Связаться с намиПодключиться

Создание и настройка шлюза UserGate в режиме прокси-сервера

Статья создана
Обновлена 14 ноября 2024 г.

UserGate — это межсетевой экран нового поколения от одноименной российской компании.

Вы создадите виртуальную машину UserGate в Yandex Cloud и настроите шлюз в режиме прокси-сервера. Это позволит организовать безопасный доступ в интернет для сотрудников вашей компании из любой точки мира (офис, дом, кафе и прочие публичные места). Для более расширенного изучения возможностей UserGate пройдите бесплатный курс UserGate Getting Started.

Типовая схема использования UserGate в режиме прокси-сервера в Yandex Cloud представлена на рисунке ниже.

Чтобы развернуть шлюз UserGate:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть и подсеть.
  3. Зарезервируйте статический публичный IP-адрес.
  4. Создайте виртуальную машину UserGate.
  5. Настройте UserGate NGFW через веб-консоль администратора.

Если созданные ресурсы вам больше не нужны, удалите их.

Перед началом работы

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки шлюза UserGate входит:

Создайте облачную сеть и подсеть

Создайте облачную сеть с подсетями в тех зонах доступности, где будет находиться виртуальная машина.

  1. На странице каталога в консоли управления в правом верхнем углу нажмите кнопку Создать ресурс и выберите пункт Сеть.
  2. Задайте имя сети: usergate-network.
  3. В поле Дополнительно включите опцию Создать подсети.
  4. Нажмите кнопку Создать сеть.

Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

  1. Создайте сеть usergate-network:

    yc vpc network create usergate-network

    Результат:

    id: enptrcle5q3d********
folder_id: b1g9hv2loamq********
created_at: "2022-06-08T09:25:03Z"
name: usergate-network
default_security_group_id: enpbsnnop4ak********

    Подробнее о команде yc vpc network create см. в справочнике CLI.

  2. Создайте подсеть usergate-subnet-ru-central1-d в зоне доступности ru-central1-d:

    yc vpc subnet create usergate-subnet-ru-central1-d \
  --zone ru-central1-d \
  --network-name usergate-network \
  --range 10.1.0.0/16

    Результат:

    id: e9bnnssj8sc8********
folder_id: b1g9hv2loamq********
created_at: "2022-06-08T09:27:00Z"
name: usergate-subnet-ru-central1-d
network_id: enptrcle5q3d********
zone_id: ru-central1-d
v4_cidr_blocks:
- 10.1.0.0/16

    Подробнее о команде yc vpc subnet create см. в справочнике CLI.

  1. Опишите в конфигурационном файле параметры сети usergate-network и ее подсети usergate-subnet-ru-central1-d:

    resource "yandex_vpc_network" "usergate-network" {
  name = "usergate-network"
}

resource "yandex_vpc_subnet" "usergate-subnet" {
  name           = "usergate-subnet-ru-central1-d"
  zone           = "ru-central1-d"
  network_id     = "${yandex_vpc_network.usergate-network.id}"
  v4_cidr_blocks = ["10.1.0.0/16"]
}

    Подробнее см. в описаниях ресурсов yandex_vpc_network и yandex_vpc_subnet в документации провайдера Terraform.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

  1. Создайте сеть usergate-network с помощью вызова gRPC API NetworkService/Create или метода REST API create для ресурса Network.
  2. Создайте подсеть usergate-subnet-ru-central1-d с помощью вызова gRPC API SubnetService/Create или метода REST API create для ресурса Subnet.

Создайте группу безопасности

  1. В консоли управления перейдите на страницу каталога, в котором нужно создать группу.

  2. В списке сервисов выберите Virtual Private Cloud.

  3. На панели слева выберите Группы безопасности.

  4. Нажмите кнопку Создать группу безопасности.

  5. Введите имя группы безопасности — usergate-sg.

  6. В поле Сеть выберите сеть usergate-network.

  7. В блоке Правила создайте правила по инструкции под таблицей:

    Направление
    трафика    		 Описание Диапазон портов Протокол Назначение /
    Источник    		 CIDR блоки
    Исходящий any Весь Любой CIDR 0.0.0.0/0
    Входящий icmp Весь ICMPv6 CIDR 0.0.0.0/0
    Входящий rdp 3389 TCP CIDR 0.0.0.0/0
    Входящий ssh 22 TCP CIDR 0.0.0.0/0
    Входящий usergate 8001 8001 TCP CIDR 0.0.0.0/0
    Входящий usergate 8090 8090 TCP CIDR 0.0.0.0/0
    1. Перейдите на вкладку Исходящий трафик или Входящий трафик.
    2. Нажмите кнопку Добавить правило. В открывшемся окне:

      1. В поле Диапазон портов укажите один порт или диапазон портов, куда или откуда будет поступать трафик.

      2. В поле Протокол укажите нужный протокол или оставьте Любой, чтобы разрешить передачу трафика по всем протоколам.

      3. В поле Назначение или Источник выберите назначение правила:

        • CIDR — правило будет применено к диапазону IP-адресов. В поле CIDR блоки укажите CIDR и маски подсетей, в которые или из которых будет поступать трафик. Чтобы добавить несколько CIDR, нажимайте кнопку Добавить CIDR.
        • Группа безопасности — правило будет применено к ВМ из текущей группы или из выбранной группы безопасности.

      4. Нажмите кнопку Сохранить.

  8. Нажмите кнопку Сохранить.

Выполните следующую команду:

yc vpc security-group create usergate-sg \
  --network-name usergate-network \
  --rule direction=egress,port=any,protocol=any,v4-cidrs=[0.0.0.0/0] \
  --rule direction=ingress,protocol=icmp,v4-cidrs=[0.0.0.0/0] \
  --rule direction=ingress,port=3389,protocol=tcp,v4-cidrs=[0.0.0.0/0] \
  --rule direction=ingress,port=22,protocol=tcp,v4-cidrs=[0.0.0.0/0] \
  --rule direction=ingress,port=8001,protocol=tcp,v4-cidrs=[0.0.0.0/0] \
  --rule direction=ingress,port=8090,protocol=tcp,v4-cidrs=[0.0.0.0/0]

Результат:

id: enpu0e0nrqdn********
folder_id: b1g86q4m5vej********
created_at: "2022-06-29T09:38:40Z"
name: usergate-sg
network_id: enp3srbi9u49********
status: ACTIVE
rules:
- id: enpdp9d0ping********
  direction: EGRESS
  protocol_name: ANY
  protocol_number: "-1"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0
- id: enps2r5ru3s1********
  direction: INGRESS
  protocol_name: ICMP
  protocol_number: "1"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0
- id: enpgonbui61a********
  direction: INGRESS
  ports:
    from_port: "3389"
    to_port: "3389"
  protocol_name: TCP
  protocol_number: "6"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0
- id: enpbg1jh11hv********
  direction: INGRESS
  ports:
    from_port: "22"
    to_port: "22"
  protocol_name: TCP
  protocol_number: "6"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0
- id: enpgdavevku7********
  direction: INGRESS
  ports:
    from_port: "8001"
    to_port: "8001"
  protocol_name: TCP
  protocol_number: "6"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0
- id: enp335ibig9k********
  direction: INGRESS
  ports:
    from_port: "8090"
    to_port: "8090"
  protocol_name: TCP
  protocol_number: "6"
  cidr_blocks:
    v4_cidr_blocks:
    - 0.0.0.0/0

Подробнее о команде yc vpc security-group create см. в справочнике CLI.

  1. Добавьте в конфигурационный файл параметры группы безопасности usergate-sg:

    resource "yandex_vpc_security_group" "usergate-sg" {
  name       = "usergate-sg"
  network_id = "${yandex_vpc_network.usergate-network.id}"

  egress {
    protocol       = "ANY"
    port           = "ANY"
    v4_cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    protocol       = "ICMP"
    port           = "ANY"
    v4_cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    protocol       = "TCP"
    port           = 3389
    v4_cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    protocol       = "TCP"
    port           = 22
    v4_cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    protocol       = "TCP"
    port           = 8001
    v4_cidr_blocks = ["0.0.0.0/0"]
  }

  ingress {
    protocol       = "TCP"
    port           = 8090
    v4_cidr_blocks = ["0.0.0.0/0"]
  }
}

    Подробнее о ресурсе yandex_vpc_security_group см. в документации провайдера Terraform.

  2. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  3. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

Используйте вызов gRPC API SecurityGroupService/Create или метод REST API create.

Зарезервируйте статический публичный IP-адрес

Для работы шлюзу потребуется статический публичный IP-адрес.

  1. В консоли управления перейдите на страницу каталога, в котором нужно зарезервировать адрес.
  2. В списке сервисов выберите Virtual Private Cloud.
  3. На панели слева выберите IP-адреса.
  4. Нажмите кнопку Зарезервировать адрес.
  5. В открывшемся окне в поле Зона доступности выберите зону доступности ru-central1-d.
  6. Нажмите кнопку Зарезервировать.

Выполните команду:

yc vpc address create --external-ipv4 zone=ru-central1-d

Результат:

id: e9b6un9gkso6********
folder_id: b1g7gvsi89m3********
created_at: "2022-06-08T17:52:42Z"
external_ipv4_address:
  address: 178.154.253.52
  zone_id: ru-central1-d
  requirements: {}
reserved: true

Подробнее о команде yc vpc address create см. в справочнике CLI.

Создайте виртуальную машину UserGate

  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В блоке Образ загрузочного диска в поле Поиск продукта введите UserGate NGFW и выберите публичный образ UserGate NGFW.

  3. В блоке Расположение выберите зону доступности ru-central1-d.

  4. В блоке Вычислительные ресурсы перейдите на вкладку Своя конфигурация и укажите необходимую платформу, количество vCPU и объем RAM:

    • ПлатформаIntel Ice Lake.
    • vCPU4.
    • Гарантированная доля vCPU100%.
    • RAM8 ГБ.

    Примечание

    Указанные параметры подойдут для функционального тестирования шлюза. Чтобы рассчитать параметры для более серьезной нагрузки, ознакомьтесь с официальными рекомендациями UserGate.

  5. В блоке Сетевые настройки:

    • В поле Подсеть выберите сеть usergate-network и подсеть usergate-subnet-ru-central1-d.
    • В поле Публичный адрес выберите Список и в появившемся списке выберите зарезервированный ранее IP-адрес.
    • В поле Группы безопасности выберите из списка группу usergate-sg.

  6. В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа на ВМ:

    • В поле Логин введите имя пользователя. Не используйте имя root или другие имена, зарезервированные ОС. Для выполнения операций, требующих прав суперпользователя, используйте команду sudo.

    • В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.

      Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:

      • Нажмите кнопку Добавить ключ.
      • Задайте имя SSH-ключа.
      • Загрузите или вставьте содержимое открытого SSH-ключа. Пару SSH-ключей для подключения к ВМ по SSH необходимо создать самостоятельно.
      • Нажмите кнопку Добавить.

      SSH-ключ будет добавлен в ваш профиль пользователя организации.

      Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя создаваемой виртуальной машины.

  7. В блоке Общая информация задайте имя ВМ: usergate-proxy.

  8. Нажмите кнопку Создать ВМ.

  1. Создайте пару ключей SSH.

  2. Получите идентификатор группы безопасности usergate-sg:

    yc vpc security-group get usergate-sg | grep "^id"

    Подробнее о команде yc vpc security-group get см. в справочнике CLI.

  3. Выполните команду:

    yc compute instance create \
  --name usergate-proxy \
  --memory 8 \
  --cores 4 \
  --zone ru-central1-d \
  --network-interface subnet-name=usergate-subnet-ru-central1-d,nat-ip-version=ipv4,security-group-ids=<идентификатор_группы_безопасности_usergate-sg> \
  --create-boot-disk image-folder-id=standard-images,image-family=usergate-ngfw \
  --ssh-key <путь_к_открытой_части_SSH-ключа> \

    Результат:

    id: fhm2na1siftp********
folder_id: b1g86q4m5vej********
created_at: "2022-06-09T11:15:52Z"
name: usergate-proxy
zone_id: ru-central1-d
platform_id: standard-v2
resources:
  memory: "8589934592"
  cores: "4"
  core_fraction: "100"
status: RUNNING
boot_disk:
  mode: READ_WRITE
  device_name: fhmiq60rni2t********
  auto_delete: true
  disk_id: fhmiq60rni2t********
network_interfaces:
- index: "0"
  mac_address: d0:0d:2b:a8:3c:93
  subnet_id: e9bqlr188as7********
  primary_v4_address:
    address: 10.1.0.27
    one_to_one_nat:
      address: 51.250.72.1
      ip_version: IPV4
fqdn: fhm2na1siftp********.auto.internal
scheduling_policy: {}
network_settings:
  type: STANDARD
placement_policy: {}

    Подробнее о команде yc compute instance create см. в справочнике CLI.

  1. Получите идентификатор последней версии образа UserGate NGFW из списка публичных образов.

  2. Опишите в конфигурационном файле параметры ВМ usergate-proxy:

    resource "yandex_compute_disk" "boot-disk" {
  name     = "boot-disk"
  type     = "network-hdd"
  zone     = "ru-central1-d"
  size     = "110"
  image_id = "<идентификатор_образа_UserGate_NGFW>"
}

resource "yandex_compute_instance" "usergate-proxy" {
  name        = "usergate-proxy"
  platform_id = "standard-v3"
  zone        = "ru-central1-d"
  hostname    = "usergate"
  resources {
    cores         = 4
    core_fraction = 100
    memory        = 8
  }

  boot_disk {
    disk_id = yandex_compute_disk.boot-disk.id
  }

  network_interface {
    subnet_id          = "${yandex_vpc_subnet.usergate-subnet.id}"
    nat                = true
    security_group_ids = <идентификатор_группы_безопасности_usergate-sg>
  }
}

    Подробнее см. в описании ресурса yandex_compute_instance в документации провайдера Terraform.

  3. Проверьте корректность конфигурационных файлов.

    1. В командной строке перейдите в папку, где вы создали конфигурационный файл.

    2. Выполните проверку с помощью команды:

      terraform plan

    Если конфигурация описана верно, в терминале отобразится список создаваемых ресурсов и их параметров. Если в конфигурации есть ошибки, Terraform на них укажет.

  4. Разверните облачные ресурсы.

    1. Если в конфигурации нет ошибок, выполните команду:

      terraform apply

    2. Подтвердите создание ресурсов: введите в терминал слово yes и нажмите Enter.

Создайте ВМ usergate-proxy с помощью метода REST API create для ресурса Instance.

Настройте UserGate NGFW через веб-консоль администратора

Для настройки шлюза перейдите в веб-консоль администратора UserGate NGFW по адресу https://<публичный_IP-адрес_ВМ>:8001 и авторизуйтесь с данными по умолчанию: логин — Admin, пароль — utm.

После авторизации вам будет предложено изменить пароль по умолчанию и провести обновление ОС.

Настройте шлюз для работы в режиме прокси-сервера

Сконфигурируйте UserGate NGFW для работы в режиме прокси-сервера:

  1. В верхнем меню выберите Настройки.
  2. В меню слева перейдите в раздел СетьЗоны.
  3. Нажмите на имя зоны Trusted.
  4. Перейдите на вкладку Контроль доступа и включите опцию Консоль администрирования. Нажмите кнопку Сохранить.
  5. В меню слева перейдите в раздел СетьИнтерфейсы.
  6. Нажмите на имя сетевого интерфейса port0.
  7. На вкладке Общие в поле Зона выберите из списка зону Trusted. Нажмите кнопку Сохранить.
  8. В меню слева перейдите в раздел Политики сетиМежсетевой экран.
  9. Нажмите на имя предустановленного правила Allow trusted to untrusted.
  10. Перейдите на вкладку Назначение и отключите зону Untrusted. Нажмите кнопку Сохранить.
  11. Включите правило Allow trusted to untrusted. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.
  12. В меню слева перейдите в раздел Политики сетиNAT и маршрутизация.
  13. Нажмите на имя предустановленного правила NAT from Trusted to Untrusted.
  14. Перейдите на вкладку Назначение и измените зону назначения с Untrusted на Trusted. Нажмите кнопку Сохранить.
  15. Включите правило NAT from Trusted to Untrusted. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.

На этом первоначальная настройка шлюза закончена. Теперь можно использовать UserGate в качестве прокси-сервера, указав в настройках браузера публичный IP-адрес и порт 8090.

Настройте правила фильтрации трафика

Из политик, предустановленных по умолчанию, рекомендуется использовать Block to botnets, Block from botnets и Example block RU RKN by IP list. Предварительно измените в них значения нескольких параметров:

  1. Перейдите в раздел Политики сетиМежсетевой экран.
  2. Нажмите на имя предустановленного правила.
  3. Перейдите на вкладку Источник и измените исходную зону с Untrusted на Trusted.
  4. Перейдите на вкладку Назначение и отключите зону Untrusted.
  5. Нажмите кнопку Сохранить.
  6. Включите выбранное правило. Для этого выделите строку с правилом и в верхней части экрана нажмите кнопку Включить.

Для обеспечения большей безопасности настройте дополнительные правила для фильтрации трафика:

  1. Перейдите в раздел Политики сетиМежсетевой экран.

  2. Добавьте первое правило для блокировки:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • НазваниеБлокировка протокола QUIC.
      • Действие — Запретить.

    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Сервис.

    5. Нажмите кнопку Добавить.

    6. Выберите сервис Quick UDP Internet Connections и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    7. Нажмите кнопку Сохранить.

  3. Добавьте второе правило для блокировки:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • НазваниеБлокировка обновлений Windows.
      • Действие — Запретить.

    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Приложения.

    5. Нажмите ДобавитьДобавить приложения.

    6. Выберите приложение Microsoft Update и нажмите кнопку Добавить.

    7. Выберите приложение WinUpdate и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    8. Нажмите кнопку Сохранить.

Вы можете добавить и другие правила для фильтрации трафика. Не рекомендуется совмещать сервисы и приложения в одном правиле. В этом случае правило может не сработать.

Настройте правила фильтрации контента

Из политик, предустановленных по умолчанию, рекомендуется включить Example black list, Example threats sites и Example AV check:

  1. Перейдите в раздел Политики безопасностиФильтрация контента.
  2. Выделите строку с выбранным правилом и в верхней части экрана нажмите кнопку Включить.

Для обеспечения большей безопасности настройте дополнительные правила для фильтрации контента:

  1. Перейдите в раздел Политики безопасностиФильтрация контента.

  2. Добавьте правило для фильтрации:

    1. В верхней части экрана нажмите кнопку Добавить.

    2. Укажите параметры правила:

      • НазваниеБлокировка социальных сетей.
      • Действия — Запретить.

    3. Перейдите на вкладку Источник и выберите Trusted.

    4. Перейдите на вкладку Категории.

    5. Нажмите кнопку Добавить.

    6. В поисковой строке найдите категорию Социальные сети и нажмите кнопку Добавить. Затем нажмите кнопку Закрыть.

    7. Нажмите кнопку Сохранить.

Вы можете добавить и другие правила для фильтрации контента. Не рекомендуется совмещать несколько параметров в одном правиле. В этом случае правило может не сработать.

Настройте SSL-инспектирование

По умолчанию UserGate использует для расшифровки трафика свой сертификат CA (Default). Но вы также можете добавить свой собственный сертификат.

Чтобы добавить сертификат:

  1. Перейдите в раздел UserGateСертификаты.

  2. В верхней части экрана нажмите кнопку Импорт.

  3. Заполните параметры сертификата:

    • Название — введите произвольное название.
    • Файл сертификата — выберите файл сертификата в форматах DER, PEM или PKCS12.
    • (Опционально) Приватный ключ — выберите приватный ключ сертификата.
    • (Опционально) Пароль — пароль для приватного ключа или контейнера PKCS12.
    • (Опционально) Цепочка сертификатов — выберите файл, если необходимо возвращать клиентам полную цепочку сертификатов.

  4. Нажмите кнопку Сохранить.

  5. Нажмите на имя добавленного сертификата.

  6. В поле Используется выберите SSL инспектирование.

  7. Нажмите кнопку Сохранить.

  8. Добавьте правило для SSL-инспектирования:

    1. Перейдите в раздел Политики безопасностиИнспектирование SSL.

    2. В верхней части экрана нажмите кнопку Добавить.

    3. Заполните параметры правила и нажмите кнопку Сохранить.

      Для реализации SSL-инспектирования вы также можете использовать правило по умолчанию Decrypt all for unknown users.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите ВМ usergate-proxy.
  2. Удалите статический публичный IP-адрес.
Предыдущая
Защищенный доступ пользователей к облачным ресурсам на основе WireGuard VPN
Следующая
Создание и настройка шлюза UserGate в режиме межсетевого экрана