Inštalačná príručka Inštalácia a základná konfigurácia Next Generation UTM a Firewallu gateprotect
1 Firewally gateprotect Firewally firmy gateprotect predstavujú najmodernejší spôsob zabezpečenia počítačových sietí. Umožňujú filtrovanie dátovej premávky, vytváranie VLAN, Single sign-on autentizáciu, riadenie premávky alebo traffic shaping, QoS, IPSec/SSL (X.509), IDS/IPS, filtrovanie webového obsahu a aplikácií, antivírovú ochranu, spamovú ochranu, HTTPs proxy. Všetko v jedinom zariadení. Všetky firewally firmy gateprotect sú navrhnuté tak, aby poskytovali najvyšší stupeň zabezpečenia a výkonu. Vďaka patentovanej technológii eGUI je výrazne zjednodušená konfigurácia firewallu pre koncového užívateľa. Táto inštalačná príručka prevedie užívateľa od prvotnej inštalácie zariadenia k základnej konfigurácii.
Inštalácia firmwaru
Inštalácia administračného klienta
Úvodná konfigurácia
Zabezpečená sieť
2 Inštalácia najnovšieho firmwaru Príprava inštalácie
Stiahnutie firmwaru
Pripojenie k firewallu
Spustenie inštalácie
Dokončenie inštalácie
Import zálohy
Formátovanie USB disku
Dokončenie bezobslužnej inštalácie
Firewally sú dodávané s predinštalovaným firmwarom. K dosiahnutiu najvyššieho stupňa zabezpečenia je doporučené pred ďalšiou konfiguráciou firewallu vykonať aktualizáciu firmwaru. Najnovší firmware je možné stiahnuť na http://start.gateprotect.com.
2.1 Príprava pred inštaláciou Na aktualizáciu firmwaru je potrebný: • • •
USB disk, sériový kábel, PC s nainštalovaným terminálovým klientom (PuTTY, Hyperterm).
V prípade, ak je vykonávaná bezobslužná inštalácia, nie je nutný sériový kábel a PC.
2.2 Stiahnutie firmwaru Inštalačný súbor s najnovším firmwarom je k dispozícii na stiahnutie na stránke http://start.gateprotect.com.
2.3 Inštalácia firmwaru Po spustení inštalačného súboru sa objaví sprievodca, pomocou ktorého je vytvorený spustiteľný USB disk. V priebehu inštalácie je USB disk naformátovaný, preto je pred inštaláciou nutné sa uistiť, že na disku nie sú žiadne dôležité dáta. • •
Pripojte USB disk k počítaču a spusťte inštalační súbor. Zvoľte jazyk inštalácie.
•
Potvrďte licenčnú zmluvu.
•
Zvoľte pripojený USB disk, na ktorý chcete vykonať inštaláciu.
•
Potvrďte varovanie o zmazaní všetkých dát na USB disku. Najskôr sa presvedčte, že ste vybrali správny USB disk.
•
Ak vytvárate bezobslužnú inštaláciu, máte v tomto kroku možnosť pridať súbor so záložnou konfiguráciou. Pridaním tohto súboru vytvoríte bezobslužnú inštaláciu, ktorá nevyžaduje ďalšiu interakciu v priebehu samotnej inštalácie. Ak chcete nahrať zálohu neskôr, zvoľte voľbu „Do not add a backup“.
•
V ďalšiom kroku je nutné naformátovať USB disk. Zvoľte voľbu „Format as USB hard drive“. Inštalátor naformátuje USB disk a potom začne vytvárať spustiteľnú
inštaláciu. •
Po vytvorení spustiteľnej inštalácie pripojte k firewallu počítač pomocou sériového kábla. Sériový port na firewally je označený nápisom „CONSOLE“. Spusťte program PuTTY alebo Hyperterm s nasledujúcimi parametrami: Speed: 9600 Data bits: 8 Parity: none Stop bits: 1 Flow Control: none Zvoľte typ pripojenia Serial a číslo COM portu, ku ktorému je pripojený sériový kábel.
•
•
•
Pripojte novo vytvorený inštalačný USB disk do firewallu a vykonajte reštart (zapnutie) zariadenia. Behom niekoľkých sekúnd sa v terminálovom okne objaví inštalačný dialóg. Všetky nastavenia sa vykonávajú pomocou klávesových šípok a tabulátoru. Vybrané alebo aktívne nastavenia sú zvýraznené červeno. Potvrďte licenčnú zmluvu.
Ak ste nevybrali bezobslužnú inštaláciu pri vytváraní inštalačného USB disku, môžete obnoviť záložnú konfiguráciu teraz. Umiestnite súbor so záložnou konfiguráciou na ďalší USB disk, pripojte ho k firewallu a zvoľte „Backup installation“. Obnovenie záložnej konfigurácie môžete vykonať aj po inštalácii prostredníctvom administračného klienta. V opačnom prípade zvoľte novú inštaláciu „New installation“.
•
Teraz môžete prideliť jednotlivým rozhraniam firewallu IP adresy. Stlačením klávesy F12 pridelíte východzie IP adresy. Rozhrania bez pridelenej IP adresy sú deaktivované.
•
Ak plánujete využívať autentizáciu Single sign-on, môžete v tomto kroku zadať hostiteľské a doménové meno. Tieto údaje je možné zmeniť neskôr prostredníctvom administračného klienta. Ďalej je nutné zadať heslo pre užívateľa root, ktoré slúži na prihlásenie do konzolového rozhrania firewallu. Toto heslo bude zmenené! Po potvrdení inštalácie sa objaví hlásenie upozorňujúce užívateľa, že dôjde k naformátovaniu pevného disku. Po potvrdení bude spustená inštalácia firmwaru.
•
•
•
Po skončení inštalácie (pri všetkých položkách zobrazené OK) stlačte tlačidlo Next.
•
Odpojte všetky USB disky a reštartujte firewall.
2.4 Bezobslužná inštalácia firmwaru Bezobslužná inštalácia prebieha bez interakcie s užívateľom. Inštalačný USB disk s nahranou záložnou konfiguráciou pripojte k firewallu a vykonajte reštart. Po určitom čase sa ozve dlhé pípnutie udávajúce koniec inštalácie. Odpojte USB disk a reštartujte firewall. Po reštarte bude obnovená záložná konfigurácia.
3 Inštalácia administračného klienta Inštalačný súbor s administračným klientom je možné nájsť na USB disku alebo na stránke http://start.gateprotect.com. Verzia administračného klienta musí odpovedať verzii firmwaru.
4 Základná konfigurácia Po inštalácii firmwaru a administračného klienta je možné vykonať základnú konfiguráciu firewallu. Spustenie administračného klienta
Pripojenie k Internetu
Vyhľadanie firewallu
Špecifikácia IP adresy firewallu
Zmena administrátorského hesla
Pripojenie k ISP
Konfigurácia v režime „Quick mode“
DMZ a Port forwarding
4.1 Spustenie administračného klienta Administračného klienta je možné spustiť dvojklikom na ikonu umiestnenú na pracovnej ploche alebo cez ponuku Štart. Verzia administračného klienta musí zodpovedať verzii firmwaru. To znamená, že k správe firewallu s nainštalovaným firmwarom 9.2 je potrebný klient zodpovedajúcej verzie 9.2. Na jednom počítači môžu byť nainštalované rôzne verzie klienta. Pri prihlasovaní k firewallu s inou verziou klienta je zobrazené upozornenie a užívateľ je vyzvaný k použitiu správnej verzie.
4.2
Vyhľadanie firewallu
Po spustení klienta je zobrazený konfiguračný sprievodca. Zaškrtnutím voľby „Search for a firewall“ sprievodca skúsi nájsť firewall v rámci lokálnej siete, v ktorej sa nachádza počítač s nainštalovaným klientom. Ak sa firewall nenachádza na IP adrese xxx.xxx.xxx.1 alebo xxx.xxx.xxx.254, teda na prvej a poslednej IP adrese daného rozsahu, je potrebné zadať IP adresu firewallu ručne.
4.3 Špecifikácia IP adresy firewallu Ak sa konfiguračnému sprievodcovi nepodarilo nájsť firewall, užívateľ je vyzvaný k zadaniu IP adresy firewallu manuálne. Je nutné zadať: • •
meno a IP adresu firewallu. Port ponechať na východzej hodnote 3436. Potvrdením tlačidlom Apply je užívateľ
vyzvaný k zadaniu užívateľského mena a hesla (vo východziom stave admin / admin). Po stlačení tlačidla Login je nadviazané spojenie na firewall.
4.4 Konfigurácia v režime „Quick mode“ Konfigurácia v režime „Quick mode“ umožňuje vykonať základnú konfiguráciu firewallu, ktorú by bolo nutné vykonať neskôr. V režime „Quick mode“ je nastavené pripojenie do Internetu a definované základné pravidla umožňujúce prístup k Internetu.
Po zvolení požadovaných funkcií sú vytvorené základné pravidlá pre všetky lokálne siete, ktoré sú pripojené k firewallu. V tomto prípade budú vytvorené pravidla povoľujúce HTTP, HTTPs a DNS premávku do siete Internet.
4.5 Pripojenie k Internetu Firewall gateprotect podporuje tieto pripojenia k Internetu: • •
PPPoE / PPTPoE, pripojenie cez smerovač.
Nasledujúca časť popisuje nastavenie pripojenia k Internetu cez smerovač. Pred ďalšiou konfiguráciou je potrebné poznať adresu lokálnej siete medzi firewallom a smerovačom. Ak vám poskytovateľ internetového pripojenia ISP poskytol rozsah verejných IP adries, môžete preskočiť na kapitolu 4.7. Z ponuky vyberte „Router connection“. Potom vyberte sieťové rozhranie, ktoré je pripojené k smerovači a zadajte IP adresu smerovača. Sieťové rozhranie firewallu musí byť v rovnakej podsieti ako smerovač.
nakonfigurovaný Ak je smerovač na automatické prideľovanie IP adries cez
DHCP, môžete vybrať voľbu „Assign the router address over DHCP“. Pri nastavovaní DNS serverov je možné zvoliť medzi dvomi možnosťami. Automatickým pridelením DNS serverov „Obtain the DNS server from provider“ od poskytovateľa alebo manuálnou konfiguráciou dvoch DNS serverov. Externé servery „External Servers“ sú používané na monitorovanie stavu internetového pripojenia. Mali by byť používané iba v prípade, ak máte záložné pripojenie do Internetu. Firewall testuje dostupnosť serverov pravidelným zasielaním pingov. Ak pingy na obidva servery zlyhajú, dôjde k prepnutiu na záložné internetové pripojenie.
4.6 Zmena administrátorského hesla Po vytvorení internetového pripojenia v režime „Quick mode“ je zobrazené varovanie, ktoré je nutné potvrdiť. Potom budete vyzvaný k zmene hesla administračného klienta, ktoré musí byť dlhé minimálne 6 znakov. Môže obsahovať písmena, číslice a špeciálne znaky.
4.7 Pripojenie k ISP V nasledujúcej časti je popísané vytvorenie internetového pripojenia s využitím verejných IP adries pridelených od poskytovateľa internetového pripojenia ISP. Od ISP vám boli pridelené napr. tieto údaje: • • • • •
IP prefix adresa siete adresa ISP smerovača rozsah verejných IP adries všesmerová adresa
216.239.37.96/29 (255.255.255.248) 216.239.37.96 216.239.37.97 216.239.37.98 – 216.239.37.102 216.239.37.103
Pridelený adresný rozsah 216.239.37.96/29 obsahuje 8 IP adries. Z tohto rozsahu je možné použiť 5 IP adries. Dve IP adresy sú použité pre adresu siete a všesmerovú adresu. Jedna IP adresa je priradená ISP smerovači (obvykle prvá IP adresa za adresou siete). Pre vytvorenie internetového pripojenia cez ISP smerovač musí byť firewallu priradená jedna z piatich zostávajúcich IP adries. V ponuke Options administračného klienta kliknite na položku Interfaces. Vyberte rozhranie, ktoré je pripojené k ISP smerovači (v našom prípade eth3) a prideľte mu IP adresu 216.239.37.98 s maskou siete 255.255.255.248. Stlačte tlačidlo OK. V prípade, ak plánujete ďalšie dostupné IP adresy využiť na konfiguráciu DMZ, musia byť tieto IP adresy priradené ako virtuálne na rovnakom rozhraní.
Z panelu nástrojov kliknite na symbol internetového pripojenia a pretiahnite ho na pracovnú plochu administračného klienta.
Po stlačení tlačidla Add sa zobrazí sprievodca pripojením k Internetu. Z ponuky vyberte rozhranie, ktoré je pripojené k ISP smerovači. Do políčka „Enter router address manually“ zadajte IP adresu ISP smerovača. V našom prípade 216.239.37.97. Ak nepoznáte IP adresy DNS serverov vášho poskytovateľa, môžete využiť verejné DNS servery spoločnosti Google s IP adresami 8.8.8.8 a 8.8.4.4. Externé servery „External
Servers“ sú používané na monitorovanie stavu internetového pripojenia. Mali by byť používané iba v prípade, ak máte záložné pripojenie do Internetu. Firewall testuje dostupnosť serverov pravidelným zasielaním pingov. Ak pingy na obidva servery zlyhajú, dôjde k prepnutiu na záložné internetové pripojenie. Po zadaní názvu internetového pripojenia stlačte tlačidlo Done.
Ubezpečte sa, že novo vytvorené internetové pripojenie bolo správne priradené (viď. obrázok vpravo) a stlačte OK pre uloženie a aktivovanie internetového pripojenia.
4.8 DMZ a Port forwarding Vo väčšine prípadov je na vytvorenie prístupu z Internetu k webovému serveru na lokálnej sieti nutné smerovanie jedného alebo viacerých portov. Z panelu nástrojov pretiahnite na pracovnú plochu symbol serveru. V zobrazenom okne zadajte meno objektu, rozhranie, ku ktorému je server pripojený a IP adresu serveru. Stlačte OK.
Z panelu nástrojov vyberte nástroj Connection Tool a prepojte symbol serveru a Internetu. Otvorí sa editor pravidiel.
Stlačením tlačidla Add sa otvorí ponuka služieb. V záložke Internet vyberte službu HTTP a stlačte OK. Služba HTTP je pridaná do editoru pravidiel. Teraz je potrebné novo vytvorené pravidlo administračným klientom upraviť. Symboly v stĺpci Action udávajú, že nové pravidlo povoľuje pripojenie do siete Internet zahájené z webového serveru.
Pravidlo je potrebné nastaviť tak, aby povoľovalo komunikáciu prichádzajúcu z Internetu. Kliknutím na šípku upravíte jej smer. Dvojitým kliknutím vytvoríte obojsmernú šípku povoľujúcu komunikáciu z webového serveru do Internetu a z Internetu na webový server. V našom prípade povolíme obojsmernú komunikáciu.
Klikn utím na položku NAT v stĺpci Other Options otvoríte nové okno. Zaškrtnite voľbu DMZ / Port forwarding a v sekcii NAT / Masquerading upravte šípku tak, aby ukazovala na symbol Internetu. Ostatné ponechajte vo východziom stave. Po stlačení OK v editore pravidiel a potom klávesy F9 bude konfigurácia uložená a aktivovaná.
Všetky spojenia prichádzajúce z Internetu na verejnú IP adresu firewallu a port 80 budú smerované na webový server umiestnený v lokálnej sieti.
5 Ďalšie informácie Viac informácií k zakúpenému produktu nájdete na oficiálnych stránkach spoločnosti www.gateprotect.com. Informácie k získaniu licencie pre zakúpený produkt nájdete na www.mygateprotect.com.
