Лицензирование
 
Лицензирование и обновления
Внимание!Лицензионные ключи версий 6 и 7 не совместимы! Перед обновлением до версии 7, необходимо запросить у менеджера ключ для 7й версии.

Базовая лицензия

Лицензирование UserGate NGFW осуществляется по параметрам производительности платформы и зависит от:

  • типа аппаратной платформы (для программно-аппаратного комплекса);

  • количества поддерживаемых ядер виртуальной машины (для виртуального образа).

При попытке регистрации некорректного оборудования ключом с ограничением по производительности появится ошибка: Введенный ПИН-код выписан для другого устройства UserGate, или конфигурация сервера не соответствует лицензированным характеристикам, например, увеличено число ядер процессора.

Примечание Если виртуальная машина зарегистрирована корректным ключом, а в дальнейшем в неё будут добавлены дополнительные ядра, то активным в виртуальной машине будет только разрешенное лицензией количество ядер.

Дополнительно лицензируемые модули

Дополнительно лицензируются следующие модули:

Наименование

Описание

Модуль Security Update (SU)

Модуль SU дает право на получение:

  • Обновлений ПО UserGate.

  • Обновлений сигнатур системы обнаружения вторжений.

  • Обновлений сигнатур приложений L7.

Модуль выписывается на 1 год, по истечении данного срока для получения обновлений ПО и технической поддержки необходимо приобрести продление лицензии.

Модуль Advanced Threat Protection (ATP)

Модуль ATP включает в себя следующие опции:

  • Годовая подписка на базу категорий сайтов UserGate URL filtering.

  • Годовая подписка на обновляемые списки URL (списки запрещенных сайтов Роскомнадзора, список phishing-сайтов, Белый список UserGate, Черный список UserGate, итд.).

  • Годовая подписка на морфологические базы, предоставляемые компанией UserGate.

  • Годовая подписка на работу сервиса веб-безопасности (блокировка рекламы, история поиска, безопасный поиск, блокировка приложений социальных сетей).

Модуль выписывается на 1 год, по истечении данного срока:

  • UserGate URL filtering перестает работать.

  • Фильтрация с помощью морфологии перестает работать.

  • Списки URL продолжают работать, но обновления будут недоступны.

  • Сервис веб-безопасности (блокировка рекламы, история поиска, безопасный поиск, блокировка приложений социальных сетей) перестает работать.

Модуль Mail security

Mail security включает в себя годовую подписку на проверку почтового трафика с помощью модуля антиспама UserGate.

Модуль Потоковый антивирус UserGate

Модуль включает в себя подписку на потоковый антивирус UserGate сроком на 1 год. По истечению данного срока антивирус UserGate перестает работать.

Модуль Cluster

Модуль включает подписку на работу устройств UserGate в режиме "кластер".

Модуль Контроль доступа в сеть на уровне МЭ

Модуль предназначен для взаимодействия с конечными устройствами с установленным ПО UserGate Client, являющимся компонентом экосистемы UserGate SUMMA. Подписка на данный модуль включает в себя:

  • Контроль доступа конечных устройств в сеть на уровне межсетевого экрана UserGate, при подключении через VPN, по результатам проверки соответствия требованиям политик безопасности (комплаенса), реализованной на основе профилей HIP.

  • Передачу телеметрии состояния конечных устройств на SIEM системы.

  • Доступ к обновлениям библиотеки HIP профилей.

Модуль выписывается на срок кратный 1 году (до 5 лет). По истечении срока подписки правила межсетевого экрана, настроенные на NGFW и использующие профили HIP в качестве одного из условий, перестают работать.

Онлайн-активация лицензии

При онлайн-активации устройство\ПО UserGate обращается к серверу лицензировании https://reg2.usergate.com. На сервер передается следующая техническая информация: номер версии ПО UserGate, пин-код, название продукта, модель устройства и т.д. В ответ приходят данные о сроке действия лицензии и списке модулей, разрешенных данной лицензией.

Если модули, ранее присутствующие в системе, отсутствуют в этом списке, то они деактивируются, а их лицензия аннулируется. Вновь появившиеся модули активируются.

В дальнейшем при работе устройства\ПО UserGate проверка лицензии происходит 1 раз в сутки. Если все в порядке — ничего не происходит и устройство будет работать в штатном режиме. При успешной проверке в журналах отображается запись об этом событии.

При недоступности серверов лицензирования делается 14 попыток с интервалом в 120 секунд. В случае неуспеха попытки прекращаются на сутки, после чего снова следуют 14 попыток подключения к серверу активации. В случае, если в течении периода действия лицензии так и не удается подключиться к серверу активации, лицензия блокируется по истечении срока действия (модули, лицензия которых просрочена, перестают работать). При каждой ошибке подключения к серверу активации в журналы заносится сообщение об ошибке.

Порядок действий при онлайн активации

Для регистрации продукта необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Перейти в Дашборд.

Нажать на пиктограмму Дашборд в правом верхнем углу.

Шаг 2. В разделе Информация о лицензии зарегистрировать продукт.

В разделе Лицензия нажать на ссылку Нет лицензии, ввести ПИН-код и заполнить регистрационную форму.

При нахождении узла NGFW в закрытом контуре без прямого доступа в интернет возможна активация/обновление лицензии через прокси-сервер. Для этого необходимо выбрать режим Использовать прокси-сервер для активации и апдейтов. Далее указать IP-адрес и порт вышестоящего прокси-сервера. При необходимости указать логин и пароль для аутентификации на прокси-сервере.

Офлайн-активация лицензии

ПримечаниеДоступно с версии 7.1+

В случае, если UserGate не имеет доступа в сеть Интернет, возможно проведение офлайн активации лицензии. При офлайн активации поведение UserGate аналогично поведению при недоступности сервера активации. т.е. По истечении времени действия по локальному счетчику времени лицензия блокируется и соответствующие модули прекращают работу.

ПримечаниеПроцедура офлайн активации производится через Вашего менеджера.

Порядок действий при офлайн активации

Наименование

Описание

Шаг 1. Открыть в браузере страницу активации.

В браузере перейдите по адресу https://IP-address:8001?features=offline-reg (где IP-address — IP-адрес устройства).

Шаг 2.Перейти в Дашборд.

Перейдите в Дашборд, найдите виджет Лицензия и нажмите Нет лицензии. Также можно нажать Незарегистрированная версия в левом верхнем углу веб-интерфейса управления.

Шаг 3. Начать процедуру офлайн активации.

В окне активации продукта выберите Начать активацию в автономном режиме и введите ПИН-код. Нажмите Далее.

Шаг 4. Получить файл запроса для процедуры офлайн активации.

Мастер активации предложит скачать файл с запросом для регистрации. Скачайте файл и перешлите его Вашему менеджеру. Если Вы не знаете Вашего менеджера, то необходимо обратиться в службу технической поддержки.

Шаг 5. Дождаться ответа менеджера со специальным файлом ответа для завершения процедуры офлайн активации.

Менеджер должен прислать письмо или любым другим способом передать вам файл ответа для завершения процедуры офлайн-активации.

Шаг 6. Используя полученный файл, завершить процедуру активации.

После получения файла откройте окно активации продукта и завершите активацию лицензии: нажмите Завершить активацию в автономном режиме и загрузите полученный файл.

 Обновления

Начиная с версии 7.1 были изменены правила загрузки обновлений библиотек. По новым правилам автоматически не загружаются обновления библиотек, которые не влияют на безопасность. По умолчанию, автоматически скачиваются только следующие библиотеки (при наличии лицензии):

  • Сигнатуры приложений L7
  • UserGate анти-вирус
  • IP список бот-сетей
  • IPS профиль
  • IPS сигнатуры
  • URL список фишинговых сайтов
  • URLF 
  • AdBlock
  • Trusted CA

Остальные библиотеки по умолчанию не скачиваются, это:

  • Морфология
  • MIME-типы
  • списки URL (в том числе Роскомнадзор)
  • списки IP-листов
  • Useragent.

При необходимости обновлений этих библиотек, администратор может в настройках вручную создать расписание скачивания этих библиотек.

Внимание!На устройствах с объемом оперативной памяти меньшем либо равном 8Gb, отключена загрузка библиотек "Морфология".
Учёт лицензируемых устройств

Задача

Что отображает список, открывающийся нажатием кнопки Показать в Дашборд? Как узнать количество занятых/свободных лицензий?

Решение

Кнопка Показать в Дашборд отображает список IP-адресов, занимающих лицензию. В этом списке могут присутствовать внешние IP-адреса, если через UserGate NGFW проходит трафик с этих адресов, за исключением устройств, чей трафик проходит через UserGate с использованием правил публикации DNAT, Reverse-прокси, веб-портала, защиты почтового трафика.

UserGate считает уникальные IP-адреса, трафик с которых приходит на интерфейсы UserGate; освобождение лицензии происходит по факту прекращения трафика с IP-адреса, который уже был учтён как "получивший" или "израсходовавший" лицензию. Таймаут, в течение которого с уникального IP-адреса не должно приходить ни одного TCP/IP пакета, - 1 минута.

Лицензии расходуются не только на подключения к NGFW, но и на любые исходящие соединения (например, соединение почтовой программой к внешнему почтовому серверу) и подключения неинтерактивных пользователей (например антивируса, службы обновления ОС и т.д.).

Чтобы узнать количество свободных лицензий необходимо от общего количества лицензируемых устройств отнять количество устройств, уже занимающих лицензию.

Отсутствует лицензия на одном из узлов кластера

Вопрос

Один из узлов кластера в статусе "отсутствует лицензия".

Ответ

Скорее всего вам выдали лицензию без поддержки  кластеризации. Как активировать лицензию в кластере смотрите здесь.

Активация лицензии на кластере UserGate

Задача

Активировать лицензию на кластере.

Решение

В кластере UserGate лицензия ставится только на "мастер-узел". После добавления следующего узла кластера, он(узел) возьмёт лицензию с мастер-узла.
То есть лицензия одна - кластерная, и активируется ей только мастер-узел.

Ошибка при активации лицензии

Задача

При попытке активации лицензии возникает ошибка: Превышен таймаут (между фронтендом и xml-rpc). Проверьте сетевые настройки (IP, DNS, шлюз).

Решение

Данная ошибка обычно возникает при недоступности одного из необходимых для обновления и лицензирования серверов. Необходимо обеспечить доступ до следующих серверов:

reg2.entensys.com
static.entensys.com
direct.entensys.com
urlf.entensys.com

Также необходимо проверить настройки DNS сервера на устройстве, устройство должно быть в состоянии разрешать вышеуказанные имена.

Не удается активировать лицензию

Задача

Не удается ввести лицензию. Выдает такую ошибку: "Невозможно подключиться к серверу лицензирования (Network error). Проверьте сетевые настройки (IP, DNS, шлюз)". 

Решение

Необходимо убедиться, что настройки сети на устройстве верны, т.е. проверить верно ли указан ip - адрес устройства, маска подсети, шлюз по умолчанию и DNS - сервер. При ошибочных настройках в любом из этих компонентов будут неполадки при работе с сетью и невозможно будет активировать лицензию, то есть для активации лицензии необходим доступ до сервера лицензий UserGate - reg2.entensys.com.

Подробнее о настройке сети можно прочитать в документации: UserGate NGFW, UserGate MC, UserGate LogAn

Получение лицензии для выполнения учебного проекта

Задача

Я пишу курсовую или дипломную работу по информационной безопасности. Как мне получить временную лицензию на ПО UserGate?

Решение

Обратитесь на кафедру информационной безопасности вашего учебного заведения за доступом к установленным виртуальным машинам с ПО UserGate.

Если ваш вуз еще не сотрудничает с нашей компанией, то вам нужно проделать следующие шаги:

  1. Зарегистрируйтесь, указав актуальный адрес электронной почты в домене учебного заведения, на официальном сайте компании, заполнив форму регистрации.
  2. Подтвердите свой электронный адрес, пройдя по ссылке из электронного письма. Если письмо долго не приходит, проверьте папку с нежелательной почтой.
  3. Напишите письмо на academy@usergate.com с описанием проекта и указанием адреса электронной почты, использованного при регистрации, чтобы завершить процесс активации пользователя, получить доступ к дистрибутивам и облегчить подбор параметров лицензии.

Офлайн активация лицензии

Задача

Выполнить офлайн активацию лицензии.

Решение

В случае, если UserGate NGFW, MC и LogAn не имеют доступа в сеть Интернет, возможно проведение офлайн активации лицензии.

ПримечаниеПроцедура офлайн активации производится через Вашего менеджера.

Для офлайн активации:

  1. В браузере перейдите по адресу https://IP-address:8001?features=offline-reg, если лицензируете NGFW, или https://IP-address:8010?features=offline-reg - в случае лицензирования MC или LogAn (где IP-address - IP-адрес устройства).
  2. Перейдите в Дашборд, найдите виджет Лицензия и нажмите Нет лицензии. Также можно нажать Незарегистрированная версия в левом верхнем углу веб-интерфейса управления.
  3. В окне активации продукта выберите Начать активацию в автономном режиме и введите ПИН-код. Нажмите Далее.
  4. Мастер активации предложит скачать файл с запросом для регистрации. Скачайте файл и перешлите его Вашему менеджеру. Если Вы не знаете Вашего менеджера, то необходимо обратиться в службу технической поддержки.
  5. Дождитесь ответа со специальным файлом.
  6. После получения файла откройте окно активации продукта и завершите активацию лицензии: нажмите Завершить активацию в автономном режиме и загрузите полученный файл.