ProHoster > Blog > Ma'muriyat > 2. UserGate-ni ishga tushirish. Talablar, o'rnatish

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

Salom, bu kompaniyaning NGFW yechimi haqidagi ikkinchi maqolasi UserGate. Ushbu maqolaning maqsadi UserGate xavfsizlik devorini virtual tizimga qanday o'rnatishni ko'rsatish (men VMware Workstation virtualizatsiya dasturidan foydalanaman) va uning dastlabki konfiguratsiyasini amalga oshirish (Internetga UserGate shlyuzi orqali mahalliy tarmoqdan kirishga ruxsat berish).   

1. Kirish

Boshlash uchun men ushbu shlyuzni tarmoqqa kiritishning turli usullarini tasvirlab beraman. Shuni ta'kidlashni istardimki, tanlangan ulanish opsiyasiga qarab, shlyuzning ma'lum funksiyalari mavjud bo'lmasligi mumkin. UserGate yechimi quyidagi ulanish rejimlarini qo'llab-quvvatlaydi: 

  • L3-L7 xavfsizlik devori

  • L2 shaffof ko'prik

  • L3 shaffof ko'prik

  • WCCP protokolidan foydalanib, deyarli bo'shliqqa

  • Siyosatga asoslangan marshrutlashdan foydalanib, deyarli bo'shliqda

  • Router tayoq ustida

  • Aniq ko'rsatilgan WEB proksi-server

  • UserGate standart shlyuz sifatida

  • Oyna portini kuzatish

UserGate 2 turdagi klasterlarni qo'llab-quvvatlaydi:

  1. Klaster konfiguratsiyasi. Konfiguratsiya klasteriga birlashtirilgan tugunlar klaster bo'ylab izchil sozlamalarni saqlaydi.

  2. Failover klasteri. 4 tagacha konfiguratsiya klasteri tugunlari faol-faol yoki faol-passiv rejimda ishlashni qo'llab-quvvatlaydigan o'zgartirish klasteriga birlashtirilishi mumkin. Bir nechta muvaffaqiyatsiz klasterlarni yig'ish mumkin.

2. O'rnatish

Oldingi maqolada aytib o'tilganidek, UserGate apparat va dasturiy ta'minot to'plami sifatida taqdim etilgan yoki virtual muhitda joylashtirilgan. Veb-saytdagi shaxsiy hisobingizdan UserGate tasvirni OVF (Ochiq Virtualizatsiya Formati) da yuklab oling, bu format VMWare va Oracle Virtualbox sotuvchilari uchun mos keladi. Virtual mashina disk tasvirlari Microsoft Hyper-v va KVM uchun taqdim etiladi.

UserGate veb-saytiga ko'ra, virtual mashinaning to'g'ri ishlashi uchun kamida 8 Gb operativ xotira va 2 yadroli virtual protsessordan foydalanish tavsiya etiladi. Gipervisor 64 bitli operatsion tizimlarni qo'llab-quvvatlashi kerak.

O'rnatish tasvirni tanlangan gipervisorga (VirtualBox va VMWare) import qilish bilan boshlanadi. Microsoft Hyper-v va KVM holatlarida siz virtual mashina yaratishingiz va yuklab olingan tasvirni disk sifatida belgilashingiz kerak, so'ngra yaratilgan virtual mashina sozlamalarida integratsiya xizmatlarini o'chirib qo'yishingiz kerak.

Odatiy bo'lib, VMWare-ga import qilingandan so'ng, virtual mashina quyidagi sozlamalar bilan yaratiladi:

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

Yuqorida yozilganidek, kamida 8 Gb RAM bo'lishi kerak va qo'shimcha ravishda har 1 foydalanuvchi uchun 100 Gb qo'shishingiz kerak. Standart qattiq disk hajmi 100 Gb ni tashkil qiladi, lekin bu odatda barcha jurnallar va sozlamalarni saqlash uchun etarli emas. Tavsiya etilgan hajm 300 Gb yoki undan ko'p. Shuning uchun, virtual mashinaning xususiyatlarida biz disk hajmini kerakli hajmga o'zgartiramiz. Dastlab, virtual UserGate UTM zonalarga tayinlangan to'rtta interfeys bilan birga keladi:

Boshqaruv - virtual mashinaning birinchi interfeysi, UserGate boshqaruviga ruxsat berilgan ishonchli tarmoqlarni ulash zonasi.

Ishonchli - virtual mashinaning ikkinchi interfeysi, ishonchli tarmoqlarni ulash uchun zona, masalan, LAN tarmoqlari.

Ishonchsiz - virtual mashinaning uchinchi interfeysi, ishonchsiz tarmoqlarga, masalan, Internetga ulangan interfeyslar uchun zona.

DMZ - virtual mashinaning to'rtinchi interfeysi, DMZ tarmog'iga ulangan interfeyslar uchun zona.

Keyinchalik, biz virtual mashinani ishga tushiramiz, garchi qo'llanmada Yordam vositalarini tanlash va UTM-ni zavod sozlamalarini tiklash kerakligi aytilgan bo'lsa-da, lekin siz ko'rib turganingizdek, faqat bitta tanlov mavjud (UTM First Boot). Ushbu bosqichda UTM tarmoq adapterlarini sozlaydi va qattiq disk bo'limi hajmini to'liq disk hajmiga oshiradi:

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

UserGate veb-interfeysiga ulanish uchun siz boshqaruv zonasi orqali tizimga kirishingiz kerak; bu IP-manzilni avtomatik ravishda (DHCP) olish uchun sozlangan eth0 interfeysining javobgarligi. Agar DHCP yordamida boshqaruv interfeysi uchun manzilni avtomatik ravishda belgilash imkoni bo'lmasa, uni CLI (Buyruqlar qatori interfeysi) yordamida aniq belgilash mumkin. Buni amalga oshirish uchun siz to'liq administrator huquqlariga ega foydalanuvchi nomi va paroldan foydalangan holda CLI-ga kirishingiz kerak (sukut bo'yicha bosh harf bilan administrator). Agar UserGate qurilmasi dastlabki ishga tushirilmagan bo'lsa, CLI-ga kirish uchun foydalanuvchi nomi sifatida Admin va parol sifatida utm dan foydalanishingiz kerak. Va iface config –name eth0 –ipv4 192.168.1.254/24 – true –mode staticni yoqish kabi buyruqni kiriting. Keyinchalik biz ko'rsatilgan manzilda UserGate veb-konsoliga o'tamiz, u quyidagicha ko'rinishi kerak: https://UserGateIPaddress:8001:

2. UserGate-ni ishga tushirish. Talablar, o'rnatish2. UserGate-ni ishga tushirish. Talablar, o'rnatish

Veb-konsolda biz o'rnatishni davom ettiramiz, biz interfeys tilini (hozirda u rus yoki ingliz tilida), vaqt zonasini tanlashimiz kerak, so'ngra litsenziya shartnomasini o'qib chiqing va rozi bo'ling. Veb boshqaruv interfeysiga kirish uchun login va parolni o'rnating.

3. Moslashtirish

O'rnatishdan so'ng, platformani boshqarish veb-interfeysi oynasi shunday ko'rinadi:

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

Keyin tarmoq interfeyslarini sozlashingiz kerak. Buni amalga oshirish uchun "Interfeyslar" bo'limida siz ularni yoqishingiz, to'g'ri IP manzillarini o'rnatishingiz va tegishli zonalarni belgilashingiz kerak.

"Interfeyslar" bo'limi tizimda mavjud bo'lgan barcha jismoniy va virtual interfeyslarni ko'rsatadi, ularning sozlamalarini o'zgartirish va VLAN interfeyslarini qo'shish imkonini beradi. Shuningdek, u har bir klaster tugunining barcha interfeyslarini ko'rsatadi. Interfeys sozlamalari har bir tugunga xosdir, ya'ni ular global emas.

Interfeys xususiyatlarida:

  • Interfeysni yoqing yoki o'chiring 

  • Interfeys turini belgilang - Layer 3 yoki Mirror

  • Interfeysga zona belgilang

  • Netflow kollektoriga statistik ma'lumotlarni yuborish uchun Netflow profilini tayinlang

  • Interfeysning jismoniy parametrlarini o'zgartiring - MAC manzili va MTU o'lchami

  • IP-manzilni tayinlash turini tanlang - manzilsiz, statik IP-manzil yoki DHCP orqali olingan

  • Tanlangan interfeysda DHCP o'rni sozlang.

"Qo'shish" tugmasi quyidagi turdagi mantiqiy interfeyslarni qo'shish imkonini beradi:

  • VLANlar

  • Bond

  • Ko'prik

  • PPPoE

  • VPN

  • Tunnel

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

Oldin sanab o'tilgan, Usergate tasviri yuboriladigan zonalarga qo'shimcha ravishda, yana uchta oldindan belgilangan tur mavjud:

Klaster - klaster ishlashi uchun ishlatiladigan interfeyslar zonasi

Saytdan saytga VPN - VPN orqali UserGate-ga ulangan barcha Office-Office mijozlari joylashgan zona.

Masofaviy kirish uchun VPN - VPN orqali UserGate-ga ulangan barcha mobil foydalanuvchilarni o'z ichiga olgan zona

UserGate ma'murlari standart zonalar sozlamalarini o'zgartirishi va qo'shimcha zonalar yaratishi mumkin, ammo 5-versiya qo'llanmasida aytilganidek, maksimal 15 zonani yaratish mumkin. Ularni o'zgartirish yoki yaratish uchun siz zona bo'limiga o'tishingiz kerak. Har bir zona uchun siz paketlarni tushirish chegarasini o'rnatishingiz mumkin; SYN, UDP, ICMP qo'llab-quvvatlanadi. Usergate xizmatlariga kirishni boshqarish ham sozlangan va firibgarlikdan himoyalanish yoqilgan.

