Руководство по администрированию NetPolice NGFW
Функции Netpolice NGFW
1.Межсетевой экран нового поколения Netpolice NGFW фильтрует трафик, проходящий через определенные протоколы (например, TCP, UDP, IP), тем самым обеспечивая защиту сети от хакерских атак и разнообразных типов вторжений, основанных на использовании данных протоколов.
2.Система IDS/IPS позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз в режиме реального времени, а также предоставление журналов активности. Администратор может создавать собственные сигнатуры для защиты
определенных сервисов и включать их в профили Netpolice NGFW, наряду c существующими.
Лицензирование
Для работы Netpolice NGFW требуется лицензионный ключ.
Если лицензионный ключ не установлен, система Netpolice NGFW работает 24 часа.
После этого, нормальное функционирование будет невозможно.
Требования к установке Netpolice NGFW
Установка Netpolice NGFW возможна на аппаратную или виртуальную платформу (например, Vmware Esxi).
Существуют следующие варианты установки Netpolice NGFW:
К системе управления возможно подключение нескольких Netpolice NGFW.
Для установки Netpolice NGFW требуется серверная Linux система, с возможностью установки Docker контейнеров.
Аппаратные требования к Netpolice NGFW
Для установки Netpolice NGFW без системы управления:
Система управления Netpolice NGFW:
Требования к совмещенной установке такие же, как и к системе управления,
плюс два дополнительных Ethernet интерфейса.
Установка Netpolice NGFW
Для самостоятельной установки NetPolice NGFW необходимо воспользоваться скриптомinstall.sh
Скрипт запускается из-под пользователя с правами администратора системы, root, либо от пользователя с правами sudo.
До запуска скрипта вы можете самостоятельно установить компоненты Docker и docker-compose. Если это не сделано, скрипт установки сделает это самостоятельно.
Необходимо, так же, проверить, что установлены компоненты openssl.
После запуска скрипта он предложит ввести FQDN доменное имя, необходимое для SSL сертификата сайта управления.
Далее, скрипт предложит выбрать вариант установки:
1) Install controller
2) Install service
3) Install controller+service
Вариант №1 устанавливает только интерфейс управления,
Вариант №2 устанавливает только сам Netpolice NGFW,
Вариант №3 совмещенный: интерфейс управления и Netpolice NGFW.
Далее, строка Enter ADMIN password for UI предлагает ввести пароль администратора для интерфейса управления, либо воспользоваться автоматически созданным паролем.
Пароль необходимо сохранить в защищенном месте.
Затем, происходит автоматическая установка всех сервисов Netpolice NGFW, в зависимости от заданной конфигурации.
При завершении установки, скрипт выдает учетные данные для входа в интерфейс управления.
Authorization https://»доменное имя»
admin@email.com/пароль администратора
user@email.com/user
operator@email.com/operator"
На этом, предварительная настройка сервисов Netpolice NGFW закончена.
Необходимо переходить к настройке через WEB интерфейс управления.
Настройка Netpolice NGFW через WEB интерфейс управления
Для входа в WEB интерфейс управления, вам необходимо зайти по ссылке https://доменное-имя.
Доменное имя должно иметь DNS A запись, доступную для администратора.
Если нет возможность установить корректный FQDN домен, можно зайти по IP адресу
Linux сервера.
При этом, согласится со всеми исключениями безопасности, которые от вас потребует браузер.
1.В интерфейсе управления выберете меню DEVICES.
1.Межсетевой экран нового поколения Netpolice NGFW фильтрует трафик, проходящий через определенные протоколы (например, TCP, UDP, IP), тем самым обеспечивая защиту сети от хакерских атак и разнообразных типов вторжений, основанных на использовании данных протоколов.
2.Система IDS/IPS позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз в режиме реального времени, а также предоставление журналов активности. Администратор может создавать собственные сигнатуры для защиты
определенных сервисов и включать их в профили Netpolice NGFW, наряду c существующими.
Лицензирование
Для работы Netpolice NGFW требуется лицензионный ключ.
Если лицензионный ключ не установлен, система Netpolice NGFW работает 24 часа.
После этого, нормальное функционирование будет невозможно.
Требования к установке Netpolice NGFW
Установка Netpolice NGFW возможна на аппаратную или виртуальную платформу (например, Vmware Esxi).
Существуют следующие варианты установки Netpolice NGFW:
- Netpolice NGFW c системой управления, WEB интерфейс + БД.
- Netpolice NGFW без системы управления
- Только система управления Netpolice NGFW, WEB интерфейс + БД.
К системе управления возможно подключение нескольких Netpolice NGFW.
Для установки Netpolice NGFW требуется серверная Linux система, с возможностью установки Docker контейнеров.
Аппаратные требования к Netpolice NGFW
Для установки Netpolice NGFW без системы управления:
- CPU не менее 2,5 ГГц, не менее 4 -х ядер
- ОЗУ не менее 8 Гб
- жесткий диск, не менее 128 Гб
- сетевые интерфейсы Ethernet 100/1000 Мбит/c, не менее трех
Система управления Netpolice NGFW:
- CPU не менее 3 ГГц, не менее 4-х ядер, с поддержкой SSE 4.2
- ОЗУ не менее 16 Гб
- жесткий диск не менее 512 Гб
- сетевой интерфейс Ethernet 100/1000 Мбит/c
Требования к совмещенной установке такие же, как и к системе управления,
плюс два дополнительных Ethernet интерфейса.
Установка Netpolice NGFW
Для самостоятельной установки NetPolice NGFW необходимо воспользоваться скриптомinstall.sh
Скрипт запускается из-под пользователя с правами администратора системы, root, либо от пользователя с правами sudo.
До запуска скрипта вы можете самостоятельно установить компоненты Docker и docker-compose. Если это не сделано, скрипт установки сделает это самостоятельно.
Необходимо, так же, проверить, что установлены компоненты openssl.
После запуска скрипта он предложит ввести FQDN доменное имя, необходимое для SSL сертификата сайта управления.
Далее, скрипт предложит выбрать вариант установки:
1) Install controller
2) Install service
3) Install controller+service
Вариант №1 устанавливает только интерфейс управления,
Вариант №2 устанавливает только сам Netpolice NGFW,
Вариант №3 совмещенный: интерфейс управления и Netpolice NGFW.
Далее, строка Enter ADMIN password for UI предлагает ввести пароль администратора для интерфейса управления, либо воспользоваться автоматически созданным паролем.
Пароль необходимо сохранить в защищенном месте.
Затем, происходит автоматическая установка всех сервисов Netpolice NGFW, в зависимости от заданной конфигурации.
При завершении установки, скрипт выдает учетные данные для входа в интерфейс управления.
Authorization https://»доменное имя»
admin@email.com/пароль администратора
user@email.com/user
operator@email.com/operator"
На этом, предварительная настройка сервисов Netpolice NGFW закончена.
Необходимо переходить к настройке через WEB интерфейс управления.
Настройка Netpolice NGFW через WEB интерфейс управления
Для входа в WEB интерфейс управления, вам необходимо зайти по ссылке https://доменное-имя.
Доменное имя должно иметь DNS A запись, доступную для администратора.
Если нет возможность установить корректный FQDN домен, можно зайти по IP адресу
Linux сервера.
При этом, согласится со всеми исключениями безопасности, которые от вас потребует браузер.
1.В интерфейсе управления выберете меню DEVICES.
2.Необходимо выбрать редактирование устройства NGFW, нажать на значок в виде «ручки».
Здесь же отображается состояние лицензии. Нормальное состояние - зеленый цвет иконки.
Редактируем параметры устройства NGFW:
1.Device name: задаём уникальное имя устройства NGFW
2.Description: описание, например место установки
3.Password: пароль, необходимый для подключения к устройству NGFW. Он задается при начальной установке.
4.Address: IP адрес устройства
5.Variable set: параметры конфигурации устройства
6.Assign policy: Название политики IPS/IDS
7.Assign Firewall: Название политики IP файрвола.
Возможно, так же выбрать режим работы NGFW L2 или L3.
В правом верхнем углу выбрать активным меню «L3 mode».
Появляется дополнительная вкладка «ROUTES (L3 MODE)», где можно настроить параметры статической маршрутизации.
После установки всех необходимых параметров, нажмите внизу «UPDATE», затем «CLOSE»
Здесь же отображается состояние лицензии. Нормальное состояние - зеленый цвет иконки.
Редактируем параметры устройства NGFW:
1.Device name: задаём уникальное имя устройства NGFW
2.Description: описание, например место установки
3.Password: пароль, необходимый для подключения к устройству NGFW. Он задается при начальной установке.
4.Address: IP адрес устройства
5.Variable set: параметры конфигурации устройства
6.Assign policy: Название политики IPS/IDS
7.Assign Firewall: Название политики IP файрвола.
Возможно, так же выбрать режим работы NGFW L2 или L3.
В правом верхнем углу выбрать активным меню «L3 mode».
Появляется дополнительная вкладка «ROUTES (L3 MODE)», где можно настроить параметры статической маршрутизации.
После установки всех необходимых параметров, нажмите внизу «UPDATE», затем «CLOSE»
3.После данной настройки, переходим в параметры конфигурации.
Выбираем «PROFILES», далее меню редактирования, или удаления конфигурации, если необходимо.
Устанавливаем параметры:
1. NETFLOW_DST — IP адрес и порт NetFlow коллектора для сбора статистики по трафику.
2. NETFLOW_PROTO - Протокол NetFlow, по умолчанию «10», IPFIX.
3.INTERNAL_IF - Имя внутреннего интерфейса NGFW в системе (куда подключаются абоненты).
4. EXTERNAL_IF -Имя внешнего интерфейса NGWF в системе
5. CONTROL_IF - Имя интерфейса управления в системе.
Он должен иметь доступный для системы управления IPV4 адрес.
6. INTERFACE — параметр стыковки интерфейсов NGFW, в основном редактировать нет необходимости.
7. BRIDGE_IF - имя бриджа L2 интерфейса в системе.
8. HOME_NET — IP адресация «домашней», т.е. внутренней сети. Если указать неверно, фильтрация IPS/IDS работать не будет. Например, 192.168.0.0/16
9. EXTERNAL_NET — внешние сети. Например !192.168.0.0/16 Все, что не попадает в «домашнюю» сеть считается внешней.
10. INLINE — вид услуги, L2 или L3.
Далее, сохраняем параметры «UPDATE», «CLOSE».
Выбираем «PROFILES», далее меню редактирования, или удаления конфигурации, если необходимо.
Устанавливаем параметры:
1. NETFLOW_DST — IP адрес и порт NetFlow коллектора для сбора статистики по трафику.
2. NETFLOW_PROTO - Протокол NetFlow, по умолчанию «10», IPFIX.
3.INTERNAL_IF - Имя внутреннего интерфейса NGFW в системе (куда подключаются абоненты).
4. EXTERNAL_IF -Имя внешнего интерфейса NGWF в системе
5. CONTROL_IF - Имя интерфейса управления в системе.
Он должен иметь доступный для системы управления IPV4 адрес.
6. INTERFACE — параметр стыковки интерфейсов NGFW, в основном редактировать нет необходимости.
7. BRIDGE_IF - имя бриджа L2 интерфейса в системе.
8. HOME_NET — IP адресация «домашней», т.е. внутренней сети. Если указать неверно, фильтрация IPS/IDS работать не будет. Например, 192.168.0.0/16
9. EXTERNAL_NET — внешние сети. Например !192.168.0.0/16 Все, что не попадает в «домашнюю» сеть считается внешней.
10. INLINE — вид услуги, L2 или L3.
Далее, сохраняем параметры «UPDATE», «CLOSE».
4.Настраиваем политики IDS/IPS, выбираем «POLICIES» в верхнем меню.
Слева «Search Policy», выбираем существующую политику или добавляем новую.
В меню «Search Group» выбираем необходимую группу, или создаем через меню «+» и «Add Rule Group».
Здесь же можно загрузить свою собственные правила IDS/IPS.
Указателем мыши можно выбрать группу, через меню «CHANGE RULES» добавить или удалить сигнатуры.
Так же, можно задать правила фильтрации, вверху списка групп флажок «Restrict Access».
5.Вкладка «MONITORING» в верхнем меню позволяет наблюдать за состоянием процессора CPU, памяти RAM, диска, сетевых интерфейсов, сообщения из SysLog NGFW.
Вкладка «ALERTS» в верхнем меню позволяет получать сообщения NGFW о срабатывании политик IPS/IDS.
Вкладка в верхнем меню «FIREWALL» позволяет настроить политики IP фильтрации в цепочках входящего, исходящего трафика. Либо создать свои цепочки фильтрации.
Дополнительные возможности Netpolice NGFW
Netpolice NGFW имеет гибкую структуру, и позволяет подключать дополнительные системы.
Например, система контентной фильтрации с собственной базой сайтов и фильтрацией HTTP/HTTPS трафика.
Дополнительные расширение нагрузочной способности Netpolice NGFW возможно включением нескольких Netpolice NGFW c балансировкой трафика, по L2 или L3, используя протоколы динамической маршрутизации.
Слева «Search Policy», выбираем существующую политику или добавляем новую.
В меню «Search Group» выбираем необходимую группу, или создаем через меню «+» и «Add Rule Group».
Здесь же можно загрузить свою собственные правила IDS/IPS.
Указателем мыши можно выбрать группу, через меню «CHANGE RULES» добавить или удалить сигнатуры.
Так же, можно задать правила фильтрации, вверху списка групп флажок «Restrict Access».
5.Вкладка «MONITORING» в верхнем меню позволяет наблюдать за состоянием процессора CPU, памяти RAM, диска, сетевых интерфейсов, сообщения из SysLog NGFW.
Вкладка «ALERTS» в верхнем меню позволяет получать сообщения NGFW о срабатывании политик IPS/IDS.
Вкладка в верхнем меню «FIREWALL» позволяет настроить политики IP фильтрации в цепочках входящего, исходящего трафика. Либо создать свои цепочки фильтрации.
Дополнительные возможности Netpolice NGFW
Netpolice NGFW имеет гибкую структуру, и позволяет подключать дополнительные системы.
Например, система контентной фильтрации с собственной базой сайтов и фильтрацией HTTP/HTTPS трафика.
Дополнительные расширение нагрузочной способности Netpolice NGFW возможно включением нескольких Netpolice NGFW c балансировкой трафика, по L2 или L3, используя протоколы динамической маршрутизации.
