UserGate: виртуальный NGFW

Развертывание UserGate в Advanced

В инструкции описаны предварительные настройки и подключение к консоли UserGate. IP-адреса и параметры ВМ даны в качестве примера. Если вы настраиваете UserGate для уже имеющихся ресурсов, используйте их IP-адреса.

В случае выявления значительного негативного влияния на сетевые соединения при прохождении East-West-трафика через NGFW UserGate, воспользуйтесь встроенными средствами платформы Advanced для фильтрации трафика — группами безопасности или Network ACL.

Целевая схема, которая может быть реализована в ходе развертывания:

Предварительные настройки подключения к UserGate

Создание VPC

Для начала работы создайте виртуальные сети VPC-A, VPC-B и VPC-X и соответствующие подсети:

Войдите в консоль управления Advanced:
- через личный кабинет Cloud.ru;
- как IAM-пользователь.
В списке сервисов выберите Virtual Private Cloud.
В правом верхнем углу нажмите Create VPC.
В разделе Basic Information, в поле Name, введите название облачной сети VPC «VPC-A».
В поле IPv4 CIDR Block введите диапазон IP-адресов: «10.1.0.0/16».
В поле Enterprise Project выберите ранее созданный проект usergate.
В разделе Default Subnet создайте подсеть subnet-vpc-a, указав в поле IPv4 CIDR Block диапазон IP-адресов «10.1.0.0/24».

После создания подсети диапазон IP-адресов изменить нельзя.
Нажмите Create Now.
Повторите шаги 3–8 для создания сетей VPC-B и VPC-X.

Диапазон IP-адресов в IPv4 CIDR Block для сети VPC-B:
- IPv4 CIDR Block — «10.2.0.0/16»;
- Default Subnet Name — «subnet-vpc-b»;
- Default Subnet IPv4 CIDR Block — «10.2.0.0/24».
Диапазон IP-адресов в IPv4 CIDR Block для сети VPC-Х:
- IPv4 CIDR Block — «10.255.0.0/16»;
- Default Subnet Name — «subnet-vpc-x»;
- Default SubnetIPv4 CIDR Block — «10.255.0.0/24».

Создание подсети

В VPC-X создайте дополнительную подсеть для дальнейшего подключения UserGate к интернету:

Перейдите в Network → Virtual Private Cloud.
В левой части экрана нажмите Subnets.
В правом верхнем углу нажмите Create Subnet.
В поле VPC выберите VPC-X.
В поле Name введите «subnet-vpc-x-outside».
В поле IPv4 CIDR Block укажите «10.255.10.0/24».
Нажмите OK.

Создание бакета OBS

В сервисе Object Storage Service создайте бакет для загрузки образа ВМ на основе образа формата qcow2:

Перейдите в Storage → Object Storage Service.
В правом верхнем углу нажмите Create Bucket.
Введите название бакета.

Например, «bucket-ngfw».
В разделе Default Storage Class выберите класс хранения Standard.
Чтобы просмотр и редактирование объектов были доступны только владельцу бакета, в разделе Bucket Policy выберите Private.
В разделе Server-Side Encryption выберите Disable.
В разделе WORM выберите Disable.
В разделе Enterprise Project выберите предварительно созданный проект usergate.
Нажмите Create Now.

Загрузка образа

После приобретения UserGate предоставляется ссылка для скачивания актуального образа. После создания бакета загрузите образ:

Нажмите на название бакета.
Нажмите Upload Object.
Выберите политику Private и класс хранения Standard.
Нажмите add files и выберите предварительно сохраненный образ ВМ.
Нажмите Upload.

Создание образа из файла

В сервисе Image Management Service создайте образ из предварительно загруженного файла:

Перейдите в Computing → Image Management Service.
Нажмите Create Image.
В поле Type выберите Import image.
В поле Image Type выберите System disk image.
В разделе Select Image File выберите из списка бакет c файлом образа, затем выберите файл образа.

Например, ngfw-x86-64-7.1.2.33025R-release-public.qcow2.
В разделе Image Information убедитесь, что опция Enable automatic configuration включена.
В поле Function выберите ECS system disk image.
В поле Boot mode выберите BIOS.
В поле OS выберите Other — Linux(64bit).
В поле System Disk (GB) укажите значение в соответствии с параметрами ВМ UserGate.

Подробнее о выборе конфигурации.
В поле Name введите название образа.

Например, «UserGate_7.1.2».
Выберите предварительно созданный проект Enterprise Project.

Например, usergate.
Нажмите Next.

Подготовка группы безопасности для интерфейсов UserGate

Для интерфейсов UserGate используйте группу безопасности, разрешающую доступ с любых адресов на любые порты. Подробнее о группах безопасности.

Перейдите в Network → Virtual Private Cloud.
В левой части экрана нажмите Access Control → Security Groups.
В правом верхнем углу нажмите Create Security Group.
В поле Name введите название группы безопасности.

Например, «sg-UserGate».
В поле Enterprise Project выберите предварительно созданный проект usergate.
В поле Template выберите All ports open.
(Опционально) В поле Description введите описание группы безопасности.
Нажмите Ok.
Откройте созданную группу безопасности и удалите правила с Type IPv6 для Inbound Rules и Outbound Rules.

Создание виртуального сервера на базе образа UserGate

В панели управления Advanced перейдите в Computing → Elastic Cloud Server.
Нажмите Create ECS.
В разделе AZ выберите зону доступности AZ1 или Random.

При выборе Random система автоматически выберет одну из зон доступности.
Выберите спецификацию, наиболее подходящую по параметрам ВМ UserGate.

Подробнее о параметрах.
Выберите образ ОС Private Image.
В выпадающем списке выберите ранее созданный образ.

Например, UserGate_7.1.2 (100GB).
Выберите системный диск типа SAS High I/O и укажите размер, подходящий по параметрам ВМ UserGate.
Нажмите Next: Configure Network.
Выберите ранее созданную сеть VPC VPC-X.
Выберите subnet-vpc-x.
Вручную создайте IP-адрес с окончанием .10.
Нажмите Add NIC.
Выберите subnet-vpc-x-outside.
Вручную создайте IP-адрес с окончанием .10.
Выберите ранее созданную группу безопасности sg-UserGate.
Для EIP выберите Do not use.

EIP подключается позже.
Нажмите Next: Configure Advanced Settings.
В поле ECS Name введите название ВМ «ecs-UserGate».
Выберите способ авторизации в ВМ Password.
Подтвердите создание ВМ.
Проверьте спецификацию, выберите ранее созданный Enterprise Project и повторно подтвердите создание ВМ.
Чтобы увидеть созданную ВМ, обновите список ВМ.
Нажмите на название созданной ВМ ecs-UserGate.
Перейдите на вкладку Network Interfaces и для NIC-адресов отключите проверку Source/Destination Check.

См.также

Быстрый старт по использованию EIP.

Настройка VPC Peering и таблиц маршрутизации

Для создания Custom-таблиц маршрутизации:

В главном меню перейдите в Network → Virtual Private Cloud.
В левой части экрана перейдите в Virtual Private Cloud → Route tables.
В правом верхнем углу нажмите Create Route Table.
В поле Name введите «rtb-NGFW-inside».
В поле VPC выберите VPC-X.
(Опциально) В поле Description введите описание таблицы маршрутизации.
Нажмите ОК.
Перейдите на вкладку Associated Subnets.
Нажмите Associate Subnet и выберите subnet-vpc-x.
Нажмите ОК.
Повторите шаги 1–10 для создания rtb-NGFW-outside, в поле Associate Subnet выберите subnet-vpc-x-outside.
Перейдите в Virtual Private Cloud → Route tables и выберите таблицу по умолчанию для VPC-X — rtb-VPC-X.
Нажмите Add Route.
Добавьте маршрут по умолчанию через внутренний интерфейс UserGate:
1. В поле Destination Type выберите IP address.
2. В поле Destination введите «0.0.0.0/0».
3. В поле Next Hop Type выберите Server.
4. В поле Next Hop выберите ecs-UserGate(10.255.0.10).
5. (Опционально) В поле Description введите описание маршрута.
Перейдите в Network → Virtual Private Cloud.
В левой части экрана перейдите в Virtual Private Cloud → VPC Peering Connections.
В правом верхнем углу нажмите Create VPC Peering Connection.
В поле VPC Peering Connection Name введите «peering-VPC-A-to-X».
В поле Local VPC выберите VPC-A.
В поле Account выберите My account.
В поле Peer project выберите название вашего текущего IAM-project.
В поле Peer VPC выберите VPC-X.
(Опционально) В поле Description введите описание подключения VPC peering.
Нажмите ОК.
В открывшемся окне выберите Add Now.
Нажмите Add Route.
В поле VPC выберите VPC-A.
В поле Route Table выберите rtb-VPC-A(Default).
В поле Destination введите «0.0.0.0/0».
Выберите Add a route for the other VPC.
В поле Route Table выберите rtb-NGFW-inside.
В поле Destination введите «10.1.0.0/24».
Повторите шаги 16–32 для создания VPC peering peering-VPC-B-to-X со следующими параметрами:
1. VPC Peering Connection Name — «peering-VPC-B-to-X».
2. Local VPC — VPC-B.
3. Account — My account.
4. Peer project — название текущего IAM-project.
5. Peer VPC — VPC-X.
6. (Опционально) Description — описание подключения VPC peering.
При настройке маршрутов задайте значение параметров:
1. В поле VPC выберите VPC-B.
2. В поле Route Table выберите rtb-VPC-B(Default).
3. В поле Destination введите «0.0.0.0/0».
4. Выберите Add a route for the other VPC — выберите опцию.
5. В поле Route Table выберите rtb-NGFW-inside.
6. В поле Destination введите «10.2.0.0/24».

Чтобы избежать сетевого доступа в обход NGFW, не создавайте прямой VPC Peering между VPC-A и VPC-B. При некорректной настройке маршрутов, таблиц маршрутизации и VPC Peering сетевой доступ в обход NGFW может быть создан.

Для дальнейшей настройки UserGate следуйте инструкции по первичной инициализации UserGate в Advanced.

Предыдущая статья

Развертывание UserGate

Следующая статья

Развертывание UserGate на платформе Облако VMware

Была ли эта статья полезна?

Поддержка Юридические документы