В IT ANGEL мы регулярно настраиваем инфраструктуру на базе «Континент. Версия 4» и часто сталкиваемся с типовыми шагами, которые важно выполнять в правильном порядке. В этом материале мы разбираем простой и понятный пример развертывания, основанный на наших рабочих проектах, который помогает быстро поднять защищенную сеть без лишних ошибок и задержек.

Континент 4 является средством межсетевого экранирования нового поколения (NGFW), а также, начиная с версии 4.2.1, является сертифицированным средством криптографической защиты.

В нашем примере рассмотрим самую простую топологию, состоящую из двух АРМ, между которыми необходимо организовать защищенный канал передачи данных. Для создания защищенного канала мы будем использовать один узел безопасности (далее — УБ) с центром управления сетью (далее — ЦУС) и простой УБ.

Создание защищенного канала можно разделить на 5 этапов:

1. Развертывание УБ с ЦУС

2. Развертывание АРМ администратора

3. Развертывание УБ

4. Настройка правил МЭ

5. Создание VPN-канала

Инициализация ЦУС

Для инициализации Континента 4 в главном меню необходимо выбрать пункт «Инициализация».

После, в открывшемся списке, выбираем «Узел безопасности с центром управления сетью (ЦУС)».

Далее устройство потребует ввести пароль для встроенной учетной записи администратора с логином «admin». Обратите внимание, что по сравнению с предыдущими версиями и изделием «Континент. Версия 3.9» пароль должен содержать не 8, а 10 символов. Также пароль должен содержать одну заглавную букву, одну строчную букву латинского алфавита и один специальный символ.

После выбираем один из двух алгоритмов работы ЦУС:

— RSA и ГОСТ
— ГОСТ

Далее запустится процедура инициализации, по окончании которой будет выведено сообщение об успешном завершении.

Теперь необходимо вернуться в главное меню и настроить системное время для корректного журналирования событий. Для этого нужно перейти в Настройки → Системное время → Ручная установка времени.

Выпуск сертификатов

После установки времени необходимо выпустить корневой сертификат и сертификат управления ЦУС. Возвращаемся в главное меню, переходим к списку сертификатов: Сертификаты → Сертификаты УЦ. В появившемся окне отображаются все корневые сертификаты. От производителя предустановлен сертификат «Доверенный Издатель КБ» для обновления УБ.

В данном окне необходимо нажать клавишу F2 для создания нового сертификата. Во всплывающем окне необходимо ввести данные вашей организации, название отдела и имя сертификата.

Теперь необходимо создать сертификат управления ЦУС. Для этого возвращаемся в меню «Сертификаты» и переходим по пути: Сервисные сертификаты → Выпуск сертификата управления для ЦУС. В всплывающем окне заполняем данные об организации, отделе и имя сертификата. Выбираем созданный ранее корневой сертификат.

После выполнения действий возвращаемся в главное меню и выбираем пункт «Настройка ЦУС». В появившемся окне выбираем «Да». Далее выбираем созданный ранее сертификат управления ЦУС.

На следующем шаге выбираем интерфейс, к которому будет подключаться АРМ администратора для управления ЦУС.

Потом необходимо задать IP-адрес для интерфейса с указанием маски через «/». После этого начнется процедура настройки ЦУС, по окончании которой появится уведомление об успешной настройке комплекса.

Развертывание АРМ администратора

На рабочем месте администратора необходимо установить «Менеджер конфигурации» с диска с программным обеспечением, идущим в комплекте с Континентом. Программа установки автоматически установит недостающие компоненты.

Если в составе ЦУС отсутствует ПАК «Соболь», то при первом запуске Менеджера конфигурации в главном окне появится сообщение об инициализации ДСЧ. После появится окно для подключения к ЦУС. В данном окне необходимо указать тип входа, IP-адрес интерфейса для подключения к ЦУС, указанный при его настройке, логин «admin» и пароль.

Подготовка и загрузка файла энтропии

Если в УБ отсутствует предустановленный ПАК «Соболь», необходимо создать средствами ЦУС и загрузить на УБ файл с энтропией. Для этого на ЦУС переходим: Главное меню → Инструменты → Ключевая информация → Программный датчик случайных чисел.

В открывшемся окне выбираем создание файла с энтропией, вставляем USB-накопитель, вводим ID УБ, для которого создается файл. После появления сообщения об успешном экспорте файл нужно загрузить на УБ.

На УБ переходим: Главное меню → Инструменты → Ключевая информация → Программный датчик случайных чисел → Энтропия.

В открывшемся окне нажимаем F3 для загрузки подготовленного файла энтропии. Появится запрос на подключение USB-накопителя. После импорта появится уведомление об успешной загрузке файла.

Инициализация УБ

Возвращаемся в главное меню и выбираем «Инициализация».

В окне инициализации выбираем пункт «Узел безопасности».

Создание запроса на сертификат

В главном меню переходим: Сертификаты → Запросы на выпуск сертификата. В открывшемся окне нажимаем F4, после чего появится сообщение с предложением подключить USB-накопитель.

На экране появится окно «Сертификат», где необходимо внести информацию об организации, отделе и названии сертификата.

После появится сообщение об успешной записи запроса на внешний носитель. На USB появится файл с расширением .req.

Теперь необходимо подключить USB-накопитель к АРМ администратора, затем в Менеджере конфигурации перейти в раздел «Администрирование». В списке сертификатов выбрать «Персональные сертификаты», затем на панели сверху — пункт «Сертификаты».

В появившемся окне нажать ссылку «загрузите данные из файла запроса». Выбрать созданный ранее файл запроса. Поля заполнятся автоматически. В области «Дополнительно» необходимо выбрать созданный при настройке ЦУС корневой сертификат.

Создание УБ в Менеджере конфигурации

Теперь необходимо создать УБ в МК. Для этого переходим в раздел «Структура» и нажимаем кнопку «Узел безопасности». В появившемся окне в поле «Идентификатор» указываем идентификатор аппаратной платформы УБ, название, а в выпадающем списке — аппаратную платформу.

Далее переходим в пункт «Сертификаты». В области серверных сертификатов добавляем сертификат УБ, а ниже — корневой сертификат ЦУС.

После выполненных процедур в разделе «Структура» в списке появится созданный УБ. Необходимо сохранить конфигурацию.

Теперь правой кнопкой мыши выбираем созданный УБ и в открывшемся списке выбираем «Экспортировать конфигурацию узла…».

Указываем путь для сохранения файла конфигурации (.json). После сохранения появится сообщение об успешной записи файла.

Подключение УБ к ЦУС

Подключаем USB-накопитель к УБ. В главном меню выбираем пункт «Подключиться к ЦУС».

В появившемся окне выбираем сохраненный конфигурационный файл. Далее выбираем интерфейс управления УБ и вводим его IP-адрес с маской и, при необходимости, IP-адрес шлюза.

После успешной настройки УБ переходим в Менеджер конфигурации, раздел «Структура». В списке находим нужный УБ и в панели сверху выбираем «Подтвердить изменения».

В конце необходимо сохранить политики и установить их на все узлы.

Настройка VPN и МЭ

Для построения VPN необходимо задать маршруты и правила фильтрации, обеспечивающие прохождение трафика между защищенными сетями.

Первым шагом проверяем, что на каждом УБ включены компоненты «Межсетевой экран» и «L3VPN». Если компоненты не выбраны, активируем их, сохраняем конфигурацию и применяем её на узлы.

Переходим во вкладку «Виртуальные частные сети» и во вкладке «Список объектов ЦУС» добавляем сетевые объекты.

Возвращаемся в раздел «Структура». Для каждого узла проверяем сетевые интерфейсы во вкладке «Интерфейсы».

Теперь необходимо создать правила фильтрации. Для этого переходим в раздел «Контроль доступа» → «Межсетевой экран». На панели сверху выбираем «Первое правило» и создаем разрешающее правило.

Проверяем наличие связи между компьютерами из разных защищаемых сегментов.

Создание VPN-сети

Переходим в раздел «Виртуальные частные сети» и на панели сверху выбираем «Виртуальная частная сеть». В появившемся окне вводим название и краткое описание сети.

Выделяем созданную сеть и на панели сверху выбираем «Добавить узел безопасности», затем выбираем нужные УБ.

После добавления узлов сохраняем конфигурацию и применяем ее на соответствующие узлы безопасности.