Связаться с намиПодключиться

Создание и настройка шлюза UserGate в режиме межсетевого экрана

Статья создана
Улучшена
Обновлена 14 ноября 2024 г.

UserGate — межсетевой экран нового поколения от одноименной российской компании.

Вы создадите виртуальную машину UserGate в Yandex Cloud и настроите шлюз для работы в режиме межсетевого экрана. Для расширенного изучения возможностей UserGate пройдите бесплатный курс UserGate Getting Started.

Чтобы развернуть шлюз UserGate и проверить его работу:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть и подсеть.
  3. Зарезервируйте статический публичный IP-адрес.
  4. Создайте виртуальную машину UserGate.
  5. Настройте UserGate NGFW через веб-консоль администратора.
  6. Настройте маршрутизацию в подсети.
  7. Проведите тестирование работы межсетевого экрана.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки шлюза UserGate входит:

Создайте облачную сеть и подсеть

Создайте облачную сеть с подсетями в тех зонах доступности, где будет находиться виртуальная машина.

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите пункт Сеть.
  2. Задайте имя сети: usergate-network.
  3. Включите опцию Создать подсети.
  4. Нажмите кнопку Создать сеть.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Создайте сеть usergate-network:

    yc vpc network create usergate-network

    Результат:

    id: enptrcle5q3d********
folder_id: b1g9hv2loamq********
created_at: "2022-06-08T09:25:03Z"
name: usergate-network
default_security_group_id: enpbsnnop4ak********

    Подробнее о команде yc vpc network create см. в справочнике CLI.

  2. Создайте подсеть usergate-subnet-ru-central1-d в зоне доступности ru-central1-d:

    yc vpc subnet create usergate-subnet-ru-central1-d \
  --zone ru-central1-d \
  --network-name usergate-network \
  --range 10.1.0.0/16

    Результат:

    id: e9bnnssj8sc8********
folder_id: b1g9hv2loamq********
created_at: "2022-06-08T09:27:00Z"
name: usergate-subnet-ru-central1-d
network_id: enptrcle5q3d********
zone_id: ru-central1-d
v4_cidr_blocks:
- 10.1.0.0/16

    Подробнее о команде yc vpc subnet create см. в справочнике CLI.

  1. Опишите в конфигурационном файле параметры сети usergate-network и ее подсетей:

    resource "yandex_vpc_network" "usergate-network" {
  name = "usergate-network"
}

resource "yandex_vpc_subnet" {
  name           = "usergate-subnet-ru-central1-d"
  zone           = "ru-central1-d"
  network_id     = "${yandex_vpc_network.usergate-network.id}"
  v4_cidr_blocks = ["10.1.0.0/16"]
}

    Подробнее см. в описаниях ресурсов yandex_vpc_network и yandex_vpc_subnet в документации провайдера Terraform.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

  1. Создайте сеть usergate-network с помощью вызова gRPC API NetworkService/Create или метода REST API create для ресурса Network.
  2. Создайте подсеть usergate-subnet-ru-central1-d с помощью вызова gRPC API SubnetService/Create или метода REST API create для ресурса Subnet.

Зарезервируйте статический публичный IP-адрес

Для работы шлюзу потребуется статический публичный IP-адрес.

  1. В консоли управления перейдите на страницу каталога, в котором нужно зарезервировать адрес.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. На панели слева выберите IP-адреса.
  4. Нажмите кнопку Зарезервировать адрес.
  5. В открывшемся окне выберите зону доступности ru-central1-d.
  6. Нажмите кнопку Зарезервировать.

Выполните команду:

yc vpc address create --external-ipv4 zone=ru-central1-d

Результат:

id: e9b6un9gkso6********
folder_id: b1g7gvsi89m3********
created_at: "2022-06-08T17:52:42Z"
external_ipv4_address:
  address: 178.154.253.52
  zone_id: ru-central1-d
  requirements: {}
reserved: true

Подробнее о команде yc vpc address create см. в справочнике CLI.

Опишите в конфигурационном файле параметры публичного адреса yandex_vpc_address:

resource "yandex_vpc_address" "usergate-addr" {
name = "usergate-addr"
external_ipv4_address {
  zone_id = "ru-central1-d"
  }
}

Подробнее см. описание ресурса vpc_address в документации провайдера Terraform.

Создайте виртуальную машину UserGate

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В блоке Образ загрузочного диска в поле Поиск продукта введите UserGate NGFW и выберите образ UserGate NGFW.

  3. В блоке Расположение выберите зону доступности ru-central1-d.

  4. В блоке Вычислительные ресурсы перейдите на вкладку Своя конфигурация и укажите необходимую платформу, количество vCPU и объем RAM:

    • ПлатформаIntel Ice Lake.
    • vCPU4.
    • Гарантированная доля vCPU100%.
    • RAM8 ГБ.

    Примечание

    Указанные параметры подойдут для функционального тестирования шлюза. Чтобы рассчитать параметры для более серьезной нагрузки, ознакомьтесь с официальными рекомендациями UserGate.

  5. В блоке Сетевые настройки:

    • В поле Подсеть выберите сеть usergate-network и подсеть usergate-subnet-ru-central1-d.
    • В поле Публичный адрес нажмите Список и выберите зарезервированный ранее IP-адрес.

  6. В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа на ВМ:

    • В поле Логин введите имя пользователя. Не используйте имя root или другие имена, зарезервированные ОС. Для выполнения операций, требующих прав суперпользователя, используйте команду sudo.

    • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      • Нажмите кнопку Добавить ключ.
      • Задайте имя SSH-ключа.
      • Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.
      • Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации.

      Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя создаваемой виртуальной машины.

  7. В блоке Общая информация задайте имя ВМ: usergate-firewall.

  8. Нажмите кнопку Создать ВМ.

  1. Создайте пару ключей SSH.

  2. Выполните команду:

    yc compute instance create \
  --name usergate-firewall \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-d \
  --create-boot-disk image-folder-id=standard-images,image-family=usergate-ngfw \
  --ssh-key <путь_к_открытой_части_SSH-ключа> \
  --public-address=<зарезервированный_IP_адрес>

    Результат:

    id: fhm2na1siftp********
folder_id: b1g86q4m5vej********
created_at: "2022-06-09T11:15:52Z"
name: usergate-firewall
zone_id: ru-central1-d
platform_id: standard-v2
resources:
  memory: "8589934592"
  cores: "4"
  core_fraction: "100"
status: RUNNING
boot_disk:
  mode: READ_WRITE
  device_name: fhmiq60rni2t********
  auto_delete: true
  disk_id: fhmiq60rni2t********
network_interfaces:
- index: "0"
  mac_address: d0:0d:2b:a8:3c:93
  subnet_id: e9bqlr188as7********
  primary_v4_address:
    address: 10.1.0.27
    one_to_one_nat:
      address: 51.250.72.1
      ip_version: IPV4
fqdn: fhm2na1siftp********.auto.internal
scheduling_policy: {}
network_settings:
  type: STANDARD
placement_policy: {}

    Подробнее о команде yc compute instance create см. в справочнике CLI.

  1. Получите идентификатор последней версии образа UserGate NGFW из списка публичных образов.

  2. Опишите в конфигурационном файле параметры ВМ usergate-firewall:

    resource "yandex_compute_disk" "boot-disk" {
  name     = "boot-disk"
  type     = "network-hdd"
  zone     = "ru-central1-d"
  size     = "110"
  image_id = "<идентификатор_образа_UserGate_NGFW>"
}

resource "yandex_compute_instance" "usergate-firewall" {
  name        = "usergate-firewall"
  platform_id = "standard-v3"
  zone        = "ru-central1-d"
  hostname    = "usergate"
  resources {
    cores         = 4
    core_fraction = 100
    memory        = 8
  }

  boot_disk {
    disk_id = yandex_compute_disk.boot-disk.id
  }

  network_interface {
    subnet_id          = "${yandex_vpc_subnet.usergate-subnet.id}"
    nat                = true
    nat_ip_address     = <зарезервированный_IP_адрес>
  }

    Подробнее см. в описании ресурса yandex_compute_instance в документации провайдера Terraform.

  3. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где находится конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  4. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

Создайте ВМ usergate-firewall с помощью метода REST API create для ресурса Instance.

Настройте UserGate NGFW через веб-консоль администратора

Для настройки шлюза перейдите в веб-консоль администратора UserGate NGFW по адресу https://<публичный_адрес_ВМ_UserGate>:8001 и авторизуйтесь с данными по умолчанию: логин — Admin, пароль — utm.

После авторизации вам будет предложено изменить пароль по умолчанию и провести обновление ОС.

Настройте шлюз для работы в режиме межсетевого экрана

Сконфигурируйте UserGate NGFW:

  1. В верхнем меню выберите Настройки.
  2. В меню слева перейдите в раздел СетьЗоны.
  3. Нажмите на имя зоны Trusted.
  4. Перейдите на вкладку Контроль доступа и включите опцию Консоль администрирования. Нажмите кнопку Сохранить.
  5. В меню слева перейдите в раздел СетьИнтерфейсы.
  6. Нажмите на имя сетевого интерфейса port0.
  7. На вкладке Общие в поле Зона выберите из списка зону Trusted. Нажмите кнопку Сохранить.
  8. В меню слева перейдите в раздел Политики сетиМежсетевой экран.
  9. Нажмите на имя предустановленного правила Allow trusted to untrusted.
  10. Перейдите на вкладку Назначение и отключите зону Untrusted. Нажмите кнопку Сохранить.
  11. Включите правило Allow trusted to untrusted. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.
  12. В меню слева перейдите в раздел Политики сетиNAT и маршрутизация.
  13. Нажмите на имя предустановленного правила NAT from Trusted to Untrusted.
  14. Перейдите на вкладку Назначение и измените зону назначения с Untrusted на Trusted. Нажмите кнопку Сохранить.
  15. Включите правило NAT from Trusted to Untrusted. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.

На этом первоначальная настройка шлюза закончена.

Настройте правила фильтрации трафика

Из политик, предустановленных по умолчанию, рекомендуется использовать Block to botnets, Block from botnets и Example block RU RKN by IP list. Предварительно измените в них значения нескольких параметров:

  1. Перейдите в раздел Политики сетиМежсетевой экран.
  2. Нажмите на имя предустановленного правила.
  3. Перейдите на вкладку Источник и измените исходную зону с Untrusted на Trusted.
  4. Перейдите на вкладку Назначение и отключите зону Untrusted.
  5. Нажмите кнопку Сохранить.
  6. Включите выбранное правило. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.

Для обеспечения большей безопасности настройте дополнительные правила для фильтрации трафика:

  1. Перейдите в раздел Политики сетиМежсетевой экран.

  2. Добавьте первое правило для блокировки:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • НазваниеБлокировка протокола QUIC.
      • Действие — Запретить.

    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Сервис.

    5. Нажмите кнопку Добавить.

    6. Выберите сервис Quick UDP Internet Connections и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    7. Нажмите кнопку Сохранить.

  3. Добавьте второе правило для блокировки:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • НазваниеБлокировка обновлений Windows.
      • Действие — Запретить.

    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Приложения.

    5. Нажмите ДобавитьДобавить приложения.

    6. Выберите приложение Microsoft Update и нажмите кнопку Добавить.

    7. Выберите приложение WinUpdate и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    8. Нажмите кнопку Сохранить.

Вы можете добавить и другие правила для фильтрации трафика. Не рекомендуется совмещать сервисы и приложения в одном правиле. В этом случае правило может не сработать.

Настройте маршрутизацию для подсети

Создайте статический маршрут:

  1. В консоли управления перейдите в каталог, где нужно создать статический маршрут.

  2. В списке сервисов выберите Virtual Private Cloud.

  3. На панели слева выберите Таблицы маршрутизации.

  4. Нажмите кнопку Создать.

  5. Задайте имя таблицы маршрутизации. Требования к имени:

    • длина — от 3 до 63 символов;
    • может содержать строчные буквы латинского алфавита, цифры и дефисы;
    • первый символ — буква, последний — не дефис.

  6. (Опционально) Добавьте описание таблицы маршрутизации.

  7. Выберите сеть usergate-network.

  8. Нажмите кнопку Добавить маршрут.

  9. В открывшемся окне введите префикс подсети назначения 0.0.0.0 и выберите 0 в выпадающем списке.

  10. Укажите next hop — внутренний IP-адрес виртуальной машины UserGate usergate-firewall.

  11. Нажмите кнопку Добавить.

  12. Нажмите кнопку Создать таблицу маршрутизации.

Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации к подсети:

  1. На панели слева выберите Подсети.
  2. В строке подсети usergate-subnet-ru-central1-d нажмите кнопку .
  3. В открывшемся меню выберите пункт Привязать таблицу маршрутизации.
  4. В открывшемся окне выберите созданную таблицу в списке.
  5. Нажмите кнопку Привязать.

Чтобы создать таблицу маршрутизации и добавить в нее статические маршруты:

  1. Посмотрите описание команды CLI для создания таблиц маршрутизации:

    yc vpc route-table create --help

  2. Получите идентификаторы облачных сетей в вашем облаке:

    yc vpc network list

    Результат:

    +----------------------+--------------------+
|          ID          |      NAME          |
+----------------------+--------------------+
| enp846vf5fus******** | usergate-network   |
+----------------------+--------------------+

  3. Создайте таблицу маршрутизации в сети usergate-network:

    yc vpc route-table create \
  --name=test-route-table \
  --network-id=enp846vf5fus******** \
  --route destination=0.0.0.0/0,next-hop=10.129.0.24

    Где:

    • name — имя таблицы маршрутизации.
    • network-id — идентификатор сети, в которой будет создана таблица.
    • route — настройки маршрута, включают два параметра:
      • destination — префикс подсети назначения в нотации CIDR.
      • next-hop — внутренний IP-адрес виртуальной машины UserGate usergate-firewall.

    Результат:

    ...done
id: enpsi6b08q2v********
folder_id: b1gqs1teo2q2********
created_at: "2019-06-24T09:57:54Z"
name: test-route-table
network_id: enp846vf5fus********
static_routes:
- destination_prefix: 0.0.0.0/0
  next_hop_address: 10.129.0.24

Чтобы использовать статические маршруты, необходимо привязать таблицу маршрутизации к подсети:

  1. Получите список подсетей в вашем облаке:

    yc vpc subnet list

    Результат:

    +----------------------+-------------------------------+----------------------+----------------------+---------------+-----------------+
|          ID          |               NAME            |      NETWORK ID      |    ROUTE TABLE ID    |       ZONE    |      RANGE      |
+----------------------+-------------------------------+----------------------+----------------------+---------------+-----------------+
| b0c4l3v9jrgd******** | usergate-subnet-ru-central1-d | enpjsdf771h0******** |                      | ru-central1-d | [10.130.0.0/24] |
+----------------------+-------------------------------+----------------------+----------------------+---------------+-----------------+

  2. Привяжите таблицу маршрутизации к подсети, в которой будет работать веб-сервис, например, к подсети usergate-subnet-ru-central1-d:

    yc vpc subnet update b0c4l3v9jrgd******** --route-table-id e2l5345dlgr1********

    Результат:

    ..done
id: b0c4l3v9jrgd********
folder_id: b1gqs1teo2q2********
created_at: "2019-03-12T13:27:22Z"
name: subnet-1
network_id: enp846vf5fus********
zone_id: ru-central1-d
v4_cidr_blocks:
- 192.168.0.0/24
route_table_id: e2l5345dlgr1********

Чтобы создать таблицу маршрутизации и добавить в нее статические маршруты:

  1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

    • name — имя таблицы маршрутизации. Формат имени:

      • длина — от 3 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

    • network_id — идентификатор сети, в которой будет создана таблица.

    • static_route — описание статического маршрута:

      • destination_prefix — префикс подсети назначения в нотации CIDR.
      • next_hop_address — внутренний IP-адрес виртуальной машины из разрешенных диапазонов, через которую будет направляться трафик.

    Пример структуры конфигурационного файла:

    resource "yandex_vpc_route_table" "usergate-rt-d" {
  name       = "<имя_таблицы_маршрутизации>"
  network_id = "<идентификатор_сети>"
  static_route {
    destination_prefix = "0.0.0.0/0"
    next_hop_address   = "10.129.0.24"
  }
}

    Чтобы добавить, изменить или удалить таблицу маршрутизации, используйте ресурс yandex_vpc_route_table с указанием на сеть в поле netword id (например, network_id = "${yandex_vpc_network.lab-net.id}").

    Более подробную информацию о параметрах ресурса yandex_vpc_route_table в Terraform см. в документации провайдера.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

      После этого в указанном каталоге будут созданы все требуемые ресурсы. Проверить появление ресурсов и их настройки можно в консоли управления или с помощью команды CLI:

      yc vpc route-table list

Протестируйте межсетевой экран

Чтобы проверить межсетевой экран, создайте тестовый веб-сервис и убедитесь, что он доступен из интернета.

Подготовьте тестовую виртуальную машину

  1. Создайте виртуальную машину из публичного образа Linux в подсети usergate-subnet-ru-central1-d. В настройках виртуальной машины включите серийную консоль.

  2. Подключитесь к ВМ с помощью CLI, выполнив команду:

    yc compute connect-to-serial-port --instance-name <имя_виртуальной_машины>

    Где:
    --instance-name - имя тестовой ВМ.

  3. Запустите тестовый веб-сервис:

    sudo python3 -m http.server 80

    Веб-сервер будет отвечать на запросы на порт 80 и возвращать список папок и файлов из каталога.

Настройте реверс-proxy к веб-сервису через межсетевой экран

  1. В веб-консоли администратора UserGate в верхнем меню выберите Настройки.

  2. Слева в разделе Глобальный портал выберите Веб-портал и настройте доступ по HTTP-адресу:

    1. Нажмите кнопку Добавить, чтобы открыть диалог добавления портала.
    2. Активируйте чекбокс Включено.
    3. В поле Название введите Тестовый веб-портал.
    4. В поле URL введите http://<IP_адрес_ВМ_UserGate>.
    5. Профиль SSL оставьте по умолчанию.
    6. В поле Сертификат выберите CA (Default).
    7. Нажмите Сохранить.

  3. Выберите Серверы reverse-прокси и добавьте новый сервер:

    1. Нажмите кнопку Добавить, чтобы открыть диалог добавления сервера.
    2. В поле Название введите Локальный сервер.
    3. В поле Адрес сервера введите <внутренний_IP_тестовой_ВМ>, например, 10.129.0.24.
    4. В поле Порт введите 80.
    5. Нажмите Сохранить.

  4. Выберите Правила reverse-прокси и добавьте новое правило:

    1. Нажмите кнопку Добавить, чтобы открыть диалог добавления правила.
    2. Активируйте чекбокс Включено.
    3. В поле Название введите Доступ к локальному серверу.
    4. В поле Сервер reverse-прокси выберите Локальный сервер.
    5. В поле Порты введите 5550.
    6. Нажмите Сохранить.

    На этом настройка доступа к локальному серверу завершена. Межсетевой экран будет принимать запросы на порт 5550 и перенаправлять их на порт 80 по адресу тестовой ВМ.

Протестируйте доступность веб-сервера из интернета

  1. Убедитесь, что вы можете выполнить запрос к веб-сервису, перейдя в браузере по адресу:

    http://<IP_адрес_ВМ_UserGate>:5550

    В ответ должен вернуться список папок и файлов из каталога.

  2. В веб-консоли администратора UserGate в верхнем меню выберите Журналы и отчёты.

  3. Слева в разделе Журналы выберите Журнал веб-доступа и убедитесь, что появилась запись о выполнении правила Доступ к локальному серверу.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите ВМ usergate-firewall и local-service.
  2. Удалите статический публичный IP-адрес.
Предыдущая
Создание и настройка шлюза UserGate в режиме прокси-сервера
Следующая
Реализация отказоустойчивых сценариев для сетевых виртуальных машин