Настройка устройства - UserGate :: Портал документации

Параметр	Описание
Часовой пояс	Часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т. п.
Язык интерфейса по умолчанию	Язык, который будет использоваться по умолчанию в консоли
Режим аутентификации веб-консоли	Возможны следующие способы аутентификации пользователя (администратора) при входе в веб-консоль управления: По имени и паролю. Администратор должен ввести имя и пароль для получения доступа к веб-консоли. По X.509-сертификату. Для аутентификации по сертификату необходимо иметь сертификат пользователя, подписанный сертификатом удостоверяющего центра веб-консоли и установленный в браузере. При включении этого режима аутентификация по имени и паролю отключается. Вернуть режим аутентификации по имени и паролю можно с помощью команд CLI. Профиль клиентского сертификата. Аутентификация посредством сертификатов (PKI) использует профиль пользовательского сертификата, это позволяет управлять сертификатами для обеспечения безопасности и подтверждения подлинности в сетевых соединениях
Профиль SSL для веб-консоли	Профиль SSL для построения защищенного канала доступа к веб-консоли. Подробнее о профилях SSL — в разделе «Профили SSL»
Профиль SSL для страниц блокировки/авторизации	Профиль SSL для построения защищенного канала для отображения страниц блокировки доступа к веб-ресурсам и страницы авторизации captive-портала. Подробнее о профилях SSL — в разделе «Профили SSL»
Таймер автоматического закрытия сессии (мин.)	Таймер автоматического закрытия сессии в случае отсутствия активности администратора в веб-консоли
Профиль SSL конечного устройства	Профиль SSL для построения защищенного канала общения UserGate NGFW и конечных устройств UserGate Client. Подробнее о профилях SSL смотрите — в разделе «Профили SSL»
Сертификат конечного устройства	Сертификат, который будет использоваться для построения защищенного канала связи между UserGate NGFW и конечными устройствами UserGate Client. Важно!Конечные устройства запоминают сертификат, поэтому при изменении необходимо распространить корневой сертификат удостоверяющего центра (Root CA) на подключенные конечные устройства; сертификат должен быть установлен в хранилище доверенных корневых центров сертификации локального компьютера
Настройка времени сервера	Настройка параметров установки точного времени. Использовать NTP — использовать серверы NTP из указанного списка для синхронизации времени. Основной сервер NTP — адрес основного сервера точного времени. Значение по умолчанию — `pool.ntp.org`. Запасной сервер NTP — адрес запасного сервера точного времени. Время на сервере — позволяет установить время на сервере. Время должно быть указано в часовом поясе UTC
Настройка кэширования HTTP	Вы можете настроить следующие параметры кэша прокси-сервера: Включен/Выключен — включение или отключение кэширования. Исключения кэширования — список URL, которые не будут кэшироваться. Максимальный размер объекта (МБ) — объекты с размером, превышающим указанный в этом параметре, не будут кэшироваться. Рекомендуется оставить значение по умолчанию — 1 МБ. Размер RAM-кэша (МБ) — размер оперативной памяти, отведенный под кэширование. Не рекомендуется использовать значение, превышающее 20% от объема оперативной памяти системы
Настройка PCAP	Настройка записи трафика при срабатывании сигнатур системы обнаружения вторжений. Настройка захвата пакетов: Без захвата; Один пакет; Предшествующие пакеты (от 4 до 30 пакетов); Предшествующие и последующие пакеты (предшествующие — от 4 до 30; последующие — от 2 до 15). Важно!Большой размер PCAP может привести к значительному замедлению обработки данных
Учет изменений	При включенном учете изменений и создании Типов изменений любое изменение в конфигурации, вносимое администратором через веб-консоль, будет требовать указания типа изменения и описания вносимого изменения. В качестве типов изменения могут быть, например, указаны: распоряжение; приказ; регламентные работы. Количество типов изменений не ограничено
Центр обновлений	Параметры для управления скачиванием обновлений программного обеспечения UserGate (UGOS) и системных библиотек, предоставляемых по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, типов контента и другие). Обновления ПО — настройка канала обновлений (стабильные, бета), проверки наличия новых обновлений UGOS и скачивание офлайн-обновлений. При установке обновления можно задать точку восстановления устройства. Если точка восстановления была создана, после успешного завершения обновления в стартовом меню устройства появится опция восстановления предыдущей версии ПО. Обновления библиотек — проверка наличия обновлений библиотек, скачивание обновлений и настройка расписания автоматической проверки и скачивания библиотек. Проверить наличие обновлений библиотек и скачать последние обновления можно по ссылке Проверить обновления. Настроить автоматическое обновление библиотек можно по ссылке Настроить. Начиная с версии 7.1.2 после активации лицензии автоматически будет обновляться следующий набор библиотек: Сигнатуры приложений L7; UserGate-анти-вирус; IP-список бот-сетей; Сигнатуры СОВ; URL-список фишинговых сайтов; UserGate URL filtering (URLF) — компактная и полная библиотеки; Блокировка рекламы; Доверенные УЦ. Список автоматически обновляемых библиотек может быть изменен администратором в настройках расписания автоматических обновлений. Для каждой библиотеки можно настроить расписание автоматической проверки и скачивания обновлений. Вы можете выбрать одно из предустановленных значений или указать время вручную в cron-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>. При ручном вводе также можно использовать следующие символы: Звездочка () — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час. Дефис (-) — для указания диапазона значений. Запятая (,) — в качестве разделителя значений. Косая черта (/) — для указания шага между значениями. При установке флажка Единое расписание для всех обновлений* расписание текущей библиотеки будет применено ко всем библиотекам. ПримечаниеВ целях уменьшения нагрузки на систему рекомендуется устанавливать автоматическое обновление только для используемых библиотек
Модули	Вы можете настроить следующие модули NGFW: HTTP(S)-прокси-порт — позволяет указать нестандартный (дополнительный) номер порта, который будет использоваться для подключения к встроенному прокси-серверу. По умолчанию используется порт TCP 8090; при изменении порт продолжает функционировать. Невозможно использовать следующие порты, поскольку они используются внутренними сервисами UserGate NGFW: 2200, 8001, 4369, 9000-9100. Домен Auth captive-портала — служебный домен, который используется NGFW при авторизации пользователей через captive-портал. Необходимо, чтобы пользователи могли преобразовывать указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то преобразование адресов (resolving) настроено автоматически. По умолчанию используется имя auth.captive, которое может быть изменено на другое доменное имя, принятое в организации. Домен Logout captive-портала — служебный домен, который используется пользователями NGFW для окончания сессии (logout). Необходимо, чтобы пользователи могли преобразовывать указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то преобразование настроено автоматически. По умолчанию используется имя logout.captive, которое может быть изменено на другое доменное имя, принятое в организации. Домен Cert captive-портала — служебный домен, который используется NGFW при авторизации пользователей через captive-портал с помощью сертификатов. Необходимо, чтобы пользователи могли преобразовывать указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то преобразование адресов настроено автоматически. По умолчанию используется имя cert.captive, которое может быть изменено на другое доменное имя, принятое в организации. Домен страницы блокировки — служебный домен, который используется для отображения страницы блокировки пользователям. Необходимо, чтобы пользователи могли преобразовывать указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то преобразование настроено автоматически. По умолчанию используется имя block.captive, которое может быть изменено на другое доменное имя, принятое в организации. FTP поверх HTTP — включение или отключение модуля, позволяющего получать доступ к содержимому FTP-серверов из пользовательского браузера. Требуется явное указание прокси-сервера для протокола FTP в браузере пользователя. Администратор может ограничивать доступ к ресурсам FTP с помощь правил контентной фильтрации (только по условиям Пользователи и URL). FTP поверх HTTP домен — служебный домен, который используется для предоставления пользователям сервиса FTP поверх HTTP. Необходимо, чтобы пользователи могли преобразовывать указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то преобразование настроено автоматически. По умолчанию используется имя `ftpclient.captive`, которое может быть изменено на другое доменное имя, принятое в организации. Зона для инспектируемых туннелей — включение/выключение модуля инспектирования туннелей и указание зоны для их инспектирования. Пароль агентов терминального сервиса — настройка пароля для подключения агентов авторизации терминальных серверов. Настройка LLDP — настройка использования протокола канального уровня Link Layer Discovery Protocol (LLDP), который позволяет сетевому оборудованию, работающему в локальной сети, оповещать устройства о своем существовании, передавать им свои характеристики, а также получать от них аналогичную информацию. При настройке необходимо задать значения: Transmit delay — задержка передачи. Указывается время ожидания устройства перед отправкой объявлений соседям после изменения TLV в протоколе LLDP или состояния локальной системы, например изменение имени узла или адреса управления. Может принимать значения от 1 до 3600, задается в секундах. Transmit hold — значение мультипликатора удержания. Произведение значений transmit delay и transmit hold определяет время жизни (TTL) пакетов LLDP. Может принимать значения от 1 до 100
Log Analyzer (начиная с версии 7.3.0 — Состояние базы данных журналов)	В этом блоке указана информация о сервере базы данных журналов. Сервер. Внешний сервер базы данных журналов — LogAn или локальный сервер. Версия сервера — версия ПО сервера базы данных журналов. Версия устройства — версия ПО самого устройства. Код устройства — уникальный код устройства для интеграции с внешним сервером Log Analyzer. ПримечаниеПри интеграции с внешним сервером LogAn обработка и экспорт журналов, создание отчетов и обработка других статистических данных производятся сервером LogAn
Веб-портал	Параметры для предоставления доступа к внутренним ресурсам компании с помощью веб-портала (SSL VPN). Подробное описание этих параметров — в разделе «Веб-портал»
Агент UserGate Management Center	Настройка подключения устройства к центральной консоли управления (UGMC), позволяющей управлять парком устройств UserGate из одной точки; для подключения к серверу UGMC используются порты TCP 2022 и TCP 9712. Среди параметров: Включен/Выключен — включение или отключение управления с помощью UGMC. Адрес UserGate Management Center — адрес сервера в формате IPv4-адреса или FQDN (возможно использование IDN-адреса). Код устройства — токен, требуемый для подключения к UGMC. UGMC может использоваться как источник обновления ПО и сигнатур. ПримечаниеПодключение UserGate Management Сenter к NGFW возможно только в том случае, если порт NGFW находится в виртуальном маршрутизаторе по умолчанию. Подробнее об этом — в разделе «Виртуальные маршрутизаторы»
Вышестоящий прокси (в версиях 7.1.x, 7.2.x, 7.3.x)	Настройки параметров вышестоящего прокси-сервера для перенаправления пользовательского трафика. В качестве параметров указывается тип вышестоящего прокси-сервера (HTTP(S), SOCKS5), IP-адрес и порт вышестоящего прокси-сервера, логин и пароль при необходимости для аутентификации на вышестоящем прокси-сервере

Просмотреть как статью

к началу

Управление устройством

В разделе Настройки ➜ UserGate ➜ Управление устройством вы можете настраивать следующие параметры устройства:

кластеры отказоустойчивости;
кластер конфигурации;
диагностика;
операции с сервером;
резервное копирование;
экспорт и импорт настроек.

Информация о настройке кластеров приведена в разделе «Кластеризация и отказоустойчивость».

Диагностика

В этом блоке вы можете управлять параметрами диагностики, необходимыми службе технической поддержки UserGate для решения возможных проблем с продуктом.

Параметр

Описание

Детализация диагностики

Доступны следующие уровни журналирования:

Off — ведение журналов диагностики отключено.
Error — журналировать только ошибки в работе NGFW.
Warning — журналировать только ошибки и предупреждения.
Info — журналировать только ошибки, предупреждения и дополнительную информацию.
Debug — журналировать все возможные события.

При журналировании с уровнями Warning, Info и Debug может снижаться производительность NGFW, поэтому рекомендуется устанавливать уровни Error или Off, если технической поддержкой UserGate не было предложено иное

Журналы диагностики

Вы можете:

Скачать журналы — скачать диагностические журналы для их передачи в службу технической поддержки UserGate. Для скачивания доступны журналы веб-консоли и системные журналы. Скачать выбранные журналы можно только после их архивирования по кнопке Начать архивирование журналов.
Очистить файлы логов — удалить архивные (не активные в настоящий момент) журналы

Удаленный помощник

Удаленный помощник позволяет специалисту технической поддержки UserGate безопасно подключаться к серверу UserGate NGFW для диагностики и решения проблем. Для активации удаленного помощника продукт должен иметь доступ к серверу удаленного помощника по протоколу SSH.

При включенном удаленном помощнике отображаются его идентификатор и токен, которые необходимо сообщить специалисту технической поддержки UserGate

Операции с сервером

В этом блоке вы можете перезагрузить или выключить сервер UserGate NGFW, а также настроить вышестоящий прокси-сервер для проверки лицензий и обновлений продукта.

UserGate поставляет обновления в рамках лицензии на модуль Security Update (см. раздел «Лицензирование NGFW»). При наличии обновлений в блоке Операции с сервером отобразится соответствующее оповещение. Установка обновлений может занять длительное время, поэтому рекомендуется планировать этот процесс с учетом возможного времени простоя UserGate NGFW.

Перед установкой обновлений рекомендуется создать резервную копию UserGate NGFW. Это позволит восстановить предыдущее состояние продукта, если возникнут проблемы, связанные с применением обновлений.

Управление резервным копированием

В этом блоке вы можете:

создавать резервные копии;
восстанавливать продукт из резервной копии;
настраивать расписание экспорта резервных копий на удаленный сервер;
настраивать SSH-ключи.

Чтобы создать резервную копию продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Еще ➜ Создание резервной копии.

Начнется создание резервной копии. Вы можете прервать процесс по кнопке Остановить.

По окончании процесса резервная копия UserGate NGFW будет сохранена в файле backup_PRODUCT_NODENAME_DATE.gpg, где:

PRODUCT — тип продукта: NGFW, LogAn, MC;
NODENAME — имя узла продукта;
DATE — дата и время создания резервной копии в формате YYYY-MM-DD-HH-MM (в часовом поясе UTC+0).

Запись о создании резервной копии отобразится в журнале событий продукта.

Чтобы восстановить продукт из резервной копии:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Еще ➜ Восстановление резервной копии и подтвердите восстановление.
Укажите путь к файлу с резервной копией UserGate NGFW.

Восстановление будет предложено в консоли TTY при перезагрузке сервера UserGate NGFW.

Администраторы могут создавать правила экспорта, по которым резервные копии будут выгружаться на удаленные серверы по расписанию.

Чтобы создать правило экспорта резервной копии продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Добавить.
На вкладке Общие укажите имя правила.
На вкладке Удаленный сервер укажите параметры удаленного сервера:

тип — FTP или SSH;
адрес;
порт для подключения;
логин и пароль учетной записи;
путь к существующей папке для сохранения файлов экспорта.

ПримечаниеДля авторизации на удаленном SSH-сервере вы можете использовать SSH-ключи. Для этого их нужно предварительно настроить.

Важно!Если вы создаете правило для SSH-сервера с авторизацией по SSH-ключам, необходимо проверить соединение с этим сервером по кнопке «Проверить соединение». При проверке устанавливается первичное соединение, при котором отпечаток открытого ключа автоматически добавляется на удаленный сервер. Это обеспечивает безопасность последующих соединений.

На вкладке Расписание укажите время экспорта резервной копии.

Вы можете выбрать одно из предустановленных значений или указать время вручную в cron-формате: <минуты: 0—59> <часы: 0—23> <дни месяца: 1—31> <месяцы: 1—12> <дни недели: 0—6, где 0 — воскресенье>.

При ручном вводе также можно использовать следующие символы:

Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час.
Дефис (-) — для указания диапазона значений.
Запятая (,) — в качестве разделителя значений.
Косая черта (/) — для указания шага между значениями.

Нажмите Сохранить.

Для авторизации на удаленном SSH-сервере вы можете использовать SSH-ключи. Для этого их нужно настроить.

Чтобы настроить SSH-ключи:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Еще ➜ Настроить SSH-ключ.
Нажмите Сгенерировать новый ключ.

Будет сгенерирована пара SSH-ключей (закрытый и открытый). Открытый ключ отобразится в окне настройки, закрытый ключ будет автоматически сохранен на сервере UserGate NGFW.

ПримечаниеЕсли у вас уже есть пара SSH-ключей, вы можете добавить закрытый ключ на сервер UserGate NGFW вручную по кнопке «Загрузить ключ».

Добавьте открытый SSH-ключ на удаленный сервер.

По умолчанию SSH-ключи хранятся в папке /home/user/.ssh/ в файле authorized_keys.

Экспорт и импорт настроек

В этом блоке вы можете экспортировать текущие параметры UserGate NGFW в виде файлов экспорта в формате BIN. Впоследствии такие файлы могут понадобиться для восстановления параметров продукта, а также для импорта в другие NGFW.

Экспорт может выполняться вручную или по расписанию. Вы можете экспортировать все текущие параметры (за исключением данных о кластерах и лицензии) или только сетевые. К сетевым относятся параметры зон, интерфейсов, шлюзов, виртуальных маршрутизаторов, а также параметры сервисов DNS, DHCP и WCCP. Сетевые параметры настраиваются в разделе Настройки ➜ Сеть (см. раздел «Настройка сети»).

Чтобы экспортировать все параметры продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Экспорт ➜ Экспортировать все настройки.

Параметры будут сохранены в файле utm-utmcore@NODENAME_VERSION_DATE.bin, где:

NODENAME — имя узла продукта;
VERSION — версия UGOS;
DATE — дата и время выгрузки параметров в формате YYYYMMDD_HHMMSS (в часовом поясе UTC+0).

Чтобы экспортировать только сетевые параметры продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Экспорт ➜ Экспортировать сетевые настройки.

Параметры будут сохранены в файле utm-net-utmcore@NODENAME_VERSION_DATE.bin, где:

NODENAME — имя узла продукта;
VERSION — версия UGOS;
DATE — дата и время выгрузки параметров в формате YYYYMMDD_HHMMSS (в часовом поясе UTC+0).

Администраторы могут создавать правила экспорта, по которым параметры продукта будут выгружаться на удаленные серверы по расписанию. Если узлы продукта объединены в кластер, то при создании правила экспорта на одном из узлов это правило будет распространяться на все узлы кластера. Параметры каждого узла при экспорте будут сохраняться в отдельном файле.

Чтобы создать правило экспорта параметров продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Добавить.
На вкладке Общие укажите имя правила.
На вкладке Удаленный сервер укажите параметры удаленного сервера:

тип — FTP или SSH;
адрес;
порт для подключения;
логин и пароль учетной записи;
путь к существующей папке для сохранения файлов экспорта.

Важно!Если вы создаете правило для SSH-сервера с авторизацией по SSH-ключам, вам необходимо проверить соединение с этим сервером по кнопке «Проверить соединение». При проверке устанавливается первичное соединение, при котором отпечаток открытого ключа автоматически добавляется на удаленный сервер. Это обеспечивает безопасность последующих соединений.

На вкладке Расписание укажите время экспорта параметров.

При ручном вводе также можно использовать следующие символы:

Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час.
Дефис (-) — для указания диапазона значений.
Запятая (,) — в качестве разделителя значений.
Косая черта (/) — для указания шага между значениями.

Нажмите Сохранить.

Вы можете восстанавливать параметры продукта из файлов экспорта. Эти файлы не содержат данные о кластерах и лицензии, поэтому после восстановления параметров вам потребуется повторно активировать лицензию и настроить кластеры. Кроме того, если для входа в UserGate NGFW вы используете многофакторную аутентификацию через TOTP, после восстановления необходимо повторно добавить ключи инициализации.

ПримечаниеДля импорта правил фильтрации, в которых указаны пользователи или группы пользователей, необходим доступ к LDAP-серверу. В противном случае эти правила будут восстановлены без данных о пользователях. Для корректного восстановления правил, использующих обновляемые списки, необходима лицензия на модули Security Update и Advanced Threat Protection.

Важно! При восстановлении параметров UserGate NGFW из файла экспорта, созданного в более поздней версии продукта, работоспособность сервера UserGate NGFW не гарантируется.

Чтобы восстановить параметры продукта из файла экспорта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Импорт.
Выберите файл экспорта.
В окне Импортировать настройки выберите тип импорта (все параметры или только сетевые).
Нажмите Старт.

Начнется восстановление параметров. По окончании процесса сервер UserGate NGFW будет перезагружен.

После перезагрузки сервера вам необходимо обновить библиотеки сигнатур в разделе Настройки ➜ UserGate ➜ Настройки ➜ Обновление библиотек. Если доступ к ресурсу с библиотеками отсутствует, вы можете загрузить файл обновления вручную в разделе Настройки ➜ UserGate ➜ Настройки ➜ Обновление ПО.

Просмотреть как статью

к началу

Управление доступом к интерфейсам администрирования

При первоначальной настройке UserGate NGFW по умолчанию создается локальная учетная запись суперадминистратора (Admin). Используя эту учетную запись, вы можете управлять доступом других администраторов к интерфейсам устройства: веб-интерфейсу, интерфейсу командной строки, а также программному интерфейсу REST API.

Для управления доступом используется ролевая модель, которая позволяет создавать учетные записи администраторов и назначать им профили доступа. Каждому профилю доступа соответствует набор разрешений на использование тех или иных функций продукта. Например, с помощью профиля доступа можно разрешить или запретить администратору подключаться к UserGate NGFW через интерфейс командной строки.

Вы также можете управлять доступом с помощью настройки зон. Для этого в разделе Настройки ➜ Сеть ➜ Зоны в свойствах зоны на вкладке Контроль доступа вы можете разрешить или запретить необходимое подключение.

В разделе Настройки ➜ UserGate ➜ Администраторы вы можете создавать учетные записи:

Локальных администраторов. Учетные данные для аутентификации хранятся на сервере UserGate NGFW.
Пользователей или групп пользователей LDAP. Аутентификация выполняется с помощью доменных учетных записей пользователей или групп пользователей. Предварительно в разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации необходимо настроить LDAP-коннектор. Логин учетной записи при аутентификации указывается в формате <логин администратора>@domain.
Администраторов с профилем аутентификации. Для аутентификации используются профили аутентификации, настроенные в разделе Настройки ➜ Пользователи и устройства ➜ Профили аутентификации.

Инструкции по настройке серверов аутентификации приведены в разделе «Серверы аутентификации», по настройке профилей аутентификации — в разделе «Профили аутентификации».

Вы можете удалять созданные учетные записи и изменять их параметры, а также управлять состоянием учетных записей (включать и отключать их). Кроме того, вы можете разблокировать локальную учетную запись, которая была заблокирована (например в случае, если было превышено количество неудачных попыток аутентификации).

Для дополнительной защиты локальных учетных записей можно настроить парольную политику. Для доменных учетных записей, а также для учетных записей с профилями аутентификации параметры защиты определяются внешним источником учетных записей.

По умолчанию аутентификация администраторов выполняется по логину и паролю, вы можете изменить способ аутентификации в разделе Настройки ➜ UserGate ➜ Настройки ➜ Настройки интерфейса ➜ Режим аутентификации веб-консоли. Например, для более безопасного подключения можно выбрать аутентификацию по сертификатам и настроить цифровые сертификаты.

Создание профиля доступа

Для создания учетной записи должен быть создан хотя бы один профиль доступа с набором разрешений, которые предоставляются администратору.

Чтобы создать профиль доступа:

В разделе Настройки ➜ UserGate ➜ Администраторы ➜ Профили администраторов нажмите Добавить.
На вкладке Общие укажите название профиля.
На вкладке Разрешение доступа выберите действия, которые может выполнять администратор в веб-интерфейсе.
На вкладке Разрешение для API выберите действия, которые может выполнять администратор при подключении через REST API.
На вкладке Разрешение для CLI разрешите или запретите администратору доступ к интерфейсу командной строки.
Нажмите Сохранить.

Теперь вы можете перейти к созданию учетной записи администратора.

Создание учетной записи администратора

Чтобы создать учетную запись администратора:

В разделе Настройки ➜ UserGate ➜ Администраторы в блоке Администраторы нажмите Добавить и выберите тип учетной записи.
Выберите профиль доступа и укажите параметры, необходимые для выбранного типа учетной записи.
Нажмите Сохранить.

Все администраторы, подключившиеся к UserGate NGFW одним из способов, отображаются в разделе Настройки ➜ UserGate ➜ Администраторы ➜ Сессии администраторов. Вы можете закрывать сессии администраторов по кнопке Закрыть сессию.

Настройка парольной политики

Для локальных учетных записей можно настроить парольную политику, а именно указать:

параметры сложности пароля;
максимальное количество неудачных попыток аутентификации;
время блокировки учетной записи при превышении количества неудачных попыток аутентификации.

Чтобы настроить парольную политику:

В разделе Настройки ➜ UserGate ➜ Администраторы в блоке Администраторы нажмите Еще ➜ Настроить.
Укажите параметры, которым должен соответствовать пароль локальной учетной записи администратора.
Нажмите Сохранить.

Настройка цифровых сертификатов

Вы можете использовать аутентификацию администраторов по сертификатам, это обеспечит дополнительную защиту при подключении к UserGate NGFW. Для этого цифровые сертификаты должны быть настроены.

ПримечаниеНиже приводится инструкция по настройке сертификатов в OpenSSL. Вы можете выполнять инструкцию в этой же утилите или в ее аналогах.

Чтобы настроить цифровые сертификаты:

Создайте сертификат удостоверяющего центра для доступа к веб-интерфейсу, последовательно выполнив команды:

openssl req -x509 -subj '/C=RU/ST=Moscow/O= MyCompany /CN=ca.mycompany.com' -newkey rsa:2048 -keyout ca-key.pem -out ca.pem -nodes openssl rsa -in ca-key.pem -out ca-key.pem

Будут созданы файл закрытого ключа ca-key.pem и файл открытого ключа ca.pem. Импортируйте открытый ключ на сервер UserGate NGFW.

Создайте сертификат администратора для каждой учетной записи, выполнив команду:

openssl req -subj '/C=RU/ST=Moscow/O= MyCompany /CN=<логин администратора>' -out admin.csr -newkey rsa:2048 -keyout admin-key.pem -nodes

Подпишите сертификат администратора каждой учетной записи сертификатом удостоверяющего центра, последовательно выполнив команды:

openssl x509 -req -days 9999 -CA ca.pem -CAkey ca-key.pem -set_serial 1 -in admin.csr -out admin.pem

openssl pkcs12 -export -in admin.pem -inkey admin-key.pem -out admin.p12 -name '<логин администратора> client certificate'

Подписанные сертификаты администраторов будут сохранены в файл admin.p12. Вам необходимо добавить этот файл в ОС и в браузер, которые будут использовать администраторы для подключения к устройству.

Просмотреть как статью

к началу

Управление сертификатами

UserGate NGFW использует защищенный протокол HTTPS для управления устройством, может перехватывать и расшифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также производить авторизацию администраторов в веб-консоли на основе их сертификатов.

Для выполнения этих функций NGFW использует различные типы сертификатов.

Сертификат	Описание
SSL веб-консоли	Используется для создания безопасного HTTPS-подключения администратора к веб-консоли NGFW
SSL captive-портала	Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации captive-портала, отображения страницы блокировки и страницы Logout captive-портала, для работы прокси-сервера FTP. Этот сертификат должен быть выпущен со следующими параметрами: `Subject name` — значение, установленное для домена Домен Auth captive-портала в разделе Настройки ➜ UserGate ➜ Настройки ➜ Модули. `Subject Alternative names` — необходимо указать все домены, для которых используется данный сертификат и которые заданы на странице Настройки ➜ UserGate ➜ Настройки: Домен Auth сaptive-портала; Домен Logout сaptive-портала; Домен страницы блокировки; FTP поверх HTTP; Адрес веб-портала. По умолчанию используется сертификат, подписанный с помощью сертификата SSL-инспектирования и выпущенный для домена auth.captive, со следующими параметрами: `Subject name = auth.captive` `Sunject alternative names = auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive` Если администратор не загрузил собственный сертификат для обслуживания этой роли, UserGate NGFW в автоматическом режиме перевыпускает такой сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive). Внимание!Если администратор использует отдельный сертификат для домена captive-портала, необходимо в сертификате в расширении `Subject Alternative name` добавить не только свой домен Auth captive-портала, но также и фиксированный домен cert.captive. Если cert.captive не добавить, при аутентификации через сертификат в браузере будет выдаваться ошибка безопасности
SSL-инспектирование	Сертификат класса удостоверяющего центра. Используется для генерации SSL-сертификатов для интернет-узлов, для которых производится перехват трафика HTTPS, SMTPS, POP3S. Например, рассмотрим перехват HTTPS-трафика сайта yahoo.com. Оригинальный сертификат выглядит следующим образом: `Subject name = yahoo.com` `Issuer name = VeriSign Class 3 Secure Server CA — G3`, Сертификат подменяется на: `Subject name = yahoo.com` `Issuer name = <компания, указанная в сертификате удостоверяющего центра, заведенного в UserGate NGFW>`. Этот сертификат также используется для создания сертификата по умолчанию для роли SSL captive-портала
SSL-инспектирование (промежуточный)	Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата SSL-инспектирования. Для корректной работы необходим только открытый ключ сертификата
SSL-инспектирование (корневой)	Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата SSL-инспектирования. Для корректной работы необходим только открытый ключ сертификата
Пользовательский сертификат	Сертификат, который назначается пользователю UserGate NGFW. Пользователь может быть как локальным, так и использующим LDAP-аутентификацию. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси
УЦ для авторизации в веб-консоли	Сертификат удостоверяющего центра для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа
SAML server	Используется для работы UserGate NGFW с сервером SSO SAML IDP. Подробнее о настройке работы UserGate NGFW с сервером авторизации SAML IDP — в соответствующем разделе руководства
Веб-портал	Сертификат, используемый для веб-портала. Если сертификат не указан явно, UserGate NGFW использует сертификат SSL captive-портала, выпущенный сертификатом SSL-инспектирования. Подробнее о настройке веб-портала — в соответствующем разделе руководства

Сертификатов для SSL веб-консоли, SSL captive-портала и SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения задач. Сертификатов типа УЦ для авторизации в веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.

Создание сертификата

Чтобы создать новый сертификат:

В разделе Настройки ➜ UserGate ➜ Сертификаты нажмите Создать и укажите информацию о сертификате.

ПримечаниеВ поле Common name указывается имя сертификата. Рекомендуется использовать только символы латинского алфавита для обеспечения совместимости с большинством браузеров.

Укажите роль сертификата в UserGate NGFW: выделите необходимый сертификат в списке сертификатов, нажмите Редактировать и в поле Используется выберите тип сертификата. В случае если вы выбрали тип SSL веб-консоли, UserGate NGFW перезагрузит сервис веб-консоли и предложит подключиться уже с использованием нового сертификата. Сертификат SSL-инспектирования начинает работать сразу после того, как его выбрали. Подробнее об инспектировании HTTPS — в разделе «Инспектирование SSL».

Экспорт и импорт сертификатов

UserGate NGFW позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например сертификаты, выписанные доверенным удостоверяющим центром вашей организации.

Чтобы экспортировать сертификат:

В разделе Настройки ➜ UserGate ➜ Сертификаты выделите нужный сертификат в списке и нажмите Экспорт.
Выберите тип сертификата для экспорта:

Экспорт сертификата — экспортируются данные сертификата в DER-формате без экспортирования закрытого ключа сертификата. Используйте файл, полученный в результате экспорта сертификата для SSL-инспектирования, для его установки в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом — в приложении «Установка сертификата локального удостоверяющего центра».
Экспорт CSR — экспортируется CSR сертификата, например для его подписи удостоверяющим центром.

ПримечаниеРекомендуется сохранять сертификат, чтобы впоследствии иметь возможность его восстановить.

ПримечаниеВ целях безопасности UserGate не разрешает экспорт закрытых ключей сертификатов.

ПримечаниеВы можете скачать для установки сертификат SSL-инспектирования по ссылке http://usergate_ip:8002/cps/ca, где usergate_ip — IP-адрес вашего UserGate NGFW.

Чтобы импортировать сертификат:

В разделе Настройки ➜ UserGate ➜ Сертификаты нажмите Импорт.
Заполните поля, указав необходимую информацию о сертификате.

Использование корпоративного УЦ для создания сертификата SSL-инспектирования

Если в компании уже существует внутренний УЦ или цепочка удостоверяющих центров, в качестве сертификата для SSL-инспектирования можно указать сертификат, созданный внутренним УЦ. В случае если внутренний УЦ является доверенным для всех пользователей компании, перехват SSL будет происходить незаметно, пользователи не будут получать предупреждения о подмене сертификата.

Рассмотрим более подробно процедуру настройки UserGate NGFW. Допустим, что в организации используется внутренний УЦ на базе Microsoft Enterprise CA, интегрированный в Active Directory. Структура УЦ следующая.

Необходимо выписать с помощью Sub CA2 сертификат для UserGate NGFW и настроить его в качестве сертификата для SSL-инспектирования. Также необходимо выписать сертификат UserGate SSL decrypt в качестве удостоверяющего центра.

В качестве сертификата для SSL-инспектирования могут быть использованы только те импортированные сертификаты, которые соответствуют требованиям ниже:

Сертификат относится к классу удостоверяющего центра (CA). В расширении X509v3 Basic Constraints (RFC 5280) сертификата должен быть атрибут CA:TRUE. В разделе Настройки ➜ UserGate ➜ Сертификаты консоли администратора такие сертификаты помечаются значком Файл сертификата УЦ слева от названия сертификата.
Ограничение использования сертификата не установлено или в его назначении в явном виде указаны атрибуты Digital signature и Certificate signing.
В сертификате не использованы никакие атрибуты расширения X509v3 Key Usage (RFC 5280). В столбце Назначение сертификата консоли администратора для такого сертификата будет указано Отсутствует.
Если в сертификате используется расширение X509v3 Key Usage, для SSL-инспектирования должны присутствовать атрибуты digitalSignature и keyCertSign. В столбце Назначение сертификата консоли администратора для такого сертификата будет указано Digital signature и Certificate signing.

Внимание!UserGate не поддерживает алгоритм подписи rsassaPss. Необходимо, чтобы в цепочке сертификатов, используемой для выписывания сертификата для SSL-инспектирования, не содержался этот алгоритм подписи.

Для выполнения этой задачи:

В разделе Настройки ➜ UserGate ➜ Сертификаты нажмите Новый CSR, заполните необходимые поля и создайте CSR.
Будут созданы закрытый ключ и файл запроса.
В списке сертификатов выделите CSR и с помощью кнопки Экспорт скачайте файл запроса.
В Microsoft CA создайте сертификат на основе полученного CSR-файла с помощью утилиты certreq (certreq.exe -submit -attrib "CertificateTemplate:SubCA" HTTPS_csr.pem) или с помощью веб-консоли Microsoft CA, указав в качестве шаблона «Подчиненный центр сертификации». Вы получите сертификат (открытый ключ), подписанный УЦ Sub CA2.
Скачайте созданный сертификат из веб-консоли Microsoft CA.
В UserGate NGFW на вкладе Сертификаты выберите созданный ранее CSR-файл и нажмите Редактировать. Загрузите файл сертификата и нажмите Сохранить.
На вкладе Сертификаты повторно выберите созданный ранее CSR-файл и нажмите Редактировать. В поле Используется укажите SSL-инспектирование и нажмите Сохранить.
В веб-консоли Microsoft CA выберите и скачайте сертификаты для УЦ Sub CA1 и Sub CA2.
На вкладе Сертификаты с помощью кнопки Импорт загрузите скачанные на предыдущем шаге сертификаты для Sub CA1 и Sub CA2.
На вкладе Сертификаты для каждого из этих сертификатов нажмите Редактировать, в поле Используется укажите SSL-инспектирование (промежуточный) и нажмите Сохранить.

Дополнительно вы также можете с помощью кнопки Импорт загрузить корневой сертификат организации в UserGate NGFW. После загрузки выберите сертификат, нажмите Редактировать, в поле Используется укажите SSL-инспектирование (корневой)

Просмотреть как статью

к началу

Профили клиентских сертификатов

Профиль клиентского сертификата предназначен для проверки сертификатов, которые предоставляет клиент для аутентификации и получения доступа к приложению, сегменту сети или ресурсу. Проверка состоит из трех действий: получения имени пользователя из соответствующего атрибута в сертификате клиента, проверки иерархии доверия и подлинности сертификата.

В профиле указываются сертификаты УЦ, методы проверки актуальности пользовательских сертификатов, методы выбора имени пользователя для аутентификации.

При выборе режима аутентификации по сертификатам (PKI) указывается сконфигурированный ранее профиль клиентского сертификата, который в дальнейшем можно будет использовать в различных подсистемах UserGate NGFW, например на captive-портале, веб-портале, в VPN, reverse proxy.

Чтобы создать профиль клиентского сертификата:

В разделе Настройки ➜ UserGate ➜ Профили клиентских сертификатов нажмите Добавить и укажите значения следующих параметров.

Наименование	Описание
Название	Название профиля клиентских сертификатов
Описание	Описание профиля (необязательное для заполнения поле)
Получать имя пользователя из	Выбор атрибута сертификата, из которого межсетевой экран будет извлекать имя пользователя, используемое при аутентификации: Common-name — доменное имя или имя узла в поле Subject, для которого предназначен сертификат. Subject altname email — для определения имени пользователя используется адрес электронной почты пользователя, указанный в параметре с префиксом email в расширении SAN (Subject Alternative Name). Principal name — для определения имени пользователя используется параметр Universal Principal Name (UPN), содержащийся в поле otherName в расширении SAN. Если в полях расширения SAN сертификата указано несколько имен UPN или несколько адресов email, используется первое значение, указанное в сертификате
Сертификаты УЦ	Сертификаты корневых и промежуточных удостоверяющих центров, которые участвовали в выдаче сертификатов клиентов. Используются для проверки иерархии доверия к сертификату клиента. Сертификат клиента проверяется на подлинность для каждого сертификата УЦ из списка. Перебор списка идет сверху вниз
Проверка отозванных сертификатов	В списках отозванных сертификатов (CRL) содержатся сертификаты, которые были скомпрометированы либо срок действия которых истек. Такие сертификаты больше не могут использоваться для аутентификации. Возможно установить следующие значения параметра: Не проверять — не проверять ни один сертификат в иерархии. Вся цепочка — проверять все сертификаты в иерархии и требовать, чтобы они все были подлинными. Сертификат пользователя — проверять только сертификат клиента. Считать валидным, если статус неизвестен — если по какой-то причине проверить CRL не удалось, сертификат считается подлинным (при этом он все равно проверяется и может получить статус invalid, если сертификат есть в списке отозванных)
Тайм-аут проверки	Дополнительный связанный параметр определяет интервал времени, по истечении которого UserGate NGFW перестает ожидать ответа о статусе сертификата от службы списков отозванных сертификатов. В этом случае сертификат считается подлинным, и при соблюдении прочих условий аутентификация по нему может быть выполнена

Просмотреть как статью

к началу

Системные утилиты

Системные утилиты доступны администратору во время загрузки UserGate NGFW через меню загрузки (boot menu). Для получения доступа к этому меню необходимо подключить монитор к разъему VGA(HDMI), клавиатуру — к разъему USB (при наличии соответствующих разъемов на устройстве). Вы также можете подключить свой компьютер к NGFW, используя специальный кабель для последовательного порта или переходник USB-Serial. Далее необходимо запустить терминал, позволяющий подключиться через последовательный порт (например, через PuTTY для Windows) и установить подключение через последовательный порт, указав параметры подключения 115200 8n1.

Администратор может выбрать один из нескольких способов загрузки в boot-меню.

Способ загрузки	Описание
UGOS NGFW	Загрузка UserGate NGFW с выводом диагностической информации о загрузке в последовательный порт
UGOS NGFW (serial console)	Загрузка UserGate NGFW в упрощенном видеорежиме консоли
Support menu	Вход в раздел системных утилит с выводом информации в консоль tty1 (монитор)
Restore previous version	Раздел доступен после обновления или создания резервной копии

Раздел системных утилит (Support menu) позволяет выполнить следующие действия:

Действие	Описание
Check filesystems	Запуск проверки файловой системы устройства на наличие ошибок и их автоматическое исправление
Expand data partition	Увеличение раздела для хранения данных. Эта операция обычно используется после увеличения дискового пространства, выделенного гипервизором для виртуальной машины UserGate NGFW. Внимание! Для расширения системного раздела с сохранением данных и параметров UserGate NGFW необходимо с помощью средств гипервизора добавить новый диск и затем выполнить операцию Expand data partition, как указано в разделе «Расширение системного раздела»
Create backup	Создание полной копии диска UserGate NGFW на внешнем USB-носителе. Внимание! Перед созданием резервной копии USB-носитель будет отформатирован
Restore from backup	Восстановление UserGate NGFW с внешнего USB-носителя
Factory reset	Сброс состояния UserGate NGFW. Все данные и параметры будут утеряны. Версия ПО не изменится: сохранится версия, актуальная на момент запуска команды
Exit	Выход и перезагрузка устройства

Просмотреть как статью

к началу

Расширение системного раздела

Для расширения системного раздела с сохранением конфигурации и данных узла UserGate:

1. С помощью гипервизора добавьте новый диск необходимого размера в свойствах виртуальной машины UserGate.

2. В меню загрузки узла UserGate войдите в раздел Support menu.

3. В открывшемся разделе выберите Expand data partition и запустите процесс расширения системного раздела.

4. После завершения процесса расширения загрузите узел и в разделе Дашборды в виджете Диски проверьте размер системного раздела.

ПримечаниеРасширение системного раздела путем увеличения размера имеющегося диска виртуальной машины возможно только при сбросе узла до заводских параметров, то есть при выполнении операции factory reset.

Просмотреть как статью

к началу

Upstream Proxy

Общие сведения

Upstream Proxy — это функциональность UserGate NGFW, позволяющая перенаправлять входящий HTTP(S) трафик на другой прокси-сервер, благодаря чему возможно создание каскадной иерархии, когда трафик с одного прокси-сервера передаётся на следующий в цепочке прокси-серверов. Подобное каскадирование обычно используется для обеспечения конфиденциальности коммуникаций, для организации доступа к контенту с региональными ограничениями, для разграничения доступа к определённым веб-ресурсам. Благодаря технологии каскадирования упрощается встраивание новых региональных офисов в существующую иерархию глобальной сети компании.

Upstream Proxy работает только если NGFW используется в режиме явного прокси-сервера (Explicit Proxy). На стороне клиента в веб-браузере или в других приложениях в явном виде указывается адрес и порт прокси-сервера NGFW.

При запросе клиентом внешнего ресурса формируется две TCP-сессии:

Первая сессия: клиент — NGFW. Обращение от клиента происходит непосредственно к NGFW и начинается с сообщения HTTP Connect.
Вторая сессия: в отличие от классического сценария с явным прокси, сессия устанавливается не между NGFW и конечным сервером, а между NGFW и последующим (вышестоящим) прокси-сервером. Трафик от NGFW до вышестоящего прокси-сервера является транзитным для межсетевого экрана. Необходимо понимать, что в режиме Upstream proxy адресом назначения становится IP-адрес вышестоящего прокси-сервера. Если ранее было настроено запрещающее правило по IP-адресам назначения, то такое правило работать не будет.

Сценарии использования

Перенаправление трафика

Входящий на NGFW HTTP-трафик, прошедший через правила фильтрации, перенаправляется на следующий (вышестоящий) прокси-сервер по цепочке. В качестве вышестоящего прокси-сервера может быть любой HTTP(S) или SOCKS5 прокси-сервер. Поддерживается опциональный режим с аутентификацией на вышестоящем прокси-сервере по логину/паролю.

С помощью правил вышестоящих прокси-серверов (доступно в версии ПО 7.4.0 и выше) можно избирательно предоставлять доступ к отдельным ресурсам через назначенные группы прокси-серверов.

Изменение настроек функциональности (серверов, профилей, правил) отображается в Журнале событий.

События срабатывания правил вышестоящего прокси отображается в Журнале веб-доступа, в качестве IP-адреса назначения указывается IP-адрес вышестоящего прокси-сервера.

Этот сценарий может использоваться для решения следующих задач:

Обеспечение доступа к контенту с региональными ограничениями.
Интеграция сети регионального офиса с существующей глобальной сетевой иерархией компании.
Обеспечение конфиденциальности внешних коммуникаций компании.
Разграничение доступа к выбранным веб-ресурсам.

Обновление ПО

Обновление ПО или активация лицензии узлов UserGate проходит через внешний прокси-сервер. В качестве такого прокси может быть любой HTTP(S) прокси-сервер. Поддерживается опциональный режим с аутентификацией на внешнем прокси-сервере по логину/паролю.

Журналирование событий лицензирования или обновления ПО через внешний прокси-сервер производится в Журнале событий. В описании каждого такого обновления добавляется тег "proxy" с адресом и портом прокси-сервера. Например, proxy: https://10.10.0.1:3128.

Одним из примеров использования такого сценария может быть случай, когда оборудование UserGate находится внутри организации с закрытым контуром, без прямого выхода в интернет для обновления ПО.

ПримечаниеНастройки функциональности Upstream Proxy для NGFW могут прописываться в соответствующих шаблонах на MC и применяться к управляемым узлам через MC.

Настройка Upstream Proxy

Функциональность Upstream Proxy можно настроить как в веб-консоли администратора, так и в интерфейсе командной строки (CLI).

Настройка сценария перенаправления трафика

Настройка сценария перенаправления трафика на вышестоящий прокси-сервер в веб-консоли администратора происходит в разделе Настройки ➜ Вышестоящие прокси.

Настройка состоит из следующих основных шагов:

1. Настройка подключения к серверу вышестоящего прокси.

2. Создание профиля подключения.

3. Создание правила вышестоящего прокси.

Настройка подключения к прокси-серверам

Подключение к вышестоящим прокси-серверам настраивается в разделе Настройки ➜ Вышестоящие прокси ➜ Серверы. Необходимо нажать Добавить и указать параметры подключения к вышестоящему прокси-серверу:

В параметрах подключения указывается режим работы вышестоящего прокси-сервера (HTTP(S)) или SOCKS5), его IP-адрес и порт. Если для доступа к вышестоящему прокси-серверу требуется аутентификация, необходимо указать соответствующий логин и пароль.

ПримечаниеЕсли в качестве вышестоящего прокси-сервера используется UserGate NGFW, он может работать только в режиме http(s).

Статус подключения отображается в списке серверов раздела. Проверка статуса происходит автоматически с интервалом 30 секунд. Доступные серверы помечаются иконкой зелёного цвета:

Настройка профилей подключения

Профили предназначены для обеспечения отказоустойчивости подключения к вышестоящему прокси. Профили позволяют выбрать пул серверов для работы в качестве вышестоящего прокси и содержат настройку методов проверки состояния подключения.

