Настройка устройства - UserGate :: Портал документации

В этом разделе описаны общие параметры UserGate NGFW, которые отображаются на странице веб-консоли Настройки в разделе Консоль администратора ➜ Настройки, а также приведены рекомендации по настройке этих параметров.

Блок параметров	Параметр	Описание
Настройки интерфейса	Часовой пояс	Часовой пояс, соответствующий вашему местоположению. Используется для работы расписаний, настроенных в правилах, а также для корректного отображения времени и даты, например в отчетах или в журналах
	Часовой пояс
	Язык интерфейса по умолчанию	Язык, используемый в веб-консоли устройства по умолчанию
	Режим аутентификации веб-консоли	Доступны следующие режимы аутентификации: По имени и паролю. Вход администратора в веб-консоль по логину и паролю учетной записи. По X.509-сертификату. Вход администратора в веб-консоль по цифровому сертификату. Этот сертификат должен быть подписан сертификатом удостоверяющего центра, обеспечивающим доступ к веб-консоли, и установлен в браузере. При включении режима отключается аутентификация по логину и паролю, к ней можно вернуться с помощью команд CLI. Профиль клиентского сертификата. Вход администратора в веб-консоль по сертификату инфраструктуры открытых ключей (PKI). Проверка подлинности этого сертификата выполняется с помощью профиля клиентского сертификата, обеспечивая тем самым безопасность сетевого соединения
	Профиль SSL для веб-консоли	Профиль SSL, с использованием которого создается защищенный канал для доступа к веб-консоли
	Профиль SSL для страниц блокировки/аутентификации	Профиль SSL, с использованием которого создается защищенный канал для отображения страниц авторизации captive-портала, а также страниц блокировки доступа к веб-ресурсам
	Таймер автоматического закрытия сессии (мин.)	Для настройки таймера необходимо указать, по истечении скольких минут бездействия администратора в веб-консоль должна завершаться его сессия. Также необходимо включить параметр Автоматическое закрытие сессии по таймеру
	Автоматическое закрытие сессии по таймеру	При включенном параметре сессия администратора будет завершаться по истечении таймера автоматического закрытия сессии. По умолчанию параметр отключен
	Профиль SSL конечного устройства	Профиль SSL, с использованием которого создается защищенный канал взаимодействия UserGate NGFW и конечных устройств UserGate Client
	Сертификат конечного устройства	Сертификат, с использованием которого создается защищенный канал взаимодействия UserGate NGFW и конечных устройств UserGate Client. Важно!При изменении сертификата требуется установить корневой сертификат удостоверяющего центра (Root CA) на подключенных конечных устройствах. В качестве хранилища на локальном компьютере необходимо выбрать «Доверенные корневые центры сертификации»
Настройка времени сервера	Использовать NTP	При включенном параметре для синхронизации времени на устройстве будут использоваться серверы NTP из указанного списка
	Основной NTP-сервер	Адрес основного сервера точного времени. Значение по умолчанию — `pool.ntp.org`
	Запасной NTP-сервер	Адрес запасного сервера точного времени
	Время на сервере (UTC)	Время на сервере UserGate NGFW в часовом поясе UTC
Настройка кэширования HTTP	Режим кэширования	Включение или отключение кэширования
	Исключения кэширования	Список URL, которые не будут кэшироваться
	Максимальный размер объекта (МБ)	Объекты с размером, превышающим указанный в этом параметре, не будут кэшироваться. Рекомендуется оставить значение по умолчанию — 1 МБ
	Размер RAM-кэша (МБ)	Размер оперативной памяти, отведенный под кэширование. Не рекомендуется использовать значение, превышающее 20% от объема оперативной памяти системы
Настройка PCAP	Захват пакетов	Настройка записи трафика при срабатывании сигнатур системы обнаружения вторжений. Для выбора доступны следующие режимы захвата пакетов: Без захвата; Один пакет; Предшествующие пакеты (от 4 до 30 пакетов); Предшествующие и последующие пакеты (предшествующие — от 4 до 30 пакетов, последующие — от 2 до 15 пакетов). Важно!Запись PCAP-файлов большого размера может привести к значительному замедлению обработки данных
Учет изменений	Настройка учета изменений	Для настройки учета изменений в веб-консоли устройства необходимо включить параметр и добавить типы изменений (например, распоряжение, приказ или регламентные работы). Учет изменений предполагает, что при внесении какого-либо изменения через веб-консоль администратору необходимо указать тип и причину этого изменения
Обновления ПО (в версиях 7.1.x, 7.2.x, 7.3.x доступен общий блок параметров с обновлениями — Центр обновлений)	Канал обновлений	Настройка канала для получения обновлений программного обеспечения UserGate (UGOS) из репозитория UserGate. Вы можете выбрать Стабильные (стабильные версии ПО) или Бета (версии ПО для бета-тестирования). Если настроена интеграция с UserGate Management Center, параметр примет значение Management Center и будет недоступен для изменения
	Обновления	Проверка наличия обновлений UGOS в репозитории UserGate. После проверки вы можете вручную загрузить и установить доступные обновления. В процессе установки обновления UGOS вы можете создать точку восстановления. Это позволит восстановить предыдущую версию UGOS при возникновении проблем. Действие будет доступно в стартовом меню после установки обновления UGOS
	Офлайн-обновление	Загрузка файла обновления UGOS офлайн
Обновления библиотек (в версиях 7.1.x, 7.2.x, 7.3.x доступен общий блок параметров с обновлениями — Центр обновлений)	Обновления	Проверка наличия обновлений системных библиотек, предоставляемых по подписке, в репозитории UserGate. После проверки вы можете вручную обновить необходимые библиотеки
	Расписание автоматических обновлений	Настройка расписания автоматического обновления библиотек. При настройке расписания вы можете выбрать одно из предустановленных значений или указать время вручную в cron-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>. Для ручного ввода вы можете использовать следующие символы: Звездочка () — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час. Дефис (-) — для указания диапазона значений. Запятая (,) — в качестве разделителя значений. Косая черта (/) — для указания шага между значениями. При установке флажка Единое расписание для всех обновлений* расписание выбранной библиотеки будет применено ко всем библиотекам в списке. Начиная с версии 7.1.2 после активации лицензии следующие библиотеки будут обновляться автоматически: «Сигнатуры приложений L7»; «UserGate-антивирус»; «IP-список бот-сетей»; «Сигнатуры СОВ»; «URL-список фишинговых сайтов»; «UserGate URL filtering (URLF)» — компактная и полная библиотеки; «Блокировка рекламы»; «Доверенные УЦ». Вы можете изменить список автоматически обновляемых библиотек при настройке расписания. ПримечаниеВ целях уменьшения нагрузки на систему рекомендуется настраивать расписание автоматического обновления только для используемых библиотек
Модули	HTTP(S)-прокси-порт	Дополнительный порт для подключения к встроенному прокси-серверу. По умолчанию используется порт TCP 8090 (после настройки параметра этот порт продолжит функционировать). Для выбора недоступны порты 2200, 8001, 4369, 9000–9100, которые используются внутренними сервисами UserGate NGFW
	Домен Auth captive-портала	Служебный домен, который используется UserGate NGFW для авторизации пользователей через captive-портал. Необходимо, чтобы пользователи могли преобразовывать этот домен в IP-адрес интерфейса UserGate NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера устройства, преобразование адресов настроено автоматически. По умолчанию используется домен `auth.captive`, вы можете изменить его на доменное имя, принятое в вашей организации
	Домен Logout captive-портала	Служебный домен, который используется UserGate NGFW для окончания сессии пользователей, авторизованных через captive-портал. Необходимо, чтобы пользователи могли преобразовывать этот домен в IP-адрес интерфейса UserGate NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера устройства, преобразование адресов настроено автоматически. По умолчанию используется домен `logout.captive`, вы можете изменить его на доменное имя, принятое в вашей организации
	Домен Cert captive-портала	Служебный домен, который используется UserGate NGFW для авторизации пользователей через captive-портал с помощью сертификатов. Необходимо, чтобы пользователи могли преобразовывать этот домен в IP-адрес интерфейса UserGate NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера устройства, преобразование адресов настроено автоматически. По умолчанию используется домен `cert.captive`, вы можете изменить его на доменное имя, принятое в вашей организации
	Домен страницы блокировки	Служебный домен, который используется для отображения страницы блокировки. Необходимо, чтобы пользователи могли преобразовывать этот домен в IP-адрес интерфейса UserGate NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера устройства, преобразование адресов настроено автоматически. По умолчанию используется домен `block.captive`, вы можете изменить его на доменное имя, принятое в вашей организации
	FTP поверх HTTP	Включение или отключение модуля, который позволяет получить доступ к содержимому FTP-серверов из браузера пользователя. Для использования FTP-протокола в браузере пользователя должен быть явно указан прокси-сервер. Вы можете ограничивать доступ к FTP-ресурсам с помощь правил фильтрации контента (по условиям срабатывания Пользователи и URL)
	FTP поверх HTTP домен	Служебный домен, который используется для предоставления пользователям сервиса FTP поверх HTTP. Необходимо, чтобы пользователи могли преобразовывать этот домен в IP-адрес интерфейса UserGate NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера устройства, преобразование адресов настроено автоматически. По умолчанию используется домен `ftpclient.captive`, вы можете изменить его на доменное имя, принятое в вашей организации
	Зона для инспектируемых туннелей	Включение или отключение модуля инспектирования туннелей, а также выбор зоны инспектирования
	Пароль агентов терминального сервиса	Настройка пароля для подключения агентов авторизации терминальных серверов
	Настройка LLDP	Настройка использования LLDP-протокола канального уровня, с помощью которого UserGate NGFW обменивается данными с соседними устройствами в локальной сети. Для настройки доступны следующие параметры: Transmit delay — интервал отправки LLDP-пакетов (от 1 до 3600 секунд). Изменяя этот параметр, вы можете управлять частотой, с которой UserGate NGFW будет отправлять данные соседним устройствам. Transmit hold — множитель для вычисления времени жизни LLDP-пакетов (параметр TTL). Укажите значение (от 1 до 100), на которое следует умножить значение Transmit delay, чтобы определить время хранения данных, полученных от соседних устройств. По истечении этого времени данные удаляются из кэша UserGate NGFW. Для использования LLDP-протокола необходимо предварительно создать LLDP-профиль и назначить его сетевому интерфейсу устройства. Список соседних LLDP-устройств отображается в разделе веб-консоли Диагностика и мониторинг ➜ Сеть ➜ LLDP-соседи (см. раздел «LLDP-соседи»)
Log Analyzer (начиная с версии 7.3.0 — Состояние базы данных журналов)	Сервер	Сервер базы данных журналов (локальный сервер или внешний сервер UserGate Log Analyzer). ПримечаниеПри интеграции с внешним сервером UserGate Log Analyzer обработка и экспорт журналов, а также создание отчетов и обработка других статистических данных выполняются этим сервером
	Версия сервера	Версия ПО сервера базы данных журналов
	Версия устройства	Версия ПО UserGate NGFW
	Код устройства	Уникальный код UserGate NGFW для интеграции с внешним сервером UserGate Log Analyzer
Веб-портал	Адрес веб-портала	Для доступа удаленных пользователей к внутренним ресурсам компании через веб-портал (SSL VPN) необходимо включить параметр и настроить его свойства
Агент UserGate Management Center	Настройка агента	Настройка интеграции с UserGate Management Center (UGMC). Для настройки доступны следующие параметры: Включено — управление состоянием подключения UserGate NGFW к UGMC; Адрес UserGate Management Center — адрес сервера UGMC в формате IPv4-адреса или FQDN (возможно использование IDN-адреса); Код устройства — идентификатор UserGate NGFW для подключения к UGMC. ПримечаниеДля подключения UserGate NGFW к UGMC необходимо, чтобы порт межсетевого экрана находился в виртуальном маршрутизаторе по умолчанию. В качестве портов подключения к серверу UGMC используются порты TCP 2022 и TCP 9712
Вышестоящий прокси (блок параметров доступен в версиях 7.1.x, 7.2.x, 7.3.x)	Настройки вышестоящего прокси (параметр доступен в версиях 7.1.x, 7.2.x, 7.3.x)	Для перенаправления пользовательского трафика на вышестоящий прокси-сервер необходимо включить параметр и настроить его свойства: тип (HTTP, HTTPS или SOCKS5), IP-адрес и порт, а также логин и пароль, если на вышестоящем прокси-сервере необходима аутентификация

Просмотреть как статью

к началу

Управление устройством

В разделе Настройки ➜ UserGate ➜ Управление устройством вы можете настраивать следующие параметры устройства:

кластеры отказоустойчивости;
кластер конфигурации;
диагностика;
операции с сервером;
резервное копирование;
экспорт и импорт настроек.

Информация о настройке кластеров приведена в разделе «Кластеризация и отказоустойчивость».

Диагностика

Этот блок предназначен для настройки параметров диагностики и предоставления удаленного доступа службе технической поддержки UserGate с целью анализа и устранения неисправностей.

Параметры диагностики

С помощью параметра Детализация диагностики вы можете установить уровень журналирования устройства. Доступны следующие уровни:

Off — ведение журналов диагностики отключено.
Error — журналировать только ошибки в работе устройства.
Warning — журналировать только ошибки и предупреждения.
Info — журналировать только ошибки, предупреждения и дополнительную информацию.
Debug — журналировать все возможные события.

При журналировании с уровнями Warning, Info и Debug может снижаться производительность устройства, поэтому рекомендуется устанавливать уровни Error или Off, если технической поддержкой UserGate не было предложено иное.

Управление журналами

Вы можете скачать диагностические журналы для их передачи в службу технической поддержки UserGate. Для скачивания доступны журналы веб-консоли и системные журналы. Скачать выбранные журналы можно после их архивирования командой Начать архивирование журналов.

Чтобы удалить архивные (не активные в настоящий момент) журналы, нажмите Очистить файлы логов.

Удаленный помощник

Чтобы предоставить доступ к устройству для службы технической поддержки UserGate с целью диагностирования и устранения неисправностей, необходимо активировать функцию удаленного помощника и получить параметры сеансового доступа.

Процесс подключения к устройству происходит следующим образом:

1. Администратор устройства UserGate активирует функцию удаленного помощника.

2. Устройство устанавливает защищенное соединение с сервером удаленного помощника UserGate по протоколу SSH. При успешном подключении в интерфейсе устройства UserGate отобразятся параметры сеансового доступа: идентификатор и токен.

3. Администратор устройства UserGate передает параметры сеансового доступа специалисту технической поддержки UserGate.

4. Специалист технической поддержки устанавливает защищенное соединение по протоколу SSH с сервером удаленного помощника UserGate и с помощью параметров сеансового доступа подключается к устройству UserGate.

Операции с сервером

В этом блоке вы можете перезагрузить или выключить сервер UserGate NGFW, а также настроить вышестоящий прокси-сервер для проверки лицензий и обновлений продукта.

UserGate поставляет обновления в рамках лицензии на модуль Security Update (см. раздел «Лицензирование»). При наличии обновлений в блоке Операции с сервером отобразится соответствующее оповещение. Установка обновлений может занять длительное время, поэтому рекомендуется планировать этот процесс с учетом возможного времени простоя UserGate NGFW.

Перед установкой обновлений рекомендуется создать резервную копию UserGate NGFW. Это позволит восстановить предыдущее состояние продукта, если возникнут проблемы, связанные с применением обновлений.

Управление резервным копированием

В этом блоке вы можете:

создавать резервные копии;
восстанавливать продукт из резервной копии;
настраивать расписание экспорта резервных копий на удаленный сервер;
настраивать SSH-ключи.

Чтобы создать резервную копию продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Еще ➜ Создание резервной копии.

Начнется создание резервной копии. Вы можете прервать процесс по кнопке Остановить.

По окончании процесса резервная копия UserGate NGFW будет сохранена в файле backup_PRODUCT_NODENAME_DATE.gpg, где:

PRODUCT — тип продукта: NGFW, LogAn, MC;
NODENAME — имя узла продукта;
DATE — дата и время создания резервной копии в формате YYYY-MM-DD-HH-MM (в часовом поясе UTC+0).

Запись о создании резервной копии отобразится в журнале событий продукта.

Чтобы восстановить продукт из резервной копии:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Еще ➜ Восстановление резервной копии и подтвердите восстановление.

2. Укажите путь к файлу с резервной копией UserGate NGFW.

Восстановление будет предложено в консоли TTY при перезагрузке сервера UserGate NGFW.

Администраторы могут создавать правила экспорта, по которым резервные копии будут выгружаться на удаленные серверы по расписанию.

Чтобы создать правило экспорта резервной копии продукта:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Добавить.

2. На вкладке Общие укажите имя правила.

3. На вкладке Удаленный сервер укажите параметры удаленного сервера:

тип — FTP или SSH;
адрес;
порт для подключения;
учетные данные для авторизации — логин и пароль (при выборе FTP-сервера) или логин (при выборе SSH-сервера);
путь к существующей папке для сохранения файлов экспорта.

Внимание!Если вы создаете правило для SSH-сервера, необходимо предварительно настроить SSH-ключи. Кроме того, необходимо проверить соединение с SSH-сервером по кнопке «Проверить соединение». Во время проверки устанавливается первичное соединение, при котором отпечаток открытого ключа автоматически добавляется на удаленный сервер. Это обеспечивает безопасность последующих соединений.

4. На вкладке Расписание укажите время экспорта резервной копии.

Вы можете выбрать одно из предустановленных значений или указать время вручную в cron-формате: <минуты: 0—59> <часы: 0—23> <дни месяца: 1—31> <месяцы: 1—12> <дни недели: 0—6, где 0 — воскресенье>.

При ручном вводе также можно использовать следующие символы:

Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час.
Дефис (-) — для указания диапазона значений.
Запятая (,) — в качестве разделителя значений.
Косая черта (/) — для указания шага между значениями.

5. Нажмите Сохранить.

Перед подключением к удаленному SSH-серверу, необходимо настроить SSH-ключи, используемые для авторизации на этом сервере.

Чтобы настроить SSH-ключи:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Еще ➜ Настроить SSH-ключ.

2. Нажмите Сгенерировать новый ключ.

Будет сгенерирована пара SSH-ключей (закрытый и открытый). Открытый ключ отобразится в окне настройки, закрытый ключ будет автоматически сохранен на сервере UserGate NGFW.

ПримечаниеЕсли у вас уже есть пара SSH-ключей, вы можете добавить закрытый ключ на сервер UserGate NGFW вручную по кнопке «Загрузить ключ».

3. Добавьте открытый SSH-ключ на удаленный сервер.

По умолчанию SSH-ключи хранятся в папке /home/user/.ssh/ в файле authorized_keys.

Экспорт и импорт настроек

В этом блоке вы можете экспортировать текущие параметры UserGate NGFW в виде файлов экспорта в формате BIN. Впоследствии такие файлы могут понадобиться для восстановления параметров продукта, а также для импорта в другие NGFW.

Экспорт может выполняться вручную или по расписанию. Вы можете экспортировать все текущие параметры (за исключением данных о кластерах и лицензии) или только сетевые. К сетевым относятся параметры зон, интерфейсов, шлюзов, виртуальных маршрутизаторов, а также параметры сервисов DNS, DHCP и WCCP. Сетевые параметры настраиваются в разделе Настройки ➜ Сеть (см. раздел «Настройка сети»).

Чтобы экспортировать все параметры продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Экспорт ➜ Экспортировать все настройки.

Параметры будут сохранены в файле utm-utmcore@NODENAME_VERSION_DATE.bin, где:

NODENAME — имя узла продукта;
VERSION — версия UGOS;
DATE — дата и время выгрузки параметров в формате YYYYMMDD_HHMMSS (в часовом поясе UTC+0).

Чтобы экспортировать только сетевые параметры продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Экспорт ➜ Экспортировать сетевые настройки.

Параметры будут сохранены в файле utm-net-utmcore@NODENAME_VERSION_DATE.bin, где:

NODENAME — имя узла продукта;
VERSION — версия UGOS;
DATE — дата и время выгрузки параметров в формате YYYYMMDD_HHMMSS (в часовом поясе UTC+0).

Администраторы могут создавать правила экспорта, по которым параметры продукта будут выгружаться на удаленные серверы по расписанию. Если узлы продукта объединены в кластер, то при создании правила экспорта на одном из узлов это правило будет распространяться на все узлы кластера. Параметры каждого узла при экспорте будут сохраняться в отдельном файле.

Чтобы создать правило экспорта параметров продукта:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Добавить.

2. На вкладке Общие укажите имя правила.

3. На вкладке Удаленный сервер укажите параметры удаленного сервера:

тип — FTP или SSH;
адрес;
порт для подключения;
учетные данные для авторизации;
путь к существующей папке для сохранения файлов экспорта.

ПримечаниеДля авторизации на удаленном SSH-сервере вы можете использовать SSH-ключи. Для этого их нужно предварительно настроить.

Внимание!Если вы создаете правило для SSH-сервера с авторизацией по SSH-ключам, необходимо проверить соединение с SSH-сервером по кнопке «Проверить соединение». Во время проверки устанавливается первичное соединение, при котором отпечаток открытого ключа автоматически добавляется на удаленный сервер. Это обеспечивает безопасность последующих соединений.

4. На вкладке Расписание укажите время экспорта параметров.

При ручном вводе также можно использовать следующие символы:

Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час.
Дефис (-) — для указания диапазона значений.
Запятая (,) — в качестве разделителя значений.
Косая черта (/) — для указания шага между значениями.

5. Нажмите Сохранить.

Вы можете восстанавливать параметры продукта из файлов экспорта. Эти файлы не содержат данные о кластерах и лицензии, поэтому после восстановления параметров вам потребуется повторно активировать лицензию и настроить кластеры. Кроме того, если для входа в UserGate NGFW вы используете многофакторную аутентификацию через TOTP, после восстановления необходимо повторно добавить ключи инициализации.

ПримечаниеДля импорта правил фильтрации, в которых указаны пользователи или группы пользователей, необходим доступ к LDAP-серверу. В противном случае эти правила будут восстановлены без данных о пользователях. Для корректного восстановления правил, использующих обновляемые списки, необходима лицензия на модули Security Update и Advanced Threat Protection.

Внимание!При восстановлении параметров UserGate NGFW из файла экспорта, созданного в более поздней версии продукта, работоспособность сервера UserGate NGFW не гарантируется.

Чтобы восстановить параметры продукта из файла экспорта:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Импорт.

2. Выберите файл экспорта.

3. В окне Импортировать настройки выберите тип импорта (все параметры или только сетевые).

4. Нажмите Старт.

Начнется восстановление параметров. По окончании процесса сервер UserGate NGFW будет перезагружен.

После перезагрузки сервера вам необходимо обновить библиотеки сигнатур в разделе Настройки ➜ UserGate ➜ Настройки ➜ Обновление библиотек. Если доступ к ресурсу с библиотеками отсутствует, вы можете загрузить файл обновления вручную в разделе Настройки ➜ UserGate ➜ Настройки ➜ Обновление ПО.

ПримечаниеПри выполнении операции импорта всех настроек происходит сброс конфигурации устройства к первоначальному состоянию (factory reset) с удалением всех журналов.

Просмотреть как статью

к началу

Управление доступом к интерфейсам администрирования

При первоначальной настройке UserGate NGFW по умолчанию создается локальная учетная запись суперадминистратора (Admin). Используя эту учетную запись, вы можете управлять доступом других администраторов к интерфейсам устройства: веб-интерфейсу, интерфейсу командной строки, а также программному интерфейсу API.

Суперадминистратор может создавать учетные записи дополнительных администраторов и назначать им профили доступа. Каждому профилю доступа соответствует набор разрешений на использование тех или иных функций продукта. Например, с помощью профиля доступа можно разрешить или запретить администратору подключаться к UserGate NGFW через интерфейс командной строки.

Вы также можете управлять доступом с помощью настройки зон. Для этого в разделе Настройки ➜ Сеть ➜ Зоны в свойствах зоны на вкладке Контроль доступа вы можете разрешить или запретить необходимое подключение.

В разделе Настройки ➜ UserGate ➜ Администраторы вы можете создавать учетные записи:

Локальных администраторов. Учетные данные для аутентификации хранятся на сервере UserGate NGFW.
Пользователей или групп пользователей LDAP. Аутентификация выполняется с помощью доменных учетных записей пользователей или групп пользователей. Предварительно в разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации необходимо настроить LDAP-коннектор. Логин учетной записи при аутентификации указывается в формате <логин администратора>@domain.
Администраторов с профилем аутентификации. Для аутентификации используются профили аутентификации, настроенные в разделе Настройки ➜ Пользователи и устройства ➜ Профили аутентификации.

Инструкции по настройке серверов аутентификации приведены в разделе «Серверы аутентификации», по настройке профилей аутентификации — в разделе «Профили аутентификации».

Вы можете удалять созданные учетные записи и изменять их параметры, а также управлять состоянием учетных записей (включать и отключать их). Кроме того, вы можете разблокировать локальную учетную запись, которая была заблокирована (например в случае, если было превышено количество неудачных попыток аутентификации).

Для дополнительной защиты локальных учетных записей можно настроить парольную политику. Для доменных учетных записей, а также для учетных записей с профилями аутентификации параметры защиты определяются внешним источником учетных записей.

По умолчанию аутентификация администраторов выполняется по логину и паролю, вы можете изменить способ аутентификации в разделе Настройки ➜ UserGate ➜ Настройки ➜ Настройки интерфейса ➜ Режим аутентификации веб-консоли. Например, для более безопасного подключения можно выбрать аутентификацию по сертификатам и настроить цифровые сертификаты.

Создание профиля доступа

Для создания учетной записи должен быть создан хотя бы один профиль доступа с набором разрешений, которые предоставляются администратору.

Чтобы создать профиль доступа:

1. В разделе Настройки ➜ UserGate ➜ Администраторы ➜ Профили администраторов нажмите Добавить.

2. На вкладке Общие укажите название профиля.

3. На вкладке Разрешение доступа выберите действия, которые может выполнять администратор в веб-интерфейсе.

4. На вкладке Разрешение для API выберите действия, которые может выполнять администратор при подключении через REST API.

5. На вкладке Разрешение для CLI разрешите или запретите администратору доступ к интерфейсу командной строки.

6. Нажмите Сохранить.

Теперь вы можете перейти к созданию учетной записи администратора.

Создание учетной записи администратора

Чтобы создать учетную запись администратора:

1. В разделе Настройки ➜ UserGate ➜ Администраторы в блоке Администраторы нажмите Добавить и выберите тип учетной записи.

2. Выберите профиль доступа и укажите параметры, необходимые для выбранного типа учетной записи.

3. Нажмите Сохранить.

Все администраторы, подключившиеся к UserGate NGFW одним из способов, отображаются в разделе Настройки ➜ UserGate ➜ Администраторы ➜ Сессии администраторов. Вы можете закрывать сессии администраторов по кнопке Закрыть сессию.

Настройка парольной политики

Для локальных учетных записей можно настроить парольную политику, а именно указать:

параметры сложности пароля;
максимальное количество неудачных попыток аутентификации;
время блокировки учетной записи при превышении количества неудачных попыток аутентификации.

Чтобы настроить парольную политику:

1. В разделе Настройки ➜ UserGate ➜ Администраторы в блоке Администраторы нажмите Еще ➜ Настроить.

2. Укажите параметры, которым должен соответствовать пароль локальной учетной записи администратора.

3. Нажмите Сохранить.

Настройка цифровых сертификатов

Вы можете использовать аутентификацию администраторов по сертификатам, это обеспечит дополнительную защиту при подключении к UserGate NGFW. Для этого цифровые сертификаты должны быть настроены.

ПримечаниеНиже приводится инструкция по настройке сертификатов в OpenSSL. Вы можете выполнять инструкцию в этой же утилите или в ее аналогах.

Чтобы настроить цифровые сертификаты:

1. Создайте сертификат удостоверяющего центра для доступа к веб-интерфейсу, последовательно выполнив команды:

openssl req -x509 -subj '/C=RU/ST=Moscow/O= MyCompany /CN=ca.mycompany.com' -newkey rsa:2048 -keyout ca-key.pem -out ca.pem -nodes openssl rsa -in ca-key.pem -out ca-key.pem

Будут созданы файл закрытого ключа ca-key.pem и файл открытого ключа ca.pem. Импортируйте открытый ключ на сервер UserGate NGFW.

2. Создайте сертификат администратора для каждой учетной записи, выполнив команду:

openssl req -subj '/C=RU/ST=Moscow/O= MyCompany /CN=<логин администратора>' -out admin.csr -newkey rsa:2048 -keyout admin-key.pem -nodes

3. Подпишите сертификат администратора каждой учетной записи сертификатом удостоверяющего центра, последовательно выполнив команды:

openssl x509 -req -days 9999 -CA ca.pem -CAkey ca-key.pem -set_serial 1 -in admin.csr -out admin.pem

openssl pkcs12 -export -in admin.pem -inkey admin-key.pem -out admin.p12 -name '<логин администратора> client certificate'

Подписанные сертификаты администраторов будут сохранены в файл admin.p12. Вам необходимо добавить этот файл в операционную систему и в браузер, которые будут использовать администраторы для подключения к устройству.

Просмотреть как статью

к началу

Управление сертификатами

UserGate NGFW использует защищенный протокол HTTPS для управления устройством, может перехватывать и расшифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также производить авторизацию администраторов в веб-консоли на основе их сертификатов.

Для выполнения этих функций NGFW использует различные типы сертификатов.

Сертификат	Описание
SSL веб-консоли	Используется для создания безопасного HTTPS-подключения администратора к веб-консоли NGFW
SSL captive-портала	Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации captive-портала, отображения страницы блокировки и страницы Logout captive-портала, для работы прокси-сервера FTP. Этот сертификат должен быть выпущен со следующими параметрами: `Subject name` — значение, установленное для домена Домен Auth captive-портала в разделе Настройки ➜ UserGate ➜ Настройки ➜ Модули. `Subject Alternative names` — необходимо указать все домены, для которых используется данный сертификат и которые заданы на странице Настройки ➜ UserGate ➜ Настройки: Домен Auth сaptive-портала; Домен Logout сaptive-портала; Домен страницы блокировки; FTP поверх HTTP; Адрес веб-портала. По умолчанию используется сертификат, подписанный с помощью сертификата SSL-инспектирования и выпущенный для домена auth.captive, со следующими параметрами: `Subject name = auth.captive` `Sunject alternative names = auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive` Если администратор не загрузил собственный сертификат для обслуживания этой роли, UserGate NGFW в автоматическом режиме перевыпускает такой сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive). Внимание!Если администратор использует отдельный сертификат для домена captive-портала, необходимо в сертификате в расширении `Subject Alternative name` добавить не только свой домен Auth captive-портала, но также и фиксированный домен cert.captive. Если cert.captive не добавить, при аутентификации через сертификат в браузере будет выдаваться ошибка безопасности
SSL-инспектирование	Сертификат класса удостоверяющего центра. Используется для генерации SSL-сертификатов для интернет-узлов, для которых производится перехват трафика HTTPS, SMTPS, POP3S. Например, рассмотрим перехват HTTPS-трафика сайта yahoo.com. Оригинальный сертификат выглядит следующим образом: `Subject name = yahoo.com` `Issuer name = VeriSign Class 3 Secure Server CA — G3`, Сертификат подменяется на: `Subject name = yahoo.com` `Issuer name = <компания, указанная в сертификате удостоверяющего центра, заведенного в UserGate NGFW>`. Этот сертификат также используется для создания сертификата по умолчанию для роли SSL captive-портала
SSL-инспектирование (промежуточный)	Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата SSL-инспектирования. Для корректной работы необходим только открытый ключ сертификата
SSL-инспектирование (корневой)	Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата SSL-инспектирования. Для корректной работы необходим только открытый ключ сертификата
Пользовательский сертификат	Сертификат, который назначается пользователю UserGate NGFW. Пользователь может быть как локальным, так и использующим LDAP-аутентификацию. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси
УЦ для авторизации в веб-консоли	Сертификат удостоверяющего центра для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа
SAML server	Используется для работы UserGate NGFW с сервером SSO SAML IDP. Подробнее о настройке работы UserGate NGFW с сервером авторизации SAML IDP — в соответствующем разделе руководства
Веб-портал	Сертификат, используемый для веб-портала. Если сертификат не указан явно, UserGate NGFW использует сертификат SSL captive-портала, выпущенный сертификатом SSL-инспектирования. Подробнее о настройке веб-портала — в соответствующем разделе руководства

Сертификатов для SSL веб-консоли, SSL captive-портала и SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения задач. Сертификатов типа УЦ для авторизации в веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.

Создание сертификата

Чтобы создать новый сертификат:

В разделе Настройки ➜ UserGate ➜ Сертификаты нажмите Создать и укажите информацию о сертификате.

ПримечаниеВ поле Common name указывается имя сертификата. Рекомендуется использовать только символы латинского алфавита для обеспечения совместимости с большинством браузеров.

Укажите роль сертификата в UserGate NGFW: выделите необходимый сертификат в списке сертификатов, нажмите Редактировать и в поле Используется выберите тип сертификата. В случае если вы выбрали тип SSL веб-консоли, UserGate NGFW перезагрузит сервис веб-консоли и предложит подключиться уже с использованием нового сертификата. Сертификат SSL-инспектирования начинает работать сразу после того, как его выбрали. Подробнее об инспектировании HTTPS — в разделе «Инспектирование SSL».

Экспорт и импорт сертификатов

UserGate NGFW позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например сертификаты, выписанные доверенным удостоверяющим центром вашей организации.

Чтобы экспортировать сертификат:

В разделе Настройки ➜ UserGate ➜ Сертификаты выделите нужный сертификат в списке и нажмите Экспорт.
Выберите тип сертификата для экспорта:

Экспорт сертификата — экспортируются данные сертификата в DER-формате без экспортирования закрытого ключа сертификата. Используйте файл, полученный в результате экспорта сертификата для SSL-инспектирования, для его установки в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом — в приложении «Установка сертификата локального удостоверяющего центра».
Экспорт CSR — экспортируется CSR сертификата, например для его подписи удостоверяющим центром.

ПримечаниеРекомендуется сохранять сертификат, чтобы впоследствии иметь возможность его восстановить.

ПримечаниеВ целях безопасности UserGate не разрешает экспорт закрытых ключей сертификатов.

ПримечаниеВы можете скачать для установки сертификат SSL-инспектирования по ссылке http://usergate_ip:8002/cps/ca, где usergate_ip — IP-адрес вашего UserGate NGFW.

Чтобы импортировать сертификат:

В разделе Настройки ➜ UserGate ➜ Сертификаты нажмите Импорт.
Заполните поля, указав необходимую информацию о сертификате.

Использование корпоративного УЦ для создания сертификата SSL-инспектирования

Если в компании уже существует внутренний УЦ или цепочка удостоверяющих центров, в качестве сертификата для SSL-инспектирования можно указать сертификат, созданный внутренним УЦ. В случае если внутренний УЦ является доверенным для всех пользователей компании, перехват SSL будет происходить незаметно, пользователи не будут получать предупреждения о подмене сертификата.

Рассмотрим более подробно процедуру настройки UserGate NGFW. Допустим, что в организации используется внутренний УЦ на базе Microsoft Enterprise CA, интегрированный в Active Directory. Структура УЦ следующая.

Необходимо выписать с помощью Sub CA2 сертификат для UserGate NGFW и настроить его в качестве сертификата для SSL-инспектирования. Также необходимо выписать сертификат UserGate SSL decrypt в качестве удостоверяющего центра.

В качестве сертификата для SSL-инспектирования могут быть использованы только те импортированные сертификаты, которые соответствуют требованиям ниже:

Сертификат относится к классу удостоверяющего центра (CA). В расширении X509v3 Basic Constraints (RFC 5280) сертификата должен быть атрибут CA:TRUE. В разделе Настройки ➜ UserGate ➜ Сертификаты консоли администратора такие сертификаты помечаются значком Файл сертификата УЦ слева от названия сертификата.
Ограничение использования сертификата не установлено или в его назначении в явном виде указаны атрибуты Digital signature и Certificate signing.
В сертификате не использованы никакие атрибуты расширения X509v3 Key Usage (RFC 5280). В столбце Назначение сертификата консоли администратора для такого сертификата будет указано Отсутствует.
Если в сертификате используется расширение X509v3 Key Usage, для SSL-инспектирования должны присутствовать атрибуты digitalSignature и keyCertSign. В столбце Назначение сертификата консоли администратора для такого сертификата будет указано Digital signature и Certificate signing.

Внимание!UserGate не поддерживает алгоритм подписи rsassaPss. Необходимо, чтобы в цепочке сертификатов, используемой для выписывания сертификата для SSL-инспектирования, не содержался этот алгоритм подписи.

Для выполнения этой задачи:

В разделе Настройки ➜ UserGate ➜ Сертификаты нажмите Новый CSR, заполните необходимые поля и создайте CSR.
Будут созданы закрытый ключ и файл запроса.
В списке сертификатов выделите CSR и с помощью кнопки Экспорт скачайте файл запроса.
В Microsoft CA создайте сертификат на основе полученного CSR-файла с помощью утилиты certreq (certreq.exe -submit -attrib "CertificateTemplate:SubCA" HTTPS_csr.pem) или с помощью веб-консоли Microsoft CA, указав в качестве шаблона «Подчиненный центр сертификации». Вы получите сертификат (открытый ключ), подписанный УЦ Sub CA2.
Скачайте созданный сертификат из веб-консоли Microsoft CA.
В UserGate NGFW на вкладе Сертификаты выберите созданный ранее CSR-файл и нажмите Редактировать. Загрузите файл сертификата и нажмите Сохранить.
На вкладе Сертификаты повторно выберите созданный ранее CSR-файл и нажмите Редактировать. В поле Используется укажите SSL-инспектирование и нажмите Сохранить.
В веб-консоли Microsoft CA выберите и скачайте сертификаты для УЦ Sub CA1 и Sub CA2.
На вкладе Сертификаты с помощью кнопки Импорт загрузите скачанные на предыдущем шаге сертификаты для Sub CA1 и Sub CA2.
На вкладе Сертификаты для каждого из этих сертификатов нажмите Редактировать, в поле Используется укажите SSL-инспектирование (промежуточный) и нажмите Сохранить.

Дополнительно вы также можете с помощью кнопки Импорт загрузить корневой сертификат организации в UserGate NGFW. После загрузки выберите сертификат, нажмите Редактировать, в поле Используется укажите SSL-инспектирование (корневой)

Просмотреть как статью

к началу

Профили клиентских сертификатов

Профиль клиентского сертификата предназначен для проверки сертификатов, которые предоставляет клиент для аутентификации и получения доступа к приложению, сегменту сети или ресурсу. Проверка состоит из трех действий: получения имени пользователя из соответствующего атрибута в сертификате клиента, проверки иерархии доверия и подлинности сертификата.

В профиле указываются сертификаты УЦ, методы проверки актуальности пользовательских сертификатов, методы выбора имени пользователя для аутентификации.

При выборе режима аутентификации по сертификатам (PKI) указывается сконфигурированный ранее профиль клиентского сертификата, который в дальнейшем можно будет использовать в различных подсистемах UserGate NGFW, например на captive-портале, веб-портале, в VPN, reverse proxy.

Чтобы создать профиль клиентского сертификата:

В разделе Настройки ➜ UserGate ➜ Профили клиентских сертификатов нажмите Добавить и укажите значения следующих параметров.

Наименование	Описание
Название	Название профиля клиентских сертификатов
Описание	Описание профиля (необязательное для заполнения поле)
Получать имя пользователя из	Выбор атрибута сертификата, из которого межсетевой экран будет извлекать имя пользователя, используемое при аутентификации: Common-name — доменное имя или имя узла в поле Subject, для которого предназначен сертификат. Principal name — для определения имени пользователя используется параметр Universal Principal Name (UPN), содержащийся в поле otherName в расширении SAN. Subject altname email — для определения имени пользователя используется адрес электронной почты пользователя, указанный в параметре с префиксом email в расширении SAN (Subject Alternative Name). Subject altname IPv4 — для идентификации источника VPN-соединения используется значение IP-адреса, содержащееся в поле iPAddress в расширении SAN (доступно в версии 7.5.0 и выше). Если в полях расширения SAN сертификата указано несколько имен UPN или несколько адресов email, используется первое значение, указанное в сертификате
Сертификаты УЦ	Сертификаты корневых и промежуточных удостоверяющих центров, которые участвовали в выдаче сертификатов клиентов. Используются для проверки иерархии доверия к сертификату клиента. Сертификат клиента проверяется на подлинность для каждого сертификата УЦ из списка. Перебор списка идет сверху вниз
Проверка отозванных сертификатов	В списках отозванных сертификатов (CRL) содержатся сертификаты, которые были скомпрометированы либо срок действия которых истек. Такие сертификаты больше не могут использоваться для аутентификации. Возможно установить следующие значения параметра: Не проверять — доступ будет предоставляться вне зависимости от того, является ли сертификат отозванным. Вся цепочка — проверять все сертификаты в иерархии и требовать, чтобы они все были действительными. В профиль в разделе Сертификаты УЦ должны быть добавлены сертификаты корневого и всех промежуточных удостоверяющих центров, которые участвовали в выдаче сертификатов клиентов. Сертификат пользователя — проверять только сертификат клиента. В профиль в разделе Сертификаты УЦ должен быть добавлен сертификат удостоверяющего центра, которым подписан сертификат клиента. Считать валидным, если статус неизвестен — проверять сертификат и, если его статус не удалось определить по каким-то причинам (например, UG NGFW не смог получить CRL), считать сертификат действительным. При этом сертификат в результате проверки может получить статус invalid, если он найден в списке отозванных
Тайм-аут проверки	Дополнительный связанный параметр определяет интервал времени, по истечении которого UserGate NGFW перестает ожидать ответа о статусе сертификата от службы списков отозванных сертификатов. В этом случае сертификат считается подлинным, и при соблюдении прочих условий аутентификация по нему может быть выполнена

Просмотреть как статью

к началу

Системные утилиты

Системные утилиты доступны администратору во время загрузки UserGate NGFW через меню загрузки (boot menu). Для получения доступа к этому меню необходимо подключить монитор к разъему VGA(HDMI), клавиатуру — к разъему USB (при наличии соответствующих разъемов на устройстве). Вы также можете подключить свой компьютер к NGFW, используя специальный кабель для последовательного порта или переходник USB-Serial. Далее необходимо запустить терминал, позволяющий подключиться через последовательный порт (например, через PuTTY для Windows) и установить подключение через последовательный порт, указав параметры подключения 115200 8n1.

Администратор может выбрать один из нескольких способов загрузки в boot-меню.

Способ загрузки	Описание
UGOS NGFW	Загрузка UserGate NGFW с выводом диагностической информации о загрузке в последовательный порт
UGOS NGFW (serial console)	Загрузка UserGate NGFW в упрощенном видеорежиме консоли
Support menu	Вход в раздел системных утилит с выводом информации в консоль tty1 (монитор)
Restore previous version	Раздел доступен после обновления или создания резервной копии

Раздел системных утилит (Support menu) позволяет выполнить следующие действия:

Действие	Описание
Check filesystems	Запуск проверки файловой системы устройства на наличие ошибок и их автоматическое исправление
Expand data partition	Увеличение раздела для хранения данных. Эта операция обычно используется после увеличения дискового пространства, выделенного гипервизором для виртуальной машины UserGate NGFW. Внимание! Для расширения системного раздела с сохранением данных и параметров UserGate NGFW необходимо с помощью средств гипервизора добавить новый диск и затем выполнить операцию Expand data partition, как указано в разделе «Расширение системного раздела»
Create backup	Создание полной копии диска UserGate NGFW на внешнем USB-носителе. Внимание! Перед созданием резервной копии USB-носитель будет отформатирован
Restore from backup	Восстановление UserGate NGFW с внешнего USB-носителя
Factory reset	Сброс состояния UserGate NGFW. Все данные и параметры будут утеряны. Версия ПО не изменится: сохранится версия, актуальная на момент запуска команды
Exit	Выход и перезагрузка устройства

Просмотреть как статью

к началу

Расширение системного раздела

Для расширения системного раздела с сохранением конфигурации и данных узла UserGate:

1. С помощью гипервизора добавьте новый диск необходимого размера в свойствах виртуальной машины UserGate.

2. В меню загрузки узла UserGate войдите в раздел Support menu.

3. В открывшемся разделе выберите Expand data partition и запустите процесс расширения системного раздела.

4. После завершения процесса расширения загрузите узел и в разделе Дашборды в виджете Диски проверьте размер системного раздела.

ПримечаниеРасширение системного раздела путем увеличения размера имеющегося диска виртуальной машины возможно только при сбросе узла до заводских параметров, то есть при выполнении операции factory reset.

Просмотреть как статью

к началу

Работа с вышестоящими прокси-серверами

UserGate NGFW позволяет создавать каскадную иерархию прокси-серверов. В этой иерархии межсетевой экран выступает в роли явного прокси-сервера и перенаправляет входящий веб-трафик на другой (вышестоящий) прокси-сервер, создавая тем самым цепочку прокси-серверов.

С помощью каскадной иерархии вы можете управлять доступом пользователей к веб-ресурсам. Например, используя вышестоящий прокси-сервер, можно обойти региональные ограничения или получить доступ к веб-ресурсам, обращение к которым возможно только через определенные сети.

Также вы можете использовать вышестоящий прокси-сервер для получения лицензий и обновлений продукта. Это может понадобиться, например, если UserGate NGFW установлен в изолированной сети (без доступа в интернет).

Опционально на вышестоящем прокси-сервере вы можете настроить аутентификацию по логину и паролю. Кроме того, начиная с версии 7.4.0 и выше вы можете управлять доступом к отдельным веб-ресурсам с помощью правил вышестоящих прокси-серверов.

Использование вышестоящего прокси-сервера

Для перенаправления трафика. Входящий веб-трафик, отфильтрованный правилами UserGate NGFW, перенаправляется на вышестоящий прокси-сервер. В этом случае вышестоящим может быть прокси-сервер HTTP, HTTPS или SOCKS5. Процесс перенаправления трафика представлен на рисунке ниже.

При запросе клиентом внешнего ресурса устанавливаются две TCP-сессии: первая — между клиентом и UserGate NGFW, вторая — между UserGate NGFW и вышестоящим прокси-сервером. Адрес назначения трафика — это IP-адрес вышестоящего прокси-сервера, для межсетевого экрана трафик является транзитным. Если ранее на UserGate NGFW было настроено запрещающее правило по IP-адресам назначения, то оно не будет срабатывать.

Для получения лицензий и обновлений продукта. Вы можете настроить получение лицензий и обновлений продукта через вышестоящий прокси-сервер. В этом случае вышестоящим может быть прокси-сервер HTTP или HTTPS. Процесс получения лицензий и обновлений представлен на рисунке ниже.

При активации лицензии или установке обновлений UserGate NGFW обращается к серверу лицензирования или серверу обновления UserGate не напрямую, а через вышестоящий прокси-сервер. Для каждого обращения в журнале событий межсетевого экрана отображается IP-адрес и порт вышестоящего прокси-сервера, например proxy: https://192.0.2.1:1080.

Настройка прокси-сервера для перенаправления трафика

ПримечаниеВы можете настраивать вышестоящий прокси-сервер для перенаправления трафика как в веб-интерфейсе, так и в интерфейсе командной строки UserGate NGFW. Ниже приведены инструкции для веб-интерфейса продукта.

Чтобы настроить вышестоящий прокси-сервер для перенаправления трафика, необходимо:

Подключить прокси-сервер к UserGate NGFW.
Создать профиль вышестоящего прокси-сервера. С помощью профилей вы можете выбирать прокси-серверы, которые будут использоваться в качестве вышестоящего прокси-сервера, а также изменять параметры проверки их состояния. Это обеспечивает отказоустойчивое подключение вышестоящего прокси-сервера к UserGate NGFW.
Создать правило вышестоящего прокси-сервера. С помощью правил вы можете управлять доступом к выбранным веб-ресурсам. В качестве условий срабатывания правила можно выбрать зоны и адреса источника, пользователей и их группы, URL-категории и URL-списки.

ПримечаниеЕсли в UserGate NGFW версий 7.1–7.3.2 был настроен вышестоящий прокси-сервер, то при обновлении продукта до версии 7.4.0 и выше автоматически будут добавлены один прокси-сервер, один профиль, одно правило.

Чтобы подключить прокси-сервер к UserGate NGFW:

1. В разделе Настройки ➜ Вышестоящие прокси ➜ Серверы нажмите Добавить.

2. Укажите параметры подключения прокси-сервера.

ПримечаниеЕсли в качестве прокси-сервера вы подключаете UserGate NGFW, то вы можете выбрать только режим HTTP(S).

3. Нажмите Сохранить.

Подключенный прокси-сервер отобразится в списке серверов раздела. Напротив прокси-сервера отображается статус его подключения к UserGate NGFW. Доступные серверы помечаются значком зеленого цвета. Проверка подключения прокси-сервера выполняется автоматически каждые 30 секунд.

Чтобы создать профиль вышестоящего прокси-сервера:

1. В разделе Настройки ➜ Вышестоящие прокси ➜ Профили нажмите Добавить.

2. На вкладке Общие укажите название и описание профиля.

3. На вкладке Серверы вышестоящего прокси выберите прокси-серверы.

ПримечаниеЕсли выбрано несколько прокси-серверов, то в качестве вышестоящего прокси-сервера будет использоваться первый доступный сервер из списка.

4. На вкладке Проверка состояния укажите параметры проверки состояния вышестоящего прокси-сервера:

адрес веб-ресурса, к которому будет подключаться вышестоящий прокси-сервер;
метод HTTP-запроса, посредством которого выполняется подключение к веб-ресурсу;
интервал проверки;
время ожидания ответа.

5. Нажмите Сохранить.

Созданный профиль отобразится в списке профилей раздела.

Чтобы создать правило вышестоящего прокси-сервера:

1. В разделе Настройки ➜ Вышестоящие прокси ➜ Правила нажмите Добавить.

2. На вкладке Общие укажите параметры правила:

состояние;
название и описание;
действие при срабатывании правила: Напрямую — трафик будет направлен через шлюз по умолчанию, Через прокси — трафик будет направлен через вышестоящий прокси-сервер;
журналирование срабатываний правила;
местоположение в списке правил.

При выборе действия Через прокси укажите дополнительные параметры правила:

профиль вышестоящего прокси-сервера;
действие в случае, если недоступны прокси-серверы, указанные в профиле.

3. На вкладках Источник, Пользователи, Категории URL и URL укажите объекты, для которых будет срабатывать правило.

Вы можете выбирать объекты из списков или создавать новые по кнопке Создать и добавить новый объект. При установке флажка Инвертировать (соответствует логическому отрицанию) указанные объекты будут исключены из условий срабатывания правила.

4. На вкладке Время укажите расписание работы правила.

Вы можете выбирать календари из списка или создавать новые по кнопке Создать и добавить новый объект.

5. Нажмите Сохранить.

Созданное правило отобразится в списке правил раздела. Правила применяются поочередно в том порядке, в котором они указаны в списке. Срабатывает первое правило среди тех, в которых совпали все указанные условия. Для изменения порядка применения правил используйте кнопки Выше, Ниже, Наверх, Вниз или перетащите правила курсором.

Настройка прокси-сервера для получения лицензий и обновлений

Чтобы настроить получение лицензий и обновлений продукта через вышестоящий прокси-сервер:

1. В разделе Дашборды в виджете Лицензия нажмите Нет лицензии (при активации лицензии) или Зарегистрированная версия (при обновлении лицензии).

2. В окне активации продукта установите флажок Использовать прокси-сервер для активации и апдейтов и укажите параметры вышестоящего прокси-сервера.

3. Выполните активацию или обновление лицензии.

Просмотреть как статью

к началу

Кластеризация и отказоустойчивость

UserGate NGFW поддерживает следующие типы кластