Задача
Необходимо организовать защищённый доступ для небольшой организации (~50 ПК) к сети Интернет с возможностью ограничения доступа пользователей к сайтам по URL категориям. Правила ограничения доступа будут привязаны к информации, полученной из Microsoft AD. В дополнение обеспечим проверку трафика на вирусы.
Решаем с помощью
Для решения данной задачи мы взяли межсетевой экран Secospace USG 6320. Устройство настольного (desktop) исполнения и оснащено 8-ю фиксированными гигабитными интерфейсами с типом разъёма RJ45.
![usg6320 usg6320](/upload/medialibrary/23b/23b6db5ebf4c7582fe0bd523ac17beda.jpg)
Устройство в максимальной лицензионной комплектации позволяет использовать как основной функционал базового межсетевого экрана:
- Фильтрацию пакетов на сетевом и транспортном уровнях;
- Различные виды трансляции сетевых адресов (NAT);
- Все виды VPN подключений как между площадками там и удалённого доступа.
- Фильтрацию URL;
- Систему обнаружения/предотвращения вторжений (IPS);
- Проверку трафика на вирусы;
- Различные виды контентной фильтрации (Антиспам, контроль приложений, контроль передачи файлов и т.д.)
Используем устройство USG6320 с подписками на динамическое обновление URL категорий и антивирусных баз.
Процесс настройки
Для наглядности процесса будем настраивать с использованием WEB интерфейса. Имеем ввиду, что все действия по настройке так же возможны через Cli (протоколы SSH, Telnet или через консольный порт).
На новое устройство попадаем через браузер по адресу по умолчанию 192.168.0.1 и порту 8443
При первом успешном логине запускается Startup Wizard
Быстро пробежимся по нему:
- Зададим IP адресацию внутреннего и внешнего интерфейсов;
- Изменим именование устройства (Sysname);
- Зададим пароль администратора;
- Настроим время, дату и часовой пояс;
- Скорректируем параметры DHCP для локальной сети.
![1.png 1.png](/upload/medialibrary/415/4157db961b9df97089528c5cfe137638.png)
Рис. Startup Wizard
![2.png 2.png](/upload/medialibrary/71e/71eb336a00184e9558dfe8cb9051a12f.png)
Рис. Startup Wizard
![3.png 3.png](/upload/medialibrary/f0d/f0d9fd473f0dc1ae8a67e380a141d7df.png)
Рис. Startup Wizard
![4.png 4.png](/upload/medialibrary/300/300d741b543c502f716be4365849119e.png)
Рис. Startup Wizard
![5.png 5.png](/upload/medialibrary/c0e/c0e07125a499cfa9131d039c5281a720.png)
Рис. Startup Wizard
![6.png 6.png](/upload/medialibrary/8d1/8d1ccfd6daa8cab7450f779a8e2ed030.png)
Рис. Startup Wizard
![7.png 7.png](/upload/medialibrary/ed3/ed3b3f9072d8c9fdecad6b1d1ed07da1.png)
Рис. Startup Wizard
![8.png 8.png](/upload/medialibrary/600/600ca2d18d1122ccb9b6d0ba8180f3f0.png)
Рис. Startup Wizard
Сразу после завершения работы мастера Startup Wizard и перезагрузки, устройства нужно активировать лицензионный функционал. В консоли управления лицензии отображаются в System -> License
![9.png 9.png](/upload/medialibrary/925/9255d1ac8ce2c833483fad36df0d4392.png)
Рис. License Management
Вместе с устройством вам поставляются коды активации, которые на портале самообслуживания http://app.huawei.com/isdp/ преобразуются в файлы .lic, которые загружаются через WEB интерфейс или автоматически с сайта производителя в случае выбора соответствующего пункта при настройке.
Для любого функционала в любой момент можно активировать Trial лицензию.
![10.png 10.png](/upload/medialibrary/657/657a2af8bd92c11abd61ffa601b2385f.png)
Рис. WEB Портал регистрации лицензий
Перед дальнейшей настройкой кратко посмотрим на способы просмотра состояния устройства и быстрой диагностики.
Dashboard
Здесь отображается текущее состояние аппаратной платформы, лицензии, версия работающего ПО, загрузка CPU и т.д.
![11.png 11.png](/upload/medialibrary/323/3239a9d413120e8ecd582277b3fcbe8b.png)
Рис. Dashboard
Monitor
Здесь в реальном времени отображается информация о таблице активных сессий, общему количеству сессий по протоколам. Также есть полезные утилиты проверки работоспособности сети через WEB-интерфейс устройства.
В отдельной вкладке есть механизм захвата пакетов (packet capture) с возможностью экспорта в формате .csv для последующего анализа.
![12.png 12.png](/upload/medialibrary/560/5601c5dd74595b2baeb1314005aa18df.png)
Рис. Monitor
![13.png 13.png](/upload/medialibrary/714/714c3d089336c10537c0681fa711321c.png)
Рис. Monitor
![14.png 14.png](/upload/medialibrary/470/4703b11777c2a9f9c80c37a747258377.png)
Рис. Monitor
Процесс настройки
В Network-Interface проверяем настройки интерфейсов. Убеждаемся, что внешний, подключенный к сети Интернет (outside) интерфейс принадлежит зоне “untrust”, а внутренний интерфейс локальной сети (inside) зоне “trust”.
Зоны позволяют гибко настраивать правила разграничения доступа и имеют различные весовые коэффициенты.
![15.png 15.png](/upload/medialibrary/5ca/5ca6e2faccb6c08d4f13ec01e489d54e.png)
![16.png 16.png](/upload/medialibrary/b46/b4684feb25a8cc74cc154ff798f28abc.png)
Рис. Настройки интерфейсов и зон
В настройках маршрутизации Network-Router-Static Route убеждаемся в наличии как минимум маршрута по умолчанию. В случае отсутствия добавляем. Так же добавляем все необходимые статические маршруты
![17.png 17.png](/upload/medialibrary/a3e/a3ebe4ac0ecb1e9c822d48132cd50f7d.png)
Рис. Настройки маршрутизации
В Network-DNS-DNS задаём параметры DNS для устройства. Может быть активирован функционал DNS прокси.
![18.png 18.png](/upload/medialibrary/695/695ee206106cd6b981da196daece7c30.png)
Рис. Настройки DNS
В Object-Adress-Adress для удобства написания правил создаём объект сеть с IP адресом нашей локальной сети.
![19.png 19.png](/upload/medialibrary/821/8215e8f7dddbd26696073b0d5242e6ce.png)
Рис. Настройки объектов
До настройки правил доступа на основе аутентификационных данных из Microsoft AD, нужно в Policy-Security Policy создать правило разрешающее прохождение пакетов для IP адресов локальной сети из зоны trust в зону untrust. Задаём в качестве источника объект нашей локальной сети.
![20.png 20.png](/upload/medialibrary/72a/72a89f5a0174d0020496e8d71b9e3970.png)
Рис. Настройки Security Policy
В Policy-NAT Policy-Source NAT создаём правило динамической трансляции пакетов в сеть Интернет с адресов локальной сети в сеть интернет в адрес интерфейса
![21.png 21.png](/upload/medialibrary/c8c/c8c3701014f7a30dde55475d999b1fdc.png)
Рис. Настройки NAT
После применения выше описанных настроек, получаем базовую маршрутизацию и доступ в сеть Интернет с использованием трансляции сетевых адресов (NAT) для локальной сети.
Интеграция с Microsoft AD
Для возможности создания правил на основе данных полученных из базы данных службы каталогов нужно выполнить следующие действия:
- Создать в конфигурации необходимые объекты и получить список учётных данных (пользователей и групп) из базы Microsoft AD;
- Настроить получение данных по соответствию IP адреса и учётной записи в домене;
- Создать политику аутентификации;
- Создать правила контроля на основе данных из AD.
Создаём объект AD Server. Указываем IP адрес сервера контроллера домена и аутентификационные данные администратора домена.
![22.png 22.png](/upload/medialibrary/7cb/7cb00a294f90a5710f8f5f35cc31cada.png)
Рис. Настройки сервера AD
В Object – User-Authentication domain создаём объект для своего домена
![23.png 23.png](/upload/medialibrary/139/139f3061152b3629c5e5d78ec7d4f1d7.png)
Рис. Настройки Authentication domain
В Object-User-User Import создаём правила импорта учётных данных (пользователей и групп) из базы AD в конфигурацию устройства
![24.png 24.png](/upload/medialibrary/31c/31c693cf62f4c938f3ece61742fbaf59.png)
Рис. Настройки импорта учётных записей
Возможен как полный импорт, так и получение изменений учётных данных по расписанию.
В результате успешного импорта в Object-User-User/Group будет список всех пользователей и групп домена.
![25.png 25.png](/upload/medialibrary/5cd/5cd4dc16d49070dcb6737f0494d07831.png)
Рис. Список пользователей домена
Далее создаём политику аутентификации в Policy-Authentication Policy . Указываем направление прохождения трафика.
![26.png 26.png](/upload/medialibrary/ed5/ed593aa625d05d100f460384ecebe8d6.png)
Рис. Настройки политики аутентификации
Данные по IP адресу и логину устройство получает от специализированного ПО (SSO Agent), установленного на любом ПК под управлением ОС Windows и имеющим связь на сетевом уровне с контроллером домена и ПК пользователей
Установочный файл ПО SSO Agent можно скачать с устройства из Object-Users-Authentication Item-SSO Configuration
![27.png 27.png](/upload/medialibrary/74d/74d8471e51149501554470e0c957a5df.png)
Рис. Настройки SSO агента
При установке агента указываем IP адрес сервера контроллера домена и учётные данные администратора домена
![28.png 28.png](/upload/medialibrary/7f0/7f004d19130acfb8440c9e224f4024e4.png)
Рис. Настройки SSO агента
Далее указываем IP адрес межсетевого экрана и параметры подключений и завершаем установку.
![29.png 29.png](/upload/medialibrary/2e1/2e1f99b13606406f6a151dd274a2f837.png)
Рис. Настройки SSO агента
Принцип получения данных по IP адресам пользователей следующий:
На рабочих станциях пользователей при входе в систему отрабатывает login скрипт который настраивается через Group policy.
Скрипт выгружает по сети на ПК с установленным SSO агентом IP адрес пользователя и логин.
Исполняемый файл для написания скрипта можно взять с ПК с установленным агентом в директории:
![30.png 30.png](/upload/medialibrary/22d/22de9d4aaaff9db8982a65709a987b89.png)
Рис. Исполняемый файл для login скрипта
В настройках групповой политики в качестве параметров для исполняемого файла указываем IP адрес агента и данные аутентификации, введённые при установке агента.
![31.png 31.png](/upload/medialibrary/10f/10f681737e8ba16b7bde84c6b6de74e2.png)
Рис. Настройки login скрипта
После получения агентом информации о соответствии IP адресов и логинов пользователей в Object-User-Online Users появится информация о текущих пользователях и их IP адресов в базе устройства.
![32.png 32.png](/upload/medialibrary/1b1/1b1fbc6045c163305c39076f5bade2cf.png)
Рис. Пользователи и их IP адреса
Теперь в правилах Policy-Security Policy можно помимо IP адресов локальной сети указывать имена пользователей и групп.
![33.png 33.png](/upload/medialibrary/f8c/f8c26790cd1573cde86c1d5fc96def68.png)
Рис. Правила доступа с привязкой к логину
Расширенный контроль доступа пользователей к ресурсам сети Интернет
URL фильтрация
Можно настроить как на основе динамически обновляемых списков категорий, так и на основе регулярных выражений, созданных вручную.
![34.png 34.png](/upload/medialibrary/9fa/9fa711d0859e566c890a0f2f7831b6ce.png)
Рис. URL категории
Для каждого правила доступа можно создать профиль URL Filtering, в котором можно создать чёрные, белые списки URL и задать действия.
![35.png 35.png](/upload/medialibrary/116/116f5af40b6cd2cbedecb5871a0fd986.png)
Рис. Настройки URL Filtering profile на основе динамически обновляемых категорий
![36.png 36.png](/upload/medialibrary/cab/cab7d85845d2e67dd945fb45386af906.png)
Рис. Настройки URL Filtering profile. Пользовательские правила
Далее, для того чтобы применить правила фильтрации по URL, их нужно активировать для правил в Security Policy.
![37.png 37.png](/upload/medialibrary/c6c/c6ce17be6bfb5c5f19a773cbf5a72dd7.png)
Рис. Настройки Secutity policy + URL Filtering profile
Настройка проверки на вирусы
Создаем Профиль AV Object-Secutity Profiles-Antivirus
![38.png 38.png](/upload/medialibrary/0b3/0b3dc84aa6af6b13b2bacbdec802231f.png)
Рис. Настройки Antivirus profile
Профиль Antivirus так же применяется в настройках правил Security Policy по аналогии с URL Filtering
После всех проделанных настроек получаем:
1. Доступ для ресурсов локальной сети к сети интернет с использованием межсетевого экрана с контролем состояний (Statefull firewall);
2. Возможность контроля доступа пользователей на основе данных полученных из Microsoft AD;
3. Возможность блокирования определённых URL категорий и сайтов;
4. Проверку трафика на вирусы.
За рамками данного обзора остались:
- Расширенный функционал маршрутизации (OSPF, BGP, DSVPN и т.д.);
- VPN sight-to-sight а также VPN удалённого доступа;
- Система расширенной отчётности;
- Обнаружение и предотвращение вторжений (IDS/IPS);
- Content фильтрация (Контроль приложение, контроль файлов и т.д.);
- Отказоустойчивость межсетевых экранов (High Availability);
- SSL инспекция;
- И многое другое