Реализация защищенной высокодоступной сетевой инфраструктуры с выделением DMZ на основе Check Point NGFW

С помощью руководства вы развернете высокодоступную отказоустойчивую сетевую инфраструктуру с выделенным DMZ сегментом и комплексной защитой на основе Check Point Next-Generation Firewall.

Элементы инфраструктуры размещаются в двух зонах доступности и группируются по назначению в отдельные каталоги. Такое решение позволит публиковать общедоступные веб-ресурсы (например, фронтенд-приложения) в изолированной от внутренней инфраструктуры DMZ зоне, а также обеспечит защищенность и высокую доступность всего периметра.

Решение включает следующие основные сегменты (каталоги):

• Каталог public содержит Application Load Balancer для организации публичного доступа из сети интернет к опубликованным в DMZ приложениям.
• Каталог mgmt предназначен для размещения межсетевых экранов NGFW и ресурсов управления облачной инфраструктурой. Включает в себя две ВМ с межсетевыми экранами (fw-a, fw-b), ВМ сервера централизованного управления межсетевыми экранами (mgmt-server) и ВМ доступа к сегменту управления по VPN (jump-vm).
• Каталог dmz предоставляет возможность публикации приложений с открытым доступом из внешней сети интернет.
• Каталоги app и database могут быть использованы для размещения бизнес-логики приложений (в руководстве ВМ в них не устанавливаются).

Более подробное описание приведено в репозитории проекта.

Чтобы развернуть защищенную высокодоступную сетевую инфраструктуру с выделением DMZ на основе Check Point Next-Generation Firewall:

1. Подготовьте облако к работе.
2. Подготовьте окружение.
3. Разверните ресурсы.
4. Настройте шлюзы межсетевых экранов.
5. Включите работу модуля route-switcher.
6. Протестируйте работоспособность и отказоустойчивость решения.

Если созданные ресурсы вам больше не нужны, удалите их.

Next-Generation FirewallNext-Generation Firewall

Next-Generation Firewall используется для защиты и сегментации облачной сети с выделением DMZ зоны для размещения публичных приложений. В Yandex Cloud Marketplace доступно несколько вариантов NGFW.

В данном сценарии развернуто решение Check Point CloudGuard IaaS, которое предоставляет следующие возможности:

• межсетевое экранирование;
• NAT;
• предотвращение вторжений;
• антивирус;
• защита от ботов;
• гранулярный контроль трафика на уровне приложений;
• логирование сессий;
• централизованное управление с помощью решения Check Point Security Management.

В данном руководстве решение Check Point CloudGuard IaaS настроено с базовыми политиками доступа (Access Control) и NAT трансляций.

Подготовьте облако к работеПодготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Необходимые платные ресурсыНеобходимые платные ресурсы

В стоимость поддержки инфраструктуры входит:

• плата за постоянно работающие ВМ (см. тарифы Yandex Compute Cloud);
• плата за использование Application Load Balancer (см. тарифы Yandex Application Load Balancer);
• плата за использование Network Load Balancer (см. тарифы Yandex Network Load Balancer);
• плата за использование публичных IP-адресов и исходящий трафик (см. тарифы Yandex Virtual Private Cloud);
• плата за использование функций (см. тарифы Yandex Cloud Functions);
• плата за использование CheckPoint NGFW.

Необходимые квотыНеобходимые квоты

Убедитесь, что в облаке достаточно квот и они не заняты ресурсами для других задач.

Подготовьте окружениеПодготовьте окружение

В руководстве используется программное обеспечение для ОС Windows и подсистема Windows Subsystem for Linux.
Инфраструктура разворачивается с помощью Terraform.

Настройте WSLНастройте WSL

1. Проверьте, установлена ли подсистема WSL на вашем компьютере. Для этого в терминале интерфейса командной строки выполните команду:

   wsl -l
   

   При установленной WSL терминал выведет список доступных дистрибутивов, например:

   Windows Subsystem for Linux Distributions:
   docker-desktop (Default)
   docker-desktop-data
   Ubuntu
   

2. Если WSL не установлена, установите ее и повторите предыдущий шаг.

3. Дополнительно можно установить на подсистему WSL привычный вам дистрибутив ОС Linux, например, Ubuntu.

4. Чтобы сделать установленный дистрибутив системой по умолчанию, выполните команду:

   wsl --setdefault ubuntu
   

5. Чтобы перевести терминал в режим работы в подсистеме Linux, выполните команду:

   wsl ~
   

Создайте сервисный аккаунт с правами администратора на облакоСоздайте сервисный аккаунт с правами администратора на облако

Установите необходимые утилитыУстановите необходимые утилиты

1. Установите Git с помощью команды:

   sudo apt install git
   

2. Установите Terraform:

   1. Перейдите в корневую папку:

      cd ~
      

   2. Создайте папку terraform и перейдите в нее:

      mkdir terraform
      cd terraform
      

   3. Скачайте файл terraform_1.3.9_linux_amd64.zip:

      curl \
        --location \
        --remote-name \
        https://hashicorp-releases.yandexcloud.net/terraform/1.3.9/terraform_1.3.9_linux_amd64.zip
      

   4. Установите утилиту zip и распакуйте zip-архив:

      apt install zip
      unzip terraform_1.3.9_linux_amd64.zip
      

   5. Добавьте путь к папке, в которой находится исполняемый файл, в переменную PATH:

      export PATH=$PATH:~/terraform
      

   6. Убедитесь, что Terraform установлен, выполнив команду:

      terraform -help
      

3. Создайте конфигурационный файл с указанием источника провайдеров для Terraform:

   1. Создайте файл .terraformrc с помощью встроенного редактора nano:

      cd ~
      nano .terraformrc
      

   2. Добавьте в него следующий блок:

      provider_installation {
        network_mirror {
          url = "https://terraform-mirror.yandexcloud.net/"
          include = ["registry.terraform.io/*/*"]
        }
        direct {
          exclude = ["registry.terraform.io/*/*"]
        }
      }
      

      Подробнее о настройках зеркал см. в документации Terraform.

Разверните ресурсыРазверните ресурсы

1. Склонируйте репозиторий yandex-cloud-examples/yc-dmz-with-high-available-ngfw из GitHub и перейдите в папку сценария yc-dmz-with-high-available-ngfw:

   git clone https://github.com/yandex-cloud-examples/yc-dmz-with-high-available-ngfw.git
   cd yc-dmz-with-high-available-ngfw
   

2. Настройте профиль CLI для выполнения операций от имени сервисного аккаунта:

   CLI

   Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

   По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

   1. Создайте авторизованный ключ для сервисного аккаунта и запишите его файл:

      yc iam key create \
        --service-account-id <идентификатор_сервисного_аккаунта> \
        --folder-id <id_каталога_с_сервисным_аккаунтом> \
        --output key.json
      

      Где:

      • service-account-id — идентификатор сервисного аккаунта.
      • folder-id — идентификатор каталога, в котором создан сервисный аккаунт.
      • output — имя файла с авторизованным ключом.

      Результат:

      id: aje8nn871qo4********
      service_account_id: ajehr0to1g8b********
      created_at: "2023-03-04T09:16:43.479156798Z"
      key_algorithm: RSA_2048
      

   2. Создайте профиль CLI для выполнения операций от имени сервисного аккаунта:

      yc config profile create sa-terraform
      

      Результат:

      Profile 'sa-terraform' created and activated
      

   3. Задайте конфигурацию профиля:

      yc config set service-account-key key.json
      yc config set cloud-id <идентификатор_облака>
      yc config set folder-id <идентификатор_каталога>
      

      Где:

      • service-account-key — файл с авторизованным ключом сервисного аккаунта.
      • cloud-id — идентификатор облака.
      • folder-id — идентификатор каталога.

   4. Добавьте аутентификационные данные в переменные окружения:

      export YC_TOKEN=$(yc iam create-token)
      export YC_CLOUD_ID=$(yc config get cloud-id)
      export YC_FOLDER_ID=$(yc config get folder-id)
      

3. Получите IP-адрес вашего ПК:

   curl 2ip.ru
   

   Результат:

   192.2**.**.**
   

4. Откройте файл terraform.tfvars с помощью редактора nano и отредактируйте:

   1. Строку, содержащую идентификатор облака:

      cloud_id = "<идентификатор_облака>"
      

   2. Строку, содержащую список разрешенных публичных IP-адресов для доступа к ВМ jump-vm:

      trusted_ip_for_access_jump-vm = ["<внешний_IP-адрес_ПК>/32"]
      

5. Разверните ресурсы в облаке с помощью Terraform:

   1. Выполните инициализацию Terraform:

      terraform init
      

   2. Проверьте конфигурацию Terraform файлов:

      terraform validate
      

   3. Проверьте список создаваемых облачных ресурсов:

      terraform plan
      

   4. Создайте ресурсы:

      terraform apply
      

Настройте шлюзы межсетевых экрановНастройте шлюзы межсетевых экранов

В руководстве в качестве примера приводятся шаги настройки шлюзов межсетевых экранов FW-A и FW-B с базовыми политиками доступа (Access Control) и NAT, необходимыми для проверки работоспособности и тестирования отказоустойчивости, но не являющимися достаточными для развертывания инфраструктуры в продуктивной среде.

Подключитесь к сегменту управления через VPNПодключитесь к сегменту управления через VPN

После развертывания инфраструктуры в каталоге mgmt появится ВМ jump-vm на основе образа Ubuntu с настроенным WireGuard VPN для защищенного подключения. На вашем ПК настройте VPN туннель к ВМ jump-vm для доступа к подсетям сегментов mgmt, dmz, app, database.

Чтобы настроить VPN туннель:

1. Получите имя пользователя в подсистеме Linux:

   whoami
   

2. Установите на ваш ПК приложение WireGuard.

3. Откройте приложение WireGuard и нажмите кнопку Add Tunnel.

4. В появившемся диалоге выберите файл jump-vm-wg.conf в папке yc-dmz-with-high-available-ngfw.

   Чтобы найти папку, созданную в подсистеме Linux, например, Ubuntu, введите в адресной строке диалога путь к файлу:

   \\wsl$\Ubuntu\home\<имя_пользователя_Ubuntu>\yc-dmz-with-high-available-ngfw
   

   Где <имя_пользователя_Ubuntu> — полученное ранее имя пользователя текущего дистрибутива ОС Linux.

5. Нажмите кнопку Activate, чтобы активировать туннель.

6. Проверьте сетевую связность с сервером управления через VPN туннель WireGuard, выполнив в терминале команду:

   ping 192.168.1.100
   

   Важно

   Если пакеты не достигают сервера управления, убедитесь, что в группе безопасности mgmt-jump-vm-sg в правилах входящего трафика указан верный внешний IP-адрес ПК.

Запустите консоль управления SmartConsoleЗапустите консоль управления SmartConsole

Для управления и настройки решения Check Point установите и запустите графическое приложение SmartConsole:

1. Подключитесь к серверу управления NGFW. Для этого в браузере перейдите по адресу https://192.168.1.100.

2. Авторизуйтесь, используя логин admin и пароль admin.

3. В открывшемся интерфейсе Gaia Portal скачайте графическое приложение SmartConsole. Для этого нажмите Manage Software Blades using SmartConsole. Download Now!.

4. Установите приложение SmartConsole на ваш ПК.

5. Получите пароль доступа к SmartConsole. Для этого в терминале выполните команду:

   terraform output fw_smartconsole_mgmt-server_password
   

6. Откройте SmartConsole и авторизуйтесь, указав логин admin, IP-адрес сервера управления 192.168.1.100 и полученный на предыдущем шаге пароль доступа к SmartConsole.

Добавьте шлюзы межсетевых экрановДобавьте шлюзы межсетевых экранов

В режиме Wizard добавьте в сервер управления шлюз межсетевого экрана FW-A:

1. Слева сверху в выпадающем списке Objects выберите More object types → Network Object → Gateways and Servers → New Gateway....

2. Нажмите Wizard Mode.

3. В открывшемся диалоге введите:

   • Gateway name: FW-A
   • Gateway platform: CloudGuard IaaS
   • IPv4: 192.168.1.10

4. Нажмите Next.

5. Получите пароль доступа к межсетевым экранам. Для этого в терминале выполните команду:

   terraform output fw_sic-password
   

6. В поле One-time password введите полученный на предыдущем шаге пароль.

7. Нажмите Next и Finish.

Аналогичным образом добавьте в сервер управления шлюз межсетевого экрана FW-B со следующими значениями:

• Gateway name: FW-B
• IPv4: 192.168.2.10

Настройте сетевые интерфейсы шлюза FW-AНастройте сетевые интерфейсы шлюза FW-A

Настройте сетевой интерфейс eth0 шлюза FW-A:

1. На вкладке Gateways & Servers откройте диалог настроек шлюза FW-A.
2. На вкладке Network Management в таблице Topology выберите интерфейс eth0 и нажмите Modify....
3. В разделе Leads To выберите Override.
4. Напротив опции Specific наведите курсор на имя интерфейса FW-A-eth0 и в появившемся окне нажмите значок редактирования.
5. В открывшемся диалоге переименуйте FW-A-eth0 в mgmt.
6. В разделе Security Zone активируйте Specify Security Zone и выберите InternalZone.

Аналогичным образом настройте сетевые интерфейсы eth1, eth2, eth3 и eth4:

1. Для интерфейса eth1 в разделе Security Zone укажите зону ExternalZone. Переименовывать интерфейс не нужно.

2. Интерфейс eth2 переименуйте в dmz, активируйте Interface leads to DMZ и укажите зону DMZZone.

   Чтобы скрыть адреса ВМ, которые находятся в DMZ-сегменте и выходят в интернет, настройте Automatic Hide NAT. Для этого:

   1. В диалоге редактирования интерфейса dmz нажмите на сеть Net_10.160.1.0 и перейдите вкладку NAT.
   2. Активируйте опцию Add automatic address translation rules, в выпадающем списке выберите Hide и опцию Hide behind gateway.
   3. Повторите те же действия для сети Net_10.160.2.0.

3. Интерфейс eth3 переименуйте в app и укажите зону InternalZone.

4. Интерфейс eth4 переименуйте в database и укажите зону InternalZone.

Настройте сетевые интерфейсы шлюза FW-BНастройте сетевые интерфейсы шлюза FW-B

Настройте сетевые интерфейсы шлюза FW-B аналогично сетевым интерфейсам шлюза FW-A. При названии интерфейсов выбирайте существующие имена из списка.

Чтобы выбрать имя интерфейса из уже заданных:

1. В разделе Leads To выберите Override.
2. Напротив опции Specific в выпадающем списке найдите нужное имя.

Создайте сетевые объектыСоздайте сетевые объекты

1. Слева сверху в выпадающем списке Objects выберите New Network... и создайте сети public - a и public - b со следующими параметрами:

   Name	Network address	Net mask
   public - a	172.16.1.0	255.255.255.0
   public - b	172.16.2.0	255.255.255.0

2. Выберите New Network Group... и создайте группу public, добавив в нее сети public - a и public - b.

3. Выберите New Host... и создайте хосты со следующими параметрами:

   Name	IPv4 address
   dmz-web-server	10.160.1.100
   FW-a-dmz-IP	10.160.1.10
   FW-a-public-IP	172.16.1.10
   FW-b-dmz-IP	10.160.2.10
   FW-b-public-IP	172.16.2.10

4. Выберите More object types → Network Object → Service → New TCP... и создайте TCP-сервис для развернутого приложения в DMZ-сегменте, указав имя TCP_8080 и порт 8080.

Определите правила политики безопасностиОпределите правила политики безопасности

Чтобы добавить правило безопасности:

1. На вкладке Security policies в разделе Access Control выберите подраздел Policy.
2. В таблице правил нажмите правую кнопку мыши и в открывшемся контекстном меню напротив опции New Rule выберите Above или Below.
3. В новой строке:
   • в колонке Name укажите Web-server port forwarding on FW-a;
   • в колонке Source нажмите иконку + и выберите объект public;
   • в колонке Destination выберите объект FW-a-public-IP;
   • в колонке Services & Applications выберите объект TCP_8080;
   • в колонке Action выберите опцию Accept;
   • в колонке Track выберите опцию Log;
   • в колонке Install On выберите объект FW-a.

Аналогичным образом внесите остальные правила из приведенной ниже таблицы базовых правил для проверки работы политик межсетевых экранов, прохождения проверок NLB healtcheck, публикации тестового приложения из DMZ-сегмента и тестирования отказоустойчивости.

Настройте статическую таблицу трансляции NATНастройте статическую таблицу трансляции NAT

Source NAT трансляции обеспечивают прохождение ответа от приложения через тот же межсетевой экран, через который поступил запрос от пользователя. Destination NAT трансляции направляют запросы пользователей на сетевой балансировщик трафика, за которым находится группа веб-серверов приложения.

Заголовки пакетов, приходящих от Application Load Balancer с запросами от пользователей к опубликованному в DMZ приложению, будут транслироваться в Source IP DMZ-интерфейсов межсетевых экранов и в Destination IP балансировщика трафика для веб-серверов.

Чтобы настроить таблицы трансляции NAT шлюза FW-A:

1. Перейдите в подраздел NAT раздела Access Control.
2. В таблице правил нажмите правую кнопку мыши и в открывшемся контекстном меню напротив опции New Rule выберите Above или Below.
3. В новой строке:
   • в колонке Original Source нажмите иконку + и выберите объект public;
   • в колонке Original Destination выберите объект FW-a-public-IP ;
   • в колонке Original Services выберите объект TCP_8080;
   • в колонке Translated Source выберите объект FW-a-dmz-IP;
   • в колонке Translated Destination выберите объект dmz-web-server;
   • в колонке Install On выберите объект FW-a.
4. Обязательно поменяйте метод NAT для FW-a-dmz-IP. Для этого в таблице правой кнопкой мыши нажмите на объект FW-a-dmz-IP и в контекстном меню выберите NAT Method > Hide.

Аналогичным образом настройте статическую таблицу трансляции NAT для шлюза FW-B в соответствии с таблицей:

Примените правила политик безопасностиПримените правила политик безопасности

1. Сверху слева нажмите Install Policy.
2. В открывшемся диалоге нажмите Push & Install.
3. В следующем диалоге нажмите Install и дождитесь завершения процесса.

Включите работу модуля route-switcherВключите работу модуля route-switcher

После завершения настройки NGFW убедитесь, что проверка состояния FW-A и FW-B выдает значение Healthy. Для этого в консоли управления Yandex Cloud в каталоге mgmt выберите сервис Network Load Balancer и перейдите на страницу сетевого балансировщика route-switcher-lb-.... Раскройте целевую группу и убедитесь, что состояния целевых ресурсов — Healthy. Если их состояние — Unhealthy, то необходимо убедиться, что FW-A и FW-B запущены, функционируют и настроены.

Когда статус FW-A и FW-B изменится на Healthy, в файле route-switcher.tf измените значение параметра start_module модуля route-switcher на true. Чтобы включить работу модуля, выполните команды:

terraform plan
terraform apply

В течение 5 минут модуль route-switcher начнет работу по обеспечению отказоустойчивости исходящего трафика в сегментах.

Протестируйте работоспособность и отказоустойчивость решенияПротестируйте работоспособность и отказоустойчивость решения

Проверьте работоспособность системыПроверьте работоспособность системы

1. Чтобы узнать публичный IP-адрес балансировщика, в терминале выполните команду:

   terraform output fw-alb_public_ip_address
   

2. Убедитесь, что сетевая инфраструктура доступна извне. Для этого в браузере перейдите по адресу:

   http://<публичный_IP-адрес_балансировщика_ALB>
   

   Если система доступна извне, в браузере откроется страница Welcome to nginx!.

3. Убедитесь, что разрешающие правила политики безопасности межсетевых экранов активны. Для этого на вашем ПК перейдите в папку yc-dmz-with-high-available-ngfw и подключитесь по SSH к одной из ВМ в DMZ-сегменте:

   cd ~/yc-dmz-with-high-available-ngfw
   ssh -i pt_key.pem admin@<внутренний_IP-адрес_ВМ_в_DMZ_сегменте>
   

4. Чтобы проверить наличие доступа из ВМ в DMZ сегменте к публичному ресурсу в сети интернет, выполните команду:

   ping ya.ru
   

   Команда должна выполниться в соответствии с разрешающим правилом ping from dmz to internet.

5. Убедитесь, что запрещающие правила политики безопасности выполняются.

   Чтобы проверить отсутствие доступа к ВМ Jump ВМ в сегменте mgmt из сегмента dmz, выполните команду:

   ping 192.168.1.101
   

   Выполнение команды должно завершиться ошибкой в соответствии с запрещающим правилом Cleanup rule.

Проверка отказоустойчивостиПроверка отказоустойчивости

1. На вашем ПК установите утилиту httping для выполнения периодических http-запросов:

   sudo apt-get install httping
   

2. Чтобы узнать публичный IP-адрес балансировщика, в терминале выполните команду:

   terraform output fw-alb_public_ip_address
   

3. Запустите входящий трафик к опубликованному в DMZ-сегменте приложению с помощью запроса к публичному IP-адресу балансировщика ALB:

   httping http://<публичный_IP-адрес_балансировщика_ALB>
   

4. Откройте еще одно окно терминала и подключитесь по SSH к одной из ВМ в DMZ-сегменте:

   ssh -i pt_key.pem admin@<внутренний_IP-адрес_ВМ_в_DMZ_сегменте>
   

5. Установите пароль для пользователя admin:

   sudo passwd admin
   

6. В консоли управления Yandex Cloud измените параметры этой ВМ:

   1. В списке сервисов выберите Compute Cloud.
   2. На панели слева выберите Виртуальные машины.
   3. В строке с нужной ВМ нажмите и выберите Редактировать.
   4. В открывшемся окне в блоке Дополнительно включите опцию Доступ к серийной консоли.
   5. Нажмите кнопку Сохранить изменения.

7. Подключитесь к серийной консоли ВМ, введите логин admin и созданный ранее пароль.

8. С помощью команды ping запустите исходящий трафик из ВМ в DMZ-сегменте к ресурсу в сети интернет:

   ping ya.ru
   

9. В консоли управления Yandex Cloud в каталоге mgmt остановите ВМ fw-a, эмулируя отказ основного межсетевого экрана.

10. Наблюдайте за пропаданием пакетов, отправляемых httping и ping. После отказа FW-A может наблюдаться пропадание трафика на протяжении приблизительно 1 мин, после чего трафик должен восстановиться.

11. Убедитесь, что в таблице маршрутизации dmz-rt в каталоге dmz для next hop используется адрес FW-B.

12. В консоли управления Yandex Cloud запустите ВМ fw-a, эмулируя восстановление основного межсетевого экрана.

13. Наблюдайте за пропаданием пакетов, отправляемых httping и ping. После восстановления FW-A может наблюдаться пропадание трафика на протяжении приблизительно 1 мин, после чего трафик должен восстановиться.

14. Убедитесь, что в таблице маршрутизации dmz-rt в каталоге dmz для next hop используется адрес FW-A.

Как удалить созданные ресурсыКак удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы выполните команду:

terraform destroy

Terraform удалит все ресурсы без возможности восстановления: сети, подсети, виртуальные машины, балансировщики, каталоги и т.д.

Так как созданные ресурсы расположены в каталогах, то в качестве более быстрого способа удаления всех ресурсов можно использовать удаление всех каталогов через консоль Yandex Cloud с последующим удалением файла terraform.tfstate из папки yc-dmz-with-high-available-ngfw на вашем ПК.