В руководстве собрана информация для развертывания необходимой инфраструктуры для работы виртуального межсетевого экрана UserGate NGFW.
IP-адреса и параметры ВМ, которые используются в руководстве, даны в качестве примера. Руководства реализуются для версии «UserGate на 4 ядра».
Если вы используете другую версию, настройте параметры ВМ в соответствии с ней. Если настраиваете UserGate для уже имеющихся ресурсов, используйте их IP-адреса.
Чтобы защитить ресурсы вашего проекта от сетевых угроз:
Перед началом работы
Авторизуйтесь в личном кабинете.
Подробнее — в руководстве по личному кабинету.
Проверьте, что учетной записи назначена роль не ниже Администратор проекта.
Если это не так, запросите права у администратора.
Шаг 1. Создайте VPC и подсети
Создайте VPC
Выберите сервис VPC.
Нажмите Создать VPC.
В поле Название введите «ug-vpc».
Нажмите Создать.
Создайте внешнюю подсеть
Выберите сервис Подсети.
Нажмите Создать подсеть.
В поле Название введите «public-subnet-ug».
В поле VPC выберите «ug-vpc».
В поле Адрес введите «10.2.2.0/24».
В поле Шлюз введите «10.2.2.1».
В поле DNS-серверы введите «8.8.8.8».
Нажмите Создать.
Создайте подсеть управления
Нажмите Создать подсеть.
В поле Название введите «management-subnet-ug».
Выберите локальный тип подсети.
В поле Адрес введите «10.1.1.0/24».
Нажмите Создать.
Шаг 2. Создайте группу безопасности
Выберите сервис Группы безопасности.
Нажмите Создать группу безопасности.
В поле Название введите «ug-mgmt-sec-group».
В разделе Правила входящего трафика нажмите Добавить правило.
Создайте правило вида:
Протокол — «Любой».
Тип источника — «IP-адрес».
Источник — «0.0.0.0/0».
Нажмите Создать.
Нажмите Создать.
Нажмите на имя группы безопасности.
Перейдите на вкладку Правила.
Добавьте правила входящего и исходящего трафика согласно таблице:
Трафик
Протокол
Порт
Тип источника / адресата
Источник / адресат
Описание
Входящий
TCP
8001:8001
Группа безопасности
ug-mgmt-sec-group
Веб-консоль
Входящий
ICMP
Любой
Группа безопасности
ug-mgmt-sec-group
Входящий
TCP
2200:2200
Группа безопасности
ug-mgmt-sec-group
CLI по SSH
Исходящий
ICMP
Любой
Группа безопасности
ug-mgmt-sec-group
Исходящий
TCP
Любой
Группа безопасности
ug-mgmt-sec-group
Удалите правило, созданное в пункте 5:
Справа от правила нажмите
и выберите Удалить.В открывшемся окне нажмите Удалить.
Также может понадобиться настройка дополнительных правил. С полным списком правил можно ознакомиться на сайте UserGate.
Шаг 3. Создайте виртуальную машину
Выберите сервис Виртуальные машины.
Нажмите Создать виртуальную машину.
В поле Название введите «ug-vm».
В разделе Образ перейдите на вкладку Маркетплейс и выберите UserGate.
Выберите вычислительный ресурс 100% Для высоконагруженных сервисов.
Гарантированная доля vCPU 100% применяется для всех ресурсных планов.
В разделе Вычислительный ресурс:
В поле vCPU выберите «4».
В поле RAM выберите «8».
NGFW на платформе Evolution не поддерживает ресурсную модель для 6 vCPU.
В разделе Диски выберите объем загрузочного диска — «300 ГБ».
Нажмите Продолжить.
Подключите ВМ к внешней подсети:
Нажмите Подключить к подсети.
В поле VPC выберите «ug-vpc».
В поле Подсети выберите «10.2.2.0/24».
Нажмите Подключить.
Подключите ВМ к подсети управления:
Нажмите Подключить к подсети.
В поле VPC выберите «Изолированные подсети».
В поле Подсети выберите «10.1.1.0/24».
В поле Группы безопасности выберите «ug-mgmt-sec-group».
Нажмите Подключить.
Нажмите Создать.
Дождитесь перехода ВМ в статус «Запущена».
Шаг 4. Отключите группу безопасности
Группы безопасности по умолчанию блокируют весь транзитный трафик. Это может помешать работе UserGate.
Чтобы этого не произошло, отключите группы безопасности от интерфейса, через который проходит такой трафик:
В списке ВМ выберите «ug-vm».
Перейдите на вкладку Сетевые параметры.
В блоке Подсети выберите интерфейс «public-subnet-ug» и нажмите
в его строке.Выберите Свойства интефейса.
Отключите опцию «Проверка адреса источника/назначения» и нажмите Выключить.
Следующие шаги
После развертывания инфраструктуры следует настроить UserGate на ВМ.