNS” kısmına UserGate’in kullanacağı DNS sunucularını eklemeniz gerekmektedir. Bu ayar Sistem DNS Sunucuları alanında belirtilir. Aşağıda kullanıcılardan gelen DNS isteklerini yönetmeye yönelik ayarlar bulunmaktadır. UserGate bir DNS proxy kullanmanıza olanak sağlar. DNS proxy hizmeti, kullanıcılardan gelen DNS isteklerini yakalamanıza ve bunları yöneticinin ihtiyaçlarına göre değiştirmenize olanak tanır. DNS proxy kuralları, belirli etki alanlarına yönelik isteklerin iletileceği DNS sunucularını belirtmek için kullanılabilir. Ayrıca, bir DNS proxy kullanarak ana bilgisayar türünün statik kayıtlarını (A kaydı) ayarlayabilirsiniz.
“NAT ve Yönlendirme” bölümünde gerekli NAT kurallarını oluşturmanız gerekiyor. Güvenilir ağ kullanıcılarının İnternet'e erişmesi için NAT kuralı zaten oluşturulmuştur - "Güvenilir->Güvenilmeyen", geriye kalan tek şey onu etkinleştirmektir. Kurallar, konsolda listelendikleri sıraya göre yukarıdan aşağıya doğru uygulanır. Yalnızca kural eşleşmesinde belirtilen koşulların her zaman yürütüldüğü ilk kural. Kuralın tetiklenebilmesi için kural parametrelerinde belirtilen tüm koşulların eşleşmesi gerekir. UserGate, örneğin yerel bir ağdan (genellikle bir Güvenilir bölge) İnternet'e (genellikle bir Güvenilmeyen bölge) bir NAT kuralı gibi genel NAT kuralları oluşturmanızı ve güvenlik duvarı kurallarını kullanarak kullanıcıların, hizmetlerin ve uygulamaların erişimini kısıtlamanızı önerir.
DNAT kuralları, port yönlendirme, Politika tabanlı yönlendirme, Ağ haritalama oluşturmak da mümkündür.
Bundan sonra “Güvenlik Duvarı” bölümünde güvenlik duvarı kuralları oluşturmanız gerekir. Güvenilir ağ kullanıcıları için İnternet'e sınırsız erişim sağlamak amacıyla, bir güvenlik duvarı kuralı da zaten oluşturulmuştur - "Güvenilir için İnternet" ve etkinleştirilmesi gerekir. Yönetici, güvenlik duvarı kurallarını kullanarak, UserGate'ten geçen her türlü transit ağ trafiğine izin verebilir veya bunları reddedebilir. Kural koşulları bölgeleri ve kaynak/hedef IP adreslerini, kullanıcıları ve grupları, hizmetleri ve uygulamaları içerebilir. Kurallar “NAT ve Yönlendirme” bölümündekiyle aynı şekilde uygulanır; yukarıdan aşağıya. Hiçbir kural oluşturulmamışsa UserGate üzerinden herhangi bir transit trafiği yasaktır.
4. Sonuç
Bu makaleyi sonlandırıyor. UserGate güvenlik duvarını sanal makineye kurduk ve İnternetin Trusted ağda çalışması için gerekli minimum ayarları yaptık. Aşağıdaki makalelerde daha fazla yapılandırmayı ele alacağız.
Kanallarımızdaki güncellemeler için bizi izlemeye devam edin (, , , )!
Kaynak: habr.com