|
|
Управление межсетевыми экранами UserGate
Управление межсетевыми экранами UserGate (Описание)
Централизованное управление МЭ UserGate можно разделить на 4 этапа:
1. Создание управляемой области. Смотрите раздел Создание управляемых областей.
2. Создание шаблона или несколько шаблонов, каждый из которых опишет свою часть настроек МЭ. Смотрите раздел Шаблоны устройств для более детальной информации.
3. Объединение необходимых шаблонов в группу шаблонов в требуемом порядке, чтобы получить корректную результирующую настройку управляемых устройств. Смотрите раздел Группы шаблонов для более детальной информации.
4. Добавление управляемого устройство (МЭ) и применения к нему группы шаблонов. Смотрите раздел Добавление устройств UserGate под управление UGMC для более детальной информации.
UGMC позволяет создавать и управлять кластерами конфигурации и отказоустойчивости. Подробно тонкости управления кластерами описаны в разделе Кластеризация UserGate NGFW с помощью UGMC.
При необходимости настройки, заданные в шаблонах можно изменять, чтобы эти отражения применялись ко всем МЭ, к которым применимы данные шаблоны.
Важно!В релизе ПО 7.2.0 произведена унификация требований к наименованию объектов в UGМС и NGFW. Теперь все наименования объектов чувствительны к регистру. Для избежания конфликтов объектов в UGМС, при обновлении UGMC наименования всех созданных ранее объектов будут приведены в нижний регистр. После обновления можно изменить наименования на желаемые.
Шаблоны устройств
Шаблон — это базовый блок, с помощью которого можно настроить все параметры работы межсетевого экрана — сетевые настройки, правила межсетевого экрана, контентной фильтрации, системы обнаружения вторжений и других. Для создания шаблона необходимо в разделе NGFW ➜ Шаблоны нажать на кнопку Добавить и дать шаблону имя и опциональное описание.
После создания шаблона можно производить настройку его параметров. Для этого необходимо перейти в раздел верхнего меню NGFW-конфигурация и в выпадающем меню Выберите шаблон выбрать необходимый шаблон.
Настройки параметров шаблона отображаются в виде дерева, полностью аналогично, как они представлены в UserGate NGFW. При настройке параметров следует придерживаться следующих правил:
1. Если значение настройки не определено в шаблоне, то ничего передаваться в NGFW не будет. В данном случае в NGFW будет использована либо настройка по умолчанию, либо настройка, которую указал локальный администратор NGFW.
2. Если настройка параметра выполнена в шаблоне, то эта настройка переопределит значение этой же настройки, назначенной локальным администратором.
После получения настроек с UGMC настройки следующих разделов могут быть изменены локально на NGFW:
ПримечаниеНастройка будет переопределена после изменения данной настройки в шаблоне NGFW администратором области на UGMC.
-
общие настройки устройства: вкладка Настройки, раздел UserGate ➜ Настройки;
-
настройки сетевых интерфейсов: вкладка Настройки, раздел Сеть ➜ Интерфейсы.
3. Правила политик не переопределяют правила, созданные локальным администратором, а добавляются к ним в виде пре- и пост- правил. Подробно о применении правил смотрите раздел данного руководства Шаблоны и группы шаблонов.
4. При настройке сетевых интерфейсов первый физический интерфейс, доступный для конфигурирования — это port1. Интерфейс port0 нельзя настроить с помощью средств UGMC, он всегда настраивается локальным администратором и необходим для обеспечения первичной связи управляемых устройств с UGMC.
5. При настройке сетевых интерфейсов возможно создать интерфейс и оставить его конфигурирование локальному администратору. Для этого необходимо поставить флажок Настраивается на устройстве в настройках сетевого интерфейса.
ПримечаниеПосле создания интерфейса в шаблоне на UGMC, он создается на управляемом NGFW. При удалении такого интерфейса в шаблоне UGMC, он на NGFW автоматически не удалится. Администратору NGFW будет необходимо удалить его на самом устройстве.
6. В некоторых настройках и правилах политик доступна опция применения данного правила или настройки только к конкретному устройству. Для этого необходимо выбрать управляемое устройство в свойствах правила/настройки в закладке Управляемые устройства. Хотя это и предоставляет определенную гибкость, следует избегать чрезмерного использования данной опции, поскольку это приводит к сложности понимания применения настроек к группам Межсетевых Экранов UserGate.
7. Библиотеки, например, такие как IP-адреса, списки URL, типы контента и другие, по умолчанию не содержат никакого контента в UGMC в отличие от библиотек, создаваемых по умолчанию на устройствах NGFW. Для использования библиотек в политиках UGMC, необходимо предварительно добавить элементы в эти библиотеки. Элементы библиотек не участвуют в синхронизации: если список был создан, но не используется в политиках, то данный список не появится в разделе библиотек NGFW.
8. Рекомендуется создавать отдельные шаблоны для разных групп настроек, это позволит избежать конфликтов настроек при объединении шаблонов в группы шаблонов и упростит понимание результирующей настройки, которая будет применена к управляемым устройствам. Например, шаблон сетевых настроек, шаблон правил межсетевого экрана, шаблон правил контентной фильтрации, шаблон библиотек и т.д.
Группы шаблонов
Группы шаблонов объединяют несколько шаблонов в единую конфигурацию, которая применяется к управляемому устройству. Результирующие настройки, применяемые к устройству, формируются в результате слияния всех настроек шаблонов, входящих в группу шаблонов, с учетом расположения шаблонов внутри группы. Подробнее о результирующих настройках смотрите главу руководства Шаблоны и группы шаблонов.
Для создания группы шаблонов необходимо в разделе NGFW ➜ Группы шаблонов нажать на кнопку Добавить, дать группе имя и опциональное описание и добавить в него созданные ранее шаблоны. После добавления шаблонов их можно расположить в требуемом порядке, используя кнопки Выше, Ниже, Наверх, Вниз, создав таким образом необходимую результирующую конфигурацию.
Добавление устройств UserGate под управление UGMC
Группа шаблонов всегда применяется к одному или нескольким управляемым устройствам UserGate NGFW. Процедура добавления управляемого устройства в UGMC состоит из следующих шагов:
|
Наименование
|
Описание
|
|
Шаг 1. Обеспечить доступ от управляемого устройства до UGMC
|
На сервере UGMC необходимо разрешить сервис UserGate Management Center зоне, к которой подключены управляемые устройства. Сервер UGMC слушает подключения от управляемых устройств на портах TCP 2022 и 9712.
Передача данных между сервером UGMC и управляемыми устройствами осуществляется по зашифрованному каналу.
|
|
Шаг 2. Создать объект управляемого устройства
|
В консоли управления областью в разделе NGFW ➜ Устройства нажать кнопку Добавить и указать необходимые настройки.
|
|
Шаг 3. Связать созданный объект управляемого устройства с реальным устройством UserGate NGFW.
|
В консоли управления UserGate NGFW настройте связь между UGMC и устройством. Данную операцию можно произвести в момент первоначальной установки NGFW, либо уже на настроенный NGFW. Оба варианта подробно описаны далее в этой главе.
|
При создании объекта управляемого устройства необходимо указать следующие параметры:
|
Наименование
|
Описание
|
|
Включено
|
Включает объект управляемого устройства. Если объект управляемого устройства включен, то он занимает одну лицензию.
|
|
Название
|
Название для управляемого устройства. Можно вводить произвольное название.
|
|
Описание
|
Описание управляемого устройства.
|
|
Группа шаблонов
|
Группа шаблонов, настройки которой следует применить к этому управляемому устройству.
|
|
Синхронизация
|
Выбор режима синхронизации настроек группы шаблонов к устройству. Возможны 3 варианта:
-
Автоматическая синхронизация — синхронизация включена. Настройки применяются к устройству. При изменении любой настройки из любого шаблона, включенного в группу шаблонов, примененную к управляемому устройству, это изменение применяется к МЭ без задержек.
-
Отключено — синхронизация выключена.
-
Ручная синхронизация — режим синхронизации, при котором настройки применяются однократно при нажатии кнопки Запросить синхронизацию. Полезно в случаях, когда необходимо изменить много настроек в шаблонах и единовременно отослать их на устройство. В этом случае необходимо отключить синхронизацию, произвести необходимые изменения в шаблонах, после чего включить синхронизацию в режим Ручная синхронизация.
Вне зависимости от выбранного режима доступен запуск синхронизации всех настроек для выбранных устройств (раздел NGFW ➜ Устройства кнопка Действия ➜ Запустить полную синхронизацию).
|
|
Адреса UserGate для связи с LogAn
|
Указание IP-адреса на управляемом NGFW для связи с LogAn.
|
Для осуществления связи NGFW с UGMC во время первоначальной настройки NGFW необходимо выполнить следующие шаги:
|
Наименование
|
Описание
|
|
Шаг 1. Скопировать Код устройства
|
В UGMC выбрать созданный объект управляемого устройства и нажать на кнопку Показать уникальный код устройства. Скопировать данный код в буфер обмена.
|
|
Шаг 2. На NGFW в момент первоначальной инициализации выбрать установку с помощью UGMC
|
В момент первоначальной инициализации на этапе задания имени администратора и его пароля необходимо выбрать ссылку Настроить через UGMC.
|
|
Шаг 3. Указать необходимые настройки нового узла и ввести уникальный код устройства
|
Указать следующие параметры:
-
Сетевые настройки данного NGFW (IP, маска, шлюз). Данные настройки будут применены к указанному интерфейсу. Необходимо, чтобы после задания сетевых настроек появилась сетевая доступность с этого NGFW до UGMC.
-
Имя локального администратора и его пароль.
-
IP-адрес UGMC и уникальный код устройства, сохраненный на первом шаге.
|
|
Шаг 4. Проверить подключение
|
После подключения к UGMC, NGFW должен получить все настройки, подготовленные для него в UGMC. В NGFW настройки отображаются со значком замочка, означающим, что данную настройку локальный администратор не может изменять.
В консоли UGMC в объекте управляемого устройства появится дополнительная информация о подключенном устройстве, такая как ПИН-код, серийный номер, информация о лицензии, используемой памяти и т.п.
|
Для осуществления связи уже настроенного NGFW с UGMC необходимо выполнить следующие шаги:
|
Наименование
|
Описание
|
|
Шаг 1. Скопировать Код устройства
|
В UGMC выбрать созданный объект управляемого устройства и нажать на кнопку Показать уникальный код устройства. Скопировать данный код в буфер обмена.
|
|
Шаг 2. Указать IP-адрес сервера UGMC и ввести уникальный код устройства
|
В разделе Настройки ➜ Агент UGMC выбрать Настроить, указать IP-адрес сервера UGMC, вставить уникальный код устройства и включить данное подключение. Для успешного выполнения данного шага необходимо, чтобы была сетевая доступность с этого NGFW до сервера UGMC.
|
|
Шаг 3. Проверить подключение
|
После подключения к UGMC МЭ UserGate должен получить все настройки, подготовленные для него в UGMC. В МЭ настройки отображаются со значком замочка, означающим, что данную настройку локальный администратор не может изменять.
В консоли UGMC в объекте управляемого устройства появится дополнительная информация о подключенном устройстве, такая как ПИН-код, серийный номер, информация о лицензии, используемой памяти и т.п.
|
После того, как NGFW успешно добавлен в UGMC администратор управляемого устройства может:
|
Наименование
|
Описание
|
|
Посмотреть расширенную информацию о состоянии управляемого устройства
|
В консоли UGMC необходимо выбрать объект управляемого устройства и нажать на кнопку Показать детальную информацию. Будет отображена следующая информация о подключенном устройстве:
-
Версия ПО устройства.
-
ПИН-код устройства.
-
Серийный номер ПАК.
-
Время непрерывной работы.
-
Показатели загрузки устройства — загрузка ЦП, оперативной памяти, своп-файла, количество пользователей, подключенных через устройство.
|
|
Подключиться к консоли управляемого устройства
|
В консоли UGMC необходимо выбрать объект управляемого устройства и нажать на кнопку Открыть консоль. В новом окне откроется консоль NGFW.
|
|
Изменить настройки
|
В консоли UGMC измените настройки одного из шаблонов, входящего в группу шаблонов, примененного к устройству. Новые настройки будут применены к NGFW.
|
Кластеризация UserGate NGFW с помощью UGMC
Шаблоны устройств позволяют объединить несколько устройств UserGate в кластер конфигурации с едиными настройками на всех узлах кластера и создать на базе узлов кластера конфигурации один или несколько кластеров отказоустойчивости.
Кластер конфигурации
Создание кластера конфигурации, управляемого из UGMC, практически идентично созданию отдельно стоящего кластера. Отличие лишь в том, что первый узел кластера должен быть подключен под управление UGMC до создания кластера конфигурации. Каждому узлу кластера конфигурации, подключаемому в UGMC, назначается идентификатор узла — уникальный идентификатор вида node_1, node_2, node_3 и так далее.
Для создания кластера конфигурации необходимо выполнить следующие шаги:
|
Наименование
|
Описание
|
|
Шаг 1. Выполнить первоначальную настройку на первом узле кластера
|
Смотрите главу Первоначальная настройка в документе Руководство администратора NGFW.
|
|
Шаг 2. Настроить на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера
|
В разделе Зоны создать выделенную зону для репликации настроек кластера или использовать существующую (Cluster). В настройках зоны разрешить следующие сервисы:
Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к интернету.
|
|
Шаг 3. Указать IP-адрес, который будет использоваться для связи с другими узлами кластера
|
В разделе Управление устройством в окне Кластер конфигурации выбрать текущий узел кластера и нажать на кнопку Редактировать. Указать IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.
|
|
Шаг 4. Сгенерировать Секретный код на первом узле кластера
|
В разделе Управление устройством нажать на кнопку Сгенерировать секретный код. Полученный код скопировать в буфер обмена. Данный секретный код необходим для одноразовой авторизации второго узла при добавлении его в кластер.
|
|
Шаг 5. Подключить первый узел кластера конфигурации в UGMC
|
Подключение первого узла ничем не отличается от подключения отдельно стоящего устройства UserGate. Процедура подключения подробно описана в разделе Добавление устройств UserGate под управление UGMC.
Первому узлу автоматически назначается идентификатор node_1.
|
|
Шаг 6. Подключить второй узел в кластер
|
Важно! Добавление в кластер конфигурации второго и последующих узлов возможно только при первоначальной инициализации этих узлов.
Подключиться к веб-консоли второго узла кластера, выбрать язык установки.
Указать интерфейс, который будет использован для подключения к первому узлу кластера, и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети, например, интерфейсам eth2 обоих узлов назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.
Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то система предложит назначить идентификатор кластера для добавляемого устройства в виде node_2, node_3, node_4 и так далее. Идентификатор node_1 уже был закреплен за первым узлом кластера. После назначения идентификатора второй узел будет добавлен в кластер, и все настройки первого узла реплицируются на второй.
После успешного добавления узла в кластер, данный узел будет отображаться в качестве второго узла в списке управляемых устройств с выбранным идентификатором.
|
Настройка добавленного узла, включая настройки интерфейсов, зон, политик фильтрации, может производиться либо локально, либо через политики шаблонов UGMC. Если эти настройки уже были выполнены в шаблонах UGMC на момент подключения второго узла, то они будут применены к добавленному узлу сразу же после его добавления в кластер.
Добавление третьего и последующих узлов в кластер конфигурации выполняется аналогично.
Кластер отказоустойчивости
До 4-х узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив. Возможно собрать несколько кластеров отказоустойчивости. Для создания кластера отказоустойчивости с помощью UGMC необходимо выполнение следующих условий:
|
Наименование
|
Описание
|
|
Наличие кластера конфигурации
|
Должен быть создан кластер конфигурации. Кластер конфигурации должен корректно отображаться в списке управляемых устройств.
|
|
Наличие управляемых из UGMC интерфейсов
|
Наличие на устройствах UserGate интерфейсов, которые созданы и управляются из UGMC. Виртуальные IP-адреса могут быть назначены только на интерфейсы, которые созданы в шаблонах UGMC.
|
|
Выполнение требований, предъявляемых к кластеру отказоустойчивости
|
Выполнение всех требований, предъявляемых к узлам, при создании кластера отказоустойчивости без использования UGMC. Подробно о кластерах отказоустойчивости описано в разделе Кластеризация и отказоустойчивость в документе Руководство администратора NGFW.
|
Для создания кластера отказоустойчивости необходимо выполнить следующие шаги:
|
Наименование
|
Описание
|
|
Шаг 1. Настроить зоны, интерфейсы которых будут участвовать в отказоустойчивом кластере
|
В одном из шаблонов UGMC, где настроены зоны для управляемых устройств, в разделе Зоны следует разрешить сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес.
|
|
Шаг 2. Создать кластер отказоустойчивости
|
В одном из шаблонов UGMC, в разделе Управление устройством ➜ Кластер отказоустойчивости нажать на кнопку Добавить и указать параметры кластера отказоустойчивости.
|
|
Шаг 3. Указать виртуальный IP-адрес для хостов auth.captive, logout.captive, block.captive, ftpclient.captive
|
Если предполагается использовать аутентификацию с помощью Captive-портала, то необходимо, чтобы системные имена auth.captive и logout.captive, которые используются процедурами аутентификации в Captive, определялись в IP-адрес, назначенный в качестве кластерного виртуального адреса. Данную настройку можно выполнить в одном из шаблонов UGMC, в разделе Настройки.
|
Параметры отказоустойчивого кластера:
|
Наименование
|
Описание
|
|
Вкл
|
Включение/отключение отказоустойчивого кластера.
|
|
Название
|
Название отказоустойчивого кластера.
|
|
Описание
|
Описание отказоустойчивого кластера.
|
|
Режим кластера
|
Режим отказоустойчивого кластера:
|
|
Синхронизировать сессии
|
Включает режим синхронизации пользовательских сессий между всеми узлами, входящими в кластер отказоустойчивости. Включение данной опции делает переключение пользователей с одного устройства на другое прозрачным для пользователей, но добавляет существенную нагрузку на платформу UserGate. Имеет смысл только для режима кластера Актив-Пассив.
|
|
Мультикаст идентификатор кластера
|
В одном кластере конфигурации может быть создано несколько кластеров отказоустойчивости. Для синхронизации сессий используется определенный мультикастовый адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор.
|
|
Идентификатор виртуального роутера (VRID)
|
Идентификатор виртуального роутера должен быть уникален для каждого VRRP-кластера в локальной сети. Если в сети не присутствуют сторонние кластеры VRRP, то рекомендуется оставить значение по умолчанию.
|
|
Узлы
|
Выбираются узлы кластера конфигурации для объединения их в кластер отказоустойчивости. Узлы кластера представлены идентификаторами, назначенными узлам кластера конфигурации при создании кластера конфигурации.
|
|
Виртуальные IP-адреса
|
Назначаются виртуальные IP-адреса и их соответствие интерфейсам узлов кластера. В качестве интерфейсов могут быть использованы только интерфейсы, которые были созданы в одном из шаблонов UGMC.
|
Управление обновлениями управляемых устройств
UGMC позволяет создать централизованную политику обновления программного обеспечения UserGate (UGOS) и обновляемыми библиотеками, предоставляемыми по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, типов контента и другие).
ПримечаниеПосле добавления UserGate NGFW под управление UGMC, устройство UserGate автоматически начинает скачивать все обновления с сервера UGMC.
Для управления обновлениями с помощью UGMC необходимо выполнить следующие действия:
|
Наименование
|
Описание
|
|
Шаг 1. Настроить расписание проверки обновлений
|
Расписание проверки устанавливает время и периодичность проверки обновлений. Оно может быть настроено локально на каждом из устройств UserGate, либо централизовано с помощью настройки шаблонов в UGMC. В обоих случаях настройка выполняется идентично. В случае локальной настройки она производится в разделе Настройки в веб-консоли управления устройством. В случае настройки через UGMC настройка производится в одном из шаблонов в разделе Настройки.
|
|
Шаг 2. Настроить политику обновления ПО для устройств UserGate
|
Политика обновлений ПО позволяет задать обновление, доступное для установки на все или выборочные управляемые устройства. Подробно об обновлениях ПО смотрите в разделе Обновление ПО.
|
|
Шаг 3. Настроить политику обновления библиотек для устройств UserGate
|
Политика обновления библиотек позволяет выбрать необходимые обновления библиотек для установки на управляемые устройства. Подробно об обновлениях библиотек смотрите в разделе Обновление библиотек.
|
Обновление ПО
Компания UserGate периодически выпускает обновления программного обеспечения UserGate NGFW. Эти обновления выкладываются в репозитарий UserGate, откуда они уже доступны для скачивания NGFW. Если NGFW подключен к управлению через UGMC, то он проверяет наличие обновлений на сервере UGMC, который сам будет являться репозитарием. Репозитарий UserGate при этом будет использован сервером UGMC для получения новых обновлений.
В некоторых случаях служба поддержки UserGate может рекомендовать к установке определенным клиентам специфические обновления, недоступные для скачивания из репозитария. Такие обновления следует добавлять в UGMC с помощью импорта обновления из файла.
Порядок установки обновлений, следующий:
|
Наименование
|
Описание
|
|
Шаг 1. Загрузить обновления в репозитарий UGMC
|
Загрузить обновления можно либо из репозитария UserGate, либо импортировав файл обновления вручную.
Для загрузки обновлений из репозитария необходимо в разделе NGFW ➜ Обновления ПО нажать на кнопку Выбрать онлайн-обновления, отобразится список обновлений, доступных для скачивания из репозитария UserGate. Выделить необходимые обновления и нажать кнопку Выбрать. Выделенные обновления будут загружены в UGMC.
Для загрузки вручную необходимо в разделе NGFW ➜ Обновления ПО нажать на кнопку Импортировать обновление, выбрать файл с обновлением. Если для файла обновлений в самом обновлении не указаны название и версия обновления, то необходимо указать их в соответствующих полях. Кнопка Сохранить загрузит выбранное обновление в UGMC.
|
|
Шаг 2. Утвердить обновление для всех или для конкретных устройств
|
Для установки обновления на все устройства необходимо выбрать интересующее обновление и нажать на кнопку Утвердить обновление. Только одно обновление может быть утверждено для всех устройств.
Если требуется установить данное обновление на группу устройств (например, для проведения тестирования), то необходимо в свойствах обновления указать управляемые устройства, для которых данное обновление будет доступно, и установить чекбокс Утвердить обновление.
|
|
Шаг 3. Провести установку обновления
|
После утверждения обновление становится доступным для скачивания для всех или группы управляемых устройств. Управляемое устройство скачивает обновление в соответствии с расписанием проверки обновлений. После скачивания обновление может быть установлено администратором в консоли MC или в ручном режиме администратором управляемого устройства.
|
Обновление в репозитарии UGMC имеет следующие свойства:
|
Наименование
|
Описание
|
|
Название
|
Название обновления. Обычно не доступно для изменения, содержится в коде изменения.
|
|
Описание
|
Произвольное описание обновления.
|
|
Версия
|
Версия обновления. Не доступно для изменения, содержится в коде изменения.
|
|
Размер
|
Размер обновления.
|
|
Версия релиза
|
Версия релиза UserGate, для которого это обновление выпущено. Не доступно для изменения, содержится в коде изменения.
|
|
Статус
|
Статус обновления, например, скачано.
|
|
Прогресс
|
Показывает прогресс загрузки обновления с репозитария UserGate.
|
|
Канал обновлений
|
Канал обновлений репозитария UserGate:
|
|
Список изменений
|
Ссылка на список изменений, содержащихся в данном обновлении.
|
|
Управляемые устройства
|
Список управляемых устройств, которым назначено данное обновление.
|
|
Добавлено
|
Дата добавления обновления в репозитарий UGMC и имя администратора, который выполнил добавление.
|
|
Утверждено
|
Дата утверждения обновления и имя администратора, который выполнил утверждение.
|
Обновление библиотек
Библиотеки — это обновляемые базы ресурсов, предоставляемых по подписке клиентам UserGate (база категорий URL-фильтрации, сигнатуры СОВ, списки IP-адресов, URL, MIME-типов, морфологические базы и другие). Эти обновления выкладываются в репозитарий UserGate, откуда они уже доступны для скачивания UserGate NGFW. Если NGFW подключен к управлению через UGMC, то он проверяет наличие обновлений на сервере UGMC, который сам будет являться репозитарием. Репозитарий UserGate при этом будет использован сервером UGMC для получения новых обновлений. По умолчанию UGMC проверяет и скачивает обновления библиотек автоматически.
В случаях, когда UGMC не имеет доступа до репозитария UserGate, имеется возможность импортировать обновление вручную из файла, полученного в личном кабинете клиента UserGate (https://my.usergate.com).
Библиотеки, находящиеся в репозитарии UGMC доступны всем управляемым устройствам UserGate. Управляемые устройства скачивают и устанавливают доступные обновления автоматически в соответствии с расписанием проверки обновлений.
Обновление библиотек в репозитарии UGMC имеет следующие свойства:
|
Наименование
|
Описание
|
|
Название
|
Название обновления. Не доступно для изменения, содержится в коде изменения.
|
|
Описание
|
Произвольное описание обновления.
|
|
Скачивать
|
Режим скачивания новых версий. По умолчанию установлен режим Автоматически — UGMC автоматически проверяет наличие новых версий в репозитарии UserGate и скачивает их. При выборе режима Ручное — UserGate не обновляет выбранную библиотек в автоматическом режиме.
|
|
Размер
|
Размер обновления.
|
|
Версия
|
Версия обновления библиотеки.
|
|
Обновлено
|
Дата и время последнего обновления конкретной библиотеки.
|
Аварийное отключение NGFW от MC
При необходимости NGFW может быть отключен от MC, с которым он был интегрирован, с помощью команды аварийного отключения.
Команда выполняется на NGFW в интерфейсе командной строки (CLI) в режиме конфигурации (подробнее читайте в статье Режим конфигурации руководства администратора NGFW):
Admin@nodename# execute mc-force-disconnect <arg>
В зависимости от выбранного аргумента импортированные из MC объекты сохраняются локально или удаляются:
-
keep — отключение от MC с сохранением всех импортированных из MC объектов (библиотеки, правила итд.). Импортированные из MC объекты конвертируются в локальные.
-
delete — отключение от MC с удалением всех импортированных из MC объектов (библиотеки, правила итд.). Импортированные объекты, которые в настоящий момент используются, конвертируются в локальные.
Admin@nodename# execute mc-force-disconnect keep
Admin@nodename# execute mc-force-disconnect delete
Практика работы с шаблонами в UserGate MC
В UserGate MC реализована гибкая система управления конфигурациями устройств благодаря иерархической системе администрирования (подробнее читайте в разделе Администраторы) и использованию метода шаблонов (подробнее читайте в разделе Управление межсетевыми экранами UserGate).
Управление устройствами осуществляется в пределах управляемой области. Управляемая область может иметь в своем составе множество филиалов (городов), в которых установлены подконтрольные устройства.
Корневой администратор области имеет все права на управление областью. Он может создавать шаблоны настроек управляемых устройств, объединять шаблоны в группы и назначать эти группы на управляемые устройства. Корневой администратор управляемой области может создавать учетные записи дополнительных администраторов области или, иначе говоря, региональных администраторов, делегируя им права на администрирование только отдельных выделенных устройств в филиалах.
Группы шаблонов могут включать в себя шаблоны, которые настраивает как сам администратор области, так и региональные администраторы.
Порядок шаблонов в группе имеет значение и определяет приоритет политик или используемых в них объектов.
Порядок применения правил на управляемом устройстве следующий:
-
Пре-правила первого шаблона, пре-правила второго шаблона и т.д.
-
Локальные правила политики на устройстве.
-
Пост-правила первого шаблона, пост-правила второго шаблона и т.д.
Это позволяет вставить правила в любое место в списке правил управляемого устройства.
Порядок применения объектов, которые не являются правилами — берётся первый найденный подходящий объект при проходе по списку шаблонов из группы.
Благодаря такому подходу реализуется иерархическая система администрирования — администратор области управляет политиками на уровне организации, а региональные администраторы управляют политиками в своих филиалах. Администратор области создает шаблон общих политик для всех филиалов, который он может добавлять в группы шаблонов для региональных устройств. Таким образом решается задача управления политиками информационной безопасности на уровне организации. В свою очередь, региональные администраторы через свои шаблоны решают локальные задачи своих филиалов.
Рассмотрим два примера работы с шаблонами в пределах управляемой области.
Пример 1. Группирование шаблонов
Пример группирования шаблонов для филиалов в управляемой области.
В UserGate MC создана управляемая область AAA c корневым администратором области Admin/AAA.
.svg)
Администратор области создает двух региональных администраторов для управления узлами NGFW в городах B и С (subAdminB/AAA и subAdminC/AAA соответственно).
Администратор области создает шаблоны для управления региональными узлами и предоставляет права на редактирование части шаблонов региональным администраторам:
-
Шаблон A — для настройки базовых политик конфигурации сети администратором области.
-
Шаблоны B1 и B2 — для локальных настроек политик узла в филиале B. Региональному администратору в городе B (subAdminB/AAA) делегируются права для настройки этих шаблонов.
-
Шаблоны C1 и C2 — для локальных настроек политик узла в городе C. Региональному администратору в городе C (subAdminC/AAA) делегируются права для настройки этих шаблонов.
Администратор области создает группы шаблонов, в которые он может добавить любые шаблоны, созданные и настраиваемые в любом регионе своей области.
.svg)
В этом примере администратор области создает для каждого города свою группу шаблонов, куда он добавляет общий шаблон с базовыми политиками конфигурации сети и шаблоны с локальнями настройками политик, редактируемые региональными алминистраторами:
Администратор области назначает группы шаблонов на конкретные управляемые устройства.
Пример 2. Схема с главной политикой
В такой схеме есть одна центральная политика, но её конкретная финальная форма будет разной для разных регионов.
Как и в Примере 1 в управляемой области ААА есть два города B и C, в каждом из которых установлены свои NGFW, они оба подключены к MC. Созданы два региональных администратора для управления узлами NGFW в городах B и С (subAdminB/AAA и subAdminC/AAA соответственно).
.svg)
Администратор области имеет шаблон общей политики, который ограничивает доступ группы с IP-адресами Test к сайтам с видеоконтентом. Для каждого города есть свои шаблоны, в которых региональные администраторы определяют список своих локальных адресов для группы Test:
-
Шаблон A3 — шаблон общей политики администратора области с настройкой ограничения доступа к видеоконтенту.
-
Шаблон B3 — для настройки группы IP-адресов, к которым должна быть применена политика. Региональному администратору города B (subAdminB/AAA) делегируются права для настройки параметров этого шаблона.
-
Шаблон C3 — для настройки группы IP-адресов, к которым должна быть применена политика. Региональному администратору города С (subAdminС/AAA) делегируются права для настройки параметров этого шаблона.
Настройка шаблонов
Администратор области в шаблоне А3 создает правило фильтрации видеоконтента, в котором на вкладке Источник указывает группу IP-адресов Test, но сами адреса в этом шаблоне не задаются. Списки IP адресов, к которым будет применено правило общей политики, будут создаваться в группе адресов Test региональными администраторами в своих шаблонах.
Администратор области делегирует региональным администраторам права для настройки библиотек элементов в шаблонах B3 и C3. Для этого в веб-консоли администратора области необходимо перейти в раздел Центр управления ➜ Администраторы ➜ Профили администраторов и в профилях региональных администраторов предоставить права на чтение и запись для раздела Библиотеки элементов.
Региональному администратору города B необходимо делегировать права в шаблоне B3:
Региональному администратору города С необходимо делегировать права в шаблоне С3:
Региональные администраторы создают в своих шаблонах группу IP-адресов Test. Для этого каждый региональный администратор должен войти в веб-консоль администратора со своим логином (subAdminB/AAA и subAdminC/AAA соответственно), перейти в раздел настройки шаблона (шаблон В3 и шаблон C3 соответственно) и создать группу IP-адресов Test со своими актуальными адресами:
Региональный администратор города B редактирует шаблон B3:
.svg)
Региональный администратор города C редактирует шаблон C3:
Администратор области объединяет шаблоны в группы:
.svg)
Администратор области назначает группы шаблонов на конкретные управляемые устройства.
Проверка работы схемы
У каждого регионального устройства есть собственные политики со своими собственными правилами фильтрации видео-контента.
NGFW B:
.svg)
NGFW C:
.svg)
Таким образом, в данном примере используется централизованное управление политикой доступа к сайтам с видеоконтентом для двух городов, но при этом учитываются региональные особенности (разные подсети) каждого филиала. Администратор области отвечает за создание и управление общим шаблоном политики, а региональные администраторы отвечают за настройку и управление своими устройствами с учетом региональных особенностей.
|
