Первоначальная настройка - UserGate :: Портал документации

Межсетевой экран UserGate поставляется в виде программно-аппаратного комплекса (ПАК) либо в виде образа виртуальной машины (virtual appliance), предназначенного для развертывания в виртуальной среде. В случае виртуальной машины межсетевой экран UserGate поставляется с десятью Ethernet-интерфейсами. В случае поставки в виде ПАК — может содержать от 2 до 64 Ethernet-портов.

Просмотреть как статью

к началу

Развертывание виртуального образа

UserGate NGFW Virtual Appliance позволяет быстро развернуть виртуальную машину с уже настроенными компонентами. Образ предоставляется в формате OVF (Open Virtualization Format), который поддерживают системы виртуализации VMware, Oracle VirtualBox, и в формате Qcow2 для систем виртуализации QEMU-KVM. Для Microsoft Hyper-V поставляется образ диска виртуальной машины.

ПримечаниеДля корректной работы виртуальной машины рекомендуется использовать минимум 12 ГБ оперативной памяти и 2-ядерный виртуальный процессор. Гипервизор должен поддерживать работу 64-битных операционных систем.

Работа с виртуальным образом

Для начала работы с виртуальным образом выполните следующие шаги:

1. Скачайте последнюю версию виртуального образа с официального сайта UserGate.

2. Импортируйте образ в свою систему виртуализации. Инструкцию по импорту образа вы можете найти на сайтах систем виртуализации, например VirtualBox или VMware. Для Microsoft Hyper-V необходимо создать виртуальную машину и указать в качестве диска скачанный образ, после чего отключить службы интеграции в настройках созданной виртуальной машины.

3. Настройте параметры виртуальной машины. Увеличьте размер оперативной памяти виртуальной машины. Используя свойства виртуальной машины, установите минимум 8 ГБ и добавьте по 1 ГБ на каждые 100 пользователей.

4. Добавьте дополнительный диск нужного размера.

Размер диска по умолчанию составляет 100 ГБ, чего обычно недостаточно для хранения всех журналов и параметров. Используя свойства виртуальной машины, установите размер диска не меньше 200 ГБ. Рекомендованный размер — 300 ГБ или больше.

Для систем виртуализации QEMU-KVM размер системной области по умолчанию составляет 8 ГБ. При первом запуске система сама определит наличие дополнительного диска и расширит свои системные разделы.

Команда для добавления диска размером 100 ГБ для систем QEMU-KVM:

qemu-img create -f qcow2 -o preallocation=metadata,refcount_bits=16,lazy_refcounts=on,cluster_size=4K <имя-вашего-диска>.qcow2 100G

5. Запустите виртуальную машину UserGate. Во время загрузки выполняется Factory reset. Система UserGate настраивает сетевые адаптеры и увеличивает размер раздела на жестком диске до полного размера диска, увеличенного в четвертом пункте.

UserGate NGFW поставляется с четырьмя интерфейсами, назначенными в зоны:

Management — первый интерфейс виртуальной машины;
Trusted — второй интерфейс виртуальной машины;
Untrusted — третий интерфейс виртуальной машины;
DMZ — четвертый интерфейс виртуальной машины.

Порядок нумерации интерфейсов в виртуальной среде

В веб-консоли администратора сетевые интерфейсы отображаются по своим названиям. Сопоставление названия интерфейса и его адреса (H/W path или MAC) называется маппингом. Данные о маппинге интерфейсов хранятся в специальном системном файле. Посмотреть содержимое файла маппинга интерфейсов можно с помощью CLI-команды:

Admin@nodename> show network interface-mapping

После сброса до первоначального состояния (factory reset) при изменении количества сетевых адаптеров в системе (при добавлении или удалении адаптеров средствами гипервизора) происходит сортировка интерфейсов и их маппинг.

Выбор метода сортировки (по H/W path или по MAC-адресам) зависит от типа гипервизора и используемого эмулятора аппаратного обеспечения. В некоторых случаях (VirtualBox, QEMU, Bochs) сортировка интерфейсов производится по параметру H/W path, в остальных — по MAC-адресам интерфейсов.

При сортировке интерфейсов по параметру H/W path:

Все имеющиеся на устройстве интерфейсы при любом изменении их количества (удаление, добавление) будут пересортированы в порядке возрастания аппаратных адресов (H/W path); системный файл с данными маппинга будет полностью перезаписан.

Удаленные интерфейсы отображаются как неиспользуемые, помечаются соответствующим значком и помещаются в конец списка интерфейсов в веб-консоли.

При сортировке интерфейсов по MAC-адресам:

Интерфейсы, уже добавленные в систему, остаются на своих местах.
Удаляемые интерфейсы отмечаются в веб-консоли как неиспользуемые и помечаются специальными значками.
Новые добавленные интерфейсы добавляются в конец списка в порядке возрастания MAC-адресов.

Если использовать консольную команду clear network interface-mapping, файл существующего маппинга интерфейсов будет удален и все имеющиеся интерфейсы после перезапуска машины будут пересортированы заново по принципу возрастания адресов.

Важно!Виртуальный образ устройства UserGate, доступный для скачивания в личном кабинете, не имеет файла маппинга интерфейсов. Сортировка интерфейсов и их маппинг осуществляются при первом запуске в виртуальной среде пользователя. При подготовке собственного виртуального образа устройства UserGate для его разворачивания впоследствии на облачной платформе необходимо также удалить данные маппинга сетевых адаптеров перед сохранением образа. Файл маппинга можно удалить консольной командой: clear network interface-mapping.

ПримечаниеЕсли виртуальная машина UserGate клонируется через vSphere, то в VMX-файле параметров склонированной виртуальной машины необходимо удалить MAC-адреса, принадлежащие виртуальной машине источника.

Оптимизация производительности сетевых интерфейсов на основе virtio

Для оптимизации производительности сетевых интерфейсов на основе virtio в средах виртуализации KVM, oVirt, zVirt рекомендуется включить на гипервизоре режим Multi Queues и устанавливать 8 очередей на сетевой интерфейс. Например, в случае платформы OVirt (см. документацию oVirt), для того чтобы выставить 8 очередей для vNIC, необходимо подключиться к CLI гипервизора и ввести команду:

engine-config -s "CustomDeviceProperties={type=interface;prop={other-nic-properties;queues=[1-9][0-9]*}}"

Вместо параметра other-nic-properties нужно вставить список существующих кастомизированных правил (если такие правила есть). Посмотреть, существуют ли кастомизированные правила, можно с помощью команды:

engine-config -g "CustomDeviceProperties"

После ввода команды необходимо на портале администратора зайти в профили vNIC.

Далее необходимо выбрать редактирование профиля сетевых карт, назначенного для NGFW, в выпадающем списке Custom Properties выбрать queues, после чего указать нужное количество очередей.

Просмотреть как статью

к началу

Автоматизация развертывания UserGate NGFW с помощью Cloud-init

Cloud-init — индустриальный стандарт для кросс-платформенной инициализации виртуальных машин (инстансов) в облачных сервисах провайдеров. Межсетевой экран UserGate поддерживает возможность первоначальной настройки с помощью механизма Cloud-init. Настройка межсетевого экрана осуществляется с помощью двух модулей:

С помощью команд CLI (файл с заголовком #utm-config). Возможно использовать все CLI-команды для полной настройки виртуальной машины.
Посредством активации лицензии (файл с заголовком #utm-license).

Другие модули Cloud-init не поддерживаются.

Пример файла конфигурации с CLI командами (user-data):

#utm-config
#set password for initial Administrator (Admin). Obligatory comand.
password 123
#Set addresses and settings for network interfaces:
set network interface adapter port1 \
ip-addresses [ 172.16.6.9/24 ] \
enabled on \
zone "Trusted"
set network interface adapter port2 \
ip-addresses [ 172.16.8.9/24 ] \
enabled on \
zone "Untrusted"
set network interface adapter port3 \
ip-addresses [ 172.16.7.9/24 ] \
enabled on \
zone "DMZ"
#Create network gateway to Internet:
create network gateway \
ip 172.16.8.2 \
default on \
interface port2 \
virtual-router default \
enabled on
#Create firewall rule to allow traffic from Trusted to untrusted security zones:
create network-policy firewall \
position 1 upl-rule ALLOW \
src.zone = Trusted \
dst.zone = Untrusted \
enabled(true) \
name("Cloud-Init: Allow from Trusted to Untrusted")

# — обозначает начало комментария, обратный слеш — переход на следующую строку.

В данный файл можно добавлять все доступные для администратора команды CLI. Подробнее о CLI-командах — в разделе «Интерфейс командной строки (CLI)».

Активировать создаваемую виртуальную машину можно через указание параметров для лицензирования в отдельном файле. Следует учитывать, что активация возможна только при наличии у виртуальной машины доступа в сеть интернет. Пример содержимого файла для активации лицензии (vendor-data):

#utm-license
pin_code: UGN4-XXXX-YYYY-ZZZZ-AAAA
reg_name: UG-test
email:  email@company.com
user_name: Alexander
last_name: Petrov
company: UserGate
country: Russia
region: Novosibirsk

Оба файла можно объединить в один файл, используя формат multipart:

Content-Type: multipart/mixed; boundary="//"
MIME-Version: 1.0
--//
Content-Type: text/utm-config; charset="utf-8"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="config.txt"
#utm-config
password 123
set network interface adapter port1 \
ip-addresses [ 172.16.6.9/24 ] \
enabled on \
zone "Trusted"
set network interface adapter port2 \
ip-addresses [ 172.16.8.9/24 ] \
enabled on \
zone "Untrusted"
set network interface adapter port3 \
ip-addresses [ 172.16.7.9/24 ] \
enabled on \
zone "DMZ"
create network gateway \
ip 172.16.8.2 \
default on \
interface port2 \
virtual-router default \
enabled on
create network-policy firewall \
position 1 upl-rule ALLOW \
src.zone = Trusted \
dst.zone = Untrusted \
enabled(true) \
name("Cloud-Init: Allow from Trusted to Untrusted")
--//
Content-Type: text/utm-license; charset="utf-8"
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Disposition: attachment; filename="license.txt"
#utm-license
pin_code: UGN4-XXXX-YYYY-ZZZZ-AAAA
reg_name: UG-test
email:  email@company.com
user_name: Alexander
last_name: Petrov
company: UserGate
country: Russia
region: Novosibirsk
--//

Настройки могут быть переданы в NGFW:

Через облачный провайдер. Например, в провайдере Digital Ocean при создании виртуальной машины (droplet) настройки необходимо вставить в опциональное поле User data (Select additional options ➜ User data). Аналогичным образом настройки можно передать и через другие поставщики облачных услуг.
Через подключаемый ISO-диск. На диске должны быть файлы meta-data, user-data, vendor-data со следующим содержимым:
- meta-data: instance-id: vm1
- user-data — с CLI-командами настройки инстанса:
```
#utm-config
#set password for initial Administrator (Admin). Obligatory comand.
password 123
#Set addresses and settings for network interfaces:
set network interface adapter port1 \
ip-addresses [ 172.16.6.9/24 ] \
enabled on \
zone "Trusted"
...
```
- vendor-data — с информацией о лицензировании (опционально):
```
#utm-license
pin_code: UGN4-XXXX-YYYY-ZZZZ-AAAA
reg_name: UG-test
email: email@company.com
...
```

Для создания ISO-диска на Linux можно использовать следующую утилиту:

mkisofs -joliet -rock -volid "cidata" -output nocloud.iso meta-data user-data vendor-data

Полученный ISO-диск необходимо подключить к виртуальной машине UserGate. После успешной первой загрузки виртуальная машина получит все настройки, указанные для нее в созданных файлах.

Просмотреть как статью

к началу

Требования к сетевому окружению

Для корректной работы межсетевой экран UserGate должен иметь доступ к следующим серверам в интернете:

сервер регистрации — reg2.usergate.com, порты TCP 80, 443;
сервер обновления ПО UserGate — updates.usergate.com, порты TCP 80, 443.

При создании кластера конфигурации необходимо обеспечить прохождение следующих протоколов между узлами:

репликация настроек — порты TCP 4369, TCP 9000-9100;
сервис веб-консоли — TCP 8001.

Подробнее о требованиях сетевой доступности — в приложении «Требования к сетевому окружению».

Просмотреть как статью

к началу

Подключение к UserGate NGFW

Интерфейс port0 настроен на получение IP-адреса в автоматическом режиме (DHCP) и назначен в зону Management. Первоначальная настройка осуществляется через подключение администратора к веб-консоли через интерфейс port0.

Если нет возможности назначить адрес для Management-интерфейса в автоматическом режиме с помощью DHCP, его можно явно задать, используя CLI (Command Line Interface). Подробнее об использовании CLI — в разделе «Интерфейс командной строки (CLI)».

Примечание Если устройство не прошло первоначальную инициализацию, для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля — usergate.

Остальные интерфейсы отключены и требуют последующей настройки.

Для первоначальной настройки выполните следующие шаги:

Шаг	Описание
1. Подключитесь к интерфейсу управления	Подключитесь к интерфейсу устройства: При наличии DHCP-сервера. Подключите интерфейс port0 к сети предприятия с работающим DHCP-сервером. Включите NGFW. После загрузки в консоли NGFW будет указан полученный интерфейсом IP-адрес. Подключитесь к веб-консоли устройства по адресу: `https://<NGFW_IP_address>:8001` для дальнейшей активации продукта. Статический IP-адрес. Включите UserGate NGFW. Используя CLI, назначьте необходимый IP-адрес на интерфейс port0. Произведите первоначальную инициализацию в интерфейсе командной строки или подключитесь к веб-консоли UserGate NGFW по указанному адресу (он должен иметь вид: `https://<NGFW_IP_address>:8001`). Подробнее об использования CLI — в разделе «Интерфейс командной строки (CLI)»
2. Выберите язык
3. Задайте пароль
4. Настройте зоны, IP-адреса интерфейсов, подключите UserGate NGFW в сеть предприятия	В разделе Настройки ➜ Сеть ➜ Интерфейсы включите необходимые интерфейсы, установите корректные IP-адреса, соответствующие вашим сетям, и назначьте интерфейсы соответствующим зонам. Подробнее об управлении интерфейсами — в разделе «Настройка интерфейсов». Система поставляется с предопределенными зонами: Management (сеть управления), интерфейс port0; Trusted (LAN); Untrusted (Internet); DMZ; Cluster; VPN for remote access; VPN for Site-to-Site; Tunnel inspection zone
5. Настройте шлюз в интернет	В разделе Настройки ➜ Сеть ➜ Шлюзы укажите IP-адрес шлюза в интернет на интерфейсе, подключенном в интернет (зона Untrusted). Подробнее о настройке шлюзов — в разделе «Настройка шлюзов»
6. Укажите системные DNS-серверы	В разделе Настройки ➜ Сеть ➜ DNS укажите IP-адреса серверов DNS вашего провайдера или серверов, используемых в вашей организации. Подробнее об управлении DNS — в разделе «Настройка DNS»
7. Настройте время сервера	В разделе Настройки ➜ UserGate ➜ Настройки ➜ Настройка времени сервера настройте синхронизацию времени с серверами NTP.
8. Зарегистрируйте NGFW	В разделе Дашборды в виджете Лицензия нажмите Нет лицензии и введите ПИН-код для регистрации продукта. Для активации системы необходим доступ в интернет. Подробнее о лицензировании продукта — в разделе «Лицензирование»
9. Создайте правила NAT	В разделе Настройки ➜ Политики сети ➜ NAT и Маршрутизация создайте необходимые правила NAT. Для доступа в интернет пользователей сети Trusted правило NAT уже создано: NAT from Trusted to Untrusted. Подробнее о правилах NAT — в разделе «NAT и маршрутизация»
10. Создайте правила межсетевого экрана	В разделе Настройки ➜ Политики сети ➜ Межсетевой экран создайте необходимые правила межсетевого экрана. Для неограниченного доступа в интернет пользователей сети Trusted уже создано правило Allow trusted to untrusted, необходимо только включить его. Подробнее о правилах межсетевого экрана — в разделе «Межсетевой экран»

После выполнения этих шагов UserGate NGFW готов к работе. Вы также можете дополнительно настроить другие параметры.

Шаг	Описание
Создать дополнительных администраторов	В разделе Настройки ➜ UserGate ➜ Администраторы UserGate создайте дополнительных администраторов системы, наделите их необходимыми полномочиями (ролями)
Настроить авторизацию пользователей	В разделе Настройки ➜ Пользователи и устройства создайте необходимые методы авторизации пользователей. Самый простой вариант — создать локальных пользователей NGFW в разделе Настройки ➜ Пользователи и устройства ➜ Пользователи с заданными IP-адресами или использовать систему без идентификации пользователей (использовать пользователя Any во всех правилах). О других вариантах авторизации пользователей — в разделе «Пользователи и устройства»
Создать правила контентной фильтрации	В разделе Настройки ➜ Политики безопасности ➜ Фильтрация контента создайте правила фильтрации HTTP(S). Подробнее о фильтрации контента — в разделе «Фильтрация контента»
Создать правила веб-безопасности	В разделе Настройки ➜ Политики безопасности ➜ Веб-безопасность создайте дополнительные правила веб-защиты. Подробнее о правилах веб-безопасности — в разделе «Веб-безопасность»
Создать правила инспектирования SSL	В разделе Настройки ➜ Политики безопасности ➜ Инспектирование SSL создайте правила для перехвата и расшифровывания HTTPS-трафика. Подробнее о дешифровании HTTPS — в разделе «Инспектирование SSL»

Просмотреть как статью

к началу

О компании

Продукты

Поддержка

Техническая документация

Условия использования

Конфиденциальность