Связаться с намиПодключиться

Создание и настройка шлюза UserGate в режиме прокси-сервера

Статья создана
Обновлена 22 октября 2024 г.

UserGate — это межсетевой экран нового поколения от одноименной российской компании.

Вы создадите виртуальную машину UserGate в Yandex Cloud и настроите шлюз в режиме прокси-сервера. Это позволит организовать безопасный доступ в интернет для сотрудников вашей компании из любой точки мира (офис, дом, кафе и прочие публичные места). Для более расширенного изучения возможностей UserGate пройдите бесплатный курс UserGate Getting Started.

Типовая схема использования UserGate в режиме прокси-сервера в Yandex Cloud представлена на рисунке ниже.

Чтобы развернуть шлюз UserGate:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть и подсеть.
  3. Зарезервируйте статический публичный IP-адрес.
  4. Создайте виртуальную машину UserGate.
  5. Настройте UserGate NGFW через веб-консоль администратора.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки шлюза UserGate входит:

Создайте облачную сеть и подсеть

Создайте облачную сеть с подсетями в тех зонах доступности, где будет находиться виртуальная машина.

  1. На странице каталога в консоли управления в правом верхнем углу нажмите кнопку Создать ресурс и выберите пункт Сеть.
  2. Задайте имя сети: usergate-network.
  3. В поле Дополнительно включите опцию Создать подсети.
  4. Нажмите кнопку Создать сеть.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Создайте сеть usergate-network:

    yc vpc network create usergate-network

    Результат:

    id: enptrcle5q3d********
folder_id: b1g9hv2loamq********
created_at: "2022-06-08T09:25:03Z"
name: usergate-network
default_security_group_id: enpbsnnop4ak********

    Подробнее о команде yc vpc network create см. в справочнике CLI.

  2. Создайте подсеть usergate-subnet-ru-central1-a в зоне доступности ru-central1-a:

    yc vpc subnet create usergate-subnet-ru-central1-a \
  --zone ru-central1-a \
  --network-name usergate-network \
  --range 10.1.0.0/16

    Результат:

    id: e9bnnssj8sc8********
folder_id: b1g9hv2loamq********
created_at: "2022-06-08T09:27:00Z"
name: usergate-subnet-ru-central1-a
network_id: enptrcle5q3d********
zone_id: ru-central1-a
v4_cidr_blocks:
- 10.1.0.0/16

    Подробнее о команде yc vpc subnet create см. в справочнике CLI.

  1. Опишите в конфигурационном файле параметры сети usergate-network и ее подсети usergate-subnet-ru-central1-a:

    resource "yandex_vpc_network" "usergate-network" {
  name = "usergate-network"
}

resource "yandex_vpc_subnet" "usergate-subnet" {
  name           = "usergate-subnet-ru-central1-a"
  zone           = "ru-central1-a"
  network_id     = "${yandex_vpc_network.usergate-network.id}"
  v4_cidr_blocks = ["10.1.0.0/16"]
}

    Подробнее см. в описаниях ресурсов yandex_vpc_network и yandex_vpc_subnet в документации провайдера Terraform.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

  1. Создайте сеть usergate-network с помощью вызова gRPC API NetworkService/Create или метода REST API create для ресурса Network.
  2. Создайте подсеть usergate-subnet-ru-central1-a с помощью вызова gRPC API SubnetService/Create или метода REST API create для ресурса Subnet.

Создайте группу безопасности

  1. В консоли управления перейдите на страницу каталога, в котором нужно создать группу.

  2. В списке сервисов выберите Virtual Private Cloud.

  3. На панели слева выберите Группы безопасности.

  4. Нажмите кнопку Создать группу безопасности.

  5. Введите имя группы безопасности — usergate-sg.

  6. В поле Сеть выберите сеть usergate-network.

  7. В блоке Правила создайте правила по инструкции под таблицей:

    Направление
    трафика    		 Описание Диапазон портов Протокол Назначение /
    Источник    		 CIDR блоки
    Исходящий any Весь Любой CIDR 0.0.0.0/0
    Входящий icmp Весь ICMPv6 CIDR 0.0.0.0/0
    Входящий rdp 3389 TCP CIDR 0.0.0.0/0
    Входящий ssh 22 TCP CIDR 0.0.0.0/0
    Входящий usergate 8001 8001 TCP CIDR 0.0.0.0/0
    Входящий usergate 8090 8090 TCP CIDR 0.0.0.0/0
    1. Перейдите на вкладку Исходящий трафик или Входящий трафик.
    2. Нажмите кнопку Добавить правило. В открывшемся окне:

      1. В поле Диапазон портов укажите один порт или диапазон портов, куда или откуда будет поступать трафик.

      2. В поле Протокол укажите нужный протокол или оставьте Любой, чтобы разрешить передачу трафика по всем протоколам.

      3. В поле Назначение или Источник выберите назначение правила:

        • CIDR — правило будет применено к диапазону IP-адресов. В поле CIDR блоки укажите CIDR и маски подсетей, в которые или из которых будет поступать трафик. Чтобы добавить несколько CIDR, нажимайте кнопку Добавить CIDR.
        • Группа безопасности — правило будет применено к ВМ из текущей группы или из выбранной группы безопасности.

      4. Нажмите кнопку Сохранить.

  8. Нажмите кнопку Сохранить.

Выполните следующую команду:

yc vpc security-group create usergate-sg \
  --network-name usergate-network \
  --rule direction=egress,port=any,protocol=any,v4-cidrs=[0.0.0.0/0] \
  --rule direction=ingress,protocol=icmp,v4-cidrs=[0.0.0.0/0] \
  --rule direction=ingress,port=3389,protocol=tcp,v4-cidrs=[0.0.0.0/0] \
  --rule direction=ingress,port=22,protocol=tcp,v4-cidrs=[0.0.0.0/0] \
  --rule direction=ingress,port=8001,protocol=tcp,v4-cidrs=[0.0.0.0/0] \
  --rule direction=ingress,port=8090,protocol=tcp,v4-cidrs=[0.0.0.0/0]

Результат:

id: enpu0e0nrqdn********
folder_id: b1g86q4m5vej********
created_at: "2022-06-29T09:38:40Z"
name: usergate-sg
network_id: enp3srbi9u49********
status: ACTIVE
rules:
- id: enpdp9d0ping********
  direction: EGRESS
  protocol_name: ANY
  protocol_number: "-1"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0
- id: enps2r5ru3s1********
  direction: INGRESS
  protocol_name: ICMP
  protocol_number: "1"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0
- id: enpgonbui61a********
  direction: INGRESS
  ports:
    from_port: "3389"
    to_port: "3389"
  protocol_name: TCP
  protocol_number: "6"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0
- id: enpbg1jh11hv********
  direction: INGRESS
  ports:
    from_port: "22"
    to_port: "22"
  protocol_name: TCP
  protocol_number: "6"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0
- id: enpgdavevku7********
  direction: INGRESS
  ports:
    from_port: "8001"
    to_port: "8001"
  protocol_name: TCP
  protocol_number: "6"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0
- id: enp335ibig9k********
  direction: INGRESS
  ports:
    from_port: "8090"
    to_port: "8090"
  protocol_name: TCP
  protocol_number: "6"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0

Подробнее о команде yc vpc security-group create см. в справочнике CLI.

  1. Добавьте в конфигурационный файл параметры группы безопасности usergate-sg:

    resource "yandex_vpc_security_group" "usergate-sg" {
  name       = "usergate-sg"
  network_id = "${yandex_vpc_network.usergate-network.id}"

  egress {
    protocol       = "ANY"
    port           = "ANY"
    v4_cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    protocol       = "ICMP"
    port           = "ANY"
    v4_cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    protocol       = "TCP"
    port           = 3389
    v4_cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    protocol       = "TCP"
    port           = 22
    v4_cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    protocol       = "TCP"
    port           = 8001
    v4_cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    protocol       = "TCP"
    port           = 8090
    v4_cidr_blocks = ["0.0.0.0/0"]
  }
}

    Подробнее о ресурсе yandex_vpc_security_group см. в документации провайдера Terraform.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

Используйте вызов gRPC API SecurityGroupService/Create или метод REST API create.

Зарезервируйте статический публичный IP-адрес

Для работы шлюзу потребуется статический публичный IP-адрес.

  1. В консоли управления перейдите на страницу каталога, в котором нужно зарезервировать адрес.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. На панели слева выберите IP-адреса.
  4. Нажмите кнопку Зарезервировать адрес.
  5. В открывшемся окне в поле Зона доступности выберите зону доступности ru-central1-a.
  6. Нажмите кнопку Зарезервировать.

Выполните команду:

yc vpc address create --external-ipv4 zone=ru-central1-a

Результат:

id: e9b6un9gkso6********
folder_id: b1g7gvsi89m3********
created_at: "2022-06-08T17:52:42Z"
external_ipv4_address:
  address: 178.154.253.52
  zone_id: ru-central1-a
  requirements: {}
reserved: true

Подробнее о команде yc vpc address create см. в справочнике CLI.

Создайте виртуальную машину UserGate

  1. На странице каталога в консоли управления в правом верхнем углу нажмите кнопку Создать ресурс.

  2. Выберите пункт Виртуальная машина.

  3. Укажите имя виртуальной машины: usergate-proxy.

  4. Выберите зону доступности ru-central1-a.

  5. В блоке Образ загрузочного диска перейдите на вкладку Marketplace и выберите образ UserGate NGFW.

  6. В блоке Вычислительные ресурсы:

    • Выберите платформу Intel Ice Lake.

    • Укажите необходимое количество vCPU и объем RAM:

      • vCPU4.
      • Гарантированная доля vCPU100%.
      • RAM8 ГБ.

      Примечание

      Указанные параметры подойдут для функционального тестирования шлюза. Чтобы рассчитать параметры для более серьезной нагрузки, ознакомьтесь с официальными рекомендациями UserGate.

  7. В блоке Сетевые настройки:

    • Выберите сеть usergate-network и подсеть usergate-subnet-ru-central1-a.
    • В поле Публичный адрес выберите Список и в появившемся списке выберите зарезервированный ранее IP-адрес.
    • В поле Группы безопасности выберите из списка группу usergate-sg.

  8. В блоке Доступ укажите данные для доступа на ВМ:

    • В поле Логин введите имя пользователя.

    • В поле SSH-ключ вставьте содержимое файла открытого ключа.

      Пару ключей для подключения по SSH необходимо создать самостоятельно, см. раздел Создание пары ключей SSH.

  9. Нажмите кнопку Создать ВМ.

  1. Создайте пару ключей SSH.

  2. Получите идентификатор группы безопасности usergate-sg:

    yc vpc security-group get usergate-sg | grep "^id"

    Подробнее о команде yc vpc security-group get см. в справочнике CLI.

  3. Выполните команду:

    yc compute instance create \
  --name usergate-proxy \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-a \
  --network-interface subnet-name=usergate-subnet-ru-central1-a,nat-ip-version=ipv4,security-group-ids=<идентификатор_группы_безопасности_usergate-sg> \
  --create-boot-disk image-folder-id=standard-images,image-family=usergate-ngfw \
  --ssh-key <путь_к_открытой_части_SSH-ключа> \

    Результат:

    id: fhm2na1siftp********
folder_id: b1g86q4m5vej********
created_at: "2022-06-09T11:15:52Z"
name: usergate-proxy
zone_id: ru-central1-a
platform_id: standard-v2
resources:
  memory: "8589934592"
  cores: "4"
  core_fraction: "100"
status: RUNNING
boot_disk:
  mode: READ_WRITE
  device_name: fhmiq60rni2t********
  auto_delete: true
  disk_id: fhmiq60rni2t********
network_interfaces:
- index: "0"
  mac_address: d0:0d:2b:a8:3c:93
  subnet_id: e9bqlr188as7********
  primary_v4_address:
    address: 10.1.0.27
    one_to_one_nat:
      address: 51.250.72.1
      ip_version: IPV4
fqdn: fhm2na1siftp********.auto.internal
scheduling_policy: {}
network_settings:
  type: STANDARD
placement_policy: {}

    Подробнее о команде yc compute instance create см. в справочнике CLI.

  1. Получите идентификатор последней версии образа UserGate NGFW из списка публичных образов.

  2. Опишите в конфигурационном файле параметры ВМ usergate-proxy:

    resource "yandex_compute_disk" "boot-disk" {
  name     = "boot-disk"
  type     = "network-hdd"
  zone     = "ru-central1-a"
  size     = "110"
  image_id = "<идентификатор_образа_UserGate_NGFW>"
}

resource "yandex_compute_instance" "usergate-proxy" {
  name        = "usergate-proxy"
  platform_id = "standard-v3"
  zone        = "ru-central1-a"
  hostname    = "usergate"
  resources {
    cores         = 4
    core_fraction = 100
    memory        = 8
  }

  boot_disk {
    disk_id = yandex_compute_disk.boot-disk.id
  }

  network_interface {
    subnet_id          = "${yandex_vpc_subnet.usergate-subnet.id}"
    nat                = true
    security_group_ids = <идентификатор_группы_безопасности_usergate-sg>
  }
}

    Подробнее см. в описании ресурса yandex_compute_instance в документации провайдера Terraform.

  3. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  4. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

Создайте ВМ usergate-proxy с помощью метода REST API create для ресурса Instance.

Настройте UserGate NGFW через веб-консоль администратора

Для настройки шлюза перейдите в веб-консоль администратора UserGate NGFW по адресу https://<публичный_IP-адрес_ВМ>:8001 и авторизуйтесь с данными по умолчанию: логин — Admin, пароль — utm.

После авторизации вам будет предложено изменить пароль по умолчанию и провести обновление ОС.

Настройте шлюз для работы в режиме прокси-сервера

Сконфигурируйте UserGate NGFW для работы в режиме прокси-сервера:

  1. В верхнем меню выберите Настройки.
  2. В меню слева перейдите в раздел СетьЗоны.
  3. Нажмите на имя зоны Trusted.
  4. Перейдите на вкладку Контроль доступа и включите опцию Консоль администрирования. Нажмите кнопку Сохранить.
  5. В меню слева перейдите в раздел СетьИнтерфейсы.
  6. Нажмите на имя сетевого интерфейса port0.
  7. На вкладке Общие в поле Зона выберите из списка зону Trusted. Нажмите кнопку Сохранить.
  8. В меню слева перейдите в раздел Политики сетиМежсетевой экран.
  9. Нажмите на имя предустановленного правила Allow trusted to untrusted.
  10. Перейдите на вкладку Назначение и отключите зону Untrusted. Нажмите кнопку Сохранить.
  11. Включите правило Allow trusted to untrusted. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.
  12. В меню слева перейдите в раздел Политики сетиNAT и маршрутизация.
  13. Нажмите на имя предустановленного правила NAT from Trusted to Untrusted.
  14. Перейдите на вкладку Назначение и измените зону назначения с Untrusted на Trusted. Нажмите кнопку Сохранить.
  15. Включите правило NAT from Trusted to Untrusted. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.

На этом первоначальная настройка шлюза закончена. Теперь можно использовать UserGate в качестве прокси-сервера, указав в настройках браузера публичный IP-адрес и порт 8090.

Настройте правила фильтрации трафика

Из политик, предустановленных по умолчанию, рекомендуется использовать Block to botnets, Block from botnets и Example block RU RKN by IP list. Предварительно измените в них значения нескольких параметров:

  1. Перейдите в раздел Политики сетиМежсетевой экран.
  2. Нажмите на имя предустановленного правила.
  3. Перейдите на вкладку Источник и измените исходную зону с Untrusted на Trusted.
  4. Перейдите на вкладку Назначение и отключите зону Untrusted.
  5. Нажмите кнопку Сохранить.
  6. Включите выбранное правило. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.

Для обеспечения большей безопасности настройте дополнительные правила для фильтрации трафика:

  1. Перейдите в раздел Политики сетиМежсетевой экран.

  2. Добавьте первое правило для блокировки:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • НазваниеБлокировка протокола QUIC.
      • Действие — Запретить.

    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Сервис.

    5. Нажмите кнопку Добавить.

    6. Выберите сервис Quick UDP Internet Connections и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    7. Нажмите кнопку Сохранить.

  3. Добавьте второе правило для блокировки:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • НазваниеБлокировка обновлений Windows.
      • Действие — Запретить.

    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Приложения.

    5. Нажмите ДобавитьДобавить приложения.

    6. Выберите приложение Microsoft Update и нажмите кнопку Добавить.

    7. Выберите приложение WinUpdate и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    8. Нажмите кнопку Сохранить.

Вы можете добавить и другие правила для фильтрации трафика. Не рекомендуется совмещать сервисы и приложения в одном правиле. В этом случае правило может не сработать.

Настройте правила фильтрации контента

Из политик, предустановленных по умолчанию, рекомендуется включить Example black list, Example threats sites и Example AV check:

  1. Перейдите в раздел Политики безопасностиФильтрация контента.
  2. Выделите строку с выбранным правилом и в верхней части экрана нажмите кнопку Включить.

Для обеспечения большей безопасности настройте дополнительные правила для фильтрации контента:

  1. Перейдите в раздел Политики безопасностиФильтрация контента.

  2. Добавьте правило для фильтрации:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • НазваниеБлокировка социальных сетей.
      • Действия — Запретить.

    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Категории.

    5. Нажмите кнопку Добавить.

    6. В поисковой строке найдите категорию Социальные сети и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    7. Нажмите кнопку Сохранить.

Вы можете добавить и другие правила для фильтрации контента. Не рекомендуется совмещать несколько параметров в одном правиле. В этом случае правило может не сработать.

Настройте SSL-инспектирование

По умолчанию UserGate использует для расшифровки трафика свой сертификат CA (Default). Но вы также можете добавить свой собственный сертификат.

Чтобы добавить сертификат:

  1. Перейдите в раздел UserGateСертификаты.

  2. В верхней части экрана нажмите кнопку Импорт.

  3. Заполните параметры сертификата:

    • Название — введите произвольное название.
    • Файл сертификата — выберите файл сертификата в форматах DER, PEM или PKCS12.
    • (Опционально) Приватный ключ — выберите приватный ключ сертификата.
    • (Опционально) Пароль — пароль для приватного ключа или контейнера PKCS12.
    • (Опционально) Цепочка сертификатов — выберите файл, если необходимо возвращать клиентам полную цепочку сертификатов.

  4. Нажмите кнопку Сохранить.

  5. Нажмите на имя добавленного сертификата.

  6. В поле Используется выберите SSL инспектирование.

  7. Нажмите кнопку Сохранить.

  8. Добавьте правило для SSL-инспектирования:

    1. Перейдите в раздел Политики безопасностиИнспектирование SSL.

    2. В верхней части экрана нажмите кнопку Добавить.

    3. Заполните параметры правила и нажмите кнопку Сохранить.

      Для реализации SSL-инспектирования вы также можете использовать правило по умолчанию Decrypt all for unknown users.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите ВМ usergate-proxy.
  2. Удалите статический публичный IP-адрес.
Предыдущая
Защищенный доступ пользователей к облачным ресурсам на основе WireGuard VPN
Следующая
Создание и настройка шлюза UserGate в режиме межсетевого экрана