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

Interfeyslarni sozlaganingizdan so'ng, "Gateways" bo'limida standart marshrutni sozlashingiz kerak. Bular. UserGate-ni Internetga ulash uchun siz bir yoki bir nechta shlyuzlarning IP-manzilini ko'rsatishingiz kerak. Agar siz Internetga ulanish uchun bir nechta provayderlardan foydalansangiz, bir nechta shlyuzlarni ko'rsatishingiz kerak. Gateway konfiguratsiyasi har bir klaster tuguniga xosdir. Ikki yoki undan ortiq shlyuz ko'rsatilgan bo'lsa, ikkita variant mumkin:

  1. Shlyuzlar orasidagi trafikni muvozanatlash.

  2. Zaxiraga o'tish bilan asosiy shlyuz.

Shlyuz holati (mavjud - yashil, mavjud emas - qizil) quyidagicha aniqlanadi:

  1. Tarmoq tekshiruvi o'chirilgan - agar UserGate o'zining MAC manzilini ARP so'rovi yordamida olishi mumkin bo'lsa, shlyuzdan foydalanish mumkin deb hisoblanadi. Ushbu shlyuz orqali Internetga kirishni tekshirish yo'q. Agar shlyuzning MAC manzilini aniqlab bo'lmasa, shlyuzga kirish imkonsiz deb hisoblanadi.

  2. Tarmoqni tekshirish yoqilgan - shlyuzga kirish mumkin, agar:

  • UserGate o'zining MAC manzilini ARP so'rovi yordamida olishi mumkin.

  • Ushbu shlyuz orqali Internetga kirishni tekshirish muvaffaqiyatli yakunlandi.

Aks holda, shlyuz mavjud emas deb hisoblanadi.

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

"DNS" bo'limida siz UserGate ishlatadigan DNS serverlarini qo'shishingiz kerak. Ushbu sozlama tizimning DNS serverlari sohasida ko'rsatilgan. Quyida foydalanuvchilarning DNS so'rovlarini boshqarish sozlamalari keltirilgan. UserGate sizga DNS proksi-serveridan foydalanish imkonini beradi. DNS proksi xizmati foydalanuvchilarning DNS so'rovlarini ushlab turish va ularni administrator ehtiyojlariga qarab o'zgartirish imkonini beradi. DNS proksi qoidalari muayyan domenlar uchun so'rovlar yuboriladigan DNS serverlarini belgilash uchun ishlatilishi mumkin. Bundan tashqari, DNS proksi-serveridan foydalanib, siz xost turidagi statik yozuvlarni o'rnatishingiz mumkin (A rekord).

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

"NAT va marshrutlash" bo'limida siz kerakli NAT qoidalarini yaratishingiz kerak. Ishonchli tarmoq foydalanuvchilari tomonidan Internetga kirish uchun NAT qoidasi allaqachon yaratilgan - "Ishonchli-> Ishonchsiz", uni yoqishgina qoladi. Qoidalar konsolda ko'rsatilgan tartibda yuqoridan pastgacha qo'llaniladi. Faqat qoidada ko'rsatilgan shartlar har doim bajariladigan birinchi qoida. Qoida ishga tushishi uchun qoida parametrlarida ko'rsatilgan barcha shartlar mos kelishi kerak. UserGate umumiy NAT qoidalarini yaratishni tavsiya qiladi, masalan, mahalliy tarmoqdan (odatda Ishonchli zona) Internetga (odatda Ishonchsiz zona) NAT qoidasini yaratish va xavfsizlik devori qoidalaridan foydalangan holda foydalanuvchilar, xizmatlar va ilovalarning kirishini cheklashni tavsiya qiladi.

Shuningdek, DNAT qoidalarini yaratish, portni yo'naltirish, siyosatga asoslangan marshrutlash, tarmoq xaritasini yaratish mumkin.

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

Shundan so'ng, "Xavfsizlik devori" bo'limida siz xavfsizlik devori qoidalarini yaratishingiz kerak. Ishonchli tarmoq foydalanuvchilari uchun Internetga cheksiz kirish uchun xavfsizlik devori qoidasi allaqachon yaratilgan - "Ishonchli Internet" va uni yoqish kerak. Xavfsizlik devori qoidalaridan foydalangan holda administrator UserGate orqali o'tadigan har qanday turdagi tranzit tarmoq trafigiga ruxsat berishi yoki rad qilishi mumkin. Qoida shartlariga zonalar va manba/maqsad IP manzillari, foydalanuvchilar va guruhlar, xizmatlar va ilovalar kiradi. Qoidalar "NAT va marshrutlash" bo'limida bo'lgani kabi qo'llaniladi, ya'ni. yuqoridan pastga. Agar hech qanday qoidalar yaratilmagan bo'lsa, UserGate orqali har qanday tranzit tashish taqiqlanadi.

2. UserGate-ni ishga tushirish. Talablar, o'rnatish

4. Xulosa

Bu maqolani yakunlaydi. Biz UserGate xavfsizlik devorini virtual mashinaga o'rnatdik va Internetning Ishonchli tarmoqda ishlashi uchun minimal zarur sozlamalarni o'rnatdik. Keyingi maqolalarda keyingi konfiguratsiyani ko'rib chiqamiz.

Kanallarimizdagi yangiliklarni kuzatib boring (TelegramFacebookVKTS yechimlari blogi)!

Manba: www.habr.com

a Izoh qo'shish