Вы можете установить следующие уровни детализации:
off — отключить журналирование;
error — только ошибки;
warning — ошибки и предупреждения;
info — ошибки, предупреждения и дополнительная информация;
debug — максимальная детализация.
Посмотреть текущие значения параметров работы интерфейса командной строки можно с помощью команды:
Admin@nodename# show settings cli
Настройка базовых параметров устройства
Настройка базовых параметров UserGate WAF выполняется на уровне settings general.
Структура команд для настройки базовых параметров устройства:
Admin@nodename# set settings general <settings-module> <parameters>
Базовые параметры устройства сгруппированы в разделы.
Раздел
Описание
admin-console
Параметры консоли управления:
timezone — часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т. п.
language — язык интерфейса:
ru — русский;
en — английский.
webaccess — режим аутентификации веб-консоли:
password — аутентификация по имени и паролю.
cert — аутентификация по X.509-сертификату.
web-ssl-profile — выбор профиля SSL для построения защищенного канала доступа к веб-консоли. Подробнее о профилях SSL — в разделе «Настройка профилей SSL».
api-session-lifetime — время ожидания сеанса администратора в секундах
server-time
Параметры установки точного времени:
ntp-enabled — включение или отключение использования NTP-серверов.
primary-ntp-server — адрес основного NTP-сервера.
second-ntp-server — адрес запасного NTP-сервера.
time — установка времени на устройстве. Время указывается в часовом поясе UTC в формате yyyy-mm-ddThh:mm:ss (например, 2022-02-15T12:00:00)
modules
Настройка модулей устройства:
lldp — настройка использования протокола канального уровня Link Layer Discovery Protocol (LLDP), который позволяет сетевому оборудованию, работающему в локальной сети, оповещать устройства о своем существовании, передавать им свои характеристики, а также получать от них аналогичную информацию. При настройке необходимо задать значения:
transmit-delay — задержка передачи, указывается время ожидания устройства перед отправкой объявлений соседям после изменения TLV в протоколе LLDP или состояния локальной системы, например, изменение имени узла или адреса управления. Может принимать значения от 1 до 3600. Указывается в секундах.
transmit-hold — значение мультипликатора удержания. Может принимать значения от 1 до 100. Произведение значений transmit delay и transmit hold определяет время жизни (TTL) пакетов LLDP
cache
Параметры кэширования прокси-сервера:
caching-mode — включение или отключение режима кэширования.
exclusions — список URL, которые не будут кэшироваться. Для удаления исключений используйте команду:
Admin@nodename# delete settings general cache exclusions [ <URL> ]
max-cacheable-size — максимальный размер объектов, которые будут кэшироваться (МБ).
ram-size — размер оперативной памяти, отведенный под кэширование (МБ)
log-analyzer
Параметры модуля сбора статистики:
use-local-stat-server — использование локальной службы журналирования
management-center
Настройка агента UserGate Management Center.
Команда для настройки:
Admin@nodename# set settings general management-center <parameters>
Параметры:
enabled — включение или отключение агента UserGate Management Center;
mc-address — адрес сервера UserGate Management Center;
device-code — уникальный код устройства для подключения устройства к UserGate Management Center
updates-schedule
Настройка расписания скачивания обновлений программного обеспечения и библиотек.
Для задания расписания обновления программного обеспечения:
Admin@nodename# set settings general updates-schedule software schedule <schedule/disabled>
Расписание скачивания обновлений библиотек может быть единым:
Admin@nodename# set settings general updates-schedule all-libraries schedule <schedule/disabled>
Также расписание может быть настроено отдельно для каждого элемента:
Admin@nodename# set settings general updates-schedule libraries [ lib-module ... ] schedule <schedule/disabled>
Время задается в crontab-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>.
Каждое из полей может быть задано следующим образом:
Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час.
Дефис (-) — для указания диапазона значений.
Запятая (,) — в качестве разделителя значений.
Косая черта (/) — для указания шага между значениями.
Команда для просмотра расписания обновлений:
Admin@nodename# show settings general updates-schedule
Настройка управления устройством
Настройка диагностики
В этом блоке вы можете управлять параметрами диагностики устройства, необходимыми службе технической поддержки для решения возможных проблем.
Параметры диагностики сервера, необходимые службе технической поддержки при решении проблем, задаются на уровне settings loglevel.
C помощью следующей команды вы можете установить необходимый уровень детализации журналирования событий:
Admin@nodename# set settings loglevel value <off | error | warning | info | debug>
off — ведение журналов диагностики отключено;
error — журналировать только ошибки в работе NGFW;
warning — журналировать только ошибки и предупреждения;
info — журналировать только ошибки, предупреждения и дополнительную информацию;
debug — журналировать все возможные события.
При журналировании с уровнями warning,info и debug может снижаться производительность устройства, поэтому рекомендуется устанавливать уровни error или off, если технической поддержкой UserGate не было предложено иное.
Для просмотра состояния уровня детализации диагностики используется команда:
Admin@nodename# show settings loglevel
Для включения или отключения удаленного помощника (Radmin) используется команда:
Admin@nodename# set settings radmin enabled <on | off>
Для просмотра состояния удаленного помощника используется команда:
Admin@nodename# show settings radmin
Настройка Radmin-emergency
Если произошли неполадки с ядром WAF, может пропасть возможность авторизации в CLI. Для активации удаленного помощника в таких случаях администратор может зайти в CLI в режиме emergency под учетной записью корневого администратора, которая была создана при инициализации WAF. Обычно это учетная запись Admin. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля — пароль корневого администратора.
Команда входа в режим emergency CLI выглядит следующим образом:
ssh Admin@emergency@<WAF_IP> -p 2200
Команда включения и отключения удаленного доступа к серверу для технической поддержки в режиме emergency:
Admin@emergency@WAF# set radmin-emergency enabled <on | off> <parameters>
В команде указываются следующие сетевые параметры:
interface — название интерфейса;
ip-addr — IP-адрес интерфейса;
gateway-address — IP-адрес шлюза.
Настройка операций с сервером
В этом разделе вы можете установить канал получения обновлений для устройства (стабильные или бета-версии).
Канал обновлений устанавливается с помощью команды:
Admin@nodename# set settings device-mgmt updates-channel <stable | beta>
Для просмотра наличия обновлений и выбранного канала обновления используется команда:
Admin@nodename# show settings device-mgmt updates-channel
Управление резервным копированием
Управление резервным копированием происходит на уровне setting device-mgmt.
Для создания правила резервного копирования и выгрузки файлов на внешние серверы (FTP/SSH) используется следующая команда:
Команда для отображения правила резервного копирования:
Admin@nodename# show settings device-mgmt settings-backup <rule-name>
Для команд изменения, удаления или отображения правил в качестве параметра <filter> можно использовать не только названия правила, но и другие заданные в правиле параметры (см. список параметров в таблице выше).
Экспорт настроек
Управление экспортом настроек происходит на уровне settings device-mgmt.
Правила экспорта настроек создаются с помощью команды :
Команда для отображения правила экспорта настроек:
Admin@nodename# show settings device-mgmt settings-export <rule-name>
Для команд изменения, удаления или отображения правил в качестве параметра <filter> можно использовать не только название правила, но и другие заданные в правиле параметры (см. список параметров в таблице выше).
Настройка защиты конфигурации от изменений
Для настройки параметров защиты конфигурации устройства от изменения используйте следующую команду:
Admin@nodename# set settings change-control config <off | log | block>
Проверка целостности конфигурации происходит каждые несколько минут после загрузки WAF.
log — активация режима отслеживания изменений конфигурации. При обнаружении изменений WAF записывает информацию о факте изменения в журнал событий. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания.
off — отключение режима отслеживания изменений конфигурации. Необходимо указать пароль, который был задан при активации режима отслеживания конфигурации.
block — активация режима отслеживания изменений конфигурации. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания. При обнаружении изменений WAF записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик.
Перед активацией защиты конфигурации администратор производит настройку продукта в соответствии с требованиями организации, после чего защищает настройки от изменений (режим log или block). Любое изменение настроек через веб-интерфейс, CLI или другими способами будет приводить к журналированию и блокировке транзитного трафика, в зависимости от выбранного режима.
Для просмотра текущего режима защиты конфигурации от изменений используется команда:
Admin@nodename# show settings change-control config
Настройка защиты исполняемых файлов от изменения
Для настройки защиты исполняемого кода устройства от потенциального несанкционированного изменения используется команда:
Admin@nodename# set settings change-control code <off | log | block>
Проверка целостности исполняемого кода происходит каждый раз после загрузки WAF.
log — активация режима отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений WAF записывает информацию о факте изменения в журнал событий. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания.
off — отключение режима отслеживания несанкционированных изменений исполняемого кода. Необходимо указать пароль, который был задан при активации режима отслеживания исполняемого кода.
block — активация режима отслеживания несанкционированных изменений исполняемого кода. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания. При обнаружении изменений WAF записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик. Чтобы отключить созданное правило межсетевого экрана необходимо отключить отслеживание несанкционированных изменений.
Для просмотра текущего режима защиты исполняемых файлов используется команда:
Admin@nodename# show settings change-control code
Настройка режима ускоренной обработки сетевого трафика
Для включения или отключения режима ускоренной обработки трафика используется команда:
Admin@nodename# set settings fastpath enabled <on/off>
Для просмотра настройки режима ускоренной обработки трафика используется команда:
