Скачать

Исходные коды: GitHub

Исполняемый файл: https://dropbox.usergate.com/index.php/s/rMi6SkBwPKMRQJg

Описание

Программа предназначена для переноса конфигурации из DCFW и NGFW (версий 5, 6, 7) на DCFW и NGFW (версий 5, 6, 7) и МС версии 7.1 и выше.

Для работы программы на зоне интерфейса, используемого для веб-косоли администратора, необходимо включить сервис xml-rpc. Если используется зона Management, то это делать не надо, так как сервис xml-rpc на интерфейсе Management включён по умолчанию. Исключением является версия 5. На ней необходимо включить данный сервис на зоне Management.

1. Открыть веб-консоль администратора таким образом: https://<usergate_ip>:8001/?features=zone-xml-rpc
2. В настройках нужной зоны активировать сервис "XML-RPC для управления".

Экспорт конфигурации из UG NGFW и DCFW:

1. Скачайте архив ug_ngfw_converter.zip и распакуйте его. Файл ug_ngfw_converter сделайте исполняемым.
2. Запустите программу ug_ngfw_converter. Программа выполняется в графической среде. В текущей директории будет создан каталог data для хранения всех выгруженных конфигураций.
3. Выбрать пункт - Экспорт конфигурации из UG NGFW|DCFW.
4. Далее программа попросит выбрать или ввести название каталога для экспорта конфигурации, затем появиться окно авторизации. Проверьте, что у администратора, логин которого используете, в профиле включены разрешения для API. Укажите ip-адрес NGFW/DCFW и login/пароль администратора.
5. Можно экспортировать всю конфигурацию, только выбранную группу разделов или отдельный раздел.
6. После экспорта проверьте вывод программы на предмет обнаруженных ошибок. Исправьте текущую конфигурацию и повторите экспорт.
7. Можно сохранить лог в файл export.log. Файл создаётся в выбранном каталоге экспорта конфигурации.

Импорт конфигурации на NGFW и DCFW:

1. Перед началом работы на новой версии UserGate NGFW или DCFW необходимо настроить DNS, интерфейс Untrusted (для выхода в интернет), шлюз, произвести активацию корректным ПИН-кодом. После этого дождаться обновления библиотек и списков.
2. Запустить программу ug_ngfw_converter.
3. Выбрать пункт - Импорт конфигурации на UG NGFW|DCFW.
4. Программа попросит выбрать каталог для импорта конфигурации, затем появиться окно авторизации. Проверьте, что у администратора, логин которого используете, в профиле включены все разрешения для API. Укажите ip-адрес NGFW/DCFW и login/пароль администратора.
5. Можно импортировать всю конфигурацию, только выбранную группу разделов или отдельный раздел.
6. Если у вас используются собственные сертификаты, то перед импортом необходимо импортировать их или создать с теми же именами.
7. Если у Вас используются сервера аутентификации (LDAP, NTLM, RADIUS, TACACS, SAML), то необходимо в первую очередь импортировать настройки DNS, затем используемые сервера аутентификации и профили аутентификации. После этого ввести пароль в серверах аутентификации, загрузить keytab-файл, если используется авторизация kerberos и проверить работу данных серверов аутентификации.
8. Если вы импортируете конфигурацию на NGFW/DCFW/MC версии 7.1 и выше с NGFW версий 5, 6 и 7.0, не импортируются Серверные и Клиентские профили безопасности VPN. Так как в этих версиях таких профилей безопасности нет. Старые профили перенести нельзя, так как в последних версиях профили безопасности сильно изменились. Необходимо сделать соответствующие профили руками (с именами, которые используются в серверных и клиентских правилах) и затем импортировать правила.
9. Импорт некоторых разделов конфигурации может идти долго. Не надо думать что "программа зависла". Надо дождаться окончания импорта.
10. После импорта проверьте вывод программы на наличие сообщений, выделенных цветом. Исправьте конфигурацию в соответствие с рекомендациями.

Импорт конфигурации NGFW и DCFW в группу шаблонов NGFW и DCFW Management Center

1. Перед импортом в области надо создать группу шаблонов и поместить в неё необходимые шаблоны. Так как основной смысл шаблонов и групп шаблонов в переиспользовании объектов, хорошей практикой является отсутствие дублирования объектов в одинаковых разделах конфигурации шаблонов в группе шаблонов. В соответствии с этим принципом, конвертер проверяет наличие дублирования объектов во всех шаблонах группы шаблонов. При обнаружении объектов с совпадающими именами в одинаковых разделах конфигурации выводится предупреждение и для импорта будет использован первый найденный объект. Это может привести не к тому результату, который вы ожидаете. Поэтому, пожалуйста, соблюдайте правило: один объект определённого раздела конфигурации на всю группу шаблонов. Кроме того, это в будущем облегчит работу с шаблонами и группами шаблонов.
2. Перед импортом каждого объекта в шаблон, происходит поиск по его имени во всех шаблонах указанной группы шаблонов. Если такой объект найден в каком то из шаблонов данной группы шаблонов, то он не импортируется. При этом выдаётся соответствующее сообщение с указанием шаблона в котором объект присутствует. Шаблоны их других групп не проверяются. Это относится к объектам библиотеки, некоторым объектам раздела "Сеть" и другим объектам, которые являются общими для различных правил. Поэтому, если у вас есть некий универсальный шаблон с общими библиотечными объектами, перед импортом поместите его в данную группу шаблонов.
3. В версиях меньше чем МС 7.2.0 при импорте объектов не учитывается регистр символов. То есть одинаковые имена в разных регистрах считаются одинаковыми! МС выдаёт сообщение, что такой объект уже существует и не импортирует его.
4. В версиях МС до 7.3 в списках морфологии слова добавляются не корректно. К слову добавляется его вес через символ табуляции.
5. Если у вас используются сервера аутентификации LDAP, то необходимо настроить LDAP-коннектор в разделе "Управление областью/Каталоги пользователей" и проверить его работу. Данный LDAP-коннектор будет использоваться для поиска доменных пользователей и групп в правилах.
6. Если вы не используете режим "Импортировать всё", а импортируете отдельные пункты раздела "Сеть", перед импортом убедитесь, что в группе шаблонов существуют необходимые интерфейсы и зоны. Они необходимы для создания subnet DHCP и VRF. Если нет интерфейсов, то subnet DHCP не будут созданы, а в VRF настройки OSPF и RIP будут не полными. В этом случае рекомендуется в первую очередь импортировать зоны, затем создать необходимые интерфейсы для будущих subnet DHCP и VRF (или сделать импорт интерфейсов) и только затем импортировать остальные пункты раздела "Сеть".
7. При импорте сертификатов, если в каталоге сертификата присутствует приватный ключ (key.pem или key.der), то он импортируется вместе с сертификатом. Если в каталоге нет файлов cert.pem и cert.der, то генерируется новый сертификат вместе с приватным ключём на основе информации файла certificate_list.
8. После импорта раздела UserGate/Настройки, включите синхронизацию необходимых подразделов.
9. Если при импорте правил в шаблон МС произошли ошибки, то данное правило становиться не активным и в описание правила добавляются сообщения о произошедших ошибках. После импорта проверьте все не активные правила на предмет ошибок импорта.
10. Правила МЭ, КФ и т.д. добавляются в конец списка правил. Это надо учитывать если вы повторно импортируете конфигурацию в шаблон после изменений в файлах json. Не меняйте имена правил, иначе правила продублируются в конец списка правил.
11. Импорт свойств агента UserID не пройдёт, если вы экспортировали их конвертером версии 3.1 и ниже.
12. Если вы импортируете конфигурацию на MC с NGFW версий 5, 6 и 7.0, не импортируются Серверные и Клиентские профили безопасности VPN. Так как в этих версиях таких профилей безопасности нет. Старые профили перенести нельзя, так как в последних версиях профили безопасности сильно изменились. Необходимо сделать соответствующие профили руками (с именами, которые используются в серверных и клиентских правилах) и затем импортировать правила.

