Имеется в виду который межсетевой экран- "Next-Generation Firewall". Просто раньше, если кто помнит, была программа для раздачи интернета под таким же названием usergate(может, и сейчас есть- не знаю).
Как обычно- информацию по установке/настройке можно найти на их сайте. Некоторые моменты не буду расписывать подробно- например, как записать образ для установки на флешку, или как в БИОСе выставить загрузку с флешки, как включать компьютер или как создавать виртуальную машину на Hyper-V.
Вариантов установки может быть несколько. Можно установить его на Hyper-V, можно установить на свой "железный" сервер, можно сразу купить ПАК- т.е. сервер+ПО. 1-ый вариант можно установить для тестирования, чтобы посмотреть- как все работает/настраивается перед тем как купить ПАК. Ну или установить его как рабочий сервер, если у вас уже есть лишний сервер с 8Гб ОЗУ(минимальные требования), а лучше- 40Гб.
Для установки на "железный" сервер скачиваем из личного кабинета файл usergate_light_image.iso(ссылка- https://static.usergate.com/tools/usergate_light_image.iso) и "Файл для чистой установки UserGate NGFW на ПАК..." с расширением bz2. Rufus-ом записываем 1-ый файл на флешку, затем в папку utm_image на флешке кладем 2-ой файл(после записи на флешку может получиться так, что флешке не присвоится буква- в этом случае ее надо вытащить/воткнуть, затем зайти в Управление дисками и присвоить букву).
Загружаем наш сервер с флешки. Выбираем UserGate image UTM install. Дальше выбираем Set UTM image, выйдет список, пробелом ставим звезду на нашем файле
Жмем Ок и дальше выбираем Restore. Выбираем диск(не раздел, а именно диск) и также жмем Ок.
В конце установки нас снова вернет в меню, выбираем там Reboot/Poweroff
Теперь нужно подключиться к серверу. Т.к. IP-адрес на портах не прописан, его нужно прописать из командной строки, но это неудобно. Так что просто берем порт с номером 0 и подключаем его к сети, где есть настроенный DHCP. Если такой сети нет(или не хочется пока к ней его подключать), то берем комп, устанавливаем на него программу Tftp, настраиваем на ней DHCP, подключаем комп к порту с номером 0 и ждем, пока выдастся IP. Если IP никак не хочет выдаваться- возможно, что на этом порту не настроена выдача по DHCP. В таком случае заходим на Юзергейт, подключив к нему клавиатуру с монитором. Варианты логинов/паролей для первого входа:
Admin/без пароля, Admin/utm, Admin/usergate
Вводим configure, энтер, и потом команду: set network interface adapter port0 iface-mode dhcp
Посмотреть- что там выдается можно командой show.
После этого можно перезагрузить командой reboot
После перезагрузки ждем, пока присвоится IP и входим на ЮГ через браузер по адресу http://ip_адрес:8001
Дальше- первоначальные настройки- там по смыслу..
Установка на Hyper-V проще. Скачиваем файл NGFW Hyper-V image(например- ngfw-x86-64-7.4.1.305152R-release-public.vhdx), создаем виртуальную машину, подключаем к ней этот виртуальный диск. Заходим в параметры этого диска, Правка- Развернуть и прописываем размер хотя бы 20Гб. Сетевых адаптеров лучше сделать пока два и оба их подключить к сети, в которой есть DHCP. Запускаем виртуальную машину, точно так же добиваемся, чтобы выдался IP-адрес и подключаемся к Юзергейту.
Заходим в Настройки(верхнее меню)- Сеть(левое меню)- Зоны. У зоны Trusted на вкладке Контроль доступа ставим галку на Консоль администрирования(это нужно, чтобы можно было настраивать ЮГ из нашей сети, а не через отдельный интерфейс).
Заходим в Интерфейсы. Дальше нужно выбрать 2 интерфейса- один будет "смотреть" в нашу сеть- ему нужно прописать IP-адрес(или оставить по DHCP) и выбрать зону Trusted. 2-ой будет смотреть в интернет- его нужно настроить, чтобы у него был выход в интернет и присвоить ему зону Untrusted. Если IP на нем статический, то нужно еще зайти в Шлюзы и добавить там еще и шлюз.
Будем настраивать ЮГ исходя из того, что авторизация пользователей будет через Active Directory.
Нам понадобится файл keytab. Делается он так:
1. на DNS-е создаем в Зоне прямого просмотра А-записи(именно обычные записи, а не псевдонимы) auth.xz.local, block.xz.local, logout.xz.local, cert.xz.local(где xz.local - ваш домен, конечно же). IP-адрес у всех- это IP вашего ЮГ, галку "Создать соответствующую PTR-запись" не ставим.
2. в АД заводим пользователя, назовем его, например, usergate. Запускаем cmd от имени админа, вводим команду:
ktpass.exe /princ HTTP/auth.xz.local@XZ.LOCAL /mapuser usergate@XZ.LOCAL /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out ug.keytab
запросит пароль- это пароль пользователя usergate, которого мы создали.
Теперь идем в ЮГ. Настройки(т.е. верхнее меню Настройки)- Настройки(пункт меню Настройки слева). Справа будут поля "Домен auth captive-портала" и т.д.- там прописываем auth.xz.local, остальные поля- аналогично(т.е. block.xz.local, logout.xz.local)
Настройки- DNS. Там в поле Системные DNS-серверы прописываем свои ДНС-серверы.
Настройки- Пользователи и устройства. Заходим в серверы аутентификации, заполняем: Название(все-равно какое), Доменное имя LDAP..- тут пишем IP-адрес контроллера домена, Привязать DN- тут пишем нашего пользователя usergate, Пароль- пароль этого пользователя. Домены LDAP- наш домен xz.local, на вкладке Kerberos keytab грузим наш ug.keytab, в Пути поиска пишем dc=xz,dc=local. Жмем Проверить соединение- должно пройти без ошибок. Ошибки обычно бывают, если что-то сделали неправильно- проверяем- все ли сделано. Можно на всякий случай перезагрузить ЮГ.
Дальше идем в Профили аутентификации, добавляем новый, на вкладке Методы аутентификации выбираем Аутентификация Kerberos. Идем в captive-профиль, создаем новый, в Профиле аутентификации выбираем свой.
Идем в captive-портал, добавляем новый. В поле Captive-профиль выбираем свой, в Источнике выбираем зону Trusted, в Назначении- Untrusted.
Спускаемся ниже- Межсетевой экран. Добавляем, в Источнике выбираем зону Trusted, в Назначении- Untrusted.
Еще ниже- Политики сети- NAT и маршрутизация, добавляем свое. На вкладке Общие в поле Тип выбираем NAT, в Источнике выбираем зону Trusted, в Назначении- Untrusted.
Еще ниже- Политики безопасности- Фильтрация контента. Там тоже можно добавить правила, если ничего не добавлять, то будет неограниченный доступ в интернет. Для начала можно добавить несколько правил:
1. Запрет для неавторизованных пользователей: Действие- Запретить, Источник- Trusted, назначение- Untrusted, Пользователи- Unknown.
2. Разрешить доступ для определенной группы АД: Действие- Разрешить, Источник- Trusted, назначение- Untrusted, Пользователи- Добавить группу LDAP. Теперь, для того, чтобы разрешить пользователю доступ в интернет- просто добавляем его в АД в эту группу.
3. Запретить доступ ко всяким нехорошим сайтам: Действие- Запретить, Источник- Trusted, назначение- Untrusted, Категории URL- Добавить. Уточнение: чтобы там что-то появилась, нужно добавить лицензию(см ниже), затем в меню Дашборды в поле Обновления нажать Проверить обновления и скачать все, что там есть.
4. Запретить доступ тем, кому не даем доступ в интернет: Действие- Запретить, Источник- Trusted, назначение- Untrusted, Пользователи- Добавить группу LDAP и внизу передвинуть вправо ползунок Инвертировать.
Чтобы авторизация работала, идем в Политики безопасности- Инспектирование SSL. Добавляем: Действие- Расшифровать, Источник- Trusted.
Последнее, что осталось сделать- это добавить лицензию. Предполагается, что у вас уже есть постоянная лицензия, или вы попросили временную лицензию для тестирования(это нормальная практика, можно попросить такую лицензию, чтобы посмотреть- как все это работает, потренироваться, так сказать, "на кошках"). Делается это в меню Дашборды- там просто прописываем лицензию и жмем Далее. Если же у вас ЮГ пока не имеет доступ в интернет, то можно сделать оффлайн-регистрацию. Заходим в https://ip_адрес:8001/?features=offline-reg , жмем Активировать, жмем Начать активацию в автономном режиме, вводим ПИН, скачиваем файл. Идем сюда: https://poa.usergate.com/activation , загружаем файл, в поле Версия ставим точку на v7, жмем Обработать. Скачиваем файл, снова жмем Активировать—Завершить активацию в автономном режиме. Загружаем файл, жмем Далее.
Если это уже рабочий сервер- можно сразу же настроить бэкап настроек: Настройки- Управление устройством, справа- Экспорт и импорт настроек, жмем зеленый плюс.
Можно еще настроить Резервное копирование в поле Управление резервным копированием- но я не вижу смысла. В случае, если вы что-то сломаете- проще сделать Импорт настроек. Если вообще все сломается- можно просто переустановить и так же потом сделать Импорт настроек- это займет примерно 1-2ч, а сколько будет накатываться бэкап, который через несколько месяцев работы будет весить несколько десятков Гб - неизвестно.
Идем в Настройки - Сертификаты, встаем на CA(Default), Экспорт- Экспорт сертификата. Этот сертификат нужно установить на все компы в Доверенные корневые- этот сертификат используется при работе Инспектирования SSL- если его не установить- браузер будет ругаться на сертификат.
На этом основные настройки закончены, можно работать.