Привіт, це друга стаття про рішення NGFW від компанії . Завдання даної статті полягає в тому, щоб показати, як встановити міжмережевий екран UserGate на віртуальну систему (використовуватиму програмне забезпечення віртуалізації VMware Workstation) і виконати його початкове налаштування (дозволити доступ з локальної мережі через шлюз UserGate в інтернет).
1. Вступ
Для початку я опишу різні методи застосування цього шлюзу в мережу. Хочу зауважити, що в залежності від вибраного варіанта підключення певний функціонал шлюзу може бути недоступним. Рішення UserGate підтримує такі режими підключення:
-
L3-L7 брандмауер
-
L2 прозорий міст
-
L3 прозорий міст
-
Віртуально у розрив, із застосуванням протоколу WCCP
-
Віртуально в розрив, із застосуванням Policy Based Routing
-
Router on a Stick
-
Явно заданий WEB-проксі
-
UserGate як шлюз за замовчуванням
-
Моніторинг Mirror-порту
UserGate підтримує 2 типи кластерів:
-
Кластер конфігурації. Вузли, об'єднані в кластер конфігурації, підтримують єдині налаштування у межах кластера.
-
Кластер відмовостійкості. До 4-х вузлів кластера конфігурації можуть бути об'єднані в кластер стійкості до відмов, що підтримує роботу в режимі Актив-Актив або Актив-Пасив. Можна зібрати кілька кластерів відмовостійкості.
2. Встановлення
Як говорилося в попередній статті, UserGate поставляється у вигляді програмно-апаратного комплексу або розгортається у віртуальному середовищі. З особистого кабінету на сайті скачуємо образ у форматі OVF (Open Virtualization Format), цей формат підходить для вендорів VMWare та Oracle Virtualbox. Для Microsoft Hyper-v та KVM поставляються образи дисків віртуальної машини.
За даними сайту UserGate для коректної роботи віртуальної машини рекомендується використовувати мінімум 8Gb оперативної пам'яті та 2-ядерний віртуальний процесор. Гіпервізор повинен підтримувати роботу 64-бітових операційних систем.
Установка починається з імпорту образу у вибраний гіпервізор (VirtualBox та VMWare). У випадку з Microsoft Hyper-v і KVM необхідно створити віртуальну машину та вказати як диск завантажений образ, після чого відключити служби інтеграції в налаштуваннях створеної віртуальної машини.
За замовчуванням після імпорту в VMWare створюється віртуальна машина з наступними параметрами:
Як було написано вище, оперативної пам'яті має бути щонайменше 8Gb і в додатку потрібно додати по 1Gb на кожні 100 користувачів. Розмір жорсткого диска за замовчуванням складає 100Gb, однак цього зазвичай недостатньо для зберігання всіх журналів та налаштувань. Рекомендований розмір – 300Gb або більше. Тому властивості віртуальної машини змінюємо розмір диска на потрібний. Спочатку віртуальний UserGate UTM постачається із чотирма інтерфейсами, призначеними в зони:
Management – перший інтерфейс віртуальної машини, зона для підключення довірених мереж, з яких дозволено керування UserGate.
Trusted — другий інтерфейс віртуальної машини, зона підключення довірених мереж, наприклад, LAN-сетей.
Untrusted — третій інтерфейс віртуальної машини, зона для інтерфейсів, підключених до недовірених мереж, наприклад, до Інтернету.
DMZ – четвертий інтерфейс віртуальної машини, зона для інтерфейсів, підключених до мережі DMZ.
Далі запускаємо віртуальну машину, хоч у посібнику і написано, що потрібно вибрати Support Tools і виконати Factory reset UTM, але як бачимо є тільки один вибір (UTM First Boot). Під час цього кроку UTM налаштовує мережні адаптери та збільшує розмір розділу на жорсткому диску до повного розміру:
Для підключення до веб-інтерфейсу UserGate необхідно заходити через Management зону, за це відповідає інтерфейс eth0, який налаштований на отримання IP-адреси в автоматичному режимі (DHCP). Якщо немає можливості призначити адресу для Management-інтерфейсу в автоматичному режимі за допомогою DHCP, то можна явно задати, використовуючи CLI (Command Line Interface). Для цього потрібно увійти в CLI, використовуючи ім'я та пароль користувача з правами Full administrator (за замовчуванням Admin із Великої літери). Якщо пристрій UserGate не пройшов початкову ініціалізацію, то для доступу до CLI необхідно використовувати як ім'я користувача Admin, як пароль utm. І набрати команду типу iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Пізніше переходимо до веб-консолі UserGate за вказаною адресою, він має виглядати приблизно так:https://UserGateIPaddress:8001:
У веб-консолі продовжуємо встановлення, нам потрібно вибирати мову інтерфейсу (на даний момент це російська чи англійська мова), часовий пояс, далі читаємо та погоджуємось з ліцензійною угодою. Задаємо логін та пароль для входу до веб-інтерфейсу управління.
3. Налаштування
Після установки ось так виглядає вікно веб-інтерфейсу управління платформою:
Потім потрібно налаштувати мережеві інтерфейси. Для цього в розділі «Інтерфейси» потрібно увімкнути їх, встановити коректні IP-адреси та призначити відповідні зони.
Розділ «Інтерфейси» відображає всі фізичні та віртуальні інтерфейси, наявні в системі, дозволяє змінювати їх налаштування та додавати VLAN-інтерфейси. Він показує всі інтерфейси кожного вузла кластера. Налаштування інтерфейсів є специфічними для кожного з вузлів, тобто не глобальними.
У властивостях інтерфейсу:
-
Увімкнути або вимкнути інтерфейс
-
Вказати тип інтерфейсу - Layer 3 або Mirror
-
Призначити зону інтерфейсу
-
Призначити профіль Netflow для надсилання статистичних даних на Netflow колектор
-
Змінити фізичні параметри інтерфейсу — MAC-адресу та розмір MTU
-
Вибрати тип присвоєння IP-адреси - без адреси, статична IP-адреса або отримана за DHCP
-
Налаштувати роботу DHCP-релею на вибраному інтерфейсі.
Кнопка «Додати» дозволяє додати такі типи логічних інтерфейсів:
-
VLAN
-
Бонд
-
міст
-
PPPoE
-
VPN
-
тунель
Крім перелічених раніше зон, з якими поставляється образ Usergate, є ще три типи визначених:
Cluster - зона для інтерфейсів, що використовуються для роботи кластера
VPN for Site-to-Site — зона, в яку розміщуються всі клієнти типу Офіс-Офіс, що підключаються до UserGate за VPN
VPN for remote access — зона, в яку розміщуються всі мобільні користувачі, підключені до UserGate за VPN
Адміністратори UserGate можуть змінювати налаштування зон, створених за замовчуванням, а також створювати додаткові зони, але, як сказано в посібнику до версії 5, можна створити не більше 15 зон. Щоб змінити або створити їх, потрібно перейти до розділу зони. Для кожної зони можна встановити поріг відкидання пакетів, які підтримуються SYN, UDP, ICMP. Також налаштовується контроль доступу до сервісів Usergate і включається захист від спуфінгу.
Після налаштування інтерфейсів необхідно в розділі "Шлюзи" налаштувати маршрут за промовчанням. Тобто. Для підключення UserGate до Інтернету необхідно вказати IP-адресу одного або кількох шлюзів. Якщо для підключення до Інтернету використовується кілька провайдерів, необхідно вказати кілька шлюзів. Налаштування шлюзу є унікальним для кожного з вузлів кластера. Якщо встановлено два або більше шлюзів можливі 2 варіанти роботи:
-
Балансування трафіку між шлюзами.
-
Основний шлюз із перемиканням на запасний.
Стан шлюзу (доступний – зелений, недоступний – червоний) визначається так:
-
Перевірка мережі вимкнена – шлюз вважається доступним, якщо UserGate може отримати його MAC-адресу за допомогою ARP-запиту. Перевірка наявності доступу до Інтернету через цей шлюз не проводиться. Якщо MAC-адресу шлюзу не можна визначити, шлюз вважається недоступним.
-
Перевірка мережі увімкнена — шлюз вважається доступним, якщо:
-
UserGate може отримати його MAC-адресу за допомогою ARP-запиту.
-
Перевірка доступу в інтернет через цей шлюз завершилася успішно.
В іншому випадку шлюз вважається недоступним.
У розділі DNS необхідно додати DNS сервера, які буде використовувати UserGate. Ця установка вказується в області Системні DNS-сервери. Нижче наведено параметри керування DNS-запитами від користувачів. UserGate дозволяє використовувати проксі DNS. Сервіс DNS-проксі дозволяє перехоплювати DNS-запити від користувачів та змінювати їх залежно від потреб адміністратора. За допомогою правил DNS-проксі можна вказати сервери DNS, на які надсилаються запити на певні домени. Крім цього, за допомогою DNS-проксі можна задавати статичні записи типу host (A-запис).
У розділі «NAT та Маршрутизація» необхідно створити необхідні правила NAT. Для доступу в інтернет користувачів мережі Trusted правило NAT вже створено - Trusted - Untrusted, залишається його тільки включити. Правила застосовуються зверху вниз у порядку, в якому вони вказані в консолі. Виконується завжди лише перше правило, котрим збіглися умови, зазначені у правилі. Для спрацьовування правила необхідно, щоб збіглися всі умови, зазначені у параметрах правила. UserGate рекомендує створювати загальні правила NAT, наприклад, правило NAT з локальної мережі (зазвичай зона Trusted) в інтернет (зазвичай зона Untrusted), а розмежування доступу користувачам, сервісам, програмам здійснювати за допомогою правил міжмережевого екрану.
Також є можливість створити правила DNAT, портфорвардинг, Policy-based routing, Network mapping.
Після цього у розділі «Межмережевий екран» необхідно створити правила міжмережевого екрану. Для необмеженого доступу до Інтернету користувачів мережі Trusted правило міжмережевого екрану так само вже створено — Internet for Trusted і його необхідно включити. За допомогою правил міжмережевого екрана адміністратор може дозволити чи заборонити будь-який тип транзитного мережного трафіку, що проходить через UserGate. Як умови правила можуть виступати зони та IP-адреси джерела/призначення, користувачі та групи, сервіси та програми. Правила застосовуються як і розділ «NAT і Маршрутизація», тобто. зверху вниз. Якщо не створено жодного правила, будь-який транзитний трафік через UserGate заборонено.
4. висновок
На цьому стаття добігла кінця. Ми встановили міжмережевий екран UserGate на віртуальну машину та зробили мінімально необхідні налаштування для того, щоб працював інтернет у мережі Trusted. Подальше налаштування розглядатимемо в рамках наступних статей.
Слідкуйте за оновленнями наших каналів (, , , )!
Джерело: habr.com