Экспорт группы шаблонов UG MC:

1. В настоящее время возможен экспорт только групп шаблонов NGFW и DCFW.
2. Так как к конкретному устройству, которым управляет МС, привязывается именно группа шаблонов, а не отдельный шаблон, хорошей практикой является отсутствие дублирования объектов во всех шаблонах группы шаблонов. В соответствии с этим принципом, конвертер проверяет наличие дублирования объектов во всех шаблонах, выбранной группы шаблонов. При обнаружении объектов с совпадающими именами в одинаковых разделах конфигурации, выводится предупреждение и для экспорта будет использован первый найденный объект. Шаблоны, не входящие в выбранную группу шаблонов, не проверяются на наличие объектов. Поэтому, если объект не найден в данной группе шаблонов или это не предустановленный объект из шаблона "UserGate Libraries template", то будет выдано предупреждающее сообщение и такой объект не будет экспортирован.

Импорт ранее экспортированной группы шаблонов МС на UG MC:

1. В настоящее время возможен импорт только групп шаблонов NGFW и DCFW.
2. Перед импортом необходимо создать нужные области и администраторов для каждой области.
3. Перед импортом убедитесь, что в разделе в который вы импортируете ("NGFW" или "DCFW") нет шаблонов с такими же именами, как у импортируемой группы. Если импортируемой группы шаблонов не существует, то она будет создана. Если такая группа шаблонов уже есть, то новые шаблоны будут добавлены в неё. Хорошей практикой является импорт группы шаблонов целиком (со всеми её шаблонами). Есть возможность импорта отдельных шаблонов в разные группы - но это для тех, кто знает что делает и зачем.
4. Перед импортом каждого объекта в шаблон, происходит поиск по его имени во всех шаблонах указанной группы шаблонов. Если такой объект найден в каком то из шаблонов данной группы шаблонов, то он не импортируется. При этом выдаётся соответствующее сообщение с указанием шаблона в котором объект присутствует. Шаблоны их других групп не проверяются. Это относится к объектам библиотеки, некоторым объектам раздела "Сеть" и другим объектам, которые являются общими для различных правил. Поэтому, если у вас есть некий универсальный шаблон с общими библиотечными объектами, перед импортом поместите его в данную группу шаблонов.
5. Если у вас используются сервера аутентификации LDAP, то необходимо настроить LDAP-коннектор в разделе "Управление областью/Каталоги пользователей" и проверить его работу. Данный LDAP-коннектор будет использоваться для импорта доменных пользователей и групп в правилах.
6. Если при импорте правил произошла ошибка, такое правило будет не активным. Поэтому, после импорта необходимо проверить все правила. У правил, импортированных с ошибками, скорректируйте настройки и включите их.

Ограничения:

1. Экспортируются настройки всех интерфесов, но на NGFW/DCFW импортируются только интерфейсы VLAN, VPN, Tunnel и BOND. Все остальные надо будет сделать руками. В шаблоны МС импортируются все интерфейсы.
2. На версиях 6 и меньше 7.1.1 нельзя добавить более 8 полос пропускания в библиотеку. При добавлении большего количества получим ошибку.
3. На NGFW/DCFW настройки VRF в кластерной конфигурации не импортируются.
4. Для версии 5:
   4.1. Если вы делаете экспорт из версии 5, то выгрузка из правил доменных пользователей и доменных групп для дальнейшего переноса возможна только при использовании версии UTM равной 5.0.6.4973. Если у вас версия 4825, поставьте update до версии 4973, который можно запросить в техподдержке UG.
   Не используйте версию 4973 для работы в боевом режиме. Она предназначена только для экспорта конфигурации.
   4.2. При экспорте Captive-профилей, не экспортируются дата и время окончания регистрации гостевых пользователей.
   4.3. Нельзя сделать экспорт/импорт терминальных серверов.
   4.4. На версию 5 не импортируются VLAN-ы, Маршруты, OSPF, BGP.
   4.5. При импорте с версий 7.0 и выше не переносятся группы сервисов, так как в версии 5 группы сервисов не поддерживаются.
   4.6. На версию 5 не возможно импортировать содержимое календарей. Содержимое надо добавить руками.
   4.7. На версию 5 не возможно импортировать содержимое URL категорий. Содержимое надо добавить руками.
   4.8. Импорт профилей СОВ на версию 5 не поддерживается.
   4.9. При импорте правил SNMP с версии 7.1, правила v.3 импортируются как v.2
5. Для версии 6:
   5.1. Конвертер не работает с UG NGFW версии 6 если она старее 6.1.7. В этом случае обновитесь до последней версии 6.
   5.2. При импорте с версий 7.0 и выше не переносятся группы сервисов, так как в версии 6 группы сервисов не поддерживаются.
   5.3. Импорт профилей СОВ версии 7.1 и выше на версию 6 не поддерживается.
   5.4. При импорте правил SNMP с версии 7.1, правила v.3 импортируются как v.2
6. Для версии 7.0:
   6.1. При импорте с более старых версий в правила не переносятся отдельные приложения т.к. в этой версии разрешены только группы приложений и категории приложений.
   6.2. Импорт профилей СОВ версии 7.1 и выше на версию 7.0 не поддерживается.
   6.3. При импорте правил SNMP с версии 7.1, правила v.3 импортируются как v.2
7. Для версии 7.1:
   7.1. При импорте с более старых версий в правила не переносятся приложения, группы приложений и категории приложений т.к. в этой версии используются профили приложенй.
   7.2. Импорт профилей СОВ более старых версии не поддерживается.
   7.3. При импорте правил SNMP с более старых версий, правила v.3 импортируются как v.2
8. Для версии 8.0:
   8.1. В библиотеку не импортируются HIP объекты и HIP профили.

Примечание:

1. Если вы импортируете конфигурацию на версию 7, то имена групп, серверов аутентификации, различных профилей, правил, всех списков библиотеки и всего-всего должны быть ТОЛЬКО в английском регистре. Русские буквы допустимы только в описании. Перед экспортом, замените русские символы в именах на английские.
2. Начиная с версии 7.1 в именах запрещены многие спец.символы. При экспорте с любой версии будет произведено их удаление.
3. Имена всех объектов не должны превышать длину в 64 символа. Если имя содержит более 64 символов, то такой объект не импортируется.
4. После импорта профилей администраторов, необходимо проверить доступ к разделам, так как в версии 6 и 7 были добавлены новые разделы. При импорте доступ к разделам не меняется и, следовательно, доступ к новым разделам не предоставляется. Профили с русскими именами не переносятся в версию 7 (в ней запрещены русские имена). Перед экспортом, замените имена профилей на английские.
5. Если существуют правила МЭ с одинаковыми именами, то при конвертации к имени такого правило добавляется номер, что бы имена были уникальными.
6. Пробелы в начале и конце имён правил, списков и т.д. при конвертации удаляются.
7. При экспорте списков IP-адресов типа "10.10.10.0/24" такой список сохраняется в файл "10.10.10.0_24" так как при переносе каждый список записывается в отдельный файл, а в файловой системе Linux прямой слэш является разделителем пути к файлу. Имя самого списка не меняется.
8. После импорта настроек BGP в свойсвах каждого из bgp-соседей надо заново ввести пароль.
9. Если вы сделали экспорт с кластера NGFW, то в файле конфигурации будут настройки VRF с каждого узла кластера с одинаковыми именами. В этом случае VRF с дублирующими именами не будут импортированы. Конвертер не поддерживает кластерную конфигурацию при импорте.
10. Никакие пароли (локальных пользователей, PPPoE, VPN, серверов аутентификации и т.д.) не переносятся. Необходимо заново вручную ввести пароль. Это ограничение API - невозможно выгрузить парольную информацию.
11. При импорте интерфейсов VLAN им прописываются IP-адреса из сохранённой конфигурации. Необходимо проследить, чтобы не было конфликта IP-адресов. В общем случае можно в файле выгруженной конфигурации data/Network/Interfaces/config_interfaces.json поменять ip-адрес на каждом интерфейсе.
12. Раздел Библиотеки "Профили СОВ" для версий меньше 7.1: не импортируются сигнатуры профилей СОВ так как в разных версиях структура и состав сигнатур кардинально меняется. Для версии 7.1 и выше экспортируются/импортируются пользовательские сигнатуры.
13. Сертификаты экспортируются, но импорт возможен только в шаблон МС. На NGFW/DCFW пока импорт не реализован. Если используется сертификат по умолчанию для SSL инспектирования (CA Default), то необходимо обновить его у всех пользователей. Если вы используете собственные сертификаты, необходимо загрузить и сконфигурировать их заново.
14. Правила экспорта настроек на сервера FTP, SSH пока не переносятся. Это надо сделать руками.
15. При экспорте шаблонов страниц библиотеки выгружается файл HTML только изменённых страниц шаблона.
16. При импорте, правила МЭ, КФ и т.д. добавляются в конец списка правил. Если правило уже существует, то оно обновляется и его порядковый номер не меняется. Это надо учитывать, если вы повторно импортируете конфигурацию после изменения в файлах json. Не меняйте имена правил, иначе правила продублируются в конец списка правил.
17. Если при импорте правил произошли ошибки, то данное правило становиться не активным и в описание правила добавляются сообщения о произошедших ошибках. После импорта проверьте все не активные правила на предмет ошибок импорта.
18. Если вы обнаружили ошибку в программе или у вас что то не получается, пожалуйста, откройте тикет в тех.поддержку компании UserGate.

Errors:

1. На ПК с видеокартами NVIDIA возможна ошибка: "libEGL warning: failed to create dri2 screen"
   В этом случае необходимо:

   1. sudo apt-get install libnvidia-egl-wayland1
   2. Перезагрузить компьютер.

2. На виртуальных машинах возможна ошибка: "libEGL.so.1: cannot open shared object file: No such file or directory"
   Может помочь: apt update && apt install -y libopencv-dev && apt clean && rm -rf /var/lib/apt/lists/*

Список изменений:

Скачать

Исходные коды: GitHub

Исполняемый файл: https://dropbox.usergate.com/index.php/s/yGN9NP2cb6EzXJ5

Описание

Программа предназначена для переноса конфигурации с Blue Coat, Cisco ASA, Cisco FPR, Check Point, Fortigate, Huawei, Kerio, MikroTik, PaloAlto в формат UserGate. Импорт экспортированной конфигурации на продукты UserGate должен производиться конвертером конфигураций UserGate ug_ngfw_converter.

Программа работает в Ubuntu версии 24.04 или выше и только в графическом режиме.

Обращаем ваше внимание:

• Если вы запускаете данную программу в Ubuntu более старой версии или в другой разновидности Linux, вы делаете это на свой страх и риск. Компания UserGate в этом случае ничем вам не может помочь.
• Импорт экспортированной данным конвертером конфигурации на UserGate NGFW/DCFW/MC должен производиться конвертером ug_ngfw_converter.

Экспорт конфигурации:

1. Скачайте ug_ngfw_converter.zip и распакуйте его, если не сделали это ранее.
2. Скачайте архив universal_converter.zip и распакуйте его в каталог ug_ngfw_converter. Файл universal_converter сделайте исполняемым.
3. Запустите программу universal_converter. Программа выполняется в графической среде. В текущей директории будет создан каталог other_vendors в котором будут созданы каталоги для конфигураций сторонних вендоров. Так же будет создан каталог ngfw_data для хранения конвертированных конфигураций, если он отсутствует.
4. Создайте каталог для конкретной конфигурации в папке other_vendors/<имя_стороннего_вендора> и поместите в него исходную конфигурацию.
5. Для Blue Coat:
   1. Переименуйте файл конфигурации Blue Coat в bluecoat.cfg и скопируйте его в каталог other_vendors/blue_coat/<имя_которое_вы_задали_на_предыдущем_шаге>
6. Для Cisco ASA:
   1. Переименуйте файл конфигурации Cisco ASA в cisco_asa.cfg и скопируйте его в каталог other_vendors/cisco_asa/<имя_которое_вы_задали_на_предыдущем_шаге>
7. Для Cisco FPR:
   1. Переименуйте файл конфигурации Cisco FPR в cisco_fpr.cfg и скопируйте его в каталог other_vendors/cisco_fpr/<имя_которое_вы_задали_на_предыдущем_шаге>
8. Для Check Point версий 80.40 и выше:
   1. Выгрузите конфигурацию Check Point show package
   2. Разархивируйте полученный файл и скопируйте все файлы в каталог other_vendors/checkpoint/<имя_которое_вы_задали_на_предыдущем_шаге>.
   3. Запустите на CheckPoint команду save configuration config_cp.txt
   4. Файл config_cp.txt поместите в тот же каталог: other_vendors/checkpoint/<имя_которое_вы_задали_на_предыдущем_шаге>.
9. Для Check Point версии 77.30:
   1. Выгрузите из каталога /opt/CPsuite-R77/fw1/conf/"hostname" Check Point файлы objects_5_0.C и rulebases_5_0.fw
   2. Скопируйте эти файлы в каталог other_vendors/checkpoint_old/<имя_которое_вы_задали_на_предыдущем_шаге>.
10. Для Fortigate:
    1. Переименуйте файл конфигурации Fortigate в fortigate.cfg и скопируйте его в каталог other_vendors/fortigate/<имя_которое_вы_задали_на_предыдущем_шаге>
11. Для Huawei:
    1. Переименуйте файл конфигурации Huawei в huawei.cfg и скопируйте его в каталог other_vendors/huawei/<имя_которое_вы_задали_на_предыдущем_шаге>
12. Для Kerio:
    1. Выгрузите конфигурацию Kerio и скопируйте все файлы в каталог other_vendors/kerio/<имя_которое_вы_задали_на_предыдущем_шаге>
13. Для MikroTik:
    1. Переименуйте файл конфигурации MikroTic в mikrotik.cfg и скопируйте его в каталог other_vendors/mikrotik/<имя_которое_вы_задали_на_предыдущем_шаге>
14. Для PaloAlto:
    1. Переименуйте файл конфигурации PaloAlto в config.xml и скопируйте его в каталог other_vendors/paloalto/<имя_которое_вы_задали_на_предыдущем_шаге>
15. Нажмите кнопку:  "Экспорт конфигурации".
16. Далее выберите вендора, конфигурацию которого экспортируете, и нажмите кнопку "Экспорт".
17. Появиться окно, в котором необходимо указать каталог с экспортируемой конфигурацией и каталог, куда будут помещены файлы экспортированной конфигурации в формате UserGate. Если такие каталоги не существуют, они будут созданы.
18. После экспорта проверьте вывод программы на предмет обнаруженных ошибок.
19. Можно сохранить лог экспорта в файл export.log. Файл создаётся в выбранном каталоге экспорта конфигурации.

Ограничения:

1. Экспортируются только интерфейсы VLAN. Все остальные интерфейсы перед импортом надо будет настроить руками.

Экспорт с Blue Coat:

1. Переносятся настройки:

- Списки IP-адресов                 - "Библиотеки/IP-адреса"
- Списки URL                        - "Библиотеки/Списки URL"
- Сервисы                           - "Библиотеки/Сервисы"
- Временные интервалы               - "Библиотеки/Календари"
- Правила межсетевого экрана        - "Политики сети/Межсетевой экран"

Экспорт с Cisco ASA:

1. Если на Cisco ASA в настройках подключения к AD Windows использовались криптографические пароли, то после последующего импорта серверов аутентификации LDAP необходимо в настройках соответствующего LDAP-адаптера ввести необходимый логин/пароль для коннектора. Если нет, то LDAP-коннектор сразу автоматически подключится к контроллеру домена. Проверьте работу LDAP-коннекторов, отключите лишние. Это важно для импорта правил, если в них используются доменные пользователи и группы.
2. При импорте, интерфейсы VLAN получают IP-адреса из конфигурации Cisco ASA. Проследите, чтобы не было конфликта IP-адресов в ваших сетях.
3. Интерфейсы VLAN после импорта будут находится в не активированном состоянии. Вам необходимо проверить все VLAN, по необходимости откорректировать их, удалить ненужные и добавить необходимые. После этого включить и проверить их работу.
4. При импорте локальных пользователей, пароли не переносятся. Вам надо вручную задать пароли для всех пользователей или настроить авторизацию по IP/MAC/VLAN.
5. При импорте локальных пользователей, тире и пробел в логине заменяются на символ подчёркивания. Точка, прямой и обратный слеши убираются.
6. Доменные группы из Local User Groups не экспортируются, так как на UserGate нельзя задать доменные группы в локальных группах.
7. При конвертации access-list не активные ACE пропускаются. Так же пропускаются access-list не привязанные к интерфейсу.
8. ACE for Security-Based Matching (Cisco TrustSec) не конвертируются, так как данная технология отсутствует на UserGate. Поэтому security-group и object-group-security не обрабатываются и ACE с их использованием не обрабатываются (пропускаются).
9. После импорта access листов в правила межсетевого экрана UserGate, межсетевой экран будет работать ожидаемо не так как это происходило на Cisco ASA. В UserGate межсетевой экран оперирует зонами, которые присваиваются определённым интерфейсам. Кроме того правила NAT и DNAT не требуют создания правил МЭ, так как сами создают скрытые, необходимые для работы, правила МЭ. Поэтому дополнительно разрешать данный трафик нет необходимости и соответствующие правила МЭ надо удалить.
10. EtherType ACLs не поддерживаются.
11. Standard ACLs не конвертируются. Необходимо создать соответствующие разрешения в протоколах маршрутизации виртуальных маршрутизаторов.
12. ACE for URL Matching - данный тип преобразуется в правила контентной фильтрации. В связи с этим не поддерживаются протоколы: cifs://, citrix://, citrixs://, imap4://, nfs://, pop3://, smart-tunnel://, smtp://. Конвертируются только ACE с типом протокола http://, https:// и ftp://. Так же не поддерживается wildcards в протоколах, например htt* или *://example.com и символы "?" и квадратные скобки []. Для не поддерживаемых в правилах контентной фильтрации протоколов необходимо создать соответствующие правила МЭ.
13. Если были импортированы правил фильтрации контента, обязательно проверьте импортированные правила. Отредактируйте их, укажите зоны и адреса источника/назначения, пользователей и другие параметры.
14. Если вы будете делать импорт не всей конфигурации, то необходимо учитывать, что разделы конфигурации взаимосвязаны друг с другом. Поэтому импорт определённого раздела пройдёт без ошибок только если ранее был выполнен импорт всех предыдущих пунктов этого меню. Необходимо в первую очередь импортировать Библиотеку и затем импортировать разделы с первого до последнего, проверяя сообщения каждого раздела на предмет ошибок.
15. Некоторые правила NAT (static) не будут конвертированы, так как идеология данных правил на UserGate отличается от Cisco. Вам необходимо проверить все правила, изменить существующие и создать недостающие.
16. В общем случае, UserGate обладает гораздо большими возможностями по управлению трафиком чем Cisco ASA. Поэтому рекомендуется настроить SSL инспектирование, правила фильтрации контента и веб-безопасности, СОВ, защиту почтового трафика и DoS, а так же использовать другие возможности, предоставляемые данным решением.
17. Переносятся настройки:

- Модули                            - "UserGate/Настойки/Модули"
- Часовой пояс                      - "UserGate/Настройки/Настройки интерфейса/Часовой пояс"
- Настройка NTP                     - "UserGate/Настройки/Настройка времени сервера"
- Списки IP-адресов                 - "Библиотеки/IP-адреса"
- Списки URL                        - "Библиотеки/Списки URL"
- Сервисы                           - "Библиотеки/Сервисы"
- Группы сервисов                   - "Библиотеки/Группы сервисов"
- Временные интервалы               - "Библиотеки/Календари"
- Локальные Пользователи            - "Пользователи и устройства/Пользователи"
- Локальные группы пользователей    - "Пользователи и устройства/Группы"
- Radis, Tacacs+, LDAP              - "Пользователи и устройства/Серверы аутентификации"
- Зоны                              - "Сеть/Зоны"
- Интерфейсы VLAN                   - "Сеть/Интерфейсы"
- Шлюзы                             - "Сеть/Шлюзы"
- DHCP                              - "Сеть/DHCP"
- Системные DNS                     - "Сеть/DNS/Системные DNS-серверы"
- Правила DNS                       - "Сеть/DNS/DNS-прокси/Правила DNS"
- Статические записи DNS            - "Сеть/DNS/DNS-прокси/Статические записи"
- Статические маршруты              - "Сеть/Виртуальные маршрутизаторы/Статические маршруты"
- Access-lists                      - "Политики сети/Межсетевой экран"
- NAT, DNAT, Port-форвардинг        - "Политики сети/NAT и маршрутизация"
- Webtype ACLs                      - "Политики безопасности/Фильтрация контента"

Экспорт с Cisco FPR:
1. Переносятся настройки:

- Зоны                    - "Сеть/Зоны"
- Интерфейсы VLAN         - "Сеть/Интерфейсы"
- Настройки шлюзов        - "Сеть/Шлюзы"
- Системные DNS           - "Сеть/DNS/Системные DNS-серверы"
- Правила DNS             - "Сеть/DNS/DNS-прокси/Правила DNS"
- DHCP-relay              - на интерфейсах VLAN
- Статические маршруты    - "Сеть/Виртуальные маршрутизаторы"
- Списки IP-адресов       - "Библиотеки/IP-адреса"
- Списки URL              - "Библиотеки/Списки URL"
- Сервисы                 - "Библиотеки/Сервисы"
- Группы сетевых сервисов - "Библиотеки/Группы сервисов"
- Access-lists            - "Политики сети/ Межсетевой экран"
- Временные интервалы     - "Библиотеки/Календари"

Экспорт с Fortigate:

1. При экспорте сервисов, поля "iprange" и "fqdn" не переносятся так как не поддерживаются в UserGate.
2. При экспорте групп пользователей, доменные пользователи не переносятся так как не известно к какому домену они относятся.
3. Ограничения по интерфейсам не переносятся, т.к. этот функционал отсутствует в UserGate.
4. Если имя правила МЭ состоит из одних спец.символов (например "-----"), то оно заменяется на порядковый номер, так как спец.символы запрещены в именах правил. В случае других правил, генерируется произвольный код. В описание правила добавляется соответствующее сообщение.
5. Правила NAT не переносятся так как идеология натирования в UserGate отличается от Fortigate.
6. Правила межсетевого экрана с технологией Fortigate Hairpin NAT не экспортируются, так как проприетарные технологии Fortigate не существуют на UserGate.
7. Правила раздела "config firewall vip" конвертируются в правила DNAT, Порт-форвардинга и балансировки нагрузки. Если в этих правилах использовались сертификаты, после импорта надо удалить соответствующие правила балансировки нагрузки и в ручную создать правила reverse-прокси, предварительно загрузив необходимые сертификаты.
8. Если в правиле порт-форвардинга из раздела "config firewall vip" в полях "extport" или "mappedport" используется диапазон портов, то такое правило преобразуется в правило DNAT, так как диапазоны портов не допустимы в правилах порт-форвардинга UserGate.
9. После импорта настроек BGP необходимо в настройках каждого BGP-соседа установить параметры "in/out" в соответствующих фильтрах BGP-соседей и Routemaps, так как данные параметры невозможно установить посредством API.
10. После импорта правил межсетевого экрана необходимо в каждом правиле указать зоны источника/назначения. Создайте необходимое количество зон и присвойте соответствующую зону каждому интерфейсу.
11. Если были импортированы правила балансировки нагрузки и DNAT, укажите в каждом правиле необходимые зоны.
12.  Переносятся настройки:

- Интерфейсы VLAN                       - "Сеть/Интерфейсы"
- Настройки DNS                         - "Сеть/DNS"
- Настройки шлюзов                      - "Сеть/Шлюзы"
- Настройки DHCP subnets                - "Сеть/DHCP"
- Статические маршруты                  - "Сеть/Виртуальные маршрутизаторы"
- Настройки BGP                         - "Сеть/Виртуальные маршрутизаторы"
- Настройки NTP                         - "UserGate/Настройки/Настройки времени сервера"
- Серверы аутентификации (LDAP, RADIUS) - "Пользователи и устройства/Серверы аутентификации"
- Группы пользователей                  - "Пользователи и устройства/Группы"
- Локальные пользователи                - "Пользователи и устройства/Пользователи"
- Правила межсетевого экрана            - "Политики сети/Межсетевой экран"
- Правила DNAT и Порт-форвардинга       - "Политики сети/NAT и маршрутизация"
- Правила балансировки нагрузки         - "Политики сети/Балансировка нагрузки"
- Правила пропускной способности        - "Политики сети/Пропускная способность"
- Ресурсы веб-портала                   - "Глобальный портал/Веб-портал"
- Списки IP-адресов                     - "Библиотеки/IP-адреса"
- Списки групп IP-адресов               - "Библиотеки/IP-адреса"
- Списки URL                            - "Библиотеки/Списки URL"
- Сетевые сервисы                       - "Библиотеки/Сервисы"
- Группы сетевых сервисов               - "Библиотеки/Группы сервисов"
- Полосы пропускания                    - "Библиотеки/Полосы пропускания"
- Почтовые адреса                       - "Библиотеки/Почтовые адреса"
- Профили оповещений                    - "Библиотеки/Профили оповещений"
- Временные интервалы                   - "Библиотеки/Календари"

Экспорт с Check Point:

1. Настройки arp-proxy не переносятся, так как идеология данного функционала на UserGate отличается от CheckPoint. Если необходимо, настройте arp-proxy на интерфейсах через CLI.
2. Настройки протоколов динамической маршрутизации (ospf, bgp) не переносятся. Необходимо настроить их на UserGate заново руками.
3. Адреса IPV6 не поддерживаются. Поэтому объекты host, network с такими адресами не экспортируются.
4. Длина имени IP или URL листов не должна превышать максимально допустимую длину имени файла в Linux (т.е. 255 байт). При превышении такой список не конвертируется и не будет использован в правилах.
5. У всех объектов конфигурации CheckPoint должны быть имена. Если у объекта нет имени, при конвертации ему присвоится автоматически сгенерированное имя (например b2d0ddf1d78).
6. Если в access-role имена пользователей указаны русскими буквами и не указан email, то такие пользователи не конвертируются и не будут использованы в правилах.
7. Access-rule могут конвертироваться в 2 правила (МЭ и КФ). Если в access-rule используются сервисы и/или приложения, то правило попадает в раздел "Политики сети/Межсетевой экран". Если в access-rule используются URL и/или Категории URL, то создаётся правило в разделе "Политики безопасности/Фильтрация контента".
8. Если сервис из access-rule трансформировался в категории URL и список URL в правиле контентной фильтрации, то правило сработает только при совпадении этих 2-х условий (логическое "И"). То есть правило будет работать не так как на CheckPoint, где это логическое "ИЛИ". В этом случае получившееся правило КФ надо разбить на два (в первом использовать категории URL, во втором список URL).
9. Перед импортом создайте на UserGate необходимое количество зон, так как при импорте VLAN надо будет указать зону для каждого интерфейса.
10. Переносятся настройки:

- Часовой пояс                          - "UserGate/Настройки/Часовой пояс"
- Настройки NTP                         - "UserGate/Настройки/Настройки времени сервера"
- Зоны                                  - "Сеть/Зоны"
- Интерфейсы VLAN                       - "Сеть/Интерфейсы"
- Настройки DNS                         - "Сеть/DNS"
- Настройки шлюзов                      - "Сеть/Шлюзы"
- Статические маршруты                  - "Сеть/Виртуальные маршрутизаторы"
- Сетевые сервисы                       - "Библиотеки/Сервисы"
- Группы сетевых сервисов               - "Библиотеки/Группы сервисов"
- Списки IP-адресов и групп IP-адресов  - "Библиотеки/IP-адреса"
- Списки URL                            - "Библиотеки/Списки URL"
- Группы URL категорий                  - "Библиотеки/Категории URL"
- Группы приложений                     - "Библиотеки/Группы приложений"
- Календари                             - "Библиотеки/Календари"
- Правила межсетевого экрана            - "Политики сети/Межсетевой экран"
- Правила контентной фильтрации         - "Политики безопасности/Фильтрация контента"

Экспорт с Check Point версии 77.30:

1. Адреса IPV6 не поддерживаются. Поэтому объекты host, network с такими адресами не переносятся.
2. Длина имени IP листов не должна превышать максимально допустимую длину имени файла в Linux (т.е. 255 байт). При превышении такой список не конвертируется и не будет использован в правилах.
3. Переносятся настройки:

- Настройки шлюзов                      - "Сеть/Шлюзы"
- Статические маршруты                  - "Сеть/Виртуальные маршрутизаторы"
- Сетевые сервисы                       - "Библиотеки/Сервисы"
- Группы сетевых сервисов               - "Библиотеки/Группы сервисов"
- Списки IP-адресов и групп IP-адресов  - "Библиотеки/IP-адреса"
- Правила межсетевого экрана            - "Политики сети/Межсетевой экран"

Экспорт с Huawei:

1. При экспорте правил security-policy, geo-location с обозначениями стран не экспортируется. После импорта на UserGate в соответствующих правилах межсетевого экрана необходимо руками указать нужные настройки GeoIP. Переносятся только настройки "geo-location user-defined".
2. При экспорте правил security-policy, profile не конвертируются.
3. При экспорте правил traffic-policy, указанные интерфейсы не конвертируются. После импорта на UserGate в соответствующих правилах пропускной способности необходимо указать зоны, соответствующие нужным интерфейсам.
4. Правила policy-based-route не переносятся, так как в UserGate используется другая идеология для построения правил ПБР. В общем случае данные правила Huawei заменяются правилами статических маршрутов и общим правилом NAT из входящей зоны в исходящую.
5. Правила МЭ и NAT/DNAT после импорта находятся в неактивном состоянии. Проверьте их и внесите необходимые изменения. На UserGate идеология применения правил NAT отличается от Huawei. Обычно создаются общие правила NAT между зонами, более детальный доступ настраивается правилами межсетевого экрана. Рекомендуется придерживаться данной стратегии.
6. Переносятся настройки:

- Часовой пояс                          - "UserGate/Настройки/Часовой пояс"
- Зоны                                  - "Сеть/Зоны"
- Интерфейсы VLAN                       - "Сеть/Интерфейсы"
- Настройки DNS                         - "Сеть/DNS"
- Настройки шлюзов                      - "Сеть/Шлюзы"
- Статические маршруты                  - "Сеть/Виртуальные маршрутизаторы"
- Правила межсетевого экрана            - "Политики сети/Межсетевой экран"
- Правила NAT/DNAT                      - "Политики сети/NAT и маршрутизация" 
- Правила пропускной способности        - "Политики сети/Пропускная способность"
- Почтовые адреса                       - "Библиотеки/Почтовые адреса"
- Профили оповещений                    - "Библиотеки/Профили оповещений"
- Сетевые сервисы                       - "Библиотеки/Сервисы"
- Группы сервисов                       - "Библиотеки/Группы сервисов"
- Списки IP-адресов                     - "Библиотеки/IP-адреса"
- Списки групп IP-адресов               - "Библиотеки/IP-адреса"
- Списки URL                            - "Библиотеки/Списки URL"
- Временные интервалы                   - "Библиотеки/Календари"
- Полосы пропускания                    - "Библиотеки/Полосы пропускания"

Экспорт с Kerio:

1. Группы URL-листов не переносятся, так как данный функционал отсутствует на UserGate.
2. Доменные пользователи в правилах не конвертируются.
3. Правила NAT не конвертируются, так как идеология построения правил NAT в UserGate отличается. В общем случае данные правила Kerio должны быть заменены общими правилами NAT из входящей зоны в исходящую, а вся функциональность реализована правилами МЭ.
4. После импорта укажите в правилах DNAT зоны источника.
5. Переносятся настройки:

- Настройки NTP                         - "UserGate/Настройки/Настройки времени сервера"
- Зоны                                  - "Сеть/Зоны"
- Системные DNS-серверы                 - "Сеть/DNS/Системные DNS-серверы"
- Статические записи DNS                - "Сеть/DNS/Статические записи"
- Статические маршруты                  - "Сеть/Виртуальные маршрутизаторы"
- Списки морфологии                     - "Библиотеки/Морфология"
- Сетевые сервисы                       - "Библиотеки/Сервисы"
- Группы сервисов                       - "Библиотеки/Группы сервисов"
- Списки IP-адресов                     - "Библиотеки/IP-адреса"
- Списки групп IP-адресов               - "Библиотеки/IP-адреса"
- Списки URL                            - "Библиотеки/Списки URL" 
- Правила DNAT                          - "Политики сети/NAT и маршрутизация" 
- Правила фильтрации контента           - "Политики безопасности/Фильтрация контента"

Экспорт с MikroTik:

1. Конфигурация конвертируется только для RouteOS версии 7 и выше. Если у вас более старая версия, обновите ваше устройство через "Check updates".
2. При экспорте интерфейсов VLAN IP-адреса разных VLAN не должны принадлежать одной подсети. Это ограничение UserGate.
3. После импорта шлюзов, для каждого шлюза укажите соответствующий порт.
4. Правила МЭ со статусом "disabled" не переносятся.
5. Правила МЭ с сервисами, отсутствующими на UserGate не переносятся.
6. Если правила МЭ не содержат dst-address или src-address и назначены на конкретный интерфейс, то такие правила не переносятся. Для конвертации таких правил, назначьте в "interface list" имена и присвойте соответствующие имена интерфейсам.
7. После конвертации, скорее всего, некоторые правила МЭ будут дублироваться. Это связано с идеологией построения правил МЭ на UserGate, которая отличается от низкоуровневого построения правил на MikroTik. После импорта Проверьте все правила, откорректируйте их, удалите дубликаты и включите нужные.
8. Правила NAT не переносятся, так как идеология применения таких правил UserGate сильно отличается от MikroTik.
9. Переносятся правила "netmap" с chain "dstnat". Такие правила конвертируются в правила DNAT и Port/Forwarding.
10. Правила DNAT со статусом "disabled" не переносятся.
11. Переносятся настройки:

- Часовой пояс                          - "UserGate/Настройки/Часовой пояс"
- Настройки NTP                         - "UserGate/Настройки/Настройки времени сервера"
- Зоны                                  - "Сеть/Зоны"
- Интерфейсы IP-IP                      - "Сеть/Интерфейсы"
- Интерфейсы VLAN                       - "Сеть/Интерфейсы"
- Настройки шлюзов                      - "Сеть/Шлюзы"
- DHCP                                  - "Сеть/DHCP"
- Системные DNS-серверы                 - "Сеть/DNS/Системные DNS-серверы"
- Статические записи DNS                - "Сеть/DNS/Статические записи"
- Статические маршруты                  - "Сеть/Виртуальные маршрутизаторы"
- Списки IP-адресов                     - "Библиотеки/IP-адреса"
- Сетевые сервисы                       - "Библиотеки/Сервисы"
- Правила межсетевого экрана            - "Политики сети/Межсетевой экран"
- Правила DNAT/PortForwarding           - "Политики сети/NAT и маршрутизация"

Экспорт с PaloAlto:

1. Конфигурация из PaloAlto Panorama так же конвертируется.
2. Приложения в правилах МЭ не конвертируются, так как идеология использования приложений в UserGate не совместима с PaloAlto. Правила с приложениями будут отключены и в описании правил будут указаны исходные приложения. После импорта вам необходимо вручную создать профили необходимых приложений и вставить их в соответствующие правила.
3. Если в правиле МЭ в поле "category" указан лист URL, то такое правило конвертируется в правило контентной фильтрации.
4. В правилах инспектирования SSL сервисы не конвертируются.
5. Если при экспорте правила (МЭ, NAT и т.д.) произошла ошибка, то в имя правила добавляется слово "ERROR", такое правило при импорте будет не активным и в его описание будет добавлено пояснение о причинах ошибки.
6. Переносятся настройки:

- Списки IP-адресов                 - "Библиотеки/IP-адреса"
- Списки групп IP-адресов           - "Библиотеки/IP-адреса"
- Списки URL                        - "Библиотеки/Списки URL"
- Сервисы                           - "Библиотеки/Сервисы"
- Группы сервисов                   - "Библиотеки/Группы сервисов"
- Профили Netflow                   - "Библиотеки/Профили Netflow"
- Тэги                              - "Библиотеки/Тэги"
- Часовой пояс                      - "UserGate/Настройки/Часовой пояс"
- Настройки NTP                     - "UserGate/Настройки/Настройки времени сервера"
- Зоны                              - "Сеть/Зоны"
- Интерфейсы VLAN                   - "Сеть/Интерфейсы"
- Настройки шлюзов                  - "Сеть/Шлюзы"
- Системные DNS-серверы             - "Сеть/DNS/Системные DNS-серверы"
- Статические маршруты              - "Сеть/Виртуальные маршрутизаторы"
- Группы пользователей              - "Пользователи и устройства/Группы"
- Локальные пользователи            - "Пользователи и устройства/Пользователи"
- Серверы LDAP                      - "Пользователи и устройства/Серверы аутентификации"
- Правила межсетевого экрана        - "Политики сети/Межсетевой экран"
- Правила NAT/DNAT/PortForwarding   - "Политики сети/NAT и маршрутизация"
- Правила фильтрации контента       - "Политики безопасности/Фильтрация контента"
- Правила инспектирования SSL       - "Политики безопасности/Инспектирование SSL"

Примечание:

1. Имена всех объектов не должны быть длиннее 64 символов. При экспорте длинные имена обрезаются до 60 символов. Это может привести к возникновению объектов конфигурации с одинаковыми именами. При импорте некоторые объекты с дублирующемся именем не перенесутся.
2. Если при экспорте будут обнаружены правила МЭ, КФ с одинаковыми именами, то при конвертации к имени такого правило добавляется номер, что бы имена были уникальными.
3. Пробелы в начале и конце имён правил, списков и т.д. при конвертации удаляются.
4. При экспорте списков IP-адресов типа "10.10.10.0/24" такой список сохраняется в файл "10.10.10.0_24" так как при переносе каждый список записывается в отдельный файл, а в файловой системе Linux прямой слэш является разделителем пути к файлу. Имя самого списка не меняется.
5. Никакие пароли (локальных пользователей, VPN, серверов аутентификации и т.д.) не будут импортированы. После импорта необходимо заново вручную ввести пароль. Это ограничение API - невозможно выгрузить парольную информацию.
6. После экспорта интерфейсов VLAN у них будут IP-адреса из исходной конфигурации. Необходимо проследить, чтобы не было конфликта IP-адресов. В общем случае можно в файле выгруженной конфигурации ngfw_data/.../Network/Interfaces/config_interfaces.json поменять ip-адрес на каждом интерфейсе.
7. Сертификаты не экспортируются. Если вы используете собственные сертификаты, необходимо загрузить и сконфигурировать их.
8. Если вы будете импортировать конфигурацию на UserGate версии 7, то имена групп, серверов аутентификации, различных профилей, правил, всех списков библиотеки и всего-всего должны быть ТОЛЬКО в английском регистре. Специальные символы так же запрещены. Разрешается использовать только символы: "(", ")", "+", "-", "_", "." если они не являются первым символом имени. Русские буквы допустимы только в описании. Конвертер сам удалит все спецсимволы в начале имени. Не читаемые символы будут заменены на символ "Х". Перед экспортом, лучше заменить русские символы в именах на английские.
9. Начиная с версии UserGate 7.1 в именах запрещены многие спец.символы. При экспорте конфигурации в формат UserGate будет произведено их удаление.
10. После импорта конфигурации, устройству UserGate требуется время для компиляции списков сервисов, ip-листов, правил межсетевого экрана и т.д.. Во время этого процесса веб-консоль может быть недоступна некоторое время, так как данный процесс требует значительных вычислительных затрат. Время зависит от количества правил, объёма списков и мощности устройства. Необходимо дождаться завершения процесса.
11. После конвертации сторонней конфигурации на UserGate, устройство UserGate скорее всего будет работать не совсем так как вы возможно ожидали. Это связано с несколько разной идеологией в архитектуре устройств, построении правил, отличающимися категориями URL, разным набором приложений и принципом работы с сигнатурами приложений и СОВ. Обязательно тщательно протестируйте все правила и при необходимости скорректируйте их.
12. Если вы обнаружили ошибку в программе или у вас что то не получается, пожалуйста, обратитесь в тех.поддержку компании UserGate.

Errors:

1. На ПК с видеокартами NVIDIA возможна ошибка: "libEGL warning: egl: failed to create dri2 screen"
   В этом случае необходимо:

   1. sudo apt-get install libnvidia-egl-wayland1
   2. Перезагрузить компьютер.

2. На виртуальных машинах возможна ошибка: "libEGL.so.1: cannot open shared object file: No such file or directory"
   Может помочь: apt update && apt install -y libopencv-dev && apt clean && rm -rf /var/lib/apt/lists/*

3. qt.qpa.xcb: could not connect to display, qt.qpa.plugin: Could not load the Qt platform plugin "xcb" in "" even though it was found. -  Попытка запустить конвертер на сервере без графического интерфейса. Конвертер работает только в графическом режиме. Установите GNOME, KDE, XFCE и т.д.

Список изменений: