Защитить сервер межсетевым экраном UserGate VE
- Свяжите сервер межсетевого экрана и защищаемый сервер.
- Проверьте интерфейсы.
- Настройте локальный интерфейс на межсетевом экране.
- Настройте правило NAT.
- Настройте правила фильтрации.
1. Связать сервер межсетевого экрана и защищаемый сервер
Организация связности с защищаемой инфраструктурой зависит от того, где развернут межсетевой экран — на облачном сервере или на виртуальной машине в публичном или частном облаке на базе VMware.
Облачный сервер
Облако на базе VMware
-
Если вам нужно защитить облачный сервер, кластер Managed Kubernetes, кластер облачных баз данных в одном проекте с межсетевым экраном, добавьте сервер межсетевого экрана в приватную сеть проекта. Для разных проектов одного пула настройте доступ к приватной сети в разных проектах.
-
Если вам нужно защитить облачный сервер, кластер Managed Kubernetes, кластер облачных баз данных, которые находятся в другом пуле, либо выделенный сервер, размещенный сервер, виртуальную машину в облаке на базе VMware — и спользуйте глобальный роутер Selectel (ранее — сети L3 VPN).
-
Опционально: если у вас нет приватной подсети в дата-центре, где развернут межсетевой экран, или вы хотите использовать новую, создайте новую приватную подсеть. При создании подсети:
- в качестве шлюза выберите первый адрес подсети. При вводе IP range исключите выбранный адрес шлюза;
- в качестве Secondary DNS укажите DNS-сервер Selectel
188.93.16.19
.
-
В панели управления в верхнем меню нажмите Продукты и выберите Облако на базе VMware.
-
Перейдите в раздел Cloud Director.
-
Откройте страницу виртуального дата-центра → раздел Virtual Machines.
-
Откройте страницу виртуальной машины.
-
Перейдите в раздел Hardware → NICs.
-
Нажмите Edit.
-
Нажмите ADD NETWORK TO VAPP.
-
В поле Type выберите — Routed.
-
В таблице выберите приватн ую подсеть. Если нужно защитить виртуальные машины в одном дата-центре с межсетевым экраном, вы можете объединить их одной приватной сетью. Для разных дата-центров одной организации можно использовать общую подсеть.
-
Введите имя сети.
-
В поле Gateway CIDR введите шлюз подсети из столбца Gateway CIDR выбранной подсети.
-
Нажмите Add.
-
В строке NIC 1 в столбце Network выберите подсеть.
-
В строке NIC 1 в столбце IP Mode выберите Static — Manual.
-
В строке NIC 1 в столбце IP введите IP-адрес из подсети, отличный от адреса шлюза.
-
Если вам нужно защитить виртуальную машину в другой организации, облачный сервер, облачную базу данных, выделенный сервер, размещенное оборудование, кластер Managed Kubernetes — объедините их с межсетевым экраном через глобальный роутер.
2. Проверить интерфейсы
Сетевые интерфейсы UserGate объединяются в зоны, для которых настраиваются политики безопасности. По умолчанию интернет-порт назначается в зону 1, через которую осуществляется доступ в интернет и подключение из внешних сетей.
После добавления интерфейса локальной сети проверьте, что интернет-порт находится в правильной зоне, и при необходимости переназначьте ее.
UGOS 6
UGOS 7
-
Откройте CLI.
-
Выполните программную перезагрузку сервера.
-
При загрузке системы выберите Support Menu.
-
Выберите Refresh NIC names и нажмите ОК.
-
Дождитесь окончания перезагрузки.
-
Авторизуйтесь с данными по умолчанию:
- логин — Admin;
- пароль — utm.
-
Выведите список интерфейсов:
iface list
-
Убедитесь, что для интернет-порта в строке
zone
указано значение__default__ (ID=1)
. -
Если значение не совпадает, измените зону для интернет-порта:
iface config -name <eth_name> -zone 1
Укажите
<eth_name>
— имя интернет-порта.
-
Откройте CLI.
-
Выберите режим UGOS NGFW (serial console).
-
Авторизуйтесь с данными по умолчанию:
- логин — Admin;
- пароль — оставьте поле пустым.
-
Перейдите в режим конфигурации:
configure
-
Обновите NIC:
clear network interface-mapping
-
Перезагрузите сервер:
reboot