Настройка интерфейса командной строки производится на уровне settings cli. Чтобы задать уровень детализации диагностики используется следующая команда:
info — ошибки, предупреждения и дополнительная информация.
Для отображения настроек CLI:
Admin@UGOS# show settings cli
Общие настройки NGFW
Общие настройки NGFW задаются на уровне settings general. Структура команды для настройки одного из разделов (<settings-module>):
Admin@UGOS# set settings general <settings-module>
Доступна настройка следующих разделов:
Параметр
Описание
admin-console
Настройки интерфейса (уровень settings general admin-console):
timezone: часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п.
language: язык интерфейса:
ru — русский.
en — английский.
webaccess: режим авторизации веб-консоли:
password: авторизацию по имени и паролю.
cert: авторизация по X.509-сертификату.
web-ssl-profile: выбор профиля SSL для построения защищенного канала доступа к веб-консоли. Подробнее о профилях SSL смотрите в разделе Настройка профилей SSL.
response-page-ssl-profile: выбор профиля SSL для построения защищенного канала для отображения страниц блокировки доступа к веб-ресурсам и страницы авторизации Captive-портала. Подробнее о профилях SSL смотрите в разделе Настройка профилей SSL.
server-time
Настройка параметров установки точного времени (уровень settings general server-time):
ntp-enabled: включение/отключение использования NTP-серверов:
on.
off.
ntp-servers: указание серверов NTP (основного и запасного):
Admin@UGOS# set settings general server-time ntp-servers [ server1 ]
Admin@UGOS# set settings general server-time ntp-servers [ server1 server2 ]
time: установка времени на сервере; время указывается в часовом поясе UTC в формате yyyy-mm-ddThh:mm:ss (например, 2022-02-15T12:00:00)
modules
Настройка модулей NGFW (уровень settings general modules):
proxy-port: указать нестандартный номер порта, который будет использоваться для подключения к встроенному прокси-серверу.
auth-captive: указать служебный домен, который используется NGFW при авторизации пользователей через Captive-портал.
logout-captive: указать служебный домен, который используется пользователями NGFW для окончания сессии (logout).
block-page-domain: указать служебный домен, который используется для отображения страницы блокировки пользователям.
ftp-enabled: включить/отключить модуль, позволяющий получать доступ к содержимому FTP-серверов из пользовательского браузера.
ftp-domain: указать служебный домен, который используется для предоставления пользователям сервиса FTP поверх HTTP.
zone-enabled: включить/отключить зону для инспектируемых туннелей:
on.
off.
tunnel-inspection-zone: выбрать зону для инспектируемых туннелей.
snmp-engine-id: настроить SNMP Engine ID:
length <fixed | dynamic> — длина идентификатора: фиксированная (не более 8 байт; только для типа text) или динамическая (не более 27 байт).
type <ip4 | ip6 | mac | text | octets> — формат SNMP Engine ID (IPv4, IPv6, MAC-адрес, текст, октеты).
lldp: настроить использование протокола канального уровня Link Layer Discovery Protocol (LLDP), который позволяет сетевому оборудованию, работающему в локальной сети, оповещать устройства о своём существовании, передавать им свои характеристики, а также получать от них аналогичную информацию. При настройке необходимо задать значения:
transmit-delay — задержка передачи, указывается время ожидания устройства перед отправкой объявлений соседям после изменения TLV в протоколе LLDP или состояния локальной системы, например, изменение имени хоста или адреса управления. Может принимать значения от 1 до 3600; задаётся в секундах.
transmit-hold — значение мультипликатора удержания; произведение значений transmit delay и transmit hold определяет время жизни (TTL) пакетов LLDP. Может принимать значения от 1 до 100.
cache
Настройка кэша прокси-сервера (уровень settings general cache):
caching-mode: включение или отключение кэширования.
on.
off.
exclusions: список URL, которые не будут кэшироваться. Для удаления исключений:
Admin@UGOS# delete settings general cache exclusions [ <URL> ]
max-cacheable-size: максимальный размер объектов, которые будут кэшироваться (указывается в Мбайт).
ram-size: размер оперативной памяти, отведенный под кэширование (указывается в Мбайт).
log-analyzer
Настройки модуля Log Analyzer (уровень settings general log-analyzer):
use-local-stat-server — использование локального Log Analyzer:
on.
off.
proxy-portal
Настройки для предоставления доступа к внутренним ресурсам компании с помощью веб-портала (уровень settings general proxy-portal):
enabled: включение/отключение использования веб-портала:
on.
off.
hostname: имя хоста.
port: порт.
auth-profile: выбор профиля аутентификации. Подробнее о настройке профилей авторизации с использованием CLI читайте в разделе Настройка профилей аутентификации.
auth-template: выбор шаблона страницы авторизации.
portal-template: выбор шаблона портала.
enable-ldap: выбор домена AD/LDAP на странице авторизации:
on.
off.
use-captcha: показ CAPTCHA:
on.
off.
ssl-profile: выбор профиля SSL. Подробнее о настройке профилей аутентификации с использованием CLI читайте в разделе Настройка профилей SSL.
certificate: выбор сертификата.
auth-by-cert: включение/отключение авторизации пользователя по сертификату:
on.
off.
pcap
Настройка захвата пакетов (уровень settings general pcap):
type: тип захвата:
no-capture: без захвата.
one-packet: один пакет.
previous: предшествующие пакеты.
previous-and-following: предшествующие и последующие пакеты.
previous-packets: количество предшествующих пакетов (от 4 до 30 пакетов).
following-packets: количество последующих пакетов (от 2 до 15 пакетов).
change-tracker
Настройка учёта изменений (уровень settings general change-tracker):
enabled: включение/отключение учёта изменений.
on.
off.
event-tracker-types: типы изменений задаются администратором. Для удаления типа изменения используется команда:
Admin@UGOS# delete settings general change-tracker event-tracker-types [ type1 ... ]
management-center
Настройка агента UGMC (уровень settings general management-center):
enabled: включение/отключение агента UGMC.
on.
off.
mc-address: адрес сервера UGMC.
device-code: уникальный код устройства для подключения устройства к UGMC.
updates-schedule
Настройка расписания скачивания обновлений программного обеспечения и библиотек (уровень settings general updates-schedule).
Для расписания обновления программного обеспечения NGFW:
Admin@UGOS# set settings general updates-schedule software-updates schedule advanced
Расписание скачивания обновлений библиотек может быть единым:
Admin@UGOS# set settings general updates-schedule libraries-updates all schedule advanced
или может быть настроено отдельно для каждого элемента:
Admin@UGOS# set settings general updates-schedule libraries-updates [ lib-module ... ] schedule advanced
Время задаётся в Crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
Команда для просмотра расписания обновлений:
Admin@UGOS# show settings general updates-schedule
Настройка управления устройством
Настройка Radmin-emergency
Команда включения/отключения удалённого доступа к серверу для технической поддержки в случаях, когда NGFW не отвечает:
Admin@UGOS# set settings device-mgmt diagnostic radmin-emergency <on | off>
Далее необходимо указать параметры:
Параметр
Описание
interface
Название интерфейса.
ip-addr
IP-адрес и маска интерфейса.
gateway-address
IP-адрес шлюза.
В случаях, когда произошла проблема с ядром NGFW, может пропасть возможность авторизации в CLI. Для активации удаленного помощника в таких случаях администратор может зайти в CLI под учетной записью корневого администратора, которая была создана при инициализации NGFW. Обычно это учетная запись Admin, хотя может быть и другой. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля — пароль корневого администратора.
Настройка диагностики
Параметры диагностики сервера, необходимые службе технической поддержки при решении проблем, задаются на уровне device-mgmt diagnostic. Текущие настройки можно просмотреть с использованием команды:
Admin@UGOS# show settings device-mgmt diagnostic
На уровне settings device-mgmt diagnostic radmin можно включить или отключить удалённый доступ к серверу для технической поддержки UserGate (Radmin). Команда включения/отключения Radmin:
Admin@UGOS# set settings device-mgmt diagnostic radmin <on | off>
Для просмотра состояния Radmin:
Admin@UGOS# show settings device-mgmt diagnostic radmin
На уровне settings device-mgmt diagnostic details с помощью следующей команды можно установить необходимы уровень детализации диагностики (отключено; только ошибки; ошибки и предупреждения; ошибки, предупреждения и дополнительная информация; максимум детализации):
Admin@UGOS# set settings device-mgmt diagnostic details <off | error | warning | info | debug>
Для просмотра состояния уровня детализации диагностики:
Admin@UGOS# show settings device-mgmt diagnostic details
Настройка операций с сервером
Следующая команда позволяет определить канал обновлений:
Admin@UGOS# set settings device-mgmt updates-channel <stable | beta>
Для просмотра наличия обновлений и выбранного канал обновления используется команда:
Admin@UGOS# show settings device-mgmt updates-channel
Экспорт настроек
Создание и настройка правил экспорта настроек происходит на уровне settings device-mgmt settings-export.
Включение/отключение правила экспорта настроек NGFW.
name
Название правила экспорта.
description
Описание правила экспорта.
type
Выбор удалённого сервера для экспорта настроек:
ssh.
ftp.
address
IP-адрес удалённого сервера.
port
Порт сервера.
login
Учётная запись на удалённом сервере.
password
Пароль учётной записи.
path
Путь на сервере, куда будут выгружены настройки.
schedule
Расписание экспорта настроек.
Время задаётся в Crontab-формате: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
Обновление существующего правила экспорта настроек NGFW производится с использованием следующей команды:
Admin@UGOS# set settings device-mgmt settings-export <rule-name>
Список параметров, доступных для изменения аналогичен списку параметров, доступных при создании правила.
Команда для отображения правила экспорта настроек:
Admin@UGOS# show settings device-mgmt settings-export <rule-name>
Также, для команд обновления, удаления или отображения правил в качестве <filter> возможно использование не только названия правила, но и заданные в существующем правиле параметры (удобно, например, при наличии нескольких правил с одинаковым названием). Параметры, с использованием которых можно произвести идентификацию правила экспорта, аналогичны параметрам команды set.
Настройка защиты конфигурации от изменений
Для настройки параметров защиты конфигурации (настроек) продукта от изменения используйте следующую команду:
Admin@UGOS# set settings change-control config <off | log | block>
Проверка целостности конфигурации происходит каждые несколько минут после загрузки NGFW.
log — активирует режим отслеживания изменений конфигурации. При обнаружении изменений NGFW записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.
off — отключает режим отслеживания изменений конфигурации. Требует указания пароля, который был задан при активации режима отслеживания конфигурации.
block — активирует режим отслеживания изменений конфигурации. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений NGFW записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через NGFW.
Перед активацией защиты конфигурации администратор производит настройку продукта в соответствии с требованиями организации, после чего "замораживает" настройки (режим log или block). Любое изменение настроек через веб-интерфейс, CLI или другими способами будет приводить к журналированию и/или блокировке транзитного трафика, в зависимости от выбранного режима.
Для просмотра текущего режима защиты конфигурации от изменений:
Admin@UGOS# show settings change-control config
Настройка защиты исполняемых файлов от изменения
Чтобы настроить защиту параметры защиты исполняемого кода продукта от потенциального несанкционированного изменения:
Admin@UGOS# set settings change-control code <off | log | block>
Проверка целостности исполняемого кода происходит каждый раз после загрузки NGFW
log — активирует режим отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений NGFW записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.
off — отключает режим отслеживания несанкционированных изменений исполняемого кода. Требует указания пароля, который был задан при активации режима отслеживания исполняемого кода.
block — активирует режим отслеживания несанкционированных изменений исполняемого кода. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений NGFW записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через NGFW. Для возможности отключения созданного правила межсетевого экрана необходимо отключить отслеживание несанкционированных изменений.
Для просмотра текущего режима защиты исполняемых файлов:
