Instalační příručka Instalace a základní konfigurace Next Generation UTM a Firewallu gateprotect
1 Firewally gateprotect Firewally firmy gateprotect představují nejmodernější způsob zabezpečení počítačových sítí. Umožňují filtrování datového provozu, vytváření VLAN, Single sign-on autentizaci, řízení provozu neboli traffic shaping, QoS, IPSec/SSL (X.509), IDS/IPS, filtrování webového obsahu a aplikací, antivirovou ochranu, spamovou ochranu, HTTPs proxy. Vše v jediném zařízení. Všechny firewally firmy gateprotect jsou navrženy tak, aby poskytovaly nejvyšší stupeň zabezpečení a výkonu. Díky patentované technologii egui je výrazně zjednodušena konfigurace firewallu pro koncového uživatele. Tato instalační příručka provede uživatele od prvotní instalace zařízení k základní konfiguraci. Instalace firmwaru Instalace administračního klienta Úvodní konfigurace Zabezpečená síť 2 Instalace nejnovějšího firmwaru Příprava instalace Stažení firmwaru Spuštění instalace Import zálohy Formát USB disku Připojení k firewallu Dokončení instalace Dokončení bezobslužné instalace Firewally jsou dodávány s předinstalovaným firmwarem. K zajištění nejvyššího stupně zabezpečení je doporučeno před další konfigurací firewallu provést aktualizaci firmwaru. Nejnovější firmware lze stáhnout na http://start.gateprotect.com. 2.1 Příprava před instalací Pro aktualizaci firmwaru je potřeba: USB disk, sériový kabel, PC s nainstalovaným terminálovým klientem (PuTTY, Hyperterm). V případě pokud je prováděna bezobslužná instalace, tak není potřeba sériový kabel a PC.
2.2 Stažení firmwaru Instalační soubor s nejnovějším firmwarem je k dispozici ke stažení na stránce http://start.gateprotect.com. 2.3 Instalace firmwaru Po spuštění instalačního souboru se objeví průvodce, pomocí kterého je vytvořen spustitelný USB disk. V průběhu instalace je USB disk naformátován, proto je před instalací nutné se ujistit, že na disku nejsou žádná důležitá data. Připojte USB disk k počítači a spusťte instalační soubor. Zvolte jazyk instalace. Potvrďte licenční smlouvu.
Zvolte připojený USB disk, na který chcete provést instalaci. Potvrďte varování o smazání všech dat na USB disku. Nejprve se přesvědčte, že jste vybrali správný USB disk. Pokud vytváříte bezobslužnou instalaci, máte v tomto kroku možnost přidat soubor se záložní konfigurací. Přidáním tohoto souboru vytvoříte bezobslužnou instalaci, která nevyžaduje další interakci v průběhu samotné instalace. Pokud chcete nahrát zálohu později, zvolte volbu Do not add a backup. V dalším kroku je nutné naformátovat USB disk. Zvolte volbu Format as USB hard drive. Instalátor naformátuje USB disk a poté začne vytvářet spustitelnou instalaci.
Po vytvoření spustitelné instalace připojte k firewallu počítač pomocí sériového kabelu. Sériový port na firewallu je označen nápisem CONSOLE. Spusťte program PuTTY nebo Hyperterm s následujícími parametry: Speed: 9600 Data bits: 8 Parity: none Stop bits: 1 Flow Control: none Zvolte typ připojení Serial a číslo COM portu, ke kterému je připojen sériový kabel. Připojte nově vytvořený instalační USB disk do firewallu a proveďte restart (zapnutí) zařízení. Během několika sekund se v terminálovém okně objeví instalační dialog. Veškerá nastavení se provádí pomocí klávesových šipek a tabulátoru. Vybraná nebo aktivní nastavení jsou zvýrazněna červeně. Potvrďte licenční smlouvu. Pokud jste nevybrali bezobslužnou instalaci při vytváření instalačního USB disku, můžete obnovit záložní konfiguraci nyní. Umístěte soubor se záložní konfigurací na další USB disk, připojte jej k firewallu a zvolte Backup installation. Obnovení záložní konfigurace můžete provést také po instalaci prostřednictvím administračního klienta. V opačném případě zvolte novou instalaci New installation.
Nyní můžete přidělit jednotlivým rozhraním firewallu IP adresy. Stisknutím klávesy F12 přidělíte výchozí IP adresy. Rozhraní bez přidělené IP adresy jsou deaktivována. Pokud plánujete využívat autentizaci Single sign-on, můžete v tomto kroku zadat hostitelské a doménové jméno. Tyto údaje lze změnit později prostřednictvím administračního klienta. Dále je nutné zadat heslo pro uživatele root, které slouží pro přihlášení do konzolového rozhraní firewallu. Toto heslo bude změněno! Po potvrzení instalace se objeví hlášení upozorňující uživatele, že dojde k naformátování pevného disku. Po potvrzení bude spuštěna instalace firmwaru. Po skončení instalace (u všech položek zobrazeno OK) stiskněte tlačítko Next.
Odpojte všechny USB disky a restartujte firewall. 2.4 Bezobslužná instalace firmwaru Bezobslužná instalace probíhá bez interakce s uživatelem. Instalační USB disk s nahranou záložní konfigurací připojte k firewallu a proveďte restart. Po určitém čase se ozve dlouhé pípnutí udávající konec instalace. Odpojte USB disk a restartujte firewall. Po restartu bude obnovena záložní konfigurace. 3 Instalace administračního klienta Instalační soubor s administračním klientem je možné nalézt na USB disku nebo na stránce http://start.gateprotect.com. Verze administračního klienta musí odpovídat verzi firmwaru.
4 Základní konfigurace Po instalaci firmwaru a administračního klienta je možné provést základní konfiguraci firewallu. Spuštění administračního klienta Vyhledání firewallu Specifikace IP adresy firewallu Konfigurace v režimu Quick mode Připojení k internetu Změna administrátorského hesla Připojení k ISP DMZ a Port forwarding 4.1 Spuštění administračního klienta Administračního klienta lze spustit dvojklikem na ikonu umístěnou na pracovní ploše nebo přes nabídku Start. Verze administračního klienta musí odpovídat verzi firmwaru. To znamená, že ke správě firewallu s nainstalovaným firmwarem 9.2 je zapotřebí klient odpovídající verze. Na jednom počítači mohou být nainstalovány různé verze klienta. Při přihlašování k firewallu s jinou verzí klienta je zobrazeno upozornění a uživatel je vyzván k použití správné verze. 4.2 Vyhledání firewallu Po spuštění klienta je zobrazen konfigurační průvodce. Zaškrtnutím volby Search for a firewall se průvodce pokusí nalézt firewall v rámci lokální sítě, ve které se nachází počítač s nainstalovaným klientem. Pokud se firewall nenachází na IP adrese xxx.xxx.xxx.1 nebo xxx.xxx.xxx.254, tedy první a poslední IP adrese daného rozsahu, je potřeba zadat IP adresu firewallu ručně. 4.3 Specifikace IP adresy firewallu Jestliže se konfiguračnímu průvodci nepodařilo nalézt firewall, uživatel je vyzván k zadání IP adresy firewallu manuálně. Je nutné zadat: jméno a IP adresu firewallu. Port ponechat na výchozí hodnotě 3436. Potvrzením tlačítkem Apply je uživatel vyzván k zadání uživatelského jména a hesla (ve výchozím stavu admin / admin). Po stisknutí tlačítka Login je navázáno spojení na firewall.
4.4 Konfigurace v režimu Quick mode Konfigurace v režimu Quick mode umožňuje provést základní konfiguraci firewallu, kterou by bylo nutné provést později. V režimu Quick mode je nastaveno připojení do internetu a definována základní pravidla umožňující přístup k internetu. Po zvolení požadovaných funkcí jsou vytvořena základní pravidla pro všechny lokální sítě, které jsou připojené k firewallu. V tomto případě budou vytvořena pravidla povolující HTTP, HTTPs a DNS provoz do sítě internet. 4.5 Připojení k internetu Firewall gateprotect podporuje tato připojení k internetu: PPPoE / PPTPoE, připojení přes směrovač. Následující část popisuje nastavení připojení k internetu přes směrovač. Před další konfigurací je potřeba znát adresu lokální sítě mezi firewallem a směrovačem. Pokud vám poskytovatel internetového připojení ISP poskytl rozsah veřejných IP adres, můžete přeskočit na kapitolu 0. Z nabídky vyberte Router connection. Poté vyberte síťové rozhraní, které je připojené ke směrovači a zadejte IP adresu směrovače. Síťové rozhraní firewallu musí být ve stejné podsíti jako směrovač. Jestliže je směrovač nakonfigurován k automatickému přidělování IP adres přes DHCP, můžete vybrat volbu Assign the router address over DHCP
Při nastavování DNS serverů lze volit mezi dvěma možnostmi. Automatickým přidělením DNS serverů Obtain the DNS server from provider od poskytovatele nebo manuální konfigurací dvou DNS serverů. Externí servery External Servers jsou používány pro monitorování stavu internetového připojení. Měly by být používány pouze v případě, pokud máte záložní připojení do internetu. Firewall testuje dostupnost serverů pravidelným zasíláním pingů. Pokud pingy na oba servery selžou, dojde k přepnutí na záložní internetové připojení. 4.6 Změna administrátorského hesla Po vytvoření internetového připojení v režimu Quick mode je zobrazeno varování, které je nutné potvrdit. Poté budete vyzváni ke změně hesla administračního klienta, které musí být dlouhé minimálně 6 znaků. Může obsahovat písmena, číslice a speciální znaky. 4.7 Připojení k ISP V následující části je popisováno vytvoření internetového připojení s využitím veřejných IP adres přidělených od poskytovatele internetového připojení ISP. Od ISP vám byly přiděleny např. tyto údaje: IP prefix 216.239.37.96/29 (255.255.255.248) adresa sítě 216.239.37.96 adresa ISP směrovače 216.239.37.97 rozsah veřejných IP adres 216.239.37.98 216.239.37.102 všesměrová adresa 216.239.37.103 Přidělený adresní rozsah 216.239.37.96/29 obsahuje 8 IP adres. Z tohoto rozsahu lze použít 5 IP adres. Dvě IP adresy jsou použity pro adresu sítě a všesměrovou adresu. Jedna IP adresa je přiřazena ISP směrovači (obvykle první IP adresa za adresou sítě).
Pro vytvoření internetového připojení přes ISP směrovač musí být firewallu přiřazena jedna z pěti zbývajících IP adres. V nabídce Options administračního klienta klikněte na položku Interfaces. Vyberte rozhraní, které je připojeno k ISP směrovači (v našem případě eth3) a přidělte mu IP adresu 216.239.37.98 s maskou sítě 255.255.255.248. Stiskněte tlačítko OK. V případě, pokud plánujete další dostupné IP adresy využít pro konfiguraci DMZ, musí být tyto IP adresy přiřazeny jako virtuální na stejném rozhraní. Z panelu nástrojů klikněte na symbol internetového připojení a přetáhněte jej na pracovní plochu administračního klienta. Po stisknutí tlačítka Add se zobrazí průvodce připojením k internetu. Z nabídky vyberte rozhraní, které je připojeno k ISP směrovači. Do pole Enter router address manually zadejte IP adresu ISP směrovače. V našem případě 216.239.37.97. Pokud neznáte IP adresy DNS serverů vašeho poskytovatele, můžete využít veřejné DNS servery společnosti Google s IP adresy 8.8.8.8 a 8.8.4.4. Externí servery External Servers jsou používány pro monitorování stavu internetového připojení. Měly by být používány pouze v případě, pokud máte záložní připojení do internetu. Firewall testuje dostupnost serverů pravidelným zasíláním pingů. Pokud pingy na oba servery selžou, dojde k přepnutí na záložní internetové připojení.
Po zadání názvu internetového připojení stiskněte tlačítko Done. Ujistěte se, že nově vytvořené internetové připojení bylo správně přiřazeno (viz. obrázek vpravo) a stiskněte OK pro uložení a aktivování internetového připojení. 4.8 DMZ a Port forwarding Ve většině případů, směrování jednoho nebo více portů je nutné k vytvoření přístupu k webovému servery z internetu, který je umístěn v lokální síti. Z panelu nástrojů přetáhněte na pracovní plochu symbol serveru. V zobrazeném okně zadejte jméno objektu, rozhraní, ke kterému je server připojen a IP adresu serveru. Stiskněte OK. Z panelu nástrojů vyberte nástroj Connection Tool a propojte symbol serveru a internetu. Otevře se editor pravidel.
Stisknutím tlačítka Add se otevře nabídka služeb. V záložce Internet vyberte službu HTTP a stiskněte OK. Služba HTTP je přidána do editoru pravidel. Nyní je potřeba nově vytvořené pravidlo administračním klientem upravit. Symboly ve sloupci Action udávají, že nové pravidlo povoluje připojení do sítě internet zahájené z webového serveru. Nicméně, pravidlo je potřeba nastavit tak, aby povolovalo komunikaci přicházející z internetu. Kliknutím na šipku upravíte její směr. Dvojitým kliknutím vytvoříte obousměrnou šipku povolující komunikaci z webového serveru do internetu a z internetu na webový server. V našem případě povolíme obousměrnou komunikaci. Kliknutím na položku NAT ve sloupci Other Options otevřete nové okno. Zaškrtněte volbu DMZ / Port forwarding a v sekci NAT / Masquerading upravte šipku tak, aby ukazovala na symbol internetu. Ostatní ponechte ve výchozím stavu. Po stisknutí OK v editoru pravidel a poté klávesy F9 bude konfigurace uložena a aktivována. Všechna spojení přicházející z internetu na veřejnou IP adresu firewallu a port 80 budou směrována na webový server umístěný v lokální síti.
5 Další informace Více informací k zakoupenému produktu naleznete na oficiálních stránkách společnosti www.gateprotect.com. Informace k získání licence pro zakoupený produkt naleznete na www.mygateprotect.com.