Начальная настройка NGAF Sangfor

Next-Generation Application Firewall от Sangfor. Краткое определение NGAF — решение для обеспечения интегрированной безопасности корпоративной сети, включающее идентификацию и контроль приложений, URL-фильтрацию, защиту контента от атак, вирусов и других вредоносных программ, в том числе с использованием облачной песочницы и встроенного Web Application Firewall (WAF).

Отличительной чертой NGAF Sangfor является встроенный Vulnerability Scanner и WAF (Web Application Firewall).

Описание интерфейсов:
• Console Interface (115200 speed, предназначен только для разработки, тестирования и отладки. Конечным пользователям необходимо получить доступ к устройству через сетевой интерфейс и войти в консоль)
• USB ports
• Management Interface (https://10.251.251.251)
• Line Interface
• Power outlet
• Switch
• Fan Trays
• LED Indicators

Подключаем кабель в порт Management или eth0. Перейдите в браузере https://10.251.251.251. Этот IP-адрес назначается по умолчанию и может быть изменен только в конфигурации системы. Для версий NGAF8.0.23 или более поздних внесите изменения в разделе System > System Settings > General Settings > Network.

Так как устройство пришло с тестов, то оно, конечно, запаролено.

Сброс пароля:
1. USB флеш накопитель (флешка) форматируется в FAT32
2. В корневой директории флеш накопителя записывается пустой файл reset-password.txt
3. Флеш накопитель вставляется в выключенное устройство
4. Ожидайте окончание загрузки, когда станет доступен web-интерфейс (не больше 10 мин)
5. Извлеките флеш накопитель.

Пароль сброшен, web интерфейс NGAF доступен.

Активация лицензии

Перейдите во вкладку System > Licensing > Manual Update > Update Licensing. Экспортируем информацию об устройстве, как показано на рисунке ниже.

Отправьте информацию об устройстве поставщику или командам Sangfor. После того как вам поступит ключ, Импортируйте файл лицензионного ключа.

Варианты установки

Режим развертывания:
• Routing mode — самый распространенный режим развертывания. В этом режиме NGAF работает как маршрутизатор и обрабатывает пакеты на основе информации о маршрутизации. NGAF рассматривает пакеты на основе их IP-адресов и портов назначения и исхода, и принимает решение о пересылке пакетов между различными интерфейсами (L3).

Transparent mode — в этом режиме NGAF работает в качестве «прозрачного» устройства и не изменяет адреса и порты исходящих и входящих пакетов. Развернут на любом месте сети, не влияя на существующую инфраструктуру (L2).

Virtual Network Cable Mode — прозрачное развертывание, при котором не нужно проверять таблицу MAC-адресов, а напрямую перенаправляет ее с интерфейса, сопряженного с виртуальным сетевым кабелем (L1). Эффективность пересылки виртуального сетевого кабеля выше, чем в прозрачном режиме.

Mirror Mode — нет необходимости изменять сетевую среду пользователя вообще, и это позволяет избежать риска прерывания сети пользователя устройством. Однако в этом режиме устройство только обнаруживает трафик и не может блокировать вредоносный трафик.

Mix mode — в этом режиме NGAF сочетает в себе функции маршрутизатора и моста. Он может использоваться для соединения нескольких сегментов сети и обеспечения контроля трафика между ними.

Режим развертывания устанавливается при настройки интерфейса, выбирая Type.

Type определяет функцию пересылки данных устройства.
1. Layer 3 — интерфейс выбран в качестве интерфейса маршрутизации, интерфейс работает в режиме уровня 3 и необходимо настроитьIP-адрес. Имеет функцию маршрутизации и переадресации.
2. Layer 2 — интерфейс служит обычным интерфейсом обмена, не требуя IP-адреса и не поддерживая маршрутизацию и переадресацию. Он пересылает данные на основе таблицы MAC-адресов.
3. Virtual Wire — виртуальный проводной интерфейс также является обычным интерфейсом обмена, не требующим IP-адреса и не поддерживающим маршрутизацию и пересылку. Он передает данные напрямую через парный интерфейс виртуального кабеля.
4. Mirroring — интерфейс подключается к коммутатору с функцией зеркалирования для отражения данных, проходящих через коммутатор.

Настройка Zone

Zone — указывает зону безопасности, к которой принадлежит интерфейс.

Перейдите в раздел Network > Interfaces > Zone. Выбрать eth2 в zone WAN.

Настройка интерфейса

Типы интерфейсов:
• Routed — L3 интерфейс (физический, саб-интерфейс, Vlan, GRE)
• Туннелей GRE. Поддерживает GRE через IP, GRE через OSPF и GRE через IPSec VPN
• Bridge — L2 интерфейс (access, trunk)
• Virtual Wire — L1 интерфейс.
• Mirror — для зеркального трафика

Настроем WAN интерфейс , остальные интерфейсы настраиваются по аналогии.

Настройка интерфейса WAN (ETH2):
1. Network > Interfaces
2. Указать Description — WAN
3. Установить Type — Layer 3
4. Установить Zone — WAN
5. Включить WAN attribute(s)
6. Установить IP Assignment и указать IP/Netmask.
7. В секции Administrative Access выбрать WEBUI, PING и SSH.
8. Нажать save.

Примечание!

WAN attribute(s) — включите эту функцию, если необходимо настроить управление трафиком.
1. Чтобы реализовать балансировку нагрузки между несколькими линиями WAN, необходимо включить определение состояния канала.
2. Для балансировки нагрузки канала можно выбрать только интерфейсы WAN attribute(s).
3. Каждая линия WAN должна иметь соответствующий маршрут на основе политики, который может быть маршрутом на основе источника или маршрутом балансировки нагрузки канала.

Настройка маршрутизации

Типы маршрутизации:
• Static Routes — с мониторингом состояния.
• Policy Based — сеть, сервис, страна, возможность балансировки.
• Multicast Routes
• OSPF (OSPFv2), BGP (EGP,IGP), RIP (RIPv1,RIPv2)

Static Routes

Перейдите в раздел Network > Routes > Static Routes и нажмите add, чтобы добавить статический маршрут.

Настройте маршрутизацию по умолчанию Dst IP/маску сети как 0.0.0.0/0 и IP-адрес следующего перехода, а также настройте транзитную маршрутизацию (маршрутизация сегмента LAN) Dst IP/маску сети и Next-Hop IP.

Настройка NAT

Преобразование сетевых адресов (NAT) поддерживает преобразование сетевых адресов источника (Static NAT) и преобразование сетевых адресов назначения(Dynamic NAT). NAT обеспечивающий сетевое взаимодействие путем преобразования адресов локальной сети в интернет-адреса. Поддержка destination NAT для сопоставления доступа к адресу WAN с адресом LAN (port-forwarding). Часто используется для публикации серверов путем сопоставления служб серверов локальной сети с Интернетом, чтобы пользователи Интернета могли получать доступ к внутренним серверам через общедоступный IP-адрес.

Перейдите в раздел Policies > NAT > IPv4 NAT > Add

Затем на отображаемой странице выберите настраиваемую зону LAN в качестве зоны Src, пользовательский адрес LAN в качестве Src Address, пользовательскую зону WAN в качестве Dst Zone, All в Dst Address, any в Services и Outbound Interface в Translate Src IP To соответственно. См. рисунок ниже.

Настройка политик доступа

Перейдите в раздел Policies > Access Control > Application Control, щелкните Add.

Затем на отображаемой странице выберите пользовательскую зону LAN в качестве исходной зоны, пользовательский адрес LAN в качестве исходного адреса, пользовательскую зону WAN в качестве Dst Zone, All in Dst Address, any в Services и All in Applications соответственно. См. рисунок ниже.

После завершения базовой настройки подключите устройство к сети — интерфейс eth2 (WAN) к  порту, предоставленному интернет-провайдером, а интерфейс eth3 к коммутатору локальной сети.

В целом, мы сбросили пароль устройства, вошли для управления при помощи веб-интерфейса, активировали лицензию, настроили Zone, WAN-интерфейс, NAT и задали политику доступа для локальной сети.