Xin chào đây là bài viết thứ 2 về giải pháp NGFW của hãng . Mục đích của bài viết này là hướng dẫn cách cài đặt tường lửa UserGate trên hệ thống ảo (tôi sẽ sử dụng phần mềm ảo hóa VMware Workstation) và thực hiện cấu hình ban đầu của nó (cho phép truy cập từ mạng cục bộ thông qua cổng UserGate vào Internet).
XUẤT KHẨU. Giới thiệu
Để bắt đầu, tôi sẽ mô tả các cách khác nhau để triển khai cổng này vào mạng. Tôi muốn lưu ý rằng tùy thuộc vào tùy chọn kết nối đã chọn, một số chức năng nhất định của cổng có thể không khả dụng. Giải pháp UserGate hỗ trợ các chế độ kết nối sau:
-
Tường lửa L3-L7
-
Cầu trong suốt L2
-
Cầu trong suốt L3
-
Hầu như vào khoảng trống, sử dụng giao thức WCCP
-
Hầu như trong khoảng trống, sử dụng Định tuyến dựa trên chính sách
-
Bộ định tuyến trên gậy
-
Proxy WEB được chỉ định rõ ràng
-
UserGate làm cổng mặc định
-
Giám sát cổng gương
UserGate hỗ trợ 2 loại cụm:
-
Cấu hình cụm. Các nút được kết hợp thành cụm cấu hình sẽ duy trì các cài đặt nhất quán trên toàn cụm.
-
Cụm chuyển đổi dự phòng. Có thể kết hợp tối đa 4 nút cụm cấu hình thành một cụm chuyển đổi dự phòng hỗ trợ hoạt động ở chế độ Active-Active hoặc Active-Passive. Có thể tập hợp một số cụm chuyển đổi dự phòng.
2. Cài đặt
Như đã đề cập trong bài viết trước, UserGate được cung cấp dưới dạng gói phần cứng và phần mềm hoặc được triển khai trong môi trường ảo. Từ tài khoản cá nhân của bạn trên trang web tải xuống hình ảnh ở định dạng OVF (Open Virtualization Format), định dạng này phù hợp với các nhà cung cấp VMWare và Oracle Virtualbox. Hình ảnh đĩa máy ảo được cung cấp cho Microsoft Hyper-v và KVM.
Theo trang web UserGate, để máy ảo hoạt động chính xác, nên sử dụng ít nhất 8Gb RAM và bộ xử lý ảo 2 nhân. Trình ảo hóa phải hỗ trợ hệ điều hành 64 bit.
Quá trình cài đặt bắt đầu bằng cách nhập hình ảnh vào bộ ảo hóa đã chọn (VirtualBox và VMWare). Trong trường hợp Microsoft Hyper-v và KVM, bạn cần tạo một máy ảo và chỉ định hình ảnh đã tải xuống làm đĩa, sau đó tắt các dịch vụ tích hợp trong cài đặt của máy ảo đã tạo.
Theo mặc định, sau khi nhập vào VMWare, một máy ảo sẽ được tạo với các cài đặt sau:
Như đã viết ở trên, phải có ít nhất 8Gb RAM và ngoài ra bạn cần thêm 1Gb cho mỗi 100 người dùng. Kích thước ổ cứng mặc định là 100Gb, nhưng kích thước này thường không đủ để lưu trữ tất cả nhật ký và cài đặt. Kích thước được đề xuất là 300Gb trở lên. Do đó, trong thuộc tính của máy ảo, chúng tôi thay đổi kích thước đĩa thành kích thước mong muốn. Ban đầu, UserGate UTM ảo đi kèm với bốn giao diện được gán cho các vùng:
Quản lý - giao diện đầu tiên của máy ảo, vùng kết nối các mạng đáng tin cậy mà từ đó cho phép quản lý UserGate.
Trusted là giao diện thứ hai của máy ảo, vùng kết nối các mạng đáng tin cậy, ví dụ: mạng LAN.
Không đáng tin cậy là giao diện thứ ba của máy ảo, một vùng dành cho các giao diện được kết nối với các mạng không đáng tin cậy, chẳng hạn như Internet.
DMZ là giao diện thứ tư của máy ảo, vùng dành cho các giao diện được kết nối với mạng DMZ.
Tiếp theo, chúng tôi khởi chạy máy ảo, mặc dù hướng dẫn sử dụng nói rằng bạn cần chọn Công cụ hỗ trợ và thực hiện Factory reset UTM, nhưng như bạn thấy, chỉ có một lựa chọn (UTM First Boot). Trong bước này, UTM định cấu hình bộ điều hợp mạng và tăng kích thước phân vùng ổ cứng lên kích thước đầy đủ của đĩa:
Để kết nối với giao diện web UserGate, bạn phải đăng nhập thông qua Vùng quản lý; đây là trách nhiệm của giao diện eth0, được định cấu hình để tự động lấy địa chỉ IP (DHCP). Nếu không thể tự động gán địa chỉ cho giao diện Quản lý bằng DHCP thì địa chỉ đó có thể được đặt rõ ràng bằng CLI (Giao diện dòng lệnh). Để thực hiện việc này, bạn cần đăng nhập vào CLI bằng tên người dùng và mật khẩu có đầy đủ quyền quản trị viên (Mặc định Quản trị viên có chữ in hoa). Nếu thiết bị UserGate chưa trải qua quá trình khởi tạo ban đầu thì để truy cập CLI, bạn phải sử dụng Quản trị viên làm tên người dùng và utm làm mật khẩu. Và gõ một lệnh như iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Sau đó chúng ta truy cập bảng điều khiển web UserGate tại địa chỉ được chỉ định, nó sẽ trông giống như thế này:https://UserGateIPaddress:8001:
Trong bảng điều khiển web, chúng tôi tiếp tục cài đặt, chúng tôi cần chọn ngôn ngữ giao diện (hiện tại là tiếng Nga hoặc tiếng Anh), múi giờ, sau đó đọc và đồng ý với thỏa thuận cấp phép. Thiết lập thông tin đăng nhập và mật khẩu để đăng nhập vào giao diện quản lý web.
3. Thiết lập
Sau khi cài đặt, cửa sổ giao diện web quản lý nền tảng trông như thế này:
Sau đó, bạn cần cấu hình các giao diện mạng. Để thực hiện việc này, trong phần “Giao diện”, bạn cần kích hoạt chúng, đặt địa chỉ IP chính xác và chỉ định các vùng thích hợp.
Phần “Giao diện” hiển thị tất cả các giao diện vật lý và ảo có sẵn trong hệ thống, cho phép bạn thay đổi cài đặt của chúng và thêm giao diện Vlan. Nó cũng hiển thị tất cả các giao diện của từng nút cụm. Cài đặt giao diện dành riêng cho từng nút, nghĩa là chúng không mang tính chung.
Trong thuộc tính giao diện:
-
Bật hoặc tắt giao diện
-
Chỉ định loại giao diện - Lớp 3 hoặc Gương
-
Gán một vùng cho một giao diện
-
Chỉ định cấu hình Netflow để gửi dữ liệu thống kê đến bộ thu thập Netflow
-
Thay đổi các tham số vật lý của giao diện - địa chỉ MAC và kích thước MTU
-
Chọn loại gán địa chỉ IP - không có địa chỉ, địa chỉ IP tĩnh hoặc được lấy qua DHCP
-
Định cấu hình chuyển tiếp DHCP trên giao diện đã chọn.
Nút “Thêm” cho phép bạn thêm các loại giao diện logic sau:
-
VLAN
-
liên kết
-
Cầu
-
PPPoE
-
VPN
-
Đường hầm
Ngoài các vùng được liệt kê trước đó mà hình ảnh Usergate gửi kèm, còn có ba loại được xác định trước:
Cụm - vùng dành cho các giao diện được sử dụng cho hoạt động của cụm
VPN dành cho Site-to-Site - một vùng đặt tất cả các máy khách Office-Office được kết nối với UserGate qua VPN
VPN để truy cập từ xa - vùng bao gồm tất cả người dùng di động được kết nối với UserGate qua VPN
Quản trị viên UserGate có thể thay đổi cài đặt của các vùng mặc định và cũng có thể tạo các vùng bổ sung, nhưng như đã nêu trong hướng dẫn sử dụng phiên bản 5, có thể tạo tối đa 15 vùng. Để thay đổi hoặc tạo chúng, bạn cần vào phần vùng. Đối với mỗi vùng, bạn có thể đặt ngưỡng giảm gói; SYN, UDP, ICMP được hỗ trợ. Kiểm soát quyền truy cập vào các dịch vụ Usergate cũng được định cấu hình và tính năng bảo vệ chống giả mạo được bật.
Sau khi định cấu hình các giao diện, bạn cần định cấu hình tuyến đường mặc định trong phần “Cổng”. Những thứ kia. Để kết nối UserGate với Internet, bạn phải chỉ định địa chỉ IP của một hoặc nhiều cổng. Nếu bạn sử dụng nhiều nhà cung cấp để kết nối Internet, bạn phải chỉ định một số cổng. Cấu hình cổng là duy nhất cho mỗi nút cụm. Nếu hai hoặc nhiều cổng được chỉ định, có thể có 2 tùy chọn:
-
Cân bằng lưu lượng giữa các cổng.
-
Cổng chính có thể chuyển sang cổng dự phòng.
Trạng thái cổng (khả dụng - xanh, không khả dụng - đỏ) được xác định như sau:
-
Kiểm tra mạng bị vô hiệu hóa – một cổng được coi là có thể truy cập được nếu UserGate có thể lấy địa chỉ MAC của nó bằng yêu cầu ARP. Không có kiểm tra truy cập Internet thông qua cổng này. Nếu không thể xác định được địa chỉ MAC của cổng thì cổng đó được coi là không thể truy cập được.
-
Kiểm tra mạng được bật - cổng được coi là có thể truy cập được nếu:
-
UserGate có thể lấy địa chỉ MAC của nó bằng yêu cầu ARP.
-
Việc kiểm tra quyền truy cập Internet qua cổng này đã hoàn tất thành công.
Nếu không, cổng được coi là không có sẵn.
Trong phần “DNS”, bạn cần thêm máy chủ DNS mà UserGate sẽ sử dụng. Cài đặt này được chỉ định trong khu vực Máy chủ DNS hệ thống. Dưới đây là cài đặt để quản lý yêu cầu DNS từ người dùng. UserGate cho phép bạn sử dụng proxy DNS. Dịch vụ proxy DNS cho phép bạn chặn các yêu cầu DNS từ người dùng và thay đổi chúng tùy theo nhu cầu của quản trị viên. Quy tắc proxy DNS có thể được sử dụng để chỉ định máy chủ DNS sẽ chuyển tiếp yêu cầu cho các miền cụ thể. Ngoài ra, bằng cách sử dụng proxy DNS, bạn có thể đặt bản ghi tĩnh của loại máy chủ (Bản ghi A).
Trong phần NAT và Định tuyến, bạn cần tạo các quy tắc NAT cần thiết. Để người dùng Mạng đáng tin cậy truy cập Internet, quy tắc NAT đã được tạo - “Đáng tin cậy->Không đáng tin cậy”, tất cả những gì còn lại là kích hoạt nó. Các quy tắc được áp dụng từ trên xuống dưới theo thứ tự được liệt kê trong bảng điều khiển. Chỉ quy tắc đầu tiên mà các điều kiện được chỉ định trong kết quả khớp quy tắc luôn được thực thi. Để quy tắc được kích hoạt, tất cả các điều kiện được chỉ định trong tham số quy tắc phải khớp. UserGate khuyên bạn nên tạo các quy tắc NAT chung, ví dụ: quy tắc NAT từ mạng cục bộ (thường là Vùng đáng tin cậy) đến Internet (thường là vùng Không tin cậy) và hạn chế quyền truy cập của người dùng, dịch vụ và ứng dụng bằng quy tắc tường lửa.
Cũng có thể tạo quy tắc DNAT, chuyển tiếp cổng, định tuyến dựa trên chính sách, ánh xạ mạng.
Sau này, trong phần “Tường lửa”, bạn cần tạo các quy tắc tường lửa. Để truy cập Internet không giới hạn cho người dùng Mạng đáng tin cậy, quy tắc tường lửa cũng đã được tạo - “Internet dành cho người đáng tin cậy” và phải được bật. Bằng cách sử dụng các quy tắc tường lửa, quản trị viên có thể cho phép hoặc từ chối bất kỳ loại lưu lượng truy cập mạng chuyển tuyến nào đi qua UserGate. Các điều kiện quy tắc có thể bao gồm các vùng và địa chỉ IP nguồn/đích, người dùng và nhóm, dịch vụ và ứng dụng. Các quy tắc áp dụng theo cách tương tự như trong phần “NAT và Định tuyến”, tức là. từ trên xuống. Nếu không có quy tắc nào được tạo thì mọi lưu lượng chuyển tuyến qua UserGate đều bị cấm.
4. Kết luận
Điều này kết thúc bài viết. Chúng tôi đã cài đặt tường lửa UserGate trên máy ảo và thực hiện các cài đặt cần thiết tối thiểu để Internet hoạt động trên Mạng đáng tin cậy. Chúng tôi sẽ xem xét cấu hình thêm trong các bài viết sau.
Hãy theo dõi để cập nhật trong các kênh của chúng tôi (, , , )!
Nguồn: www.habr.com