Профили создаются в разделе Настройки ➜ Вышестоящие прокси ➜ Профили. Необходимо нажать Добавить и указать параметры профиля подключения к вышестоящему прокси-серверу:

На вкладке Общие указывается название профиля и опциональное описание.

На вкладке Серверы вышестоящего прокси администратором выбираются серверы из списка ранее настроенных в системе. Если указано несколько серверов, системой выбирается первый доступный сервер из списка.

На вкладке Проверка состояния настраивается проверка состояния подключения с помощью контрольного обращения к указанному URL-ресурсу. Обращение происходит посредством одного из выбранных методов HTTP-запроса: GET, HEAD, OPTIONS.

Администратором задаётся интервал проверки и время ожидания ответа.

Статус профиля отображается в списке профилей раздела:

Настройка правил вышестоящего прокси

С помощью правил вышестоящих прокси администратор может управлять доступом к выбранным веб-ресурсам. В качестве условий правила могут выступать зоны и адреса источника, пользователи и группы пользователей, URL-категории и списки URL.

Правила вышестоящих прокси создаются в разделе Настройки ➜ Вышестоящие прокси ➜ Правила. Необходимо нажать Добавить и настроить свойства правила вышестоящего прокси:

На вкладке Общие указывается:

включение/отключение правила;
название правила;
опциональное описание правила;
действие — через прокси или напрямую; действие «через прокси» означает, что трафик должен быть направлен через настроенный вышестоящий прокси, действие «напрямую» означает, что трафик должен быть направлен через шлюз по умолчанию;
профиль прокси;
резервное действие, если все указанные в выбранном профиле прокси-серверы недоступны (подключение напрямую, или отображение страницы блокировки);
включение опции журналирования.

На вкладке Источник указываются зоны или адреса источника запроса. В качестве адресов источника можно указать список IP-адресов, Geo IP, список доменов. Зоны, списки IP-адресов и доменов можно создать прямо на вкладке, нажав строку Создать и добавить новый объект. Флажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

На вкладке Пользователи указываются пользователи или группы пользователей, для которых определено действие правила. Для указания пользователей или групп из AD необходимо иметь заранее настроенный LDAP-коннектор. Локальных пользователей можно создать прямо на вкладке, нажав строку Создать и добавить новый объект. Флажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

На вкладке Категории URL указываются списки категории из библиотеки для фильтрации трафика. Можно создать новый персональный список категорий URL прямо на вкладке, нажав строку Создать и добавить новый объект. Флажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

На вкладке URL указываются проприетарные или персональные списки URL из библиотеки для фильтрации трафика. Можно создать новый персональный список URL прямо на вкладке, нажав строку Создать и добавить новый объект. Флажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

На вкладке Время указываются списки календарей из библиотеки для определения времени работы правила. Можно создать новый персональный список прямо на вкладке, нажав строку Создать и добавить новый объект.

Правила применяются поочерёдно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

ПримечаниеПри апгрейде на версию 7.4.0 и выше с предыдущих версий (7.1.x — 7.3.x), если в NGFW ранее был настроен вышестоящий прокси, будет произведена конвертация его настройки в цепочку: один сервер ➜ один профиль ➜ одно правило.

Описание настроек Upstream Proxy в интерфейсе командной строки (CLI) смотрите в разделе Настройка Upstream Proxy.

Настройка сценария обновления ПО

Сценарий обновления лицензии или ПО узла UserGate через внешний прокси-сервер имеет одинаковую сквозную настройку для активации лицензии и для обновления ПО. Настройка производится в разделе Лицензия в Дашборде.

Для настройки необходимо перейти в раздел Дашборд ➜ Лицензия и нажать на строку регистрации. В окне активации поставить флажок использования прокси-сервера для активации и обновлений.

В настройках необходимо указать IP-адрес и порт внешнего HTTP прокси-сервера. Если для доступа к внешнему прокси-серверу требуется аутентификация, необходимо указать соответствующий логин и пароль.

Просмотреть как статью

к началу

Кластеризация и отказоустойчивость

UserGate NGFW поддерживает следующие типы кластеров:

Кластер конфигурации. Узлы, объединенные в кластер конфигурации, поддерживают единые параметры фильтрации и обработки трафика в рамках кластера.
Кластер отказоустойчивости. До четырех узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме «активный — активный» или «активный — пассивный». Возможно собрать несколько кластеров отказоустойчивости.

Кластер конфигурации

Ряд параметров уникален для каждого из узлов кластера. К уникальным относятся параметры:

Log Analyzer,
диагностики,
интерфейсов,
шлюзов,
DHCP,
маршрутов,
OSPF,
BGP.

Чтобы создать кластер конфигурации:

Выполните первоначальную настройку на первом узле кластера.
Настройте на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера: в разделе Настройки ➜ Сеть ➜ Зоны создайте выделенную зону для репликации кластера или используйте существующую (Cluster). В параметрах зоны в блоке Контроль доступа разрешите сервисы Консоль администрирования и Кластер.

Внимание!Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например к интернету.

Укажите IP-адрес, который будет использоваться для связи с другими узлами кластера: в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер конфигурации выберите текущий узел кластера, нажмите Редактировать и укажите IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.
В блоке Кластер конфигурации нажмите Еще ➜ Сгенерировать секретный код и скопируйте полученный код в буфер обмена. Код необходим для одноразовой авторизации второго узла при его добавлении в кластер.
Подключитесь к веб-консоли второго узла кластера, выберите язык установки. Укажите интерфейс, который будет использован для подключения к первому узлу кластера, и назначьте ему IP-адрес. Оба узла кластера должны находиться в одной подсети. Например, интерфейсам eth2 обоих узлов могут быть назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.

Укажите IP-адрес первого узла, настроенный на шаге 3, вставьте секретный код и нажмите Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и все параметры первого кластера реплицируются на второй.

Состояние узлов кластера конфигурации можно определить по цветовой индикации напротив названия узла UserGate в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер конфигурации:

Зеленый: узел доступен.
Желтый: происходит синхронизация между узлами кластера конфигурации.
Красный: связь с узлом потеряна, узел недоступен.

В веб-консоли второго узла кластера в разделе Настройки ➜ Сеть ➜ Интерфейсы назначьте каждому интерфейсу корректную зону. Зоны и их параметры получены в результате репликации данных с первого узла кластера.
Настройте шлюзы, маршруты, параметры OSPF, BGP, индивидуальные для каждого из узлов.

ПримечаниеПри вводе дополнительного узла в кластер конфигурации в явном виде указываются параметры интерфейса и шлюза для подключения к главному узлу. Тип присвоения IP-адреса этого интерфейса будет статическим.

Кластер отказоустойчивости «активный — пассивный»

До четырех узлов кластера конфигурации можно объединить в отказоустойчивый кластер. Самих кластеров отказоустойчивости может быть несколько, например в кластер конфигурации могут быть добавлены узлы A, B, C и D, на основе которых будет создано два кластера отказоустойчивости — A-B и C-D.

Поддерживаются два режима кластера отказоустойчивости — «активный — активный» или «активный — пассивный». Состояние узлов кластера можно определить по цвету индикатора около названия узла NGFW в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластеры отказоустойчивости:

Нет цветового индикатора: узел кластера доступен
Желтый: кластер отказоустойчивости не запущен на узле.
Красный: нет связи с соседними узлами конфигурации.

Отсутствие индикатора напротив названия узла говорит о доступности узла кластера.

В режиме «активный — пассивный» один из межсетевых экранов выступает в роли мастер-узла, обрабатывающего транзитный трафик пользователей, а остальные — в качестве резервных, которые находятся в состоянии готовности начать обработку трафика. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

ПримечаниеРежим «активный — пассивный» поддерживает синхронизацию пользовательских сессий — это обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси-сервер, например трафик HTTP(S).

При переходе главной роли на резервный сервер на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

Резервный узел не получает подтверждения о том, что мастер-узел находится в сети (таймеры: Adver — 1 сек., MasterDown — 3 сек.), например если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (см. раздел «Настройка шлюзов») и ни через один из шлюзов нет доступа в интернет.
Если узел, указанный в свойствах проверки сети, недоступен на всех узлах кластера, то кластер отказоустойчивости будет отключен.
Сбой в работе ПО UserGate NGFW.

Отключение одного или нескольких сетевых интерфейсов, на которые назначены виртуальные IP-адреса, понижает приоритет узла, но не обязательно приводит к изменению его роли. Переход на резервный узел произойдет, если приоритет резервного узла окажется выше, чем приоритет мастер-узла. По умолчанию приоритет узла, назначенный мастер-узлу, равен 250, приоритет резервного узла — 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, который физически не подключен к сети. Соответственно, если на кластере отказоустойчивости, состоящем из двух узлов, один из интерфейсов на мастер-узле будет физически отключен от сети, резервный узел станет мастером (при условии, что на резервном узле все кластерные интерфейсы подключены к сети). В таком случае приоритет мастер-узла будет равен 248, приоритет резервного — 249). При восстановлении физического подключения на первоначальном мастер-узле этот узел снова станет мастером, поскольку его приоритет вернется в значение 250 (справедливо для случая, когда виртуальные адреса сконфигурированы на двух и более интерфейсах; если на одном, то роль мастер-узла не возвращается).

Отключение одного или нескольких кластерных сетевых интерфейсов на резервном узле понижает приоритет узла, тем не менее этот резервный узел может стать мастером при безусловном переходе роли или в случае, когда приоритет мастер-узла станет меньше, чем приоритет резервного узла.

ПримечаниеЕсли кластерные IP-адреса назначены VLAN-интерфейсам, отсутствие подключения на физическом интерфейсе будет трактоваться кластером отказоустойчивости как потеря соединения на всех VLAN-интерфейсах, созданных на этом физическом интерфейсе.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на резервный узел при переключении, UserGate NGFW посылается служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. Пакет GARP отсылается UserGate NGFW каждую минуту и при переходе роли мастера на резервный узел.

Ниже представлена пример сетевой диаграммы отказоустойчивого кластера в режиме «активный — пассивный». Интерфейсы настроены следующим образом:

Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).
Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации параметров.

Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий узел, который станет мастером, например на UG2.

Кластер отказоустойчивости в режиме «активный — пассивный»

Кластер отказоустойчивости «активный — активный»

В режиме «активный — активный» один из межсетевых экранов выступает в роли мастер-узла, распределяющего трафик на все остальные узлы кластера. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

Виртуальные IP-адреса всегда находятся на интерфейсах мастер-узла, поэтому мастер-узел получает ARP-запросы клиентов и отвечает на них, последовательно отдавая MAC-адреса всех узлов отказоустойчивого кластера, обеспечивая равномерное распределение трафика на все узлы кластера, учитывая при этом необходимость неразрывности пользовательских сессий.

ПримечаниеБалансировка трафика будет работать только в одном широковещательном домене. Например, если для клиентов VIP-адрес будет шлюзом по умолчанию, балансировка трафика будет работать, так как разным клиентам будут поочередно отдаваться разные MAC-адреса узлов. Но в случае если между UserGate NGFW и клиентами находится маршрутизатор, балансировка работать не будет, так как ARP-запрос на VIP-адрес отправит только сам маршрутизатор и ему вернется MAC-адрес только одного из узлов, через который он и отправит весь трафик.

ПримечаниеРежим «активный — активный» поддерживает синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси-сервер, например трафик HTTP(S).

При переходе мастер-роли на резервный узел на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

Резервный сервер не получает подтверждения о том, что мастер-узел находится в сети (таймеры: Adver — 1 сек., MasterDown — 3 сек.), например если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (см. раздел «Настройка шлюзов») и ни через один из шлюзов нет доступа в интернет.
Сбой в работе ПО UserGate NGFW.

Отключение одного или нескольких кластерных сетевых интерфейсов на резервном узле, понижает приоритет узла, а также исключает этот узел из балансировки трафика. Тем не менее этот резервный узел может стать мастером при безусловном переходе роли или в случае, когда приоритет мастер-узла станет меньше, чем приоритет резервного узла.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на резервный узел при переключении, UserGate NGFW посылается служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. В режиме «активный — активный» пакет GARP отсылается UserGate NGFW только при переходе роли мастер-узла на резервный узел.

Ниже представлен пример сетевой диаграммы отказоустойчивого кластера в режиме «активный — активный». Интерфейсы настроены следующим образом:

Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).
Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации параметров.

Кластер отказоустойчивости в режиме «активный — активный»

ПримечаниеДля корректной обработки трафика необходимо, чтобы обратный трафик от сервера к клиенту вернулся через тот же узел UserGate NGFW, через который он был инициирован от клиента, то есть чтобы сессия пользователя всегда проходила через один и тот же узел кластера. Самое простое решение этой задачи – использование NAT, ведущего из сети клиента в сеть сервера (NAT из зоны Trusted в зону Untrusted).

Чтобы создать кластер отказоустойчивости:

Создайте кластер конфигурации (см. инструкцию выше).
В разделе Настройки ➜ Сеть ➜ Зоны разрешите сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес (зоны Trusted и Untrusted на диаграммах выше).
Создайте кластер отказоустойчивости: в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер отказоустойчивости нажмите Добавить и укажите параметры кластера отказоустойчивости.
Укажите виртуальный IP-адрес для узлов auth.captive, logout.captive, block.captive, ftpclient.captive. Если вы хотите использовать авторизацию с помощью captive-портала, необходимо, чтобы системные имена узлов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, преобразовывались (resolve) в IP-адрес, назначенный в качестве кластерного виртуального адреса. Более детально эти параметры описаны в разделе «Общие настройки».

Ниже описаны параметры отказоустойчивого кластера:

Параметр	Описание
Включено	Включение и отключение кластера отказоустойчивости.
Название	Название кластера отказоустойчивости.
Описание	Описание кластера отказоустойчивости.
Режим кластера	Режим кластера отказоустойчивости: Актив-Актив — нагрузка распределяется на все узлы кластера. Актив-Пассив — нагрузка идет на мастер-узел и переключается на резервный узел в случае, если мастер-узел недоступен.
Синхронизировать сессии	Включает режим синхронизации пользовательских сессий на всех узлах, входящих в кластер отказоустойчивости. Делает переключение с одного устройства на другое удобным для пользователей, но добавляет существенную нагрузку на платформу UserGate NGFW. Синхронизация сессий актуальна только для режима режима кластера активный — пассивный.
Мультикаст идентификатор	В одном кластере конфигурации может быть создано несколько кластеров отказоустойчивости. Для синхронизации сессий используется мультикастовый адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор.
Идентификатор виртуального маршрутизатора (VRID)	Идентификатор виртуального маршрутизатора должен быть уникален для каждого VRRP-кластера в локальной сети. Если в сети нет сторонних кластеров VRRP, рекомендуется оставить значение по умолчанию.
Узлы	Выбираются узлы кластера конфигурации для их объединения в кластер отказоустойчивости. Здесь же можно назначить роль мастера одному из выбранных узлов.
Виртуальные IP-адреса	Назначаются виртуальные IP-адреса и задается их соответствие интерфейсам узлов кластера.
Синхронизация UDP/ICMP	Управление режимом синхронизации пользовательских сессий: Синхронизовать все сессии — включение и отключение режима синхронизации всех пользовательских сессий, в том числе сессий UDP/ICMP. В случае если этот параметр не активирован, а параметр Синхронизировать сессии на вкладке Общие активирован, синхронизироваться будут только TCP-сессии. Исключенные из синхронизации IP — IP-адреса, с которыми не будут синхронизироваться пользовательские сессии.

Просмотреть как статью

к началу

О компании

Продукты

Поддержка

Техническая документация

Условия использования

Конфиденциальность