Подготовка инсталляции SecurePlatform под Oracle VirtualBox
9 ноября 2011
Валерий Фраерман
Сертифицированный инструктор
Check Point и Juniper
fraerman@masterlab.ru
fraerman@masterlab.ru
Системы защиты от компании Check Point предлагают огромное количество различных возможностей и функций. Но прежде чем внедрять их в боевых сетях настоятельно рекомендуется провести предварительное тестирование. Но на чем это осуществить, если система уже введена в эксплуатацию? Идеальным решением является использование виртуальных машин. В статье рассматривается вариант развертывания системы Check Point на официальном бесплатном решении от Oracle.
Оговорюсь сразу – такой вариант развертывания межсетевых экранов компании Check Point Software Technologies не является рекомендованным или поддерживаемым, он ни в коем случае не должен рассматриваться как альтернатива для «боевой» реализации. Использовать этот вариант развертывания можно только в тестовых или учебных целях. Собственно, именно это и послужило причиной написания данной заметки – поддерживаемые и рекомендованные варианты развертывания хорошо и подробно описаны самим производителем, добавлять там ничего не надо. Преимущество использования Virtual Box – возможность создания тестовой конфигурации на официально свободном программном обеспечении, без отягощения кармы хакерством или бюджета – тратами. Однако расплачиваться все равно придется – в данном случае - некоторыми хитростями настройки, вовсе не чрезмерными. В нашем случае использовалась VirtualBox версии 4.1.0 73009 и SecurePlatform версии 70.10, в качестве хост-системы – CentOS.
Рассмотрим ситуацию, когда саму VirtualBox мы уже поставили – это несложно, и описаний имеется достаточно. После запуска мы получим следующее
Если нам понадобится связывать несколько виртуальных машин внутренними сетевыми соединениями, то необходимо предварительно создать виртуальные сетевые адаптеры – система не создает их самостоятельно. Если же все интерфейсы виртуальных машин будут смотреть во внешний мир, то виртуальные адаптеры вам не понадобятся.
Для создания виртуальных адаптеров выбираем пункт меню Файл – Свойства и в появившемся окне – пункт Сеть. Все остальные свойства тоже интересны, но их настройка в нашем случае необязательна.
Кнопки справа от списка адаптеров позволяют добавить, удалить и настроить адаптеры. Если никакие специальные параметры не требуются, то настройку можно не делать – адаптер создается с некоторыми настройками по умолчанию, которыми в большинстве случаев можно пользоваться сразу.
Теперь можно создавать виртуальные машины. Нажимаем на кнопку Создать.
Указываем имя будущей виртуальной машины, а также обязательно тип и версию операционной системы - так, как это показано
Если нам не нужно, чтобы вновь создаваемый диск был доступен из других систем (например, из VMWare), то тип файла можно не менять
Динамический (то есть увеличивающийся по мере надобности) диск занимает меньше места, но чуть медленнее работает.
Для SecurePlatform версий R60 объем виртуального диска должен быть не менее 10 ГБ, иначе вполне вероятен сбой при инсталляции. Это связано с механизмом разбиения диска системой при инсталляции. При этом размер диска готовой системы будет значительно меньше.
Виртуальная машина создана
Как видите, здесь не было этапов настройки сети, кроме того, как будет видно ниже, некоторые параметры созданной машины не дадут инсталлировать на нее операционную систему SecurePlatform, так что следующий этап – настройка.
Нажимаем кнопку Свойства
Первый шаг – выбор чипсета. По умолчанию предложен вариант PIIX3, на нем SecurePlatform отказывается инсталлироваться. Необходимо поменять чипсет на ICH9, после чего мы получаем предупреждение о необходимости включить поддержку контроллера прерываний IO APIC, которая по умолчанию выключена. Кроме того, в этом же окне при необходимости можно поменять порядок загрузки по умолчанию – если надо будет часто переставлять систему, имеет смысл первым устройством для загрузки выбрать CD-ROM. В результате окно системы приобретает вот такой вид.
Параметры процессора и ускорения можно и не менять.
Следующий шаг – настройка виртуального диска.
Как видим, по умолчанию система создает виртуальный жесткий диск SATA. Это нас не устраивает, потому что SecurePlatform не видит таких дисков без настройки БИОС, а здесь нам эти настройки не доступны. Необходимо создать IDE жесткий диск и удалить первоначальный.
Выбрав SATA контроллер, нажимаем под списком дисков и контроллеров кнопку Удалить контроллер и подтверждаем удаление.
Нажимаем рядом с IDE контроллером в списке кнопку Добавить жесткий диск
и в появившемся окне выбираем вариант Создать новый диск. Это приводит к появлению ряда диалоговых окон, аналогичных тем, которые описывали параметры диска при создании виртуальной машины. После последнего подтверждения мы получаем новый IDE диск.
В этом же окне необходимо выбрать, как будет работать CD-ROM.
Слово «Пусто» означает, что CD-ROM не подключен никуда. Нажав кнопку Настроить привод оптических дисков, мы можем выбрать заранее загруженный образ диска (ISO), либо указать, что необходимо использовать физический привод.
Последний шаг – настройка сетевых соединений.
Каждая виртуальная машина может иметь до четырех адаптеров. По умолчанию активирован первый из них в режиме NAT. Это означает, что виртуальная машина получает некий немаршрутизируемый адрес и имеет возможность выхода во внешнюю сеть через реальный интерфейс (если их несколько – вопрос, через какой). Чаще всего в нашем случае этот вариант не годится.
Если мы хотим, чтобы виртуальный интерфейс был подключен к определенному реальному интерфейсу, но при этом имел возможность иметь любой нужный адрес, нужно в пункте Тип подключения выбрать вариант Сетевой мост,
тогда в пункте Имя имеется возможность выбрать, с каким именно реальным интерфейсом сопоставлен данный виртуальный адаптер.
Если же мы хотим соединить несколько виртуальных машин внутри системы без выхода наружу, выбираем вариант Виртуальный адаптер хоста
и в пункте Имя выбираем, какой именно созданный нами виртуальный адаптер использовать. Надо сказать, что устройства vboxnetN, хотя и называются виртуальными адаптерами, по сути, представляют собой виртуальные хабы, так что несколько виртуальных машин, использующих один и тот же виртуальный адаптер, оказываются соединенными сетью, если, конечно, их адреса находятся при этом в одной сети. В варианте Сетевой мост виртуальные машины, использующие один и тот же физический адаптер, также соединены друг с другом, но только в том случае, если соответствующий физический адаптер активен.
Важно также определить, какую именно аппаратную реализацию сетевого адаптера эмулирует система. Если окажется, что все вроде бы настроено правильно, адреса верные, а соединения нет – необходимо попробовать изменить тип адаптера. Чтобы увидеть эту настройку, надо щелкнуть по слову Дополнительно. Вариант Intel Pro/1000 MT Desktop оказался работоспособным в моем случае, не исключено, что для других версий SecurePlatform может понадобиться подобрать другой тип адаптера.
И последнее замечание. До тех пор, пока вы не нажмете кнопку OK в самом низу окна свойств виртуальной машины, все изменения, внесенные вами, останутся не сохранены, даже если вы перешли на другую закладку. Случайное нажатие кнопки Отмена или клавиши Esc - и все настройки придется начинать сначала.
Виртуальная машина настроена, можно начинать инсталляцию SecurePlatform. Но это уже совсем другая история.
Диона Мастер Лаб ©
Все права защищены
При использовании обязательна ссылка на первоисточник
Все права защищены
При использовании обязательна ссылка на первоисточник
