Пошаговый гайд по развертыванию «Континент 4»
В IT ANGEL мы регулярно настраиваем инфраструктуру на базе «Континент. Версия 4» и часто сталкиваемся с типовыми шагами, которые важно выполнять в правильном порядке. В этом материале мы разбираем простой и понятный пример развертывания, основанный на наших рабочих проектах, который помогает быстро поднять защищенную сеть без лишних ошибок и задержек.
Континент 4 является средством межсетевого экранирования нового поколения (NGFW), а также, начиная с версии 4.2.1, является сертифицированным средством криптографической защиты.
В нашем примере рассмотрим самую простую топологию, состоящую из двух АРМ, между которыми необходимо организовать защищенный канал передачи данных. Для создания защищенного канала мы будем использовать один узел безопасности (далее — УБ) с центром управления сетью (далее — ЦУС) и простой УБ.
Создание защищенного канала можно разделить на 5 этапов:
Развертывание УБ с ЦУС
Развертывание АРМ администратора
Развертывание УБ
Настройка правил МЭ
Создание VPN-канала
Инициализация ЦУС
Для инициализации Континента 4 в главном меню необходимо выбрать пункт «Инициализация».
После, в открывшемся списке, выбираем «Узел безопасности с центром управления сетью (ЦУС)».
Далее устройство потребует ввести пароль для встроенной учетной записи администратора с логином «admin». Обратите внимание, что по сравнению с предыдущими версиями и изделием «Континент. Версия 3.9» пароль должен содержать не 8, а 10 символов. Также пароль должен содержать одну заглавную букву, одну строчную букву латинского алфавита и один специальный символ.
После выбираем один из двух алгоритмов работы ЦУС:
— RSA и ГОСТ
— ГОСТ
Далее запустится процедура инициализации, по окончании которой будет выведено сообщение об успешном завершении.
Теперь необходимо вернуться в главное меню и настроить системное время для корректного журналирования событий. Для этого нужно перейти в Настройки → Системное время → Ручная установка времени.
Выпуск сертификатов
После установки времени необходимо выпустить корневой сертификат и сертификат управления ЦУС. Возвращаемся в главное меню, переходим к списку сертификатов: Сертификаты → Сертификаты УЦ. В появившемся окне отображаются все корневые сертификаты. От производителя предустановлен сертификат «Доверенный Издатель КБ» для обновления УБ.
В данном окне необходимо нажать клавишу F2 для создания нового сертификата. Во всплывающем окне необходимо ввести данные вашей организации, название отдела и имя сертификата.
Теперь необходимо создать сертификат управления ЦУС. Для этого возвращаемся в меню «Сертификаты» и переходим по пути: Сервисные сертификаты → Выпуск сертификата управления для ЦУС. В всплывающем окне заполняем данные об организации, отделе и имя сертификата. Выбираем созданный ранее корневой сертификат.
После выполнения действий возвращаемся в главное меню и выбираем пункт «Настройка ЦУС». В появившемся окне выбираем «Да». Далее выбираем созданный ранее сертификат управления ЦУС.
На следующем шаге выбираем интерфейс, к которому будет подключаться АРМ администратора для управления ЦУС.
Потом необходимо задать IP-адрес для интерфейса с указанием маски через «/». После этого начнется процедура настройки ЦУС, по окончании которой появится уведомление об успешной настройке комплекса.
Развертывание АРМ администратора
На рабочем месте администратора необходимо установить «Менеджер конфигурации» с диска с программным обеспечением, идущим в комплекте с Континентом. Программа установки автоматически установит недостающие компоненты.
Если в составе ЦУС отсутствует ПАК «Соболь», то при первом запуске Менеджера конфигурации в главном окне появится сообщение об инициализации ДСЧ. После появится окно для подключения к ЦУС. В данном окне необходимо указать тип входа, IP-адрес интерфейса для подключения к ЦУС, указанный при его настройке, логин «admin» и пароль.
Подготовка и загрузка файла энтропии
Если в УБ отсутствует предустановленный ПАК «Соболь», необходимо создать средствами ЦУС и загрузить на УБ файл с энтропией. Для этого на ЦУС переходим: Главное меню → Инструменты → Ключевая информация → Программный датчик случайных чисел.
В открывшемся окне выбираем создание файла с энтропией, вставляем USB-накопитель, вводим ID УБ, для которого создается файл. После появления сообщения об успешном экспорте файл нужно загрузить на УБ.
На УБ переходим: Главное меню → Инструменты → Ключевая информация → Программный датчик случайных чисел → Энтропия.
В открывшемся окне нажимаем F3 для загрузки подготовленного файла энтропии. Появится запрос на подключение USB-накопителя. После импорта появится уведомление об успешной загрузке файла.
Инициализация УБ
Возвращаемся в главное меню и выбираем «Инициализация».
В окне инициализации выбираем пункт «Узел безопасности».
Создание запроса на сертификат
В главном меню переходим: Сертификаты → Запросы на выпуск сертификата. В открывшемся окне нажимаем F4, после чего появится сообщение с предложением подключить USB-накопитель.
На экране появится окно «Сертификат», где необходимо внести информацию об организации, отделе и названии сертификата.
После появится сообщение об успешной записи запроса на внешний носитель. На USB появится файл с расширением .req.
Теперь необходимо подключить USB-накопитель к АРМ администратора, затем в Менеджере конфигурации перейти в раздел «Администрирование». В списке сертификатов выбрать «Персональные сертификаты», затем на панели сверху — пункт «Сертификаты».
В появившемся окне нажать ссылку «загрузите данные из файла запроса». Выбрать созданный ранее файл запроса. Поля заполнятся автоматически. В области «Дополнительно» необходимо выбрать созданный при настройке ЦУС корневой сертификат.
Создание УБ в Менеджере конфигурации
Теперь необходимо создать УБ в МК. Для этого переходим в раздел «Структура» и нажимаем кнопку «Узел безопасности». В появившемся окне в поле «Идентификатор» указываем идентификатор аппаратной платформы УБ, название, а в выпадающем списке — аппаратную платформу.
Далее переходим в пункт «Сертификаты». В области серверных сертификатов добавляем сертификат УБ, а ниже — корневой сертификат ЦУС.
После выполненных процедур в разделе «Структура» в списке появится созданный УБ. Необходимо сохранить конфигурацию.
Теперь правой кнопкой мыши выбираем созданный УБ и в открывшемся списке выбираем «Экспортировать конфигурацию узла…».
Указываем путь для сохранения файла конфигурации (.json). После сохранения появится сообщение об успешной записи файла.
Подключение УБ к ЦУС
Подключаем USB-накопитель к УБ. В главном меню выбираем пункт «Подключиться к ЦУС».
В появившемся окне выбираем сохраненный конфигурационный файл. Далее выбираем интерфейс управления УБ и вводим его IP-адрес с маской и, при необходимости, IP-адрес шлюза.
После успешной настройки УБ переходим в Менеджер конфигурации, раздел «Структура». В списке находим нужный УБ и в панели сверху выбираем «Подтвердить изменения».
В конце необходимо сохранить политики и установить их на все узлы.
Настройка VPN и МЭ
Для построения VPN необходимо задать маршруты и правила фильтрации, обеспечивающие прохождение трафика между защищенными сетями.
Первым шагом проверяем, что на каждом УБ включены компоненты «Межсетевой экран» и «L3VPN». Если компоненты не выбраны, активируем их, сохраняем конфигурацию и применяем её на узлы.
Переходим во вкладку «Виртуальные частные сети» и во вкладке «Список объектов ЦУС» добавляем сетевые объекты.
Возвращаемся в раздел «Структура». Для каждого узла проверяем сетевые интерфейсы во вкладке «Интерфейсы».
Теперь необходимо создать правила фильтрации. Для этого переходим в раздел «Контроль доступа» → «Межсетевой экран». На панели сверху выбираем «Первое правило» и создаем разрешающее правило.
Проверяем наличие связи между компьютерами из разных защищаемых сегментов.
Создание VPN-сети
Переходим в раздел «Виртуальные частные сети» и на панели сверху выбираем «Виртуальная частная сеть». В появившемся окне вводим название и краткое описание сети.
Выделяем созданную сеть и на панели сверху выбираем «Добавить узел безопасности», затем выбираем нужные УБ.
После добавления узлов сохраняем конфигурацию и применяем ее на соответствующие узлы безопасности.