您好,这是该公司第二篇关于NGFW解决方案的文章 。 本文的目的是展示如何在虚拟系统上安装 UserGate 防火墙(我将使用 VMware Workstation 虚拟化软件)并执行其初始配置(允许从本地网络通过 UserGate 网关访问 Internet)。
1。 介绍
首先,我将描述在网络中实现此网关的各种方法。 我想指出的是,根据所选的连接选项,网关的某些功能可能不可用。 UserGate解决方案支持以下连接模式:
-
L3-L7防火墙
-
L2透明桥
-
L3透明桥
-
虚拟地进入间隙,使用WCCP协议
-
几乎在间隙中,使用基于策略的路由
-
棒式路由器
-
显式指定WEB代理
-
UserGate 作为默认网关
-
镜像端口监控
UserGate 支持 2 种类型的集群:
-
集群配置。 组合到配置集群中的节点在整个集群中保持一致的设置。
-
故障转移集群。 最多可以将 4 个配置集群节点组合成一个故障转移集群,支持主动-主动或主动-被动模式操作。 可以组装多个故障转移集群。
2. 安装
正如上一篇文章中提到的,UserGate 作为硬件和软件包提供或部署在虚拟环境中。 从您在网站上的个人帐户 下载 OVF(开放虚拟化格式)映像,该格式适用于 VMWare 和 Oracle Virtualbox 供应商。 为 Microsoft Hyper-v 和 KVM 提供虚拟机磁盘映像。
根据 UserGate 网站的说法,为了使虚拟机正常运行,建议至少使用 8Gb RAM 和 2 核虚拟处理器。 虚拟机管理程序必须支持 64 位操作系统。
安装首先将映像导入到选定的虚拟机管理程序(VirtualBox 和 VMWare)中。 对于Microsoft Hyper-v和KVM,您需要创建虚拟机并将下载的映像指定为磁盘,然后在创建的虚拟机的设置中禁用集成服务。
默认情况下,导入 VMWare 后,将使用以下设置创建虚拟机:
如上所述,必须至少有 8Gb RAM,此外您还需要为每 1 个用户添加 100Gb。 默认硬盘大小为 100Gb,但这通常不足以存储所有日志和设置。 建议大小为 300Gb 或更大。 因此,我们在虚拟机的属性中,将磁盘大小更改为所需的大小。 最初,虚拟 UserGate UTM 附带分配给区域的四个接口:
管理 - 虚拟机的第一个接口,用于连接允许 UserGate 管理的受信任网络的区域。
Trusted是虚拟机的第二个接口,用于连接可信网络(例如LAN网络)的区域。
不可信是虚拟机的第三个接口,该区域用于连接到不可信网络(例如 Internet)的接口。
DMZ 是虚拟机的第四个接口,用于连接到 DMZ 网络的接口的区域。
接下来,我们启动虚拟机,虽然手册上说需要选择Support Tools并执行Factory Reset UTM,但正如你所看到的,只有一个选择(UTM First Boot)。 在此步骤中,UTM 将配置网络适配器并将硬盘驱动器分区的大小增加到整个磁盘大小:
要连接到 UserGate Web 界面,您必须通过管理区域登录;这是 eth0 接口的责任,该接口配置为自动获取 IP 地址 (DHCP)。 如果无法使用 DHCP 自动为管理接口分配地址,则可以使用 CLI(命令行界面)显式设置。 为此,您需要使用具有完全管理员权限的用户名和密码(默认为大写字母 Admin)登录 CLI。 如果 UserGate 设备尚未进行初始初始化,则要访问 CLI,您必须使用 Admin 作为用户名,使用 utm 作为密码。 并输入类似 iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static 的命令。 稍后我们进入指定地址的 UserGate Web 控制台,它应该如下所示:https://UserGateIPaddress:8001:
在Web控制台中我们继续安装,我们需要选择界面语言(目前是俄语或英语)、时区,然后阅读并同意许可协议。 设置登录名和密码以登录Web管理界面。
3.定制
安装后,平台管理Web界面窗口如下所示:
然后您需要配置网络接口。 为此,您需要在“接口”部分启用它们、设置正确的 IP 地址并分配适当的区域。
“接口”部分显示系统中可用的所有物理和虚拟接口,允许您更改其设置并添加 VLAN 接口。 它还显示每个集群节点的所有接口。 接口设置特定于每个节点,也就是说,它们不是全局的。
在界面属性中:
-
启用或禁用接口
-
指定接口类型 - 第 3 层或镜像
-
将区域分配给接口
-
分配 Netflow 配置文件以将统计数据发送到 Netflow 收集器
-
更改接口的物理参数 - MAC 地址和 MTU 大小
-
选择 IP 地址分配类型 - 无地址、静态 IP 地址或通过 DHCP 获取
-
在所选接口上配置 DHCP 中继。
“添加”按钮允许您添加以下类型的逻辑接口:
-
VLAN
-
债券
-
桥
-
PPPoE的
-
VPN
-
隧道
除了前面列出的用户门映像附带的区域之外,还有三种预定义类型:
Cluster - 用于集群操作的接口区域
用于站点到站点的 VPN - 所有通过 VPN 连接到 UserGate 的 Office-Office 客户端都放置在该区域中
用于远程访问的 VPN - 包含通过 VPN 连接到 UserGate 的所有移动用户的区域
UserGate 管理员可以更改默认区域的设置,也可以创建其他区域,但如版本 5 手册中所述,最多可以创建 15 个区域。 要更改或创建它们,您需要转到区域部分。 对于每个区域,您可以设置数据包丢弃阈值;支持 SYN、UDP、ICMP。 还配置了对用户门服务的访问控制,并启用了防欺骗保护。
配置接口后,您需要在“网关”部分配置默认路由。 那些。 要将 UserGate 连接到 Internet,您必须指定一个或多个网关的 IP 地址。 如果您使用多个提供商连接到 Internet,则必须指定多个网关。 每个集群节点的网关配置都是唯一的。 如果指定了两个或多个网关,则可能有 2 个选项:
-
平衡网关之间的流量。
-
主网关切换至备用网关。
网关状态(可用 - 绿色,不可用 - 红色)确定如下:
-
网络检查已禁用 – 如果 UserGate 可以使用 ARP 请求获取其 MAC 地址,则网关被视为可访问。 不会检查通过此网关的 Internet 访问情况。 如果无法确定网关的MAC地址,则认为网关不可达。
-
网络检查已启用 - 如果满足以下条件,则网关被视为可访问:
-
UserGate 可以使用 ARP 请求获取其 MAC 地址。
-
通过此网关的 Internet 访问检查已成功完成。
否则,认为网关不可用。
在“DNS”部分中,您需要添加 UserGate 将使用的 DNS 服务器。 此设置在系统 DNS 服务器区域中指定。 以下是管理用户 DNS 请求的设置。 UserGate 允许您使用 DNS 代理。 DNS 代理服务允许您拦截用户的 DNS 请求并根据管理员的需要更改它们。 DNS 代理规则可用于指定将特定域的请求转发到的 DNS 服务器。 另外,使用DNS代理,您可以设置主机类型的静态记录(A记录)。
在“NAT 和路由”部分中,您需要创建必要的 NAT 规则。 对于受信任网络的用户访问互联网,NAT 规则已经创建 -“受信任->不受信任”,剩下的就是启用它。 规则按照控制台中列出的顺序从上到下应用。 始终仅执行规则中指定的条件匹配的第一条规则。 对于要触发的规则,规则参数中指定的所有条件都必须匹配。 UserGate 建议创建通用 NAT 规则,例如从本地网络(通常是受信任区域)到 Internet(通常是不受信任区域)的 NAT 规则,并使用防火墙规则限制用户、服务和应用程序的访问。
还可以创建 DNAT 规则、端口转发、基于策略的路由、网络映射。
之后,在“防火墙”部分中,您需要创建防火墙规则。 为了让受信任网络的用户无限制地访问互联网,还已经创建了防火墙规则 - “受信任的互联网”并且必须启用。 使用防火墙规则,管理员可以允许或拒绝通过 UserGate 的任何类型的中转网络流量。 规则条件可以包括区域和源/目标 IP 地址、用户和组、服务和应用程序。 这些规则的应用方式与“NAT 和路由”部分中的相同,即自顶向下。 如果未创建规则,则禁止通过 UserGate 的任何中转流量。
4。 结论
文章到此结束。 我们在虚拟机上安装了 UserGate 防火墙,并对 Internet 在可信网络上运行进行了最低限度的必要设置。 我们将在接下来的文章中考虑进一步的配置。
请继续关注我们频道的更新(, , , )!
来源: habr.com