tocdepth

2

Первичная инициализация UserGate в Advanced

Первичная инициализация выполняется после развертывания UserGate в Advanced. При этом для подключения к интернету предполагается использование выделенного интерфейса на UserGate.

Целевая схема, которая должна быть реализована в ходе первичной инициализации:

Примечание

Перед выполнением этой инструкции рекомендуем изучить сценарий использования стороннего межсетевого экрана для очистки трафика сетей VPC.

Развертывание дополнительных виртуальных машин

1. Разверните тестовые виртуальные машины (ВМ) ECS-A и ECS-B, как описано в разделе Быстрый старт по созданию виртуальных машин ECS, и с помощью данных ECS проверьте сетевую связность через NGFW.

2. При развертывании ECS настройте IP-адреса, как указано на целевой схеме.

   Первичную инициализацию UserGate рекомендуем выполнить, подключаясь к графическому интерфейсу UserGate локально через внутренний интерфейс. Это обеспечит высокий уровень защиты ВМ UserGate в процессе настройки.

3. Разверните дополнительную ВМ ECS-X в VPC-X и в подсети subnet-vpc-x для реализации целевой схемы.

   Для первичной инициализации UserGate используется доступ к графическому интерфейсу UserGate, поэтому ECS-X нужно развернуть на базе ОС Windows. После выполнения первичной инициализации и настройки безопасного доступа к интерфейсу управления UserGate через интернет, ECS-X может быть удалена.

Настройка порта управления UserGate

1. Войдите в консоль управления Advanced:

   • через личный кабинет Cloud.ru;

   • как IAM-пользователь.

2. В списке сервисов выберите Elastic Cloud Server.

3. Выберите ВМ ecs-UserGate и нажмите Remote Login для подключения к командной строке UserGate.

4. Укажите логин и пароль: Admin/utm.

5. Выполните команду iface list. Она выводит список портов UserGate, их статусы (enabled: True или False), способ IP-адресации (dhcp или manual), настроенные зоны, IP- и MAC-адреса.

   Примечание

   В операционной системе UserGate сетевые интерфейсы (port0, port1 и т.д.) назначаются в соответствии с MAC-адресами сетевых адаптеров в порядке их возрастания.

6. В полученном списке портов определите, какой порт (port0 или port1) соответствует NIC ВМ UserGate, находящейся в subnet-vpc-x. Определить порт нужно по MAC-адресу. Список NIC и их MAC-адресов можно посмотреть в настройках ВМ ecs-UserGate на вкладке Network Interfaces.

   

   NIC с MAC-адресом fa:16:3e:5a:5b:65, находящийся в subnet-vpc-x, соответствует port0 в ОС UserGate.

   

7. Для выбранного порта выполните команду:

   iface config -name port0 -enabled true -mode dhcp -zone 1
   

   Если определен port1, то команда будет выглядет так:

   iface config -name port1 -enabled true -mode dhcp -zone 1
   

Первоначальная настройка UserGate

1. Подключитесь к консоли управления ECS-X с помощью Remote Login.

2. В адресной строке браузера введите https://10.255.0.10:8001.

   

3. Укажите значения параметров для начальной установки:

   • язык;

   • часовой пояс;

   • согласие с лицензионным соглашением;

   • пароль для учетной записи локального администратора.

4. Нажмите Старт.

5. Через 1-2 минуты повторите подключение к графическому интерфейсу управления в браузере по адресу https://10.255.0.10:8001. Если доступ к графическому интерфейсу пропал, вернитесь к командной строке UserGate через Remote Login и выполните команду:

   iface config -name port0 -enabled true -mode dhcp -zone 1`
   

   Укажите port1 вместо port0, если при настройке порта управления UserGate был выбран port1.

Настройка статического шлюза

1. Перейдите Сеть → Шлюзы.

2. Замените шлюз, полученный по протоколу boot, на шлюз, настроенный статически. Для этого нажмите Добавить и укажите значение параметров:

   • Название — default

   • Интерфейс — порт c IP-адресом 10.255.10.10

   • Виртуальный маршрутизатор — виртуальный маршрутизатор по умолчанию

   • IP шлюза — 10.255.10.1

   • Вес — 1

   • Балансировка — деактивироать

   • По умолчанию — активировать

   

3. Нажмите Сохранить.

4. Удалите шлюз, полученный по протоколу boot.

   

Настройка зон

1. На вкладке Настройки перейдите в Сеть → Зоны.

2. Откройте свойства сетевой зоны Trusted.

3. Перейдите на вкладку Контроль доступа.

4. Активируйте чекбокс Консоль администрирования. При необходимости подключения к командной строке UserGate по SSH, активируйте чекбокс CLI по SSH. Укажите, для каких IP-адресов или подсетей доступ разрешен. Это нужно для ограничения доступа к консоли администрирования.

5. Нажмите Сохранить.

   

6. Откройте свойства сетевой зоны Untrusted.

7. Перейдите на вкладку Контроль доступа.

   Если нужно подключиться к интерфейсу управления UserGate из интернета, активируйте чекбокс Консоль администрирования.

   Если нужно подключиться к командной строке UserGate по SSH из интернета, активируйте чекбокс CLI по SSH.

8. Укажите, для каких IP-адресов или подсетей доступ разрешен. Это важно для органичения доступа к консоли администрирования и SSH.

9. Нажмите Сохранить.

   Важно

   Для зоны Untrusted обязательно ограничьте доступ к консоли администрирования и SSH, указав конкретные IP-адреса администраторов.

10. На вкладке Настройки перейдите в Сеть → Интерфейсы.

11. Включите сетевые порты (port1, port2), если они отключены. Для этого нажмите на выбранный порт правой кнопкой мыши и выберите Включить.

Настройка статической адресации на интерфейсах

1. Для каждого сетевого порта (port1 и port2) откройте свойства интерфейса.

2. На вкладке Общие укажите настройку зоны Trusted для внутреннего порта и Untrusted для внешнего порта.

3. Перейдите на вкладку Сеть и выберите режим Статический.

4. Нажмите Сохранить.

   

   Примечание

   При переключении режима с DHCP на Статический IP-адрес порта будет сохранен автоматически.

Настройка DNS

1. На вкладке Настройки перейдите в Сеть → DNS.

2. Проверьте наличие системных DNS из подсети 100.125.0.0/16. Это внутренние DNS, которые получены от VPC облака автоматически (по DHCP). DNS доступны через основной NIC ECS (располагается первым в списке).

   Если первым по списку расположен внутренний интерфейс UserGate, нужно настроить статические маршруты к DNS:

   1. Перейдите в Сеть → Виртуальные маршрутизаторы.

   2. Перейдите в настройки Виртуальный маршрутизатор по умолчанию.

   3. В выпадающем меню выберите Статические маршруты.

   4. Добавьте маршруты к серверам DNS.

      

Подключение UserGate к интернету

1. Войдите в консоль управления Advanced.

2. Перейдите в Network → Elastic IP.

   См.также

   Быстрый старт по использованию EIP.

3. Нажмите Bind рядом с EIP, который планируется использоваться для UserGate.

4. Выберите в списке доступных ECS виртуальную машину ecs-UserGate.

5. В блоке NIC выберите внешний NIC UserGate с IP-адресом 10.255.10.10.

   

6. В адресной строке браузера введите https://<EIP>:8001, где EIP — привязанный к UserGate Elastic IP. Проверьте доступность из интернета графического интерфейса управления UserGate для IP-адресов, указанных при настройке «Контроль доступа» для зоны Untrusted.

7. Проверьте доступ в интернет из консоли управления UserGate. Для этого перейдите на вкладку Диагностика и мониторинг, выберите Сеть → Ping и укажите значения параметров:

   • Ping host — usergate.com

   • Интерфейс — 10.255.10.10 (port1 или port2)

   

8. Если выделенная ВМ для управления не требуется, удалите ECS-X.

Установка лицензии

Примечание

Для получения лицензии UserGate обратитесь к вашему сейлз-менеджеру Cloud.ru.

1. Подключитесь к графическому интерфейсу управления UserGate.

2. В верхней левой части экрана нажмите Незарегистрированная версия.

3. Введите PIN-код лицензии.

4. Нажмите Дальше.

   

5. Заполните обязательные поля и нажмите Дальше.

6. В поле Регистрационное имя укажите название ВМ ecs-UserGate.

7. Перейдите на вкладку Дашбоард и проверьте информацию в блоке Лицензия.

Настройка сетевых доступов

Настройка сетевых доступов состоит из трех этапов:

1. Настройка маршрутов к удаленным VPC.

2. Настройка NAT.

3. Настройка межсетевого экрана.

Нужно настроить на UserGate правила выхода в интернет ECS-A и ECS-B, а также правило, разрешающее ping от ECS-A и ECS-B.

Примечание

При настройке правила ping от ECS-B к ECS-A должен быть закрыт.

Настройка маршрутов к удаленным VPC

1. В графическом интерфейсе UserGate на вкладке Настройки перейдите в Сеть → Виртуальный маршрутизатор по умолчанию.

2. Выберите Статические маршруты.

3. Добавьте маршруты к подсетям subnet-vpc-a и subnet-vpc-b.

4. Нажмите Сохранить.

   

Настройка NAT

1. В графическом интерфейсе UserGate на вкладке Настройки перейдите в Политики сети → NAT и маршрутизация.

2. Откройте преднастроенное правило NAT from Trusted to Untrusted.

3. Включите правило.

4. В поле SNAT IP (внешний адрес) укажите 10.255.10.10.

5. В поле Журналирование выберите Журналировать начало сессии.

6. Нажмите Сохранить.

   

Настройка межсетевого экрана

1. Перейдите в Библиотеки → IP-адреса.

2. Добавьте две группы: vpc-a-subnet и vpc-b-subnet.

   

3. Для vpc-a-subnet добавьте IP-адрес подсети 10.1.0.0/24.

4. Для vpc-b-subnet добавьте IP-адрес подсети 10.2.0.0/24.

5. Перейдите в Политики сети → Межсетевой экран.

6. Откройте преднастроенное правило Default block.

7. В поле Журналирование выберите Журналировать начало сессии.

8. Нажмите Сохранить.

   Примечание

   Для правила Default block рекомендуем журналировать сессии на этапе тестирования. При переводе системы в промышленное использование отключите журналирование в этом правиле, чтобы сократить количество формируемых логов.

9. Откройте преднастроенное правило Allow trusted to untrusted и включите его.

10. В поле Журналирование выберите Журналировать начало сессии.

11. Скопируйте правило Allow trusted to untrusted.

12. Переименуйте правило в Allow VPC-A to VPC-B.

13. Перейдите на вкладку Источник.

14. В форме Адрес источника перейдите в Добавить → Добавить список IP-адресов и выберите vpc-a-subnet.

15. Перейдите на вкладку Назначение.

16. В форме Зона назначения отключите Untrusted и включите Trusted.

17. В форме Адрес назначения перейдите в Добавить → Добавить список IP-адресов и выберите vpc-b-subnet.

    

Тестирование доступов

1. Подключитесь к ECS-A с помощью Remote Login.

2. Войдите в операционную систему.

3. Откройте окно терминала.

4. Запустите ping usergate.com и убедитесь в успешном прохождении ping.

5. Запустите ping 10.2.0.10 и убедитесь в успешном прохождении ping.

6. Подключитесь к ECS-B с помощью Remote Login.

7. Войдите в операционную систему.

8. Откройте окно терминала.

9. Запустите ping usergate.com и убедитесь в успешном прохождении ping.

10. Запустите ping 10.1.0.10 и убедитесь в том, что ping не прошел. Созданные настройки UserGate залокировали доступ из VPC-B к VPC-A.

11. Проверьте логи UserGate и убедитесь, что трафик прошел через NGFW. Для этого:

    1. В графическом интерфейсе UserGate перейдите в Журналы и отчёты → Журналы → Журнал трафика.

    2. Отфильтруйте события за Сегодня и выберите в качестве IP-источника 10.2.0.10.

    3. Убедитесь в наличии логов в разрешенным трафиком ICMP до usergate.com и запрещенным трафиком ICMP до 10.1.0.10.

    

На этом процедура первичной инициализации ВМ UserGate и переназначения сетевых интерфейсов завершена. Виртуальный межсетевой экран UserGate (Virtual NGFW) полностью готов к эксплуатации.

При дальнейшей эксплуатации устройства активируйте и назначьте IP-адресацию и сетевые зоны на сетевые интерфейсы ВМ UserGate, сверяясь с реальным назначением сетевых сегментов на платформе виртуализации. Эту особенность установки нужно учитывать при настройке отказоустойчивого кластера.

Была ли статья полезной?

Да Нет

Предыдущая статья

Первичная инициализация UserGate

Следующая статья

Первичная инициализация UserGate на платформе Облако VMware

Запустили Evolution free tier
для Dev & Test

Получить