|
|
Зона в UGMC — это логическое объединение сетевых интерфейсов. Политики безопасности UGMC используют зоны интерфейсов, а не непосредственно интерфейсы.
Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например, зона LAN-интерфейсов, зона интернет-интерфейсов, зона интерфейсов управления.
По умолчанию UGMC поставляется со следующими зонами:
|
Наименование
|
Описание
|
|
Management
|
Зона для подключения доверенных сетей, из которых разрешено управление UGMC.
|
|
Trusted
|
Зона для подключения управляемых устройств и получения доступ в сеть интернет.
|
Для работы UGMC достаточно одного настроенного интерфейса. Разделение функций управления устройством UGMC и управления УУ UserGate на разные сетевые интерфейсы рекомендовано для обеспечения безопасности, но не является жестким требованием.
Администраторы UGMC могут изменять настройки зон, созданных по умолчанию, а также создавать дополнительные зоны.
ПримечаниеМожно создать не более 255 зон.
Для создания зоны необходимо выполнить следующие шаги:
|
Наименование
|
Описание
|
|
Шаг 1. Создать зону.
|
Нажать на кнопку Добавить и дать название зоне.
|
|
Шаг 2. Настроить параметры защиты зоны от DoS (опционально).
|
Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
-
Порог уведомления — при превышении количества запросов с одного IP-адреса над указанным значением происходит запись события в системный журнал.
-
Порог отбрасывания пакетов — при превышении количества запросов с одного IP-адреса над указанным значением UGMC начинает отбрасывать пакеты, поступившие с этого IP-адреса, и записывает данное событие в системный журнал.
Рекомендованные значения для порога уведомления — 300 запросов в секунду, для порога отбрасывания пакетов — 600 запросов в секунду.
Исключения защиты от DoS — позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для шлюзов UserGate, которые могут слать большой объем данных на сервера LogAn.
|
|
Шаг 3. Настроить параметры контроля доступа зоны (опционально).
|
Указать предоставляемые UGMC сервисы, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все сервисы.
Сервисы:
-
Ping — позволяет пинговать UGMC.
-
SNMP — доступ к UserGate по протоколу SNMP (UDP 161).
-
Консоль администрирования — доступ к веб-консоли управления (TCP 8010 и 8300).
-
XML-RPC для управления — позволяет управлять продуктом по API (TCP 4041).
-
VRRP — сервис, необходимый для объединения нескольких NGFW в отказоустойчивый кластер (IP протокол 112).
-
Кластер — сервис, необходимый для объединения нескольких NGFW в кластер (TCP 4369, TCP 9000-9100).
-
CLI по SSH — доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.
-
Сервис UserGate Management Center — сервис подключения NGFW и LogAn (TCP 2022, 9712).
Подробнее о требованиях сетевой доступности читайте в Приложение 1. Требования к сетевому окружению.
|
|
Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально).
|
Атаки на основе IP-спуфинга позволяют передать пакет из одной сети, например, из Trusted, в другую, например, в Management. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес необходимой сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес.
Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников, отличными от указанных, будут отброшены.
С помощью флага Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0./16 и включить опцию Инвертировать.
|
Раздел Интерфейсы отображает все физические и виртуальные интерфейсы, имеющиеся в системе, позволяет менять их настройки и добавлять VLAN и бонд-интерфейсы.
Кнопка Редактировать позволяет изменять параметры сетевого интерфейса:
-
Включить или отключить интерфейс.
-
Указать тип интерфейса — Layer 3.
-
Назначить зону интерфейсу.
-
Изменить физические параметры интерфейса — MAC-адрес и размер MTU.
-
Выбрать тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.
Кнопка Добавить позволяет добавить следующие типы логических интерфейсов:
Объединение интерфейсов в бонд
С помощью кнопки Добавить бонд-интерфейс администратор может объединить несколько физических интерфейсов в один логический агрегированный интерфейс для повышения пропускной способности или для отказоустойчивости канала. При создании бонда необходимо указать следующие параметры:
|
Наименование
|
Описание
|
|
Включено
|
Включает бонд.
|
|
Название
|
Название бонда.
|
|
Зона
|
Зона, к которой принадлежит бонд.
|
|
Интерфейсы
|
Один или более интерфейсов, которые будут использованы для построения бонда.
|
|
Режим
|
Режим работы бонда должен совпадать с режимом работы на том устройстве, куда подключается бонд. Может быть:
-
Round robin. Пакеты отправляются последовательно, начиная с первого доступного интерфейса и заканчивая последним. Эта политика применяется для балансировки нагрузки и отказоустойчивости.
-
Active backup. Только один сетевой интерфейс из объединенных будет активным. Другой интерфейс может стать активным только в том случае, когда упадет текущий активный интерфейс. При такой политике MAC-адрес бонд-интерфейса виден снаружи только через один сетевой порт, во избежание появления проблем с коммутатором. Эта политика применяется для отказоустойчивости.
-
XOR. Передача распределяется между сетевыми картами используя формулу: [(«MAC-адрес источника» XOR «MAC-адрес назначения») по модулю «число интерфейсов»]. Получается, одна и та же сетевая карта передает пакеты одним и тем же получателям. Опционально распределение передачи может быть основано и на политике «xmit_hash». Политика XOR применяется для балансировки нагрузки и отказоустойчивости.
-
Broadcast. Передает все на все сетевые интерфейсы. Эта политика применяется для отказоустойчивости.
-
IEEE 802.3ad — режим работы, установленный по умолчанию, поддерживается большинством сетевых коммутаторов. Создаются агрегированные группы сетевых карт с одинаковой скоростью и дуплексом. При таком объединении передача задействует все каналы в активной агрегации согласно стандарту IEEE 802.3ad. Выбор, через какой интерфейс отправлять пакет, определяется политикой; по умолчанию используется XOR-политика, можно также использовать «xmit_hash» политику.
-
Adaptive transmit load balancing. Исходящий трафик распределяется в зависимости от загруженности каждой сетевой карты (определяется скоростью загрузки). Не требует дополнительной настройки на коммутаторе. Входящий трафик приходит на текущую сетевую карту. Если она выходит из строя, то другая сетевая карта берет себе MAC-адрес вышедшей из строя карты.
-
Adaptive load balancing. Включает в себя предыдущую политику плюс осуществляет балансировку входящего трафика. Не требует дополнительной настройки на коммутаторе. Балансировка входящего трафика достигается путем ARP-переговоров. Драйвер перехватывает ARP-ответы, отправляемые с локальных сетевых карт наружу, и переписывает MAC-адрес источника на один из уникальных MAC-адресов сетевой карты, участвующей в объединении. Таким образом, различные пиры используют различные MAC-адреса сервера. Балансировка входящего трафика распределяется последовательно (round-robin) между интерфейсами.
|
|
MII monitoring period (мсек)
|
Устанавливает периодичность MII-мониторинга в миллисекундах. Определяет, как часто будет проверяться состояние линии на наличие отказов. Значение по умолчанию — 0 — отключает MII-мониторинг.
|
|
Down delay (мсек)
|
Определяет время (в миллисекундах) задержки перед отключением интерфейса, если произошел сбой соединения. Эта опция действительна только для мониторинга MII (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0.
|
|
Up delay (мсек)
|
Задает время задержки в миллисекундах, перед тем как поднять канал при обнаружении его восстановления. Этот параметр возможен только при MII-мониторинге (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0.
|
|
LACP rate
|
Определяет, с каким интервалом будут передаваться партнером LACPDU-пакеты в режиме 802.3ad. Возможные значения:
|
|
Failover MAC
|
Определяет, как будут прописываться MAC-адреса на объединенных интерфейсах в режиме active-backup при переключении интерфейсов. Обычным поведением является одинаковый MAC-адрес на всех интерфейсах. Возможные значения:
-
Отключено — устанавливает одинаковый MAC-адрес на всех интерфейсах во время переключения.
-
Active — MAC-адрес на бонд-интерфейсе будет всегда таким же, как на текущем активном интерфейсе. MAC-адреса на резервных интерфейсах не изменяются. MAC-адрес на бонд-интерфейсе меняется во время обработки отказа.
-
Follow — MAC-адрес на бонд-интерфейсе будет таким же, как на первом интерфейсе, добавленном в объединение. На втором и последующем интерфейсе этот MAC не устанавливается, пока они в резервном режиме. MAC-адрес прописывается во время обработки отказа, когда резервный интерфейс становится активным, он принимает новый MAC (тот, что на бонд-интерфейсе), а старому активному интерфейсу прописывается MAC, который был на текущем активном.
|
|
Xmit hash policy
|
Определяет хэш-политику передачи пакетов через объединенные интерфейсы в режиме XOR или IEEE 802.3ad. Возможные значения:
-
Layer 2 — использует только MAC-адреса для генерации хэша. При этом алгоритме трафик для конкретного сетевого хоста будет отправляться всегда через один и тот же интерфейс. Алгоритм совместим с IEEE 802.3ad.
-
Layer 2+3 — использует как MAC-адреса, так и IP-адреса для генерации хэша. Алгоритм совместим с IEEE 802.3ad.
-
Layer 3+4 — используются IP-адреса и протоколы транспортного уровня (TCP или UDP) для генерации хэша. Алгоритм не всегда совместим с IEEE 802.3ad, так как в пределах одного и того же TCP- или UDP-взаимодействия могут передаваться как фрагментированные, так и нефрагментированные пакеты. Во фрагментированных пакетах порт источника и порт назначения отсутствуют. В результате в рамках одной сессии пакеты могут дойти до получателя не в том порядке, так как отправляются через разные интерфейсы.
|
|
Сеть
|
Способ присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.
|
Для подключения UGMC к интернету необходимо указать IP-адрес одного или нескольких шлюзов.
Можно указать несколько шлюзов, если для подключения к интернету используется несколько провайдеров. Пример настройки сети с двумя провайдерами:
-
Интерфейс port1 с IP-адресом 192.168.11.2 подключен к интернет-провайдеру 1. Для выхода в интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.11.1
-
Интерфейс port2 с IP-адресом 192.168.12.2 подключен к интернет-провайдеру 2. Для выхода в интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.12.1
При наличии двух или более шлюзов возможны 2 варианта работы:
|
Наименование
|
Описание
|
|
Балансировка трафика между шлюзами
|
Установить флажок Балансировка и указать Вес каждого шлюза. В этом случае весь трафик в интернет будет распределен между шлюзами в соответствии с указанными весами (чем больше вес, тем большая доля трафика идет через шлюз).
|
|
Основной шлюз с переключением на запасной
|
Выбрать один из шлюзов в качестве основного и настроить Проверку сети, нажав на одноименную кнопку в интерфейсе. Проверка сети проверяет доступность хоста в интернет с указанной в настройках периодичностью, и в случае, если хост перестает быть доступен, переводит весь трафик на запасные шлюзы в порядке их расположения в консоли.
|
По умолчанию проверка доступности сети настроена на работу с публичным DNS-сервером Google (8.8.8.8), но может быть изменена на любой другой хост по желанию администратора.
Данный раздел позволяет указать маршрут в сеть, доступную за определенным маршрутизатором. Например, в локальной сети может быть маршрутизатор, который объединяет несколько IP-подсетей.
Для добавления маршрута необходимо выполнить следующие шаги:
|
Наименование
|
Описание
|
|
Шаг 1. Задать название и описание данного маршрута.
|
В разделе Сеть выберите в меню Маршруты, нажмите кнопку Добавить. Укажите имя для данного маршрута. Опционально можно задать описание маршрута.
|
|
Шаг 2. Указать адрес назначения.
|
Задайте подсеть, куда будет указывать маршрут, например, 172.16.20.0/24 или 172.16.20.5/32.
|
|
Шаг 3. Указать шлюз.
|
Задайте IP-адрес шлюза, через который указанная подсеть будет доступна. Этот IP-адрес должен быть доступен с сервера UGMC.
|
|
Шаг 4. Указать интерфейс.
|
Выберите интерфейс, через который будет добавлен маршрут. Если оставить значение Автоматически, то UGMC сам определит интерфейс, исходя из настроек IP-адресации сетевых интерфейсов.
|
|
Шаг 5. Указать метрику.
|
Задайте метрику маршрута. Чем меньше метрика, тем приоритетней маршрут, если маршрутов несколько в данную сеть несколько.
|
|
