Связаться с намиПодключиться

Создание и настройка шлюза UserGate в режиме межсетевого экрана

Статья создана
Улучшена
Обновлена 29 октября 2024 г.

UserGate — межсетевой экран нового поколения от одноименной российской компании.

Вы создадите виртуальную машину UserGate в Yandex Cloud и настроите шлюз для работы в режиме межсетевого экрана. Для расширенного изучения возможностей UserGate пройдите бесплатный курс UserGate Getting Started.

Чтобы развернуть шлюз UserGate и проверить его работу:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть и подсеть.
  3. Зарезервируйте статический публичный IP-адрес.
  4. Создайте виртуальную машину UserGate.
  5. Настройте UserGate NGFW через веб-консоль администратора.
  6. Настройте маршрутизацию в подсети.
  7. Проведите тестирование работы межсетевого экрана.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки шлюза UserGate входит:

Создайте облачную сеть и подсеть

Создайте облачную сеть с подсетями в тех зонах доступности, где будет находиться виртуальная машина.

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите пункт Сеть.
  2. Задайте имя сети: usergate-network.
  3. Включите опцию Создать подсети.
  4. Нажмите кнопку Создать сеть.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Создайте сеть usergate-network:

    yc vpc network create usergate-network

    Результат:

    id: enptrcle5q3d********
folder_id: b1g9hv2loamq********
created_at: "2022-06-08T09:25:03Z"
name: usergate-network
default_security_group_id: enpbsnnop4ak********

    Подробнее о команде yc vpc network create см. в справочнике CLI.

  2. Создайте подсеть usergate-subnet-ru-central1-a в зоне доступности ru-central1-a:

    yc vpc subnet create usergate-subnet-ru-central1-a \
  --zone ru-central1-a \
  --network-name usergate-network \
  --range 10.1.0.0/16

    Результат:

    id: e9bnnssj8sc8********
folder_id: b1g9hv2loamq********
created_at: "2022-06-08T09:27:00Z"
name: usergate-subnet-ru-central1-a
network_id: enptrcle5q3d********
zone_id: ru-central1-a
v4_cidr_blocks:
- 10.1.0.0/16

    Подробнее о команде yc vpc subnet create см. в справочнике CLI.

  1. Опишите в конфигурационном файле параметры сети usergate-network и ее подсетей:

    resource "yandex_vpc_network" "usergate-network" {
  name = "usergate-network"
}

resource "yandex_vpc_subnet" {
  name           = "usergate-subnet-ru-central1-a"
  zone           = "ru-central1-a"
  network_id     = "${yandex_vpc_network.usergate-network.id}"
  v4_cidr_blocks = ["10.1.0.0/16"]
}

    Подробнее см. в описаниях ресурсов yandex_vpc_network и yandex_vpc_subnet в документации провайдера Terraform.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

  1. Создайте сеть usergate-network с помощью вызова gRPC API NetworkService/Create или метода REST API create для ресурса Network.
  2. Создайте подсеть usergate-subnet-ru-central1-a с помощью вызова gRPC API SubnetService/Create или метода REST API create для ресурса Subnet.

Зарезервируйте статический публичный IP-адрес

Для работы шлюзу потребуется статический публичный IP-адрес.

  1. В консоли управления перейдите на страницу каталога, в котором нужно зарезервировать адрес.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. На панели слева выберите IP-адреса.
  4. Нажмите кнопку Зарезервировать адрес.
  5. В открывшемся окне выберите зону доступности ru-central1-a.
  6. Нажмите кнопку Зарезервировать.

Выполните команду:

yc vpc address create --external-ipv4 zone=ru-central1-a

Результат:

id: e9b6un9gkso6********
folder_id: b1g7gvsi89m3********
created_at: "2022-06-08T17:52:42Z"
external_ipv4_address:
  address: 178.154.253.52
  zone_id: ru-central1-a
  requirements: {}
reserved: true

Подробнее о команде yc vpc address create см. в справочнике CLI.

Опишите в конфигурационном файле параметры публичного адреса yandex_vpc_address:

resource "yandex_vpc_address" "usergate-addr" {
name = "usergate-addr"
external_ipv4_address {
  zone_id = "ru-central1-b"
  }
}

Подробнее см. описание ресурса vpc_address в документации провайдера Terraform.

Создайте виртуальную машину UserGate

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите пункт Виртуальная машина.

  2. В поле Имя введите имя ВМ — usergate-firewall.

  3. Выберите зону доступности ru-central1-a.

  4. В блоке Выбор образа/загрузочного диска на вкладке Cloud Marketplace выберите образ UserGate NGFW.

  5. В блоке Вычислительные ресурсы:

    • Выберите платформу Intel Ice Lake.

    • Укажите необходимое количество vCPU и объем RAM:

      • vCPU — 4.
      • Гарантированная доля vCPU — 100%.
      • RAM — 8 ГБ.

      Примечание

      Указанные параметры подойдут для функционального тестирования шлюза. Чтобы рассчитать параметры для более серьезной нагрузки, ознакомьтесь с официальными рекомендациями UserGate.

  6. В блоке Сетевые настройки:

    • Выберите сеть usergate-network и подсеть usergate-subnet-ru-central1-a.
    • В поле Публичный адрес выберите из списка зарезервированный ранее IP-адрес.

  7. В блоке Доступ укажите данные для доступа на ВМ:

    • В поле Логин введите имя пользователя.

    • В поле SSH-ключ вставьте содержимое файла открытого ключа.

      Пару ключей для подключения по SSH необходимо создать самостоятельно, см. раздел Создание пары ключей SSH.

  8. Нажмите кнопку Создать ВМ.

  1. Создайте пару ключей SSH.

  2. Выполните команду:

    yc compute instance create \
  --name usergate-firewall \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-a \
  --create-boot-disk image-folder-id=standard-images,image-family=usergate-ngfw \
  --ssh-key <путь_к_открытой_части_SSH-ключа> \
  --public-address=<зарезервированный_IP_адрес>

    Результат:

    id: fhm2na1siftp********
folder_id: b1g86q4m5vej********
created_at: "2022-06-09T11:15:52Z"
name: usergate-firewall
zone_id: ru-central1-a
platform_id: standard-v2
resources:
  memory: "8589934592"
  cores: "4"
  core_fraction: "100"
status: RUNNING
boot_disk:
  mode: READ_WRITE
  device_name: fhmiq60rni2t********
  auto_delete: true
  disk_id: fhmiq60rni2t********
network_interfaces:
- index: "0"
  mac_address: d0:0d:2b:a8:3c:93
  subnet_id: e9bqlr188as7********
  primary_v4_address:
    address: 10.1.0.27
    one_to_one_nat:
      address: 51.250.72.1
      ip_version: IPV4
fqdn: fhm2na1siftp********.auto.internal
scheduling_policy: {}
network_settings:
  type: STANDARD
placement_policy: {}

    Подробнее о команде yc compute instance create см. в справочнике CLI.

  1. Получите идентификатор последней версии образа UserGate NGFW из списка публичных образов.

  2. Опишите в конфигурационном файле параметры ВМ usergate-firewall:

    resource "yandex_compute_disk" "boot-disk" {
  name     = "boot-disk"
  type     = "network-hdd"
  zone     = "ru-central1-a"
  size     = "110"
  image_id = "<идентификатор_образа_UserGate_NGFW>"
}

resource "yandex_compute_instance" "usergate-firewall" {
  name        = "usergate-firewall"
  platform_id = "standard-v3"
  zone        = "ru-central1-a"
  hostname    = "usergate"
  resources {
    cores         = 4
    core_fraction = 100
    memory        = 8
  }

  boot_disk {
    disk_id = yandex_compute_disk.boot-disk.id
  }

  network_interface {
    subnet_id          = "${yandex_vpc_subnet.usergate-subnet.id}"
    nat                = true
    nat_ip_address     = <зарезервированный_IP_адрес>
  }

    Подробнее см. в описании ресурса yandex_compute_instance в документации провайдера Terraform.

  3. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где находится конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  4. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

Создайте ВМ usergate-firewall с помощью метода REST API create для ресурса Instance.

Настройте UserGate NGFW через веб-консоль администратора

Для настройки шлюза перейдите в веб-консоль администратора UserGate NGFW по адресу https://<публичный_адрес_ВМ_UserGate>:8001 и авторизуйтесь с данными по умолчанию: логин — Admin, пароль — utm.

После авторизации вам будет предложено изменить пароль по умолчанию и провести обновление ОС.

Настройте шлюз для работы в режиме межсетевого экрана

Сконфигурируйте UserGate NGFW:

  1. В верхнем меню выберите Настройки.
  2. В меню слева перейдите в раздел СетьЗоны.
  3. Нажмите на имя зоны Trusted.
  4. Перейдите на вкладку Контроль доступа и включите опцию Консоль администрирования. Нажмите кнопку Сохранить.
  5. В меню слева перейдите в раздел СетьИнтерфейсы.
  6. Нажмите на имя сетевого интерфейса port0.
  7. На вкладке Общие в поле Зона выберите из списка зону Trusted. Нажмите кнопку Сохранить.
  8. В меню слева перейдите в раздел Политики сетиМежсетевой экран.
  9. Нажмите на имя предустановленного правила Allow trusted to untrusted.
  10. Перейдите на вкладку Назначение и отключите зону Untrusted. Нажмите кнопку Сохранить.
  11. Включите правило Allow trusted to untrusted. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.
  12. В меню слева перейдите в раздел Политики сетиNAT и маршрутизация.
  13. Нажмите на имя предустановленного правила NAT from Trusted to Untrusted.
  14. Перейдите на вкладку Назначение и измените зону назначения с Untrusted на Trusted. Нажмите кнопку Сохранить.
  15. Включите правило NAT from Trusted to Untrusted. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.

На этом первоначальная настройка шлюза закончена.

Настройте правила фильтрации трафика

Из политик, предустановленных по умолчанию, рекомендуется использовать Block to botnets, Block from botnets и Example block RU RKN by IP list. Предварительно измените в них значения нескольких параметров:

  1. Перейдите в раздел Политики сетиМежсетевой экран.
  2. Нажмите на имя предустановленного правила.
  3. Перейдите на вкладку Источник и измените исходную зону с Untrusted на Trusted.
  4. Перейдите на вкладку Назначение и отключите зону Untrusted.
  5. Нажмите кнопку Сохранить.
  6. Включите выбранное правило. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.

Для обеспечения большей безопасности настройте дополнительные правила для фильтрации трафика:

  1. Перейдите в раздел Политики сетиМежсетевой экран.

  2. Добавьте первое правило для блокировки:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • НазваниеБлокировка протокола QUIC.
      • Действие — Запретить.

    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Сервис.

    5. Нажмите кнопку Добавить.

    6. Выберите сервис Quick UDP Internet Connections и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    7. Нажмите кнопку Сохранить.

  3. Добавьте второе правило для блокировки:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • НазваниеБлокировка обновлений Windows.
      • Действие — Запретить.

    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Приложения.

    5. Нажмите ДобавитьДобавить приложения.

    6. Выберите приложение Microsoft Update и нажмите кнопку Добавить.

    7. Выберите приложение WinUpdate и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    8. Нажмите кнопку Сохранить.

Вы можете добавить и другие правила для фильтрации трафика. Не рекомендуется совмещать сервисы и приложения в одном правиле. В этом случае правило может не сработать.

Настройте маршрутизацию для подсети .

Создайте статический маршрут:

  1. В консоли управления перейдите в каталог, где нужно создать статический маршрут.

  2. В списке сервисов выберите Virtual Private Cloud.

  3. На панели слева выберите Таблицы маршрутизации.

  4. Нажмите кнопку Создать.

  5. Задайте имя таблицы маршрутизации. Требования к имени:

    • длина — от 3 до 63 символов;
    • может содержать строчные буквы латинского алфавита, цифры и дефисы;
    • первый символ — буква, последний — не дефис.

  6. (Опционально) Добавьте описание таблицы маршрутизации.

  7. Выберите сеть usergate-network.

  8. Нажмите кнопку Добавить маршрут.

  9. В открывшемся окне введите префикс подсети назначения 0.0.0.0 и выберите 0 в выпадающем списке.

  10. Укажите next hop — внутренний IP-адрес виртуальной машины UserGate usergate-firewall.

  11. Нажмите кнопку Добавить.

  12. Нажмите кнопку Создать таблицу маршрутизации.

Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации к подсети:

  1. На панели слева выберите Подсети.
  2. В строке подсети usergate-subnet-ru-central1-a нажмите кнопку .
  3. В открывшемся меню выберите пункт Привязать таблицу маршрутизации.
  4. В открывшемся окне выберите созданную таблицу в списке.
  5. Нажмите кнопку Привязать.

Чтобы создать таблицу маршрутизации и добавить в нее статические маршруты:

  1. Посмотрите описание команды CLI для создания таблиц маршрутизации:

    yc vpc route-table create --help

  2. Получите идентификаторы облачных сетей в вашем облаке:

    yc vpc network list

    Результат:

    +----------------------+--------------------+
|          ID          |      NAME          |
+----------------------+--------------------+
| enp846vf5fus******** | usergate-network   |
+----------------------+--------------------+

  3. Создайте таблицу маршрутизации в сети usergate-network:

    yc vpc route-table create \
  --name=test-route-table \
  --network-id=enp846vf5fus******** \
  --route destination=0.0.0.0/0,next-hop=10.129.0.24

    Где:

    • name — имя таблицы маршрутизации.
    • network-id — идентификатор сети, в которой будет создана таблица.
    • route — настройки маршрута, включают два параметра:
      • destination — префикс подсети назначения в нотации CIDR.
      • next-hop — внутренний IP-адрес виртуальной машины UserGate usergate-firewall.

    Результат:

    ...done
id: enpsi6b08q2v********
folder_id: b1gqs1teo2q2********
created_at: "2019-06-24T09:57:54Z"
name: test-route-table
network_id: enp846vf5fus********
static_routes:
- destination_prefix: 0.0.0.0/0
  next_hop_address: 10.129.0.24

Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации к подсети:

  1. Получите список подсетей в вашем облаке:

    yc vpc subnet list

    Результат:

    +----------------------+-------------------------------+----------------------+----------------------+---------------+-----------------+
|          ID          |               NAME            |      NETWORK ID      |    ROUTE TABLE ID    |       ZONE    |      RANGE      |
+----------------------+-------------------------------+----------------------+----------------------+---------------+-----------------+
| b0c4l3v9jrgd******** | usergate-subnet-ru-central1-a | enpjsdf771h0******** |                      | ru-central1-a | [10.130.0.0/24] |
+----------------------+-------------------------------+----------------------+----------------------+---------------+-----------------+

  2. Привяжите таблицу маршрутизации к подсети, в которой будет работать веб-сервис, например, к подсети usergate-subnet-ru-central1-a:

    yc vpc subnet update b0c4l3v9jrgd******** --route-table-id e2l5345dlgr1********

    Результат:

    ..done
id: b0c4l3v9jrgd********
folder_id: b1gqs1teo2q2********
created_at: "2019-03-12T13:27:22Z"
name: subnet-1
network_id: enp846vf5fus********
zone_id: ru-central1-a
v4_cidr_blocks:
- 192.168.0.0/24
route_table_id: e2l5345dlgr1********

Чтобы создать таблицу маршрутизации и добавить в нее статические маршруты:

  1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

    • name — имя таблицы маршрутизации. Формат имени:

      • длина — от 3 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    • network_id — идентификатор сети, в которой будет создана таблица.

    • static_route — описание статического маршрута:

      • destination_prefix — префикс подсети назначения в нотации CIDR.
      • next_hop_address — внутренний IP-адрес виртуальной машины из разрешенных диапазонов, через которую будет направляться трафик.

    Пример структуры конфигурационного файла:

    resource "yandex_vpc_route_table" "usergate-rt-a" {
  name       = "<имя_таблицы_маршрутизации>"
  network_id = "<идентификатор_сети>"
  static_route {
    destination_prefix = "0.0.0.0/0"
    next_hop_address   = "10.129.0.24"
  }
}

    Чтобы добавить, изменить или удалить таблицу маршрутизации, используйте ресурс yandex_vpc_route_table с указанием на сеть в поле netword id (например, network_id = "${yandex_vpc_network.lab-net.id}").

    Более подробную информацию о параметрах ресурса yandex_vpc_route_table в Terraform см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

      После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления или с помощью команды CLI:

      yc vpc route-table list

Протестируйте межсетевой экран

Чтобы проверить межсетевой экран, создайте тестовый веб-сервис и убедитесь, что он доступен из интернета.

Подготовьте тестовую виртуальную машину

  1. Создайте виртуальную машину из публичного образа Linux в подсети usergate-subnet-ru-central1-a. В настройках виртуальной машины включите серийную консоль.

  2. Подключитесь к ВМ с помощью CLI, выполнив команду:

    yc compute connect-to-serial-port --instance-name <имя_виртуальной_машины>

    Где:
    --instance-name - имя тестовой ВМ.

  3. Запустите тестовый веб-сервис:

    sudo python3 -m http.server 80

    Веб-сервер будет отвечать на запросы на порт 80 и возвращать список папок и файлов из каталога.

Настройте реверс-proxy к веб-сервису через межсетевой экран

  1. В веб-консоли администратора UserGate в верхнем меню выберите Настройки.

  2. Слева в разделе Глобальный портал выберите Веб-портал и настройте доступ по HTTP-адресу:

    1. Нажмите кнопку Добавить, чтобы открыть диалог добавления портала.
    2. Активируйте чекбокс Включено.
    3. В поле Название введите Тестовый веб-портал.
    4. В поле URL введите http://<IP_адрес_ВМ_UserGate>.
    5. Профиль SSL оставьте по умолчанию.
    6. В поле Сертификат выберите CA (Default).
    7. Нажмите Сохранить.

  3. Выберите Серверы reverse-прокси и добавьте новый сервер:

    1. Нажмите кнопку Добавить, чтобы открыть диалог добавления сервера.
    2. В поле Название введите Локальный сервер.
    3. В поле Адрес сервера введите <внутренний_IP_тестовой_ВМ>, например, 10.129.0.24.
    4. В поле Порт введите 80.
    5. Нажмите Сохранить.

  4. Выберите Правила reverse-прокси и добавьте новое правило:

    1. Нажмите кнопку Добавить, чтобы открыть диалог добавления правила.
    2. Активируйте чекбокс Включено.
    3. В поле Название введите Доступ к локальному серверу.
    4. В поле Сервер reverse-прокси выберите Локальный сервер.
    5. В поле Порты введите 5550.
    6. Нажмите Сохранить.

    На этом настройка доступа к локальному серверу завершена. Межсетевой экран будет принимать запросы на порт 5550 и перенаправлять их на порт 80 по адресу тестовой ВМ.

Протестируйте доступность веб-сервера из интернета

  1. Убедитесь, что вы можете выполнить запрос к веб-сервису, перейдя в браузере по адресу:

    http://<IP_адрес_ВМ_UserGate>:5550

    В ответ должен вернуться список папок и файлов из каталога.

  2. В веб-консоли администратора UserGate в верхнем меню выберите Журналы и отчёты.

  3. Слева в разделе Журналы выберите Журнал веб-доступа и убедитесь, что появилась запись о выполнении правила Доступ к локальному серверу.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите ВМ usergate-firewall и local-service.
  2. Удалите статический публичный IP-адрес.
Предыдущая
Создание и настройка шлюза UserGate в режиме прокси-сервера
Следующая
Реализация отказоустойчивых сценариев для сетевых виртуальных машин