您好,這是該公司第二篇關於NGFW解決方案的文章 。 本文的目的是展示如何在虛擬系統上安裝 UserGate 防火牆(我將使用 VMware Workstation 虛擬化軟體)並執行其初始設定(允許從本機網路透過 UserGate 閘道存取 Internet)。
1。 介紹
首先,我將描述在網路中實現此網關的各種方法。 我想指出的是,根據所選的連接選項,網關的某些功能可能無法使用。 UserGate解決方案支援以下連線模式:
-
L3-L7防火牆
-
L2透明橋
-
L3透明橋
-
虛擬地進入間隙,使用WCCP協議
-
幾乎在間隙中,使用基於策略的路由
-
棒式路由器
-
明確指定WEB代理
-
UserGate 作為預設網關
-
鏡像連接埠監控
UserGate 支援 2 種類型的叢集:
-
叢集配置。 組合到配置叢集中的節點在整個叢集中保持一致的設定。
-
故障轉移集群。 最多可將 4 個配置集群節點組合成一個故障轉移集群,支援主動-主動或主動-被動模式操作。 可以組裝多個故障轉移集群。
2. 安裝
如上一篇文章中所提到的,UserGate 作為硬體和軟體包提供或部署在虛擬環境中。 從您在網站上的個人帳戶 下載 OVF(開放虛擬化格式)映像,該格式適用於 VMWare 和 Oracle Virtualbox 供應商。 為 Microsoft Hyper-v 和 KVM 提供虛擬機器磁碟映像。
根據 UserGate 網站的說法,為了使虛擬機器正常運行,建議至少使用 8Gb RAM 和 2 核心虛擬處理器。 虛擬機器管理程式必須支援 64 位元作業系統。
安裝首先將映像匯入到選取的虛擬機器管理程式(VirtualBox 和 VMWare)中。 對於Microsoft Hyper-v和KVM,您需要建立虛擬機器並將下載的映像指定為磁碟,然後在建立的虛擬機器的設定中停用整合服務。
預設情況下,導入 VMWare 後,將使用下列設定建立虛擬機器:
如上所述,必須至少有 8Gb RAM,此外您還需要為每 1 個用戶添加 100Gb。 預設硬碟大小為 100Gb,但這通常不足以儲存所有日誌和設定。 建議大小為 300Gb 或更大。 因此,我們在虛擬機器的屬性中,將磁碟大小變更為所需的大小。 最初,虛擬 UserGate UTM 附帶分配給區域的四個介面:
管理 - 虛擬機器的第一個接口,用於連接允許 UserGate 管理的受信任網路的區域。
Trusted是虛擬機的第二個接口,用於連接可信任網路(例如LAN網路)的區域。
不可信是虛擬機的第三個接口,該區域用於連接到不可信網路(例如 Internet)的接口。
DMZ 是虛擬機的第四個接口,用於連接到 DMZ 網路的接口的區域。
接下來,我們啟動虛擬機,雖然手冊上說需要選擇Support Tools並執行Factory Reset UTM,但正如你所看到的,只有一個選擇(UTM First Boot)。 在此步驟中,UTM 將配置網路適配器並將硬碟分割區的大小增加到整個磁碟大小:
若要連接到 UserGate Web 介面,您需要透過管理區域登錄,eth0 介面負責此操作,該介面已配置為自動取得 IP 位址 (DHCP)。 如果無法使用 DHCP 自動為管理介面指派位址,則可以使用 CLI(命令列介面)明確設定。 為此,您需要使用具有完全管理員權限的使用者名稱和密碼(預設為大寫字母 Admin)登入 CLI。 如果 UserGate 裝置尚未進行初始初始化,則要存取 CLI,您必須使用 Admin 作為使用者名,使用 utm 作為密碼。 並輸入類似 iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static 的命令。 稍後我們進入指定位址的 UserGate Web 控制台,它應該如下所示:https://UserGateIPaddress:8001:
在Web控制台中我們繼續安裝,我們需要選擇介面語言(目前是俄語或英語)、時區,然後閱讀並同意許可協議。 設定登入名稱和密碼以登入Web管理介面。
3. 設置
安裝後,平台管理Web介面視窗如下所示:
然後您需要設定網路介面。 為此,您需要在「介面」部分啟用它們、設定正確的 IP 位址並指派適當的區域。
「接口」部分顯示系統中可用的所有實體和虛擬接口,可讓您變更其設定並新增 VLAN 介面。 它還顯示每個叢集節點的所有介面。 介面設定特定於每個節點,也就是說,它們不是全域的。
在介面屬性中:
-
啟用或停用介面
-
指定介面類型 - 第 3 層或鏡像
-
將區域分配給接口
-
指派 Netflow 設定檔以將統計資料傳送至 Netflow 收集器
-
更改介面的實體參數 - MAC 位址和 MTU 大小
-
選擇 IP 位址分配類型 - 無位址、靜態 IP 位址或透過 DHCP 取得
-
在所選介面上設定 DHCP 中繼。
「新增」按鈕可讓您新增以下類型的邏輯介面:
-
VLAN
-
紐帶
-
橋
-
PPPoE的
-
VPN
-
隧道
除了前面列出的使用者門映像附帶的區域之外,還有三種預先定義類型:
Cluster - 用於叢集操作的介面區域
用於網站到網站的 VPN - 所有透過 VPN 連接到 UserGate 的 Office-Office 用戶端都放置在該區域中
用於遠端存取的 VPN - 包含透過 VPN 連接到 UserGate 的所有行動用戶的區域
UserGate 管理員可以變更預設區域的設置,也可以建立其他區域,但如版本 5 手冊中所述,最多可以建立 15 個區域。 要更改或建立它們,您需要轉到區域部分。 對於每個區域,您可以設定封包丟棄閾值;支援 SYN、UDP、ICMP。 也配置了對用戶門服務的存取控制,並啟用了防欺騙保護。
配置介面後,您需要在「網關」部分配置預設路由。 那些。 若要將 UserGate 連接到 Internet,您必須指定一個或多個閘道的 IP 位址。 如果您使用多個提供者連線到 Internet,則必須指定多個網關。 每個叢集節點的網關配置都是唯一的。 如果指定了兩個或多個網關,則可能有 2 個選項:
-
平衡網關之間的流量。
-
主網關切換至備用網關。
網關狀態(可用 - 綠色,不可用 - 紅色)確定如下:
-
網路檢查已停用 – 如果 UserGate 可以使用 ARP 請求取得其 MAC 位址,則閘道被視為可存取。 不會檢查透過此網關的 Internet 存取權。 如果無法確定網關的MAC位址,則認為網關不可達。
-
網路檢查已啟用 - 如果滿足以下條件,則網關被視為可存取:
-
UserGate 可以使用 ARP 請求來取得其 MAC 位址。
-
透過此網關的 Internet 存取檢查已成功完成。
否則,認為網關不可用。
在「DNS」部分中,您需要新增 UserGate 將使用的 DNS 伺服器。 此設定在系統 DNS 伺服器區域中指定。 以下是管理使用者 DNS 請求的設定。 UserGate 允許您使用 DNS 代理程式。 DNS 代理服務可讓您攔截使用者的 DNS 請求並根據管理員的需求變更它們。 DNS 代理規則可用於指定將特定網域的請求轉送至的 DNS 伺服器。 另外,使用DNS代理,您可以設定主機類型的靜態記錄(A記錄)。
在“NAT 和路由”部分中,您需要建立必要的 NAT 規則。 對於受信任網絡的用戶訪問互聯網,NAT 規則已經創建 -“受信任->不受信任”,剩下的就是啟用它。 規則按照控制台中列出的順序從上到下套用。 始終僅執行規則中指定的條件符合的第一條規則。 對於要觸發的規則,規則參數中指定的所有條件都必須符合。 UserGate 建議建立通用 NAT 規則,例如從本機網路(通常是受信任區域)到 Internet(通常是不受信任區域)的 NAT 規則,並使用防火牆規則限制使用者、服務和應用程式的存取。
還可以建立 DNAT 規則、連接埠轉送、基於政策的路由、網路映射。
之後,在「防火牆」部分中,您需要建立防火牆規則。 為了讓受信任網路的使用者無限制地存取互聯網,也已經建立了防火牆規則 - 「受信任的互聯網」並且必須啟用。 使用防火牆規則,管理員可以允許或拒絕通過 UserGate 的任何類型的中繼網路流量。 規則條件可以包括區域和來源/目標 IP 位址、使用者和群組、服務和應用程式。 這些規則的應用方式與「NAT 和路由」部分中的相同,即自頂向下。 如果未建立規則,則禁止通過 UserGate 的任何中轉流量。
4.Заключение
文章到此結束。 我們在虛擬機器上安裝了 UserGate 防火牆,並對 Internet 在可信任網路上運作進行了最低限度的必要設定。 我們將在接下來的文章中考慮進一步的配置。
請繼續關注我們頻道的更新(, , , )!
來源: www.habr.com