Настройка устройства (Описание)

ID статьи: 203
Последнее обновление: 27 ноя, 2024
Documentation:
Product: UserGate NGFW
Version: 7.0.1

Настройка CLI

Настройка интерфейса командной строки производится на уровне settings cli. Чтобы задать уровень детализации диагностики используется следующая команда:

Admin@UGOS# set settings cli log-level <off | error | debug | warning | info>

Уровни детализации:

  • off — отключить журналирование.
  • error — только ошибки.

  • debug — максимальная детализация.

  • warning — ошибки и предупреждения.

  • info — ошибки, предупреждения и дополнительная информация.

Для отображения настроек CLI:

Admin@UGOS# show settings cli

Общие настройки NGFW

Общие настройки NGFW задаются на уровне settings general. Структура команды для настройки одного из разделов (<settings-module>):

Admin@UGOS# set settings general <settings-module>

Доступна настройка следующих разделов:

Параметр

Описание

admin-console

Настройки интерфейса (уровень settings general admin-console):

  • timezone: часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п.

  • language: язык интерфейса:

    • ru — русский.

    • en — английский.

  • webaccess: режим авторизации веб-консоли:

    • password: авторизацию по имени и паролю.

    • cert: авторизация по X.509-сертификату.

  • web-ssl-profile: выбор профиля SSL для построения защищенного канала доступа к веб-консоли. Подробнее о профилях SSL смотрите в разделе Настройка профилей SSL.

  • response-page-ssl-profile: выбор профиля SSL для построения защищенного канала для отображения страниц блокировки доступа к веб-ресурсам и страницы авторизации Captive-портала. Подробнее о профилях SSL смотрите в разделе Настройка профилей SSL.

server-time

Настройка параметров установки точного времени (уровень settings general server-time):

  • ntp-enabled: включение/отключение использования NTP-серверов:

    • on.

    • off.

  • ntp-servers: указание серверов NTP (основного и запасного):

    Admin@UGOS# set settings general server-time ntp-servers [ server1 ]
    Admin@UGOS# set settings general server-time ntp-servers [ server1 server2 ]
  • time: установка времени на сервере; время указывается в часовом поясе UTC в формате yyyy-mm-ddThh:mm:ss (например, 2022-02-15T12:00:00)

modules

Настройка модулей NGFW (уровень settings general modules):

  • proxy-port: указать нестандартный номер порта, который будет использоваться для подключения к встроенному прокси-серверу.

  • auth-captive: указать служебный домен, который используется NGFW при авторизации пользователей через Captive-портал.

  • logout-captive: указать служебный домен, который используется пользователями NGFW для окончания сессии (logout).

  • block-page-domain: указать служебный домен, который используется для отображения страницы блокировки пользователям.

  • ftp-enabled: включить/отключить модуль, позволяющий получать доступ к содержимому FTP-серверов из пользовательского браузера.

  • ftp-domain: указать служебный домен, который используется для предоставления пользователям сервиса FTP поверх HTTP.

  • zone-enabled: включить/отключить зону для инспектируемых туннелей:

    • on.

    • off.

  • tunnel-inspection-zone: выбрать зону для инспектируемых туннелей.

  • snmp-engine-id: настроить SNMP Engine ID:

    • length <fixed | dynamic> — длина идентификатора: фиксированная (не более 8 байт; только для типа text) или динамическая (не более 27 байт).

    • type <ip4 | ip6 | mac | text | octets> — формат SNMP Engine ID (IPv4, IPv6, MAC-адрес, текст, октеты).

    • value — значение идентификатора.

  • terminal-sever-agent password: настроить пароль агентов терминального сервиса.

  • lldp: настроить использование протокола канального уровня Link Layer Discovery Protocol (LLDP), который позволяет сетевому оборудованию, работающему в локальной сети, оповещать устройства о своём существовании, передавать им свои характеристики, а также получать от них аналогичную информацию. При настройке необходимо задать значения:

    • transmit-delay — задержка передачи, указывается время ожидания устройства перед отправкой объявлений соседям после изменения TLV в протоколе LLDP или состояния локальной системы, например, изменение имени хоста или адреса управления. Может принимать значения от 1 до 3600; задаётся в секундах.

    • transmit-hold — значение мультипликатора удержания; произведение значений transmit delay и transmit hold определяет время жизни (TTL) пакетов LLDP. Может принимать значения от 1 до 100.

cache

Настройка кэша прокси-сервера (уровень settings general cache):

  • caching-mode: включение или отключение кэширования.

    • on.

    • off.

  • exclusions: список URL, которые не будут кэшироваться. Для удаления исключений:

    Admin@UGOS# delete settings general cache exclusions [ <URL> ]
  • max-cacheable-size: максимальный размер объектов, которые будут кэшироваться (указывается в Мбайт).

  • ram-size: размер оперативной памяти, отведенный под кэширование (указывается в Мбайт).

log-analyzer

Настройки модуля Log Analyzer (уровень settings general log-analyzer):

  • use-local-stat-server — использование локального Log Analyzer:

    • on.

    • off.

proxy-portal

Настройки для предоставления доступа к внутренним ресурсам компании с помощью веб-портала (уровень settings general proxy-portal):

  • enabled: включение/отключение использования веб-портала:

    • on.

    • off.

  • hostname: имя хоста.

  • port: порт.

  • auth-profile: выбор профиля аутентификации. Подробнее о настройке профилей авторизации с использованием CLI читайте в разделе Настройка профилей аутентификации.

  • auth-template: выбор шаблона страницы авторизации.

  • portal-template: выбор шаблона портала.

  • enable-ldap: выбор домена AD/LDAP на странице авторизации:

    • on.

    • off.

  • use-captcha: показ CAPTCHA:

    • on.

    • off.

  • ssl-profile: выбор профиля SSL. Подробнее о настройке профилей аутентификации с использованием CLI читайте в разделе Настройка профилей SSL.

  • certificate: выбор сертификата.

  • auth-by-cert: включение/отключение авторизации пользователя по сертификату:

    • on.

    • off.

pcap

Настройка захвата пакетов (уровень settings general pcap):

  • type: тип захвата:

    • no-capture: без захвата.

    • one-packet: один пакет.

    • previous: предшествующие пакеты.

    • previous-and-following: предшествующие и последующие пакеты.

  • previous-packets: количество предшествующих пакетов (от 4 до 30 пакетов).

  • following-packets: количество последующих пакетов (от 2 до 15 пакетов).

change-tracker

Настройка учёта изменений (уровень settings general change-tracker):

  • enabled: включение/отключение учёта изменений.

    • on.

    • off.

  • event-tracker-types: типы изменений задаются администратором. Для удаления типа изменения используется команда:

    Admin@UGOS# delete settings general change-tracker event-tracker-types [ type1 ... ]

management-center

Настройка агента UGMC (уровень settings general management-center):

  • enabled: включение/отключение агента UGMC.

    • on.

    • off.

  • mc-address: адрес сервера UGMC.

  • device-code: уникальный код устройства для подключения устройства к UGMC.

updates-schedule

Настройка расписания скачивания обновлений программного обеспечения и библиотек (уровень settings general updates-schedule).

Для расписания обновления программного обеспечения NGFW:

Admin@UGOS# set settings general updates-schedule software-updates schedule advanced

Расписание скачивания обновлений библиотек может быть единым:

Admin@UGOS# set settings general updates-schedule libraries-updates all schedule advanced

или может быть настроено отдельно для каждого элемента:

Admin@UGOS# set settings general updates-schedule libraries-updates [ lib-module ... ] schedule advanced

Время задаётся в Crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:

  • Звездочка (*) — обозначает весь диапазон (от первого до последнего).

  • Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

  • Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

Команда для просмотра расписания обновлений:

Admin@UGOS# show settings general updates-schedule

Настройка управления устройством

Настройка Radmin-emergency

Команда включения/отключения удалённого доступа к серверу для технической поддержки в случаях, когда NGFW не отвечает:

Admin@UGOS# set settings device-mgmt diagnostic radmin-emergency <on | off>

Далее необходимо указать параметры:

Параметр

Описание

interface

Название интерфейса.

ip-addr

IP-адрес и маска интерфейса.

gateway-address

IP-адрес шлюза.

В случаях, когда произошла проблема с ядром NGFW, может пропасть возможность авторизации в CLI. Для активации удаленного помощника в таких случаях администратор может зайти в CLI под учетной записью корневого администратора, которая была создана при инициализации NGFW. Обычно это учетная запись Admin, хотя может быть и другой. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля — пароль корневого администратора.

Настройка диагностики

Параметры диагностики сервера, необходимые службе технической поддержки при решении проблем, задаются на уровне device-mgmt diagnostic. Текущие настройки можно просмотреть с использованием команды:

Admin@UGOS# show settings device-mgmt diagnostic

На уровне settings device-mgmt diagnostic radmin можно включить или отключить удалённый доступ к серверу для технической поддержки UserGate (Radmin). Команда включения/отключения Radmin:

Admin@UGOS# set settings device-mgmt diagnostic radmin <on | off>

Для просмотра состояния Radmin:

Admin@UGOS# show settings device-mgmt diagnostic radmin

На уровне settings device-mgmt diagnostic details с помощью следующей команды можно установить необходимы уровень детализации диагностики (отключено; только ошибки; ошибки и предупреждения; ошибки, предупреждения и дополнительная информация; максимум детализации):

Admin@UGOS# set settings device-mgmt diagnostic details <off | error | warning | info | debug>

Для просмотра состояния уровня детализации диагностики:

Admin@UGOS# show settings device-mgmt diagnostic details

Настройка операций с сервером

Следующая команда позволяет определить канал обновлений:

Admin@UGOS# set settings device-mgmt updates-channel <stable | beta>

Для просмотра наличия обновлений и выбранного канал обновления используется команда:

Admin@UGOS# show settings device-mgmt updates-channel
 

Экспорт настроек

Создание и настройка правил экспорта настроек происходит на уровне settings device-mgmt settings-export.

Для создания правила экспорта настроек:

Admin@UGOS# create settings device-mgmt settings-export

Доступны параметры:

Параметр

Описание

enabled

Включение/отключение правила экспорта настроек NGFW.

name

Название правила экспорта.

description

Описание правила экспорта.

type

Выбор удалённого сервера для экспорта настроек:

  • ssh.

  • ftp.

address

IP-адрес удалённого сервера.

port

Порт сервера.

login

Учётная запись на удалённом сервере.

password

Пароль учётной записи.

path

Путь на сервере, куда будут выгружены настройки.

schedule

Расписание экспорта настроек.

Время задаётся в Crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:

  • Звездочка (*) — обозначает весь диапазон (от первого до последнего).

  • Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

  • Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

Обновление существующего правила экспорта настроек NGFW производится с использованием следующей команды:

Admin@UGOS# set settings device-mgmt settings-export <rule-name>

Список параметров, доступных для изменения аналогичен списку параметров, доступных при создании правила.

Команда для удаления правила экспорта настроек:

Admin@UGOS# delete settings device-mgmt settings-export <rule-name>

Команда для отображения правила экспорта настроек:

Admin@UGOS# show settings device-mgmt settings-export <rule-name>

Также, для команд обновления, удаления или отображения правил в качестве <filter> возможно использование не только названия правила, но и заданные в существующем правиле параметры (удобно, например, при наличии нескольких правил с одинаковым названием). Параметры, с использованием которых можно произвести идентификацию правила экспорта, аналогичны параметрам команды set.

Настройка защиты конфигурации от изменений

Для настройки параметров защиты конфигурации (настроек) продукта от изменения используйте следующую команду:

Admin@UGOS# set settings change-control config <off | log | block>

Проверка целостности конфигурации происходит каждые несколько минут после загрузки NGFW.

  • log — активирует режим отслеживания изменений конфигурации. При обнаружении изменений NGFW записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.

  • off — отключает режим отслеживания изменений конфигурации. Требует указания пароля, который был задан при активации режима отслеживания конфигурации.

  • block — активирует режим отслеживания изменений конфигурации. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений NGFW записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через NGFW.

Перед активацией защиты конфигурации администратор производит настройку продукта в соответствии с требованиями организации, после чего "замораживает" настройки (режим log или block). Любое изменение настроек через веб-интерфейс, CLI или другими способами будет приводить к журналированию и/или блокировке транзитного трафика, в зависимости от выбранного режима.

Для просмотра текущего режима защиты конфигурации от изменений:

Admin@UGOS# show settings change-control config

Настройка защиты исполняемых файлов от изменения

Чтобы настроить защиту параметры защиты исполняемого кода продукта от потенциального несанкционированного изменения:

Admin@UGOS# set settings change-control code <off | log | block>

Проверка целостности исполняемого кода происходит каждый раз после загрузки NGFW

  • log — активирует режим отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений NGFW записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.

  • off — отключает режим отслеживания несанкционированных изменений исполняемого кода. Требует указания пароля, который был задан при активации режима отслеживания исполняемого кода.

  • block — активирует режим отслеживания несанкционированных изменений исполняемого кода. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений NGFW записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через NGFW. Для возможности отключения созданного правила межсетевого экрана необходимо отключить отслеживание несанкционированных изменений.

Для просмотра текущего режима защиты исполняемых файлов:

Admin@UGOS# show settings change-control code

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 203
Последнее обновление: 27 ноя, 2024
Ревизия: 13
Просмотры: 6524
Комментарии: 0
Теги