Главная
Поддержка
Документация
Описание версий
Обучение
Глоссарий
FAQ
Загрузки
Закрыть
menu item
...
menu expand
menu expand
menu expand
menu expand
menu expand
menu expand
menu item
menu item
menu expand
menu expand
menu expand
Главная / Документация / Конвертеры конфигураций
Опции
Конвертеры конфигураций
 
Конвертер конфигураций UserGate

Скачать

GitHub

Описание

Программа предназначена для переноса конфигурации из DCFW и NGFW (версий 5, 6, 7, 8) на DCFW и NGFW (версий 5, 6, 7, 8) и МС версии 7.1 и выше.

Внимание!Программа работает в Ubuntu версии 24.04 или выше.
Обращаем ваше внимание: если вы запускаете данную программу в Ubuntu более старой версии или в другой разновидности Linux, вы делаете это на свой страх и риск. Компания UserGate в этом случае ничем вам не может помочь.

Для работы программы на зоне интерфейса, используемого для веб-косоли администратора, необходимо включить сервис xml-rpc. Если используется зона Management, то это делать не надо, так как сервис xml-rpc на интерфейсе Management включён по умолчанию. Исключением является версия 5. На ней необходимо включить данный сервис на зоне Management.

  1. Открыть веб-консоль администратора таким образом: https://<usergate_ip>:8001/?features=zone-xml-rpc
  2. В настройках нужной зоны активировать сервис "XML-RPC для управления".

Экспорт конфигурации из UG NGFW и DCFW:

  1. Скачайте архив ug_ngfw_converter.zip и распакуйте его. Файл ug_ngfw_converter сделайте исполняемым.
  2. Запустите программу ug_ngfw_converter. Программа выполняется в графической среде. В текущей директории будет создан каталог data для хранения всех выгруженных конфигураций.
  3. Выбрать пункт - Экспорт конфигурации из UG NGFW|DCFW.
  4. Далее программа попросит выбрать или ввести название каталога для экспорта конфигурации, затем появиться окно авторизации. Проверьте, что у администратора, логин которого используете, в профиле включены разрешения для API. Укажите ip-адрес NGFW/DCFW и login/пароль администратора.
  5. Можно экспортировать всю конфигурацию, только выбранную группу разделов или отдельный раздел.
  6. После экспорта проверьте вывод программы на предмет обнаруженных ошибок. Исправьте текущую конфигурацию и повторите экспорт.
  7. Можно сохранить лог в файл export.log. Файл создаётся в выбранном каталоге экспорта конфигурации.

Импорт конфигурации на NGFW и DCFW:

  1. Перед началом работы на новой версии UserGate NGFW или DCFW необходимо настроить DNS, интерфейс Untrusted (для выхода в интернет), шлюз, произвести активацию корректным ПИН-кодом. После этого дождаться обновления библиотек и списков.
  2. Запустить программу ug_ngfw_converter.
  3. Выбрать пункт - Импорт конфигурации на UG NGFW|DCFW.
  4. Программа попросит выбрать каталог для импорта конфигурации, затем появиться окно авторизации. Проверьте, что у администратора, логин которого используете, в профиле включены все разрешения для API. Укажите ip-адрес NGFW/DCFW и login/пароль администратора.
  5. Можно импортировать всю конфигурацию, только выбранную группу разделов или отдельный раздел.
  6. Если у вас используются собственные сертификаты, то перед импортом необходимо импортировать их или создать с теми же именами.
  7. Если у Вас используются сервера аутентификации (LDAP, NTLM, RADIUS, TACACS, SAML), то необходимо в первую очередь импортировать настройки DNS, затем используемые сервера аутентификации и профили аутентификации. После этого ввести пароль в серверах аутентификации, загрузить keytab-файл, если используется авторизация kerberos и проверить работу данных серверов аутентификации.
  8. Если вы импортируете конфигурацию на NGFW/DCFW/MC версии 7.1 и выше с NGFW версий 5, 6 и 7.0, не импортируются Серверные и Клиентские профили безопасности VPN. Так как в этих версиях таких профилей безопасности нет. Старые профили перенести нельзя, так как в последних версиях профили безопасности сильно изменились. Необходимо сделать соответствующие профили руками (с именами, которые используются в серверных и клиентских правилах) и затем импортировать правила.
  9. Импорт некоторых разделов конфигурации может идти долго. Не надо думать что "программа зависла". Надо дождаться окончания импорта.
  10. После импорта проверьте вывод программы на наличие сообщений, выделенных цветом. Исправьте конфигурацию в соответствие с рекомендациями.

Экспорт конфигурации из шаблона UG MC:

  1. В настоящее время это ещё находиться в разработке.

Импорт конфигурации в группу шаблонов Management Center

  1. Перед импортом в области надо создать группу шаблонов и поместить в неё необходимые шаблоны. Так как основной смысл шаблонов и групп шаблонов в переиспользовании объектов, хорошей практикой является отсутствие дублирования объектов в одинаковых разделах конфигурации шаблонов в группе шаблонов. В соответствии с этим принципом, конвертер проверяет наличие дублирования объектов во всех шаблонах группы шаблонов. При обнаружении объектов с совпадающими именами в одинаковых разделах конфигурации выводится предупреждение и для импорта будет использован первый найденный объект. Это может привести не к тому результату, который вы ожидаете. Поэтому, пожалуйста, соблюдайте правило: один объект определённого раздела конфигурации на всю группу шаблонов. Кроме того, это в будущем облегчит работу с шаблонами и группами шаблонов.
  2. Перед импортом каждого объекта происходит поиск по его имени во всех шаблонах указанной группы шаблонов. Если такой объект найден в каком то из шаблонов, то он не импортируется. При этом выдаётся соответствующее сообщение с указанием шаблона в котором объект присутствует. Шаблоны их других групп не проверяются. Это относится к объектам библиотеки, некоторым объектам раздела "Сеть" и другим объектам, которые являются общими для различных правил.
  3. В версиях меньше чем МС 7.2.0 при импорте объектов не учитывается регистр символов. То есть одинаковые имена в разных регистрах считаются одинаковыми! МС выдаёт сообщение, что такой объект уже существует и не импортирует его.
  4. В списках морфологии слова добавляются не корректно. К слову добавляется его вес через символ табуляции. Это не ошибка конвертера, а баг МС. Будет исправлен в версии МС 7.3.
  5. Если у вас используются сервера аутентификации LDAP, то необходимо настроить LDAP-коннектор в разделе "Управление областью/Каталоги пользователей" и проверить его работу. Данный LDAP-коннектор будет использоваться для поиска доменных пользователей и групп в правилах.
  6. Если вы не используете режим "Импортировать всё", а импортируете отдельные пункты раздела "Сеть", перед импортом убедитесь, что в группе шаблонов существуют необходимые интерфейсы и зоны. Они необходимы для создания subnet DHCP и VRF. Если нет интерфейсов, то subnet DHCP не будут созданы, а в VRF настройки OSPF и RIP будут не полными. В этом случае рекомендуется в первую очередь импортировать зоны, затем создать необходимые интерфейсы для будущих subnet DHCP и VRF (или сделать импорт интерфейсов) и только затем импортировать остальные пункты раздела "Сеть".
  7. При импорте сертификатов, если в каталоге сертификата присутствует приватный ключ (key.pem или key.der), то он импортируется вместе с сертификатом. Если в каталоге нет файлов cert.pem и cert.der, то генерируется новый сертификат вместе с приватным ключём на основе информации файла certificate_list.
  8. После импорта раздела UserGate/Настройки, включите синхронизацию необходимых подразделов.
  9. Если при импорте правил в шаблон МС произошли ошибки, то данное правило становиться не активным и в описание правила добавляются сообщения о произошедших ошибках. После импорта проверьте все не активные правила на предмет ошибок импорта.
  10. Правила МЭ, КФ и т.д. добавляются в конец списка правил. Это надо учитывать если вы повторно импортируете конфигурацию в шаблон после изменений в файлах json. Не меняйте имена правил, иначе правила продублируются в конец списка правил.
  11. Импорт свойств агента UserID не пройдёт, если вы экспортировали их конвертером версии 3.1 и ниже.
  12. Пока НЕ ИМПОРТИРУЕТСЯ раздел "Библиотеки/Syslog фильтры агента UserID" - так как пока не работает соответсвующий API.
  13. Если вы импортируете конфигурацию на MC с NGFW версий 5, 6 и 7.0, не импортируются Серверные и Клиентские профили безопасности VPN. Так как в этих версиях таких профилей безопасности нет. Старые профили перенести нельзя, так как в последних версиях профили безопасности сильно изменились. Необходимо сделать соответствующие профили руками (с именами, которые используются в серверных и клиентских правилах) и затем импортировать правила.

Ограничения:

  1. Экспортируются настройки всех интерфесов, но на NGFW/DCFW импортируются только интерфейсы VLAN, VPN и Tunnel. Все остальные надо будет сделать руками. В шаблоны МС импортируются все интерфейсы.
  2. На версиях 6 и меньше 7.1.1 нельзя добавить более 8 полос пропускания в библиотеку. При добавлении большего количества получим ошибку.
  3. На NGFW/DCFW настройки VRF в кластерной конфигурации не импортируются.
  4. Для версии 5:
    4.1. Если вы делаете экспорт из версии 5, то выгрузка из правил доменных пользователей и доменных групп для дальнейшего переноса возможна только при использовании версии UTM равной 5.0.6.4973. Если у вас версия 4825, поставьте update до версии 4973, который можно запросить в техподдержке UG.
    Не используйте версию 4973 для работы в боевом режиме. Она предназначена только для экспорта конфигурации.
    4.2. При экспорте Captive-профилей, не экспортируются дата и время окончания регистрации гостевых пользователей.
    4.3. Нельзя сделать экспорт/импорт терминальных серверов.
    4.4. На версию 5 не импортируются VLAN-ы, Маршруты, OSPF, BGP.
    4.5. При импорте с версий 7.0 и выше не переносятся группы сервисов, так как в версии 5 группы сервисов не поддерживаются.
    4.6. На версию 5 не возможно импортировать содержимое календарей. Содержимое надо добавить руками.
    4.7. На версию 5 не возможно импортировать содержимое URL категорий. Содержимое надо добавить руками.
    4.8. Импорт профилей СОВ на версию 5 не поддерживается.
    4.9. При импорте правил SNMP с версии 7.1, правила v.3 импортируются как v.2
  5. Для версии 6:
    5.1. Конвертер не работает с UG NGFW версии 6 если она старее 6.1.7. В этом случае обновитесь до последней версии 6.
    5.2. При импорте с версий 7.0 и выше не переносятся группы сервисов, так как в версии 6 группы сервисов не поддерживаются.
    5.3. Импорт профилей СОВ версии 7.1 и выше на версию 6 не поддерживается.
    5.4. При импорте правил SNMP с версии 7.1, правила v.3 импортируются как v.2
  6. Для версии 7.0:
    6.1. При импорте с более старых версий в правила не переносятся отдельные приложения т.к. в этой версии разрешены только группы приложений и категории приложений.
    6.2. Импорт профилей СОВ версии 7.1 и выше на версию 7.0 не поддерживается.
    6.3. При импорте правил SNMP с версии 7.1, правила v.3 импортируются как v.2
  7. Для версии 7.1:
    7.1. При импорте с более старых версий в правила не переносятся приложения, группы приложений и категории приложений т.к. в этой версии используются профили приложенй.
    7.2. Импорт профилей СОВ более старых версии не поддерживается.
    7.3. При импорте правил SNMP с более старых версий, правила v.3 импортируются как v.2
  8. Для версии 8.0:
    8.1. В библиотеку не импортируются HIP объекты и HIP профили.

Примечание:

  1. Если вы импортируете конфигурацию на версию 7, то имена групп, серверов аутентификации, различных профилей, правил, всех списков библиотеки и всего-всего должны быть ТОЛЬКО в английском регистре. Русские буквы допустимы только в описании. Перед экспортом, замените русские символы в именах на английские.
  2. Начиная с версии 7.1 в именах запрещены многие спец.символы. При экспорте с любой версии будет произведено их удаление.
  3. Имена всех объектов не должны превышать длину в 64 символа. Если имя содержит более 64 символов, то такой объект не импортируется.
  4. После импорта профилей администраторов, необходимо проверить доступ к разделам, так как в версии 6 и 7 были добавлены новые разделы. При импорте доступ к разделам не меняется и, следовательно, доступ к новым разделам не предоставляется. Профили с русскими именами не переносятся в версию 7 (в ней запрещены русские имена). Перед экспортом, замените имена профилей на английские.
  5. Если существуют правила МЭ с одинаковыми именами, то при конвертации к имени такого правило добавляется номер, что бы имена были уникальными.
  6. Пробелы в начале и конце имён правил, списков и т.д. при конвертации удаляются.
  7. При экспорте списков IP-адресов типа "10.10.10.0/24" такой список сохраняется в файл "10.10.10.0_24" так как при переносе каждый список записывается в отдельный файл, а в файловой системе Linux прямой слэш является разделителем пути к файлу. Имя самого списка не меняется.
  8. После импорта настроек BGP в свойсвах каждого из bgp-соседей надо заново ввести пароль.
  9. Если вы сделали экспорт с кластера NGFW, то в файле конфигурации будут настройки VRF с каждого узла кластера с одинаковыми именами. В этом случае VRF с дублирующими именами не будут импортированы. Конвертер не поддерживает кластерную конфигурацию при импорте.
  10. Никакие пароли (локальных пользователей, PPPoE, VPN, серверов аутентификации и т.д.) не переносятся. Необходимо заново вручную ввести пароль. Это ограничение API - невозможно выгрузить парольную информацию.
  11. При импорте интерфейсов VLAN им прописываются IP-адреса из сохранённой конфигурации. Необходимо проследить, чтобы не было конфликта IP-адресов. В общем случае можно в файле выгруженной конфигурации data/Network/Interfaces/config_interfaces.json поменять ip-адрес на каждом интерфейсе.
  12. Раздел Библиотеки "Профили СОВ" для версий меньше 7.1: не импортируются сигнатуры профилей СОВ так как в разных версиях структура и состав сигнатур кардинально меняется. Для версии 7.1 и выше экспортируются/импортируются пользовательские сигнатуры.
  13. Сертификаты экспортируются, но импорт возможен только в шаблон МС. На NGFW/DCFW пока импорт не реализован. Если используется сертификат по умолчанию для SSL инспектирования (CA Default), то необходимо обновить его у всех пользователей. Если вы используете собственные сертификаты, необходимо загрузить и сконфигурировать их заново.
  14. Правила экспорта настроек на сервера FTP, SSH пока не переносятся. Это надо сделать руками.
  15. При экспорте шаблонов страниц библиотеки выгружается файл HTML только изменённых страниц шаблона.
  16. При импорте, правила МЭ, КФ и т.д. добавляются в конец списка правил. Если правило уже существует, то оно обновляется и его порядковый номер не меняется. Это надо учитывать, если вы повторно импортируете конфигурацию после изменения в файлах json. Не меняйте имена правил, иначе правила продублируются в конец списка правил.
  17. Если при импорте правил произошли ошибки, то данное правило становиться не активным и в описание правила добавляются сообщения о произошедших ошибках. После импорта проверьте все не активные правила на предмет ошибок импорта.
  18. Если вы обнаружили ошибку в программе или у вас что то не получается, пожалуйста, откройте тикет в тех.поддержку компании UserGate.

Errors:

  1. На ПК с видеокартами NVIDIA возможна ошибка: "libEGL warning: failed to create dri2 screen"
    В этом случае необходимо:

    1. sudo apt-get install libnvidia-egl-wayland1
    2. Перезагрузить компьютер.

  2. На виртуальных машинах возможна ошибка: "libEGL.so.1: cannot open shared object file: No such file or directory"
    Может помочь: apt update && apt install -y libopencv-dev && apt clean && rm -rf /var/lib/apt/lists/*

Просмотреть как статью
к началу
Универсальный конвертер

Скачать

GitHub

Описание

Программа предназначена для переноса конфигурации с Cisco ASA, Cisco FPR, Check Point, Fortigate, Huawei, MikroTik на NGFW (версий 5, 6, 7, 8), DCFW и Management Center версии 7.1 и выше.

Программа работает в Ubuntu версии 24.04 или выше.
Обращаем ваше внимание: если вы запускаете данную программу в Ubuntu более старой версии или в другой разновидности Linux, вы делаете это на свой страх и риск. Компания UserGate в этом случае ничем вам не может помочь.

Для работы программы на зоне интерфейса, используемого для веб-косоли администратора, необходимо включить сервис xml-rpc. Если используется зона Management, то это делать не надо, так как сервис xml-rpc на интерфейсе Management включён по умолчанию. Исключением является версия 5. На ней необходимо включить данный сервис на зоне Management.

  1. Открыть веб-консоль администратора таким образом: https://<usergate_ip>:8001/?features=zone-xml-rpc
  2. В настройках нужной зоны активировать сервис "XML-RPC для управления".

Экспорт конфигурации:

  1. Скачайте архив universal_converter.zip и распакуйте его. Файл universal_converter сделайте исполняемым.
  2. Запустите программу universal_converter. Программа выполняется в графической среде. В текущей директории будут созданы каталоги для хранения всех выгруженных конфигураций и каталоги для конфигураций всех вендоров.
  3. Выбрать пункт - Экспорт конфигурации.
  4. Далее выберите вердора, конфигурацию которого экспортируете, и нажмите кнопку "Экспорт".
  5. Появиться окно, в котором необходимо указать каталог для экспортируемой конфигурации и каталог, куда будут помещены файлы экспортированной конфигурации в формате UserGate NGFW. После этого данные каталоги будут созданы.
  6. После экспорта проверьте вывод программы на предмет обнаруженных ошибок.
  7. Можно сохранить лог экспорта в файл export.log. Файл создаётся в выбранном каталоге экспорта конфигурации.
  8. Для Cisco ASA:
    8.1. Переименуйте файл конфигурации Cisco ASA в cisco_asa.cfg и скопируйте его в каталог data_cisco_asa/<имя_которое_вы_задали_на_предыдущем_шаге>
  9. Для Cisco FPR:
    9.1. Переименуйте файл конфигурации Cisco FPR в cisco_fpr.cfg и скопируйте его в каталог data_cisco_fpr/<имя_которое_вы_задали_на_предыдущем_шаге>
  10. Для Check Point:
    10.1. Выгрузите конфигурацию Check Point show package
    10.2. Разархивируйте полученный файл и скопируйте все файлы в каталог data_checkpoint/<имя_которое_вы_задали_на_предыдущем_шаге>.
    10.3. Запустите на CheckPoint команду save configuration config_cp.txt
    10.4. Файл config_cp.txt поместите в тот же каталог: data_checkpoint/<имя_которое_вы_задали_на_предыдущем_шаге>.
  11. Для Fortigate:
    11.1. Переименуйте файл конфигурации Fortigate в fortigate.cfg и скопируйте его в каталог data_fortigate/<имя_которое_вы_задали_на_предыдущем_шаге>
  12. Для Huawei:
    12.1. Переименуйте файл конфигурации Huawei в huawei.cfg и скопируйте его в каталог data_huawei/<имя_которое_вы_задали_на_предыдущем_шаге>
  13. Для MikroTik:
    13.1. Переименуйте файл конфигурации MikroTic в mikrotik.cfg и скопируйте его в каталог data_mikrotik/<имя_которое_вы_задали_на_предыдущем_шаге>

Импорт конфигурации:

  1. Можно импортировать всю конфигурацию, только выбранную группу разделов или отдельный раздел. Если вы не импортируете всё сразу в пакетном режиме, сначала импортируйте содержимое библиотеки, локальных пользователей и группы пользователей и только затем нужные разделы конфигурации.
  2. Если у вас используются собственные сертификаты, то перед импортом необходимо импортировать их или создать с теми же именами.
  3. После импорта проверьте вывод программы на наличие сообщений, выделенных цветом. Исправьте конфигурацию в соответствие с рекомендациями.
  4. Можно сохранить лог импорта в файл import.log. Файл создаётся в выбранном каталоге импорта конфигурации.

Импорт конфигурации на UG NGFW и DCFW:

  1. Перед началом работы на новой версии UserGate NGFW или DCFW необходимо настроить DNS, интерфейс Untrusted (для выхода в интернет), шлюз, произвести активацию корректным ПИН-кодом. После этого дождаться обновления библиотек и списков.
  2. Запустить программу universal_converter.
  3. Выбрать пункт - Импорт конфигурации на UG NGFW|DCFW.
  4. Программа попросит выбрать каталог для импорта конфигурации, затем появиться окно авторизации. Проверьте, что у администратора, логин которого используете, в профиле включены все разрешения для API. Укажите ip-адрес NGFW/DCFW и login/пароль администратора.
  5. Можно импортировать всю конфигурацию, только выбранную группу разделов или отдельный раздел.
  6. Перед импортом убедитесь, что в на NGFW/DCFW существуют необходимые зоны зоны. Они необходимы для корректного создания VLAN, subnet DHCP и VRF. Рекомендуется в первую очередь импортировать зоны, и только затем импортировать всё.
  7. Если у Вас используются сервера аутентификации (LDAP, NTLM, RADIUS, TACACS, SAML), то необходимо в первую очередь импортировать настройки DNS, затем используемые сервера аутентификации и профили аутентификации. После этого ввести пароль в серверах аутентификации, загрузить keytab-файл, если используется авторизация kerberos и проверить работу данных серверов аутентификации.
  8. Импорт некоторых разделов конфигурации может идти долго. Не надо думать что "программа зависла". Надо дождаться окончания импорта.
  9. Импорт на версию UG NGFW 5:
    8.1. На версию 5 не импортируются VLAN-ы, Маршруты, OSPF, BGP.
    8.2. При импорте не переносятся группы сервисов и IP-адресов, так как в версии 5 группы не поддерживаются.
    8.3. На версию 5 не возможно импортировать содержимое календарей. Содержимое надо добавить руками.
    8.4. На версию 5 не возможно импортировать содержимое URL категорий. Содержимое надо добавить руками.
  10. Импорт на версию UG NGFW 6:
    9.1. Конвертер не работает с UG NGFW версии 6 если она старее 6.1.7. В этом случае обновитесь до последней версии 6.
    9.2. При импорте не переносятся группы сервисов и IP-адресов, так как в версии 6 группы не поддерживаются.

Импорт конфигурации в группу шаблонов Management Center:

  1. Перед импортом в области надо создать группу шаблонов и поместить в неё необходимые шаблоны. Так как основной смысл шаблонов в группе шаблонов в переиспользовании объектов, хорошей практикой является отсутствие дублирования объектов в одинаковых разделах конфигурации шаблонов в группе шаблонов. В соответствии с этим принципом, конвертер проверяет наличие дублирования объектов во всех шаблонах группы шаблонов. При обнаружении объектов с совпадающими именами в одинаковых разделах конфигурации, выводится предупреждение и для импорта будет использован первый найденный объект. Это может привести не к тому результату, который вы ожидаете. Поэтому, пожалуйста, соблюдайте правило: один объект с уникальным именем в определённом разделе конфигурации на всю группу шаблонов. Кроме этого, это в будущем облегчит работу с шаблонами и группами шаблонов.
  2. Перед импортом каждого объекта происходит поиск его по имени во всех шаблонах указанной группы шаблонов. Если такой объект найден в каком то из шаблонов, то он не импортируется. При этом выдаётся соответствующее сообщение с указанием шаблона в котором объект присутствует. Шаблоны других групп не проверяются. Это относится к объектам библиотеки, некоторым объектам раздела "Сеть" и другим объектам, которые являются общими для различных правил.
  3. В версии МС меньше чем 7.2 при импорте объектов не учитывается регистр символов. То есть одинаковые имена в разных регистрах считаются одинаковыми! МС выдаёт сообщение, что такой объект уже существует и не импортирует его.
  4. Если у Вас используются сервера аутентификации (LDAP, NTLM, SAML), то необходимо настроить LDAP-коннектор в разделе "Управление областью/Каталоги пользователей" и проверить его работу. Данный LDAP-коннектор будет использоваться для поиска доменных пользователей и групп в правилах.
  5. Перед импортом убедитесь, что в шаблоне Management Center существуют интерфейсы и зоны. Они необходимы для создания VLAN, subnet DHCP. Если нет интерфейсов то VLAN и subnet DHCP не будут созданы. Рекомендуется в первую очередь импортировать зоны, затем создать необходимые интерфейсы для будущих VLAN, шлюзов, subnet DHCP и VRF и только затем импортировать всё.
  6. После импорта раздела UserGate/Настройки включите синхронизацию необходимых подразделов.
  7. Если при импорте правила в шаблон МС произошли ошибки, то данное правило становится не активным и в описание правила добавляются сообщения о произошедших ошибках. После импорта проверьте все не активные правила на предмет ошибок импорта.
  8. Правила МЭ, КФ и т.д. добавляются в конец списка правил. Это надо учитывать если вы повторно импортируете конфигурацию в шаблон после изменений в файлах json. Не меняйте имена правил, иначе правила продублируются в конец списка правил.
  9. Не следует импортировать конфигурацию, полученную с UserGate NGFW. В этом конвертере импорт некоторых разделов реализован иначе.

Ограничения:

  1. Импортируются только интерфейсы VLAN и Tunnel. Все остальные интерфейсы надо будет настроить руками.
  2. В версиях 6 и 7.0 нельзя добавить более 8 полос пропускания в библиотеку. При добавлении большего количества получим ошибку.
  3. Экспорт с Cisco ASA:
    3.1. Переносятся настройки:
- Модули                            - "UserGate/Настойки/Модули"
- Часовой пояс                      - "UserGate/Настройки/Настройки интерфейса/Часовой пояс"
- Настройка NTP                     - "UserGate/Настройки/Настройка времени сервера"
- Списки IP-адресов                 - "Библиотеки/IP-адреса"
- Списки URL                        - "Библиотеки/Списки URL"
- Сервисы                           - "Библиотеки/Сервисы"
- Группы сервисов                   - "Библиотеки/Группы сервисов"
- Временные интервалы               - "Библиотеки/Календари"
- Локальные Пользователи            - "Пользователи и устройства/Пользователи"
- Локальные группы пользователей    - "Пользователи и устройства/Группы"
- Radis, Tacacs+, LDAP              - "Пользователи и устройства/Серверы аутентификации"
- Зоны                              - "Сеть/Зоны"
- Интерфейсы VLAN                   - "Сеть/Интерфейсы"
- Шлюзы                             - "Сеть/Шлюзы"
- DHCP                              - "Сеть/DHCP"
- Системные DNS                     - "Сеть/DNS/Системные DNS-серверы"
- Правила DNS                       - "Сеть/DNS/DNS-прокси/Правила DNS"
- Статические записи DNS            - "Сеть/DNS/DNS-прокси/Статические записи"
- Статические маршруты              - "Сеть/Виртуальные маршрутизаторы/Статические маршруты"
- Access-lists                      - "Политики сети/Межсетевой экран"
- NAT, DNAT, Port-форвардинг        - "Политики сети/NAT и маршрутизация"
- Webtype ACLs                      - "Политики безопасности/Фильтрация контента"

3.2. Если на Cisco ASA в настройках подключения к AD Windows использовались криптографические пароли, то после конвертации серверов аутентификации LDAP необходимо в настройках соответствующего LDAP-адаптера ввести необходимый логин/пароль для коннектора. Если нет, то LDAP-коннектор сразу автоматически подключается к контроллеру домена. Проверьте работу LDAP-коннекторов, отключите лишние. Это важно для импорта правил, если в них используются доменные пользователи и группы.
3.3. При импорте, интерфейсы VLAN получают IP-адреса из конфигурации Cisco ASA. Проследите, чтобы не было конфликта IP-адресов в ваших сетях.
3.4. Интерфейсы VLAN после импорта находятся в неактивированном состоянии. Вам необходимо проверить все VLAN, по необходимости откорректировать их, удалить ненужные и добавить необходимые. После этого включить и проверить их работу.
3.5. При импорте локальных пользователей, пароли не переносятся. Вам надо вручную задать пароли для всех пользователей или настроить авторизацию по IP/MAC/VLAN.
3.6. При импорте локальных пользователей, тире и пробел в логине заменяются на символ подчёркивания. Точка, прямой и обратный слеши убираются.
3.7. Доменные группы из Local User Groups не переосятся, так как на NGFW нельзя задать доменные группы в локальных группах.
3.8. При конвертации access-list не активные ACE пропускаются. Так же пропускаются access-list не привязанные к интерфейсу.
3.9. ACE for Security-Based Matching (Cisco TrustSec) не конвертируются, так как данная технология отсутствует на UG NGFW. Поэтому security-group и object-group-security не обрабатываются и ACE с их использованием не обрабатываются (пропускаются).
3.10. После конвертации access листов в правила межсетевого экрана UG NGFW, межсетевой экран будет работать ожидаемо не так как это происходило на Cisco ASA. В UG NGFW межсетевой экран оперирует зонами, которые присваиваются определённым интерфейсам. Кроме того правила NAT и DNAT не требуют создания правил МЭ, так как сами создают скрытые, необходимые для работы, правила МЭ. Поэтому дополнительно разрешать данный трафик нет необходимости и соответствующие правила МЭ надо удалить.
3.11. EtherType ACLs не поддерживаются.
3.12. Standard ACLs не конвертируются. Необходмио создать соответствующие разрешения в протоколах маршрутизации виртуальных маршрутизаторов.
3.13. ACE for URL Matching - данный тип преобразуется в правила контентной фильтрации. В связи с этим не поддерживаются протоколы: cifs://, citrix://, citrixs://, imap4://, nfs://, pop3://, smart-tunnel://, smtp://. Конвертируются только ACE с типом протокола http://, https:// и ftp://. Так же не поддерживается wildcards в протоколах, например htt* или *://example.com и символы "?" и квадратные скобки []. Для неподдерживаемых в правилах контентной фильтрации протоколов необходимо создать соответствующие правила МЭ.
3.14. Если были импортированы правил фильтрации контента, обязательно проверьте импортированные правила. Отредактируйте их, укажите зоны и адреса источника/назначения, пользователей и другие параметры.
3.15. Если вы делаете импорт не всей конфигурации, то необходимо учитывать, что разделы конфигурации взаимосвязаны друг с другом. Поэтому импорт определённого раздела пройдёт без ошибок только если ранее был выполнен импорт всех предыдущих пунктов этого меню. Необходимо в первую очередь импортировать Библиотеку и затем импортировать разделы с первого до последнего, проверяя сообщения каждого раздела на предмет ошибок.
3.16. Некоторые правила NAT (static) не будут конвертированы, так как идеология данных правил на UG NGFW отличается от Cisco. Вам необходимо проверить все правила, изменить существующие и создать недостающие.
3.17. В общем случае, UG NGFW обладает гораздо большими возможностями по управлению трафиком чем Cisco ASA. Поэтому рекомендуется настроить SSL инспектирование, правила фильтрации контента и веб-безопасности, СОВ, защиту почтового трафика и DoS, а так же использовать другие возможности, предоставляемые данным решением.
4. Экспорт с Cisco FPR:
4.1. Переносятся настройки:

- Зоны                    - "Сеть/Зоны"
- Интерфейсы VLAN         - "Сеть/Интерфейсы"
- Настройки шлюзов        - "Сеть/Шлюзы"
- Системные DNS           - "Сеть/DNS/Системные DNS-серверы"
- Правила DNS             - "Сеть/DNS/DNS-прокси/Правила DNS"
- DHCP-relay              - на интерфейсах VLAN
- Статические маршруты    - "Сеть/Виртуальные маршрутизаторы"
- Списки IP-адресов       - "Библиотеки/IP-адреса"
- Списки URL              - "Библиотеки/Списки URL"
- Сервисы                 - "Библиотеки/Сервисы"
- Группы сетевых сервисов - "Библиотеки/Группы сервисов"
- Access-lists            - "Политики сети/ Межсетевой экран"
- Временные интервалы     - "Библиотеки/Календари"
  1. Экспорт с Fortigate:
    5.1. При экспорте сервисов, поля "iprange" и "fqdn" не переносятся так как не поддерживаются в UG NGFW.
    5.2. При экспорте групп пользователей, доменные пользователи не переносятся так как не известно к какому домену они относятся.
    5.3. Если имя правила МЭ состоит из одних спец.символов (например "-----"), то оно заменяется на порядковый номер, так как спец.символы запрещены в именах правил. В случае других правил, генерируется произвольный код. В описание правила добавляется соответствущее сообщение.
    5.4. Правила NAT не переносятся так как идеология натирования в UG NGFW очень сильно отличается от Fortigate.
    5.5. Правила раздела "config firewall vip" конвертируются в правила DNAT, Порт-форвардинга и балансировки нагрузки. Если в этих правилах использовались сертификаты, после импорта надо удалить соответствующие правила балансировки нагрузки и в ручную создать правила reverse-прокси, предварительно загрузив необходимые сертификаты.
    5.6. Если в правиле порт-форвардинга из раздела "config firewall vip" в полях "extport" или "mappedport" используется диапазон портов, то такое правило преобразуется в правило DNAT, так как диапазоны портов не допустимы в правилах порт-форвардинга UserGate.
    5.7. После импорта настроек BGP необходимо в настройках каждого BGP-соседа установить параметры "in/out" в соответствующих фильтрах BGP-соседей и Routemaps, так как данные параметры невозможно установить посредством API.
    5.8. После импорта правил межсетевого экрана необходимо в каждом правиле указать зоны источника/назначения. Создайте необходимое количество зон и присвойте соответствующую зону каждому интерфейсу.
    5.9. Если были импортированы правила балансировки нагрузки и DNAT, укажите в каждом правиле необходимые зоны.
    5.10. Переносятся настройки:
- Интерфейсы VLAN                       - "Сеть/Интерфейсы"
- Настройки DNS                         - "Сеть/DNS"
- Настройки шлюзов                      - "Сеть/Шлюзы"
- Настройки DHCP subnets                - "Сеть/DHCP"
- Статические маршруты                  - "Сеть/Виртуальные маршрутизаторы"
- Настройки BGP                         - "Сеть/Виртуальные маршрутизаторы"
- Настройки NTP                         - "UserGate/Настройки/Настройки времени сервера"
- Серверы аутентификации (LDAP, RADIUS) - "Пользователи и устройства/Серверы аутентификации"
- Группы пользователей                  - "Пользователи и устройства/Группы"
- Локальные пользователи                - "Пользователи и устройства/Пользователи"
- Правила межсетевого экрана            - "Политики сети/Межсетевой экран"
- Правила DNAT и Порт-форвардинга       - "Политики сети/NAT и маршрутизация"
- Правила балансировки нагрузки         - "Политики сети/Балансировка нагрузки"
- Правила пропускной способности        - "Политики сети/Пропускная способность"
- Ресурсы веб-портала                   - "Глобальный портал/Веб-портал"
- Списки IP-адресов                     - "Библиотеки/IP-адреса"
- Списки групп IP-адресов               - "Библиотеки/IP-адреса"
- Списки URL                            - "Библиотеки/Списки URL"
- Сетевые сервисы                       - "Библиотеки/Сервисы"
- Группы сетевых сервисов               - "Библиотеки/Группы сервисов"
- Полосы пропускания                    - "Библиотеки/Полосы пропускания"
- Почтовые адреса                       - "Библиотеки/Почтовые адреса"
- Профили оповещений                    - "Библиотеки/Профили оповещений"
- Временные интервалы                   - "Библиотеки/Календари"
  1. Экспорт с Check Point:
    6.1. Настройки arp-proxy не переносятся, так как идеология данного функционала на UG NGFW отличается от CheckPoint. Если необходимо, настройте arp-proxy на интерфейсах через CLI.
    6.2. Настройки протоколов динамической маршрутизации (ospf, bgp) не переносятся. Необходимо настроить их на NGFW заново руками.
    6.3. Адреса IPV6 не поддерживаются. Поэтому объекты host, network с такими адресами не переносятся.
    6.4. Длина имени IP или URL листов недолжна превышать максимально допустимую длину имени файла в Linux (т.е. 255 байт). При превышении такой список не конвертируется и не будет использован в правилах.
    6.5. У всех объектов конфигурации CheckPoint должны быть имена. Если у объекта нет имени, при импорте ему присвоится автоматически сгенерированное имя (например b2d0ddf1d78).
    6.6. Если в access-role имена пользователей указаны русскими буквами и не указан email, то такие пользователи не конвертируются и не будут использованы в правилах.
    6.7. Access-rule могут конвертироваться в 2 правила (МЭ и КФ). Если в access-rule используются сервисы и/или приложения, то правило попадает в раздел "Политики сети/Межсетевой экран". Если в access-rule используются URL и/или Категории URL, то создаётся правило в разделе "Политики безопасности/Фильтрация контента".
    6.8. Если сервис из access-rule трансформировался в категории URL и список URL в правиле контентной фильтрации, то правило сработает только при совпадении этих 2-х условий (логическое "И"). То есть правило будет работать не так как на CheckPoint, где это логическое "ИЛИ". В этом случае получившееся правило КФ надо разбить на два (в первом использовать категории URL, во втором список URL).
    6.9. Перед импортом создайте на UG NGFW необходимое количество зон, так как при импорте VLAN надо будет указать зону для каждого интерфейса.
    6.10. Переносятся настройки:
- Часовой пояс                          - "UserGate/Настройки/Часовой пояс"
- Настройки NTP                         - "UserGate/Настройки/Настройки времени сервера"
- Зоны                                  - "Сеть/Зоны"
- Интерфейсы VLAN                       - "Сеть/Интерфейсы"
- Настройки DNS                         - "Сеть/DNS"
- Настройки шлюзов                      - "Сеть/Шлюзы"
- Статические маршруты                  - "Сеть/Виртуальные маршрутизаторы"
- Сетевые сервисы                       - "Библиотеки/Сервисы"
- Группы сетевых сервисов               - "Библиотеки/Группы сервисов"
- Списки IP-адресов и групп IP-адресов  - "Библиотеки/IP-адреса"
- Списки URL                            - "Библиотеки/Списки URL"
- Группы URL категорий                  - "Библиотеки/Категории URL"
- Группы приложений                     - "Библиотеки/Группы приложений"
- Календари                             - "Библиотеки/Календари"
- Правила межсетевого экрана            - "Политики сети/Межсетевой экран"
- Правила контентной фильтрации         - "Политики безопасности/Фильтрация контента"
  1. Экспорт с Huawei:
    7.1. При экспорте правил security-policy, geo-location с обозначениями стран не переносятся. После импорта на UG NGFW в соответствующих правилах межсетевого экрана необходимо руками указать нужные настройки GeoIP. Переносятся только настройки "geo-location user-defined".
    7.2. При экспорте правил security-policy, profile не конвертируются.
    7.3. При экспорте правил traffic-policy, указанные интерфейсы не конвертируются. После импорта на UG NGFW в соответствующих правилах пропускной способности необходимо указать зоны, соответствующие нужным интерфейсам.
    7.4. Правила policy-based-route не переносятся, так как в UG NGFW используется другая идеология для построения правил ПБР. В общем случае данные правила Huawei заменяются правилами статических маршрутов и общим правилом NAT из входящей зоны в исходящую.
    7.5. Правила МЭ и NAT/DNAT после импорта находятся в неактивном состоянии. Проверьте их и внесите необходимые изменения. На UserGate NGFW идеология применения правил NAT отличается от Huawei. Обычно создаются общие правила NAT между зонами, более детальный доступ настраивается правилами межсетевого экрана. Рекомендуется придерживаться данной стратегии.
    7.6. Переносятся настройки:
- Часовой пояс                          - "UserGate/Настройки/Часовой пояс"
- Зоны                                  - "Сеть/Зоны"
- Интерфейсы VLAN                       - "Сеть/Интерфейсы"
- Настройки DNS                         - "Сеть/DNS"
- Настройки шлюзов                      - "Сеть/Шлюзы"
- Статические маршруты                  - "Сеть/Виртуальные маршрутизаторы"
- Правила межсетевого экрана            - "Политики сети/Межсетевой экран"
- Правила NAT/DNAT                      - "Политики сети/NAT и маршрутизация" 
- Правила пропускной способности        - "Политики сети/Пропускная способность"
- Почтовые адреса                       - "Библиотеки/Почтовые адреса"
- Профили оповещений                    - "Библиотеки/Профили оповещений"
- Сетевые сервисы                       - "Библиотеки/Сервисы"
- Списки IP-адресов                     - "Библиотеки/IP-адреса"
- Списки групп IP-адресов               - "Библиотеки/IP-адреса"
- Списки URL                            - "Библиотеки/Списки URL"
- Временные интервалы                   - "Библиотеки/Календари"
- Полосы пропускания                    - "Библиотеки/Полосы пропускания"
  1. Экспорт с MikroTik:
    8.1. При экспорте интерфейсов VLAN IP-адреса разных VLAN не должны принадлежать одной подсети. Это ограничение UserGate NGFW.
    8.2. После импорта шлюзов, для каждого шлюза укажите соответствующий порт.
    8.3. Правила МЭ со статусом "disabled" не переносятся.
    8.4. Правила МЭ с сервисами, отсутствующими на UG NGFW не переносятся.
    8.5. Если правила МЭ не содержат dst-address или src-address и назначены на конкретный интерфейс, то такие правила не переносятся. Для конвертации таких правил, назначьте в "interface list" имена и присвойте соответствующие имена интерфейсам.
    8.6. После конвертации, скорее всего, некоторые правила МЭ будут дублироваться. Это связано с идеологией построения правил МЭ на UG NGFW, которая отличается от низкоуровневого построения правил на MikroTik. После импорта Проверьте все правила, откорректируйте их, удалите дубликаты и включите нужные.
    8.7. Правила NAT не переносятся, так как идеология применения таких правил UG NGFW сильно отличается от MikroTik.
    8.8. Переносятся правила "netmap" с chain "dstnat". Такие правила конвертируются в правила DNAT и Port/Forwarding.
    8.9. Правила DNAT со статусом "disabled" не переносятся.
    8.10. Переносятся настройки:
- Часовой пояс                          - "UserGate/Настройки/Часовой пояс"
- Настройки NTP                         - "UserGate/Настройки/Настройки времени сервера"
- Зоны                                  - "Сеть/Зоны"
- Интерфейсы IP-IP                      - "Сеть/Интерфейсы"
- Интерфейсы VLAN                       - "Сеть/Интерфейсы"
- Настройки шлюзов                      - "Сеть/Шлюзы"
- DHCP                                  - "Сеть/DHCP"
- Системные DNS-серверы                 - "Сеть/DNS/Системные DNS-серверы"
- Статические записи DNS                - "Сеть/DNS/Статические записи"
- Статические маршруты                  - "Сеть/Виртуальные маршрутизаторы"
- Списки IP-адресов                     - "Библиотеки/IP-адреса"
- Сетевые сервисы                       - "Библиотеки/Сервисы"
- Правила межсетевого экрана            - "Политики сети/Межсетевой экран"
- Правила DNAT/PortForwarding           - "Политики сети/NAT и маршрутизация"

Примечание:

  1. Если вы импортируете конфигурацию на версию 7, то имена групп, серверов аутентификации, различных профилей, правил, всех списков библиотеки и всего-всего должны быть ТОЛЬКО в английском регистре. Специальные символы так же запрещены. Разрешаеться использовать только символы: "(", ")", "+", "-", "_", "." если они не являются первым симоволом имени. Русские буквы допустимы только в описании. Перед экспортом, замените русские символы в именах на английские.
  2. Начиная с версии 7.1 в именах запрещены многие спец.символы. При экспорте с любой версии будет произведено их удаление.
  3. Если существуют правила МЭ с одинаковыми именами, то при конвертации к имени такого правило добавляется номер, что бы имена были уникальными.
  4. Пробелы в начале и конце имён правил, списков и т.д. при конвертации удаляются.
  5. При экспорте списков IP-адресов типа "10.10.10.0/24" такой список сохраняется в файл "10.10.10.0_24" так как при переносе каждый список записывается в отдельный файл, а в файловой системе Linux прямой слэш является разделителем пути к файлу. Имя самого списка не меняется.
  6. Никакие пароли (локальных пользователей, VPN, серверов аутентификации и т.д.) не переносятся. Необходимо заново вручную ввести пароль. Это ограничение API - невозможно выгрузить парольную информацию.
  7. При импорте интерфейсов VLAN им прописываются IP-адреса из сохранённой конфигурации. Необходимо проследить, чтобы не было конфликта IP-адресов. В общем случае можно в файле выгруженной конфигурации data_usergate/.../Network/Interfaces/config_interfaces.json поменять ip-адрес на каждом интерфейсе.
  8. Сертификаты не экспортируются. Если вы используете собственные сертификаты, необходимо загрузить и сконфигурировать их.
  9. После переноса конфигурации, устройству UserGate NGFW/DCFW требуется время для компиляции списков сервисов, ip-листов, правил межсетевого экрана и т.д.. Во время этого процесса веб-консоль может быть недоступна некоторое время, так как данный процесс требует значительных вычислительных затрат. Время зависит от количества правил, объёма списков и мощности устройства. Необходимо дождаться завершения процесса.
  10. После конвертации сторонней конфигурации на UserGate, UserGate NGFW/DCFW скорее всего будет работать не совсем так как вы возможно ожидали. Это связано с несколько разной идеологией в архитектуре устройств, построении правил, отличающимися категориями URL, разным набором приложений и принципом работы с сигнатурами приложений и СОВ. Обязательно тщательно протестируйте все правила и при необходимости скорректируйте их.
  11. Если вы обнаружили ошибку в программе или у вас что то не получается, пожалуйста, откройте тикет в тех.поддержку компании UserGate.

Errors:

  1. На ПК с видеокартами NVIDIA возможна ошибка: "libEGL warning: egl: failed to create dri2 screen"
    В этом случае необходимо:

    1. sudo apt-get install libnvidia-egl-wayland1
    2. Перезагрузить компьютер.

  2. На виртуальных машинах возможна ошибка: "libEGL.so.1: cannot open shared object file: No such file or directory"
    Может помочь: apt update && apt install -y libopencv-dev && apt clean && rm -rf /var/lib/apt/lists/*

Просмотреть как статью
к началу
О компании
Продукты
Поддержка
Техническая документация
Условия использования
Конфиденциальность
Copyright © 2001–2024 UserGate, Powered by KBPublisher