Защитить сервер межсетевым экраном UserGate VE

Последнее изменение: 27 апреля 2024

Защитить сервер межсетевым экраном UserGate VE

1. Свяжите сервер межсетевого экрана и защищаемый сервер.
2. Проверьте интерфейсы.
3. Настройте локальный интерфейс на межсетевом экране.
4. Настройте правило NAT.
5. Настройте правила фильтрации.

Связать сервер межсетевого экрана и защищаемый сервер⁠

Организация связности с защищаемой инфраструктурой зависит от того, где развернут межсетевой экран — на облачном сервере или на виртуальной машине в публичном или частном облаке на базе VMware.

Облачный сервер

1. Если вам нужно защитить облачный сервер, кластер Managed Kubernetes, кластер облачных баз данных в одном проекте с межсетевым экраном, добавьте сервер межсетевого экрана в приватную сеть проекта. Для разных проектов одного пула используйте кросспроектную сеть.
2. Если вам нужно защитить облачный сервер, кластер Managed Kubernetes, кластер облачных баз данных, которые находятся в другом пуле, либо выделенный сервер, размещенный сервер, виртуальную машину в облаке на базе VMware — используйте глобальный роутер Selectel (ранее — сети L3 VPN).

Облако на базе VMware

1. Опционально: если у вас нет приватной подсети в дата-центре, где развернут межсетевой экран, или вы хотите использовать новую, создайте новую приватную подсеть. При создании подсети:

   • в качестве шлюза выберите первый адрес подсети. При вводе IP range исключите выбранный адрес шлюза;
   • в качестве Secondary DNS укажите DNS-сервер Selectel 188.93.16.19.

2. Из панели управления откройте панель Cloud Director: Облако на базе VMware → Cloud Director.

3. Откройте страницу виртуального дата-центра → раздел Virtual Machines.

4. Откройте страницу виртуальной машины

5. Перейдите в раздел Hardware → NICs.

6. Нажмите Edit.

7. Нажмите ADD NETWORK TO VAPP.

8. Выберите Type — Routed.

9. В таблице выберите приватную подсеть. Если нужно защитить виртуальные машины в одном дата-центре с межсетевым экраном, вы можете объединить их одной приватной сетью. Для разных дата-центров одной организации можно использовать общую подсеть.

10. Введите имя сети.

11. В поле Gateway CIDR укажите шлюз подсети из столбца Gateway CIDR выбранной подсети.

12. Нажмите Add.

13. В строке NIC 1 в столбце Network выберите подсеть.

14. В строке NIC 1 в столбце IP Mode выберите Static — Manual.

15. В строке NIC 1 в столбце IP укажите IP-адрес из подсети, отличный от адреса шлюза.

16. Если вам нужно защитить виртуальную машину в другой организации, облачный сервер, облачную базу данных, выделенный сервер, размещенное оборудование, кластер Managed Kubernetes — объедините их с межсетевым экраном через глобальный роутер.

Проверить интерфейсы⁠

Сетевые интерфейсы UserGate объединяются в зоны, для которых настраиваются политики безопасности. По умолчанию интернет-порт назначается в зону 1, через которую осуществляется доступ в интернет и подключение из внешних сетей.

После добавления интерфейса локальной сети нужно проверить, что интернет-порт находится в правильной зоне, и при необходимости переназначить ее.

UGOS 6

1. Откройте CLI.

2. Выполните программную перезагрузку сервера.

3. В момент загрузки системы выберите Support Menu.

4. Выберите Refresh NIC names и нажмите ОК.

5. Дождитесь окончания перезагрузки.

6. Авторизуйтесь с данными по умолчанию:

   • логин — Admin;
   • пароль — utm.

7. Выведите список интерфейсов:

   iface list

8. Убедитесь, что для интернет-порта в строке zone указано значение __default__ (ID=1).

9. Если значение не совпадает, измените зону для интернет-порта:

   iface config -name <eth_name> -zone 1

   Укажите <eth_name> — имя интернет-порта.

UGOS 7

1. Откройте CLI.

2. Выберите режим UGOS NGFW (serial console).

3. Авторизуйтесь с данными по умолчанию:

   • логин — Admin;
   • пароль — оставьте поле пустым.

4. Перейдите в режим конфигурации:

   configure

5. Обновите NIC:

   clear network interface-mapping

6. Перезагрузите сервер:

   reboot

7. Введите логин и пароль.

8. Перейдите в режим конфигурации:

   configure

9. Выведите список интерфейсов:

   show

10. Убедитесь, что для интернет-порта в строке zone указано значение __default__. Если значение не совпадает, измените зону для порта:

    set network interface adapter <eth_name> -zone 1

    Укажите <eth_name> — имя интернет-порта.

Настроить локальный интерфейс на межсетевом экране⁠

1. Подключитесь к межсетевому экрану.
2. Перейдите в раздел Настройки → Сеть → Интерфейсы.
3. Для добавленного порта port1 нажмите Включить.
4. Нажмите Редактировать.
5. Откройте вкладку Общие.
6. В поле Зона выберите Trusted.
7. Откройте вкладку Сеть.
8. В поле Режим выберите Статический.
9. Нажмите Добавить.
10. Введите IP-адрес интерфейса.
11. Опционально: измените маску.
12. Нажмите Сохранить.

Настроить правило NAT⁠

1. Подключитесь к межсетевому экрану.
2. Перейдите в раздел Настройки → Политики сети → NAT и маршрутизация.
3. Нажмите Добавить.
4. Откройте вкладку Общие.
5. Введите название правила.
6. Опционально: введите описание правила.
7. Выберите тип — NAT.
8. В поле SNAT IP введите IP-адрес интернет-порта межсетевого экрана, на который будет заменен адрес источника. Если экран развернут на облачном сервере с одним публичным адресом, укажите адрес из приватной сети, к которому привязан публичный адрес.
9. Откройте вкладку Источник.
10. В блоке Зона источника отметьте чекбокс Trusted.
11. Опционально: добавьте конкретный IP-адрес или подсеть, которые могут быть источником трафика. В блоке Адрес источника нажмите Создать и добавить новый объект → Добавить, введите адреса и сохраните объект. Если не добавить адреса, правило будет работать для трафика из всех приватных сетей за межсетевым экраном.
12. Откройте вкладку Назначение.
13. В блоке Зона назначения отметьте чекбокс Management.
14. Опционально: добавьте конкретный IP-адрес или подсеть, куда может отправляться трафик. В блоке Адрес назначения нажмите Создать и добавить новый объект → Добавить, введите адреса и сохраните объект. Если не добавить адреса, трафик может отправляться в любые внешние сети.
15. Опционально: чтобы ограничить список портов для исходящего трафика, добавьте их на вкладке Сервис.
16. Нажмите Сохранить.

Настроить правила фильтрации⁠

1. Подключитесь к межсетевому экрану.
2. Перейдите в Настройки → раздел Политики сети → Межсетевой экран.
3. Нажмите Добавить.
4. Откройте вкладку Общие.
5. Введите название политики.
6. Опционально: введите описание политики.
7. Выберите действие — Разрешить.
8. Откройте вкладку Источник.
9. Отметьте чекбокс Trusted.
10. Опционально: добавьте конкретный IP-адрес или подсеть, которые могут быть источником трафика. В блоке Адрес источника нажмите Создать и добавить новый объект → Добавить, введите адреса и сохраните объект. Если не добавить адреса, правило будет работать для трафика из всех приватных сетей за межсетевым экраном.
11. Откройте вкладку Назначение.
12. В блоке Зона назначения отметьте чекбокс Management.
13. Опционально: добавьте конкретный IP-адрес или подсеть, куда может отправляться трафик. В блоке Адрес назначения нажмите Создать и добавить новый объект → Добавить, введите адреса и сохраните объект. Если не добавить адреса, трафик может отправляться в любые внешние сети.
14. Опционально: чтобы ограничить список портов для исходящего трафика, добавьте их на вкладке Сервис.
15. Нажмите Сохранить.