Usergate d200 руководство администратора

Модельный ряд

UserGate C100, C150

UserGate D200, D500

UserGate E1000, E3000

UserGate F8000

UserGate X1

UserGate VE100 … VE6000

Log Analyzer Е6, Е14, F25, VE

Management Center C, E, VE

Продуктовые матрицы

Аппаратные межсетевые экраны

Виртуальные межсетевые экраны

Аппаратная платформа Log Analyzer

Виртуальная платформа Log Analyzer

Платформа Management Center

UserGate ФСТЭК для госучреждений

ⓘ  Карта сайта

Контактная информация

ООО «Глобал АйТи»   ИНН 7743861490
141734, МО, Лобня, Текстильная 1, п.70

Сертификат партнера UserGate

Источник

Время на прочтение
6 мин

Количество просмотров 20K

Здравствуйте, это вторая статья о NGFW решении от компании UserGate. Задача данной статьи заключается в том, чтобы показать, как установить межсетевой экран UserGate на виртуальную систему (буду использовать программное обеспечение виртуализации VMware Workstation) и выполнить его первоначальную настройку (разрешить доступ из локальной сети через шлюз UserGate в интернет).   

1. Введение

Для начала я опишу различные способы внедрения данного шлюза в сеть. Хочу заметить, что в зависимости от выбранного варианта подключения определенный функционал шлюза может быть недоступен. Решение UserGate поддерживает следующие режимы подключения: 

  • L3-L7 брандмауэр

  • L2 прозрачный мост

  • L3 прозрачный мост

  • Виртуально в разрыв, с применением протокола WCCP

  • Виртуально в разрыв, с применением Policy Based Routing

  • Router on a Stick

  • Явно заданный WEB-прокси

  • UserGate, как шлюз по умолчанию

  • Мониторинг Mirror-порта

UserGate поддерживает 2 типа кластеров:

  1. Кластер конфигурации. Узлы, объединенные в кластер конфигурации, поддерживают единые настройки в рамках кластера.

  2. Кластер отказоустойчивости. До 4-х узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив. Возможно собрать несколько кластеров отказоустойчивости.

2. Установка

Как говорилось в предыдущей статье UserGate поставляется в виде программно-аппаратного комплекса или разворачивается в виртуальной среде. Из личного кабинета на сайте UserGate скачиваем образ в формате OVF (Open Virtualization Format), данный формат подходит для вендоров VMWare и Oracle Virtualbox. Для Microsoft Hyper-v и KVM поставляются образы дисков виртуальной машины.

По данным сайта UserGate для корректной работы виртуальной машины рекомендуется использовать минимум 8Gb оперативной памяти и 2-ядерный виртуальный процессор. Гипервизор должен поддерживать работу 64-битных операционных систем.

Установка начинается с импорта образа в выбранный гипервизор (VirtualBox и VMWare). В случае с Microsoft Hyper-v и KVM необходимо создать виртуальную машину и указать в качестве диска скачанный образ, после чего отключить службы интеграции в настройках созданной виртуальной машины.

По умолчанию после импорта в VMWare создается виртуальная машина со следующими настройками:

Как было написано выше, оперативной памяти должно быть, как минимум 8Gb и в дополнении нужно добавить по 1Gb на каждые 100 пользователей. Размер жесткого диска по умолчанию составляет 100Gb, однако этого обычно недостаточно для хранения всех журналов и настроек. Рекомендованный размер – 300Gb или более. Поэтому в свойствах виртуальной машины изменяем размер диска на нужный. Изначально виртуальный UserGate UTM поставляется с четырьмя интерфейсами, назначенными в зоны:

Management — первый интерфейс виртуальной машины, зона для подключения доверенных сетей, из которых разрешено управление UserGate.

Trusted — второй интерфейс виртуальной машины, зона для подключения доверенных сетей, например, LAN-сетей.

Untrusted — третий интерфейс виртуальной машины, зона для интерфейсов, подключенных к не доверенным сетям, например, к интернету.

DMZ — четвертый интерфейс виртуальной машины, зона для интерфейсов, подключенных к сети DMZ.

Далее запускаем виртуальную машины, хоть в руководстве и написано, что нужно выбрать Support Tools и выполнить Factory reset UTM, но как видим есть только один выбор (UTM First Boot). Во время этого шага UTM настраивает сетевые адаптеры и увеличивает размер раздела на жестком диске до полного размера диска:

Для подключения к веб интерфейсу UserGate необходимо заходить через Management зону, за это отвечает интерфейс eth0, который настроен на получение IP-адреса в автоматическом режиме (DHCP). Если нет возможности назначить адрес для Management-интерфейса в автоматическом режиме с помощью DHCP, то его можно явно задать, используя CLI (Command Line Interface). Для этого нужно войти в CLI, используя имя и пароль пользователя с правами Full administrator (по умолчанию Admin с Заглавной буквы). Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля – utm. И набрать команду на подобии iface config –name eth0 –ipv4 192.168.1.254/24 –enable true –mode static. Позже переходим к веб-консоли UserGate по указанному адресу, он должен выглядеть примерно следующим образом: https://UserGateIPaddress:8001:

В веб-консоли продолжаем установку, нам нужно выбирать язык интерфейса (на данный момент это русский или английский язык), часовой пояс, далее читаем и соглашаемся с лицензионным соглашением. Задаем логин и пароль для входа в веб-интерфейс управления.

3. Настройка

После установки вот так выглядит окно веб интерфейса управления платформой:

Затем необходимо настроить сетевые интерфейсы. Для этого в разделе «Интерфейсы» нужно включить их, установить корректные IP-адреса и назначить соответствующие зоны.

Раздел «Интерфейсы» отображает все физические и виртуальные интерфейсы, имеющиеся в системе, позволяет менять их настройки и добавлять VLAN-интерфейсы. Еще он показывает все интерфейсы каждого узла кластера. Настройки интерфейсов специфичны для каждого из узлов, то есть не глобальны.

В свойствах интерфейса:

  • Включить или отключить интерфейс 

  • Указать тип интерфейса — Layer 3 или Mirror

  • Назначить зону интерфейсу

  • Назначить профиль Netflow для отправки статистических данных на Netflow коллектор

  • Изменить физические параметры интерфейса — MAC-адрес и размер MTU

  • Выбрать тип присвоения IP-адреса — без адреса, статический IP-адрес или полученный по DHCP

  • Настроить работу DHCP-релея на выбранном интерфейсе.

Кнопка «Добавить» позволяет добавить следующие типы логических интерфейсов:

  • VLAN

  • Бонд

  • Мост

  • PPPoE

  • VPN

  • Туннель

Помимо перечисленных ранее зон, с которыми поставляется образ Usergate, есть еще три типа предопределенных:

Cluster — зона для интерфейсов, используемых для работы кластера

VPN for Site-to-Site — зона, в которую помещаются все клиенты типа Офис-Офис, подключаемые к UserGate по VPN

VPN for remote access — зона, в которую помещаются все мобильные пользователи, подключенные к UserGate по VPN

Администраторы UserGate могут изменять настройки зон, созданных по умолчанию, а также создавать дополнительные зоны, но как сказано в руководстве к версии 5, можно создать не более 15 зон. Для изменения или создания их нужно перейти в раздел зоны. Для каждой зоны можно установить порог отбрасывания пакетов, поддерживается SYN, UDP, ICMP. Также настраивается контроль доступа к сервисам Usergate, и включается защита от спуфинга.

После настройки интерфейсов необходимо в разделе «Шлюзы» настроить маршрут по умолчанию. Т.е. для подключения UserGate к интернету необходимо указать IP-адрес одного или нескольких шлюзов. Если для подключения к интернету используется несколько провайдеров, то необходимо указать несколько шлюзов. Настройка шлюза уникальна для каждого из узлов кластера. Если задано два или более шлюзов возможны 2 варианта работы:

  1. Балансировка трафика между шлюзами.

  2. Основной шлюз с переключением на запасной.

Состояние шлюза (доступен – зеленый, недоступен – красный) определяется следующим образом:

  1. Проверка сети отключена – шлюз считается доступным, если UserGate может получить его MAC-адрес с помощью ARP-запроса. Проверка наличия доступа в интернет через этот шлюз не производится. Если MAC-адрес шлюза не может быть определен, шлюз считается недоступным.

  2. Проверка сети включена — шлюз считается доступным, если:

  • UserGate может получить его MAC-адрес с помощью ARP-запроса.

  • Проверка наличия доступа в интернет через этот шлюз завершилась успешно.

В противном случае шлюз считается недоступным.

В разделе «DNS» необходимо добавить DNS сервера, которые будет использовать UserGate. Данная настройка указывается в области Системные DNS-серверы. Ниже находятся настройки по управлению DNS-запросами от пользователей. UserGate позволяет использовать DNS-прокси. Сервис DNS-прокси позволяет перехватывать DNS-запросы от пользователей и изменять их в зависимости от нужд администратора. С помощью правил DNS-прокси можно указать серверы DNS, на которые пересылаются запросы на определенные домены. Кроме этого, с помощью DNS-прокси можно задавать статические записи типа host (A-запись).

В разделе «NAT и Маршрутизация» нужно создать необходимые правила NAT. Для доступа в интернет пользователей сети Trusted правило NAT уже создано — «Trusted—>Untrusted», остается его только включить. Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. UserGate рекомендует создавать общие правила NAT, например, правило NAT из локальной сети (обычно зона Trusted) в интернет (обычно зона Untrusted), а разграничение доступа по пользователям, сервисам, приложениям осуществлять с помощью правил межсетевого экрана.

Также есть возможность создать правила DNAT, порт-форвардинг, Policy-based routing, Network mapping.

После этого в разделе «Межсетевой экран» необходимо создать правила межсетевого экрана. Для неограниченного доступа в интернет пользователей сети Trusted правило межсетевого экрана так же уже создано — «Internet for Trusted» и его необходимо включить. С помощью правил межсетевого экрана администратор может разрешить или запретить любой тип транзитного сетевого трафика, проходящего через UserGate. В качестве условий правила могут выступать зоны и IP-адреса источника/назначения, пользователи и группы, сервисы и приложения. Правила применяются также как и в разделе «NAT и Маршрутизация», т.е. сверху вниз. Если не создано ни одного правила, то любой транзитный трафик через UserGate запрещен.

4. Заключение

На этом статья подошла к концу. Мы установили межсетевой экран UserGate на виртуальную машину и произвели минимально необходимые настройки для того, чтобы работал интернет в сети Trusted. Дальнейшую настройку будем рассматривать в рамках следующих статей.

Следите за обновлениями в наших каналах (Telegram, Facebook, VK, TS Solution Blog)!

Источник

Предложите, как улучшить StudyLib

(Для жалоб на нарушения авторских прав, используйте

другую форму
)

Ваш е-мэйл

Заполните, если хотите получить ответ

Оцените наш проект

1

2

3

4

5

Источник

Монтаж

Все модели, кроме C100 и X1 монтируются в стандартную стойку.
C100 имеет десктопное исполнение.
X1 монтируется DIN-рейку.

Общий вид

Рассмотрим модель E3000
usergate_02_ciscomaster.ru_0.jpg

Виртуальный межсетевой экран устанавливается по следующей схеме:
usergate_60_ciscomaster.ru.jpg

Варианты подключения

usergate_61_ciscomaster.ru.jpg

Support tools — специальный набор утилит. Доступны на этапе перезагрузки системы.
CLI в 6-й версии представляет достаточно скромный интерфейс, по сути он позволяет выполнить начальную настройку устройства, и затем подключаться по GUI.

Настройка статического адреса в CLI

По умолчанию настроен DHCP

Изменяем метод назначения адреса

iface config -name port0 -mode static

Задаём IP

iface config -name port0 -ipv4 10.1.1.1/24

Включаем интерфейс

iface config -name port0 -enabled true

Проверка

iface list port0

Мастер первоначальной настройки

После того, как мы назначили IP, мы можем подключиться к устройству через браузер.
И всё дальнейшее администрирование выполняется через него.
usergate_05_ciscomaster.ru.jpg

URL:
https://usergate_ip:8001

По умолчанию заходить нужно под:
Username: Admin
Pass: utm

Общие требования для кластера

Для нормальной работы кластера нам необходимо обеспечить:

  • Для лицензирования обеспечить доступ:
    — reg2.entesys.com TCP 80/443 (сервер регистрации)
    — static.entesys.com TCP 80/443 (сервер обновлений)
  • Между узлами кластера разрешить:
    — TCP 4369, 9000-9100
    — TCP 8001

Основные команды CLI

Как уже говорилось, CLI в 6-й версии представляет достаточно скромный интерфейс.
usergate_06_ciscomaster.ru.jpg

usergate_07_ciscomaster.ru.jpg

usergate_08_ciscomaster.ru.jpg

Меню загрузки и системные утилиты

Меню загрузки доступно только через VGA и Консоль, т.е. при прямом подключении к устройству.
На этапе загрузки мы можем выбрать вариант загрузки, провести диагностику RAM.
usergate_09_ciscomaster.ru.jpg

На этапе загрузки устройства нам доступны Support tools. Это набор инструментов:
— Проверка файловой системы
— Очистка и экспорт журналов
— Увеличения размера раздела журналов
— Резервное копирование и восстановление
— Обновление системы с USB
— упорядочивание имен сетевых адаптеров
— Сброс на фабричные настройки
usergate_10_ciscomaster.ru.jpg

Базовое лицензирование

Базовая Лицензия бессрочная.
Лицензируется количество одновременно подключенных устройств, кроме следующих сервисов:
— DNAT
— Reverse Proxy
— Web-Portal
— Почтовый трафик
Пока так, хотя идут брожения, что лимиты эти могут попросту снять.

Дополнительно лицензируемые модули

Данные лицензии подписочные. Срок подписки 1год.

  • Security Update
    — Обновления ПО
    — Обновления сигнатур IDS
    — Обновления сигнатур приложений
    — Тех поддержка
  • Advanced Threat Prevention
    — База категорий сайтов
    — Запрещенные сайты (Роскомнадзор)
    — Морфологические базы
    — Блокировка рекламы
  • Mail Security
  • Потоковый антивирус Usergate

Лицензии регистрируются в Дашборде:
usergate_26_ciscomaster.ru_0.jpg

Источник

Для защиты корпоративных сетей необходимо использовать многофункциональное решение, способное обеспечить комплексную безопасность сетевой инфраструктуры без негативного влияния на скорость доступа. Аппаратный межсетевой экран UserGate D является полноценным сетевым сервером, способным обеспечить безопасность предприятий небольшого и среднего размера с несколькими сотнями пользователей.

Защита от интернет-угроз

Любая сетевая инфраструктура, особенно подключенная к интернету, подвержена опасным внешним воздействиям. UserGate D обеспечивает надежную защиту от современных атак, анализ и фильтрацию трафика по контенту, контроль интернет-приложений, блокирование опасных скриптов и приложений, защиту от вирусов и спама, а также другие функции безопасности.

Контроль пользователей и сетевого трафика

Безопасность корпоративных сетей не может быть обеспечена без надлежащего контроля за деятельностью пользователей, при этом важность этого контроля напрямую зависит от размера сети. UserGate D обеспечивает соблюдение корпоративных политик для групп пользователей, также предоставляет защиту гостевого Wi-Fi, дает возможность контроля персональных устройств, таких как смартфоны и планшет (концепция BYOD — Bring Your Own Device).

Наличие сертификата ФСТЭК России

Межсетевой экран UserGate сертифицирован ФСТЭК России по требованиям к Межсетевым Экранам (4-й класс, профили А и Б) и к Системам Обнаружения Вторжений (4-й класс), а также по 4 уровню доверия. Таким образом, UserGate может использоваться в составе автоматизированных систем (АС) до класса защищенности 1Г, значимых объектов КИИ I категории, информационных системах персональных данных (ИСПДн) 1 уровня защищенности, государственных информационных системах (ГИС) 1 класса защищенности, автоматизированных систем управления технологическими процессами 1 класса защищенности и информационных системах общего пользования II класса.

Характеристики:

Основные функции
Межсетевой экран нового поколения
Системы обнаружения вторжений (IDS/IPS)
Advanced Threat Protection (Опция)
Потоковый антивирус (Опция)
Доступ к внутренним ресурсам через SSL VPN Portal
Анализ и выгрузка информации об инцидентах безопасности (SIEM)
Обратный прокси (Reverse proxy)
Автоматизация реакции на угрозы безопасности информации (SOAR)
Контроль Приложений L7
Защита почты — Mail Security (Опция)
Контроль доступа в интернет
Дешифрование SSL
Гостевой портал
Идентификация пользователей
Виртуальная частная сеть (VPN)
Поддержка АСУ ТП (SCADA)
Удаленное администрирование
Безопасная публикация внутренних ресурсов и сервисов
Поддержка концепции BYOD (Bring Your Own Device)
Поддержка высокой отказоустойчивости и кластеризации

Технические характеристики:

  • Пропускная способность межсетевого экрана, UDP: до 18 Гб/c
  • Межсетевой экран, трафик EMIX: до 18 Гб/c
  • Межсетевой экран c функцией определения приложений L7, трафик EMIX: до 15 Гб/c
  • Одновременных TCP сессий: до 8 000 000
  • Новых сессий в секунду до 50 000
  • Система обнаружения вторжений, трафик EMIX: до 1,8 Гб/с
  • Контентная фильтрация, трафик EMIX: до 8,7 Гб/c
  • Инспектирование SSL, трафик EMIX: до 4 Гб/c
  • Контентная фильтрация, антивирус, трафик EMIX: до 7,9 Гб/c
  • Межсетевой экран c функцией определения приложений L7, СОВ, контентная фильтрация, трафик EMIX:до 1,8 Гб/c
  • Размер организации
  • Рекомендованное количество пользователей*: до 300

Спецификация оборудования:

  • Портов 10/100/1000Base-T: 5 встроено, 2 SFP 1 Gbps, +8 с использованием плат расширений
  • Портов 10GBase-F SFP+: 4 с использованием плат расширений
  • Плат расширений: 1
  • Управление по IPMI: есть
  • Процессор, количество ядер: 8
  • Память: 16 Гбайт
  • Диск: 1х1000 Гбайт
  • Габариты: 1U 438 x 321 x 44 мм
  • Вес: 7,5 кг
  • Крепление в стойку: Кронштейны
  • Сеть питания: 140–220 Вольт
  • Потребляемая мощность (Макс): 220 Ватт

  Добавьте в заказ

Источник

Понравилась статья? Поделить с друзьями:
  • Руководство для адоб фотошоп
  • Триосепт эндо инструкция по применению в лпу
  • Lee кто я инструкция к реальности аудиокнига
  • Дисульфирам инструкция по применению цена таблетки инструкция по применению
  • Инструкция по эксплуатации мицубиси аутлендер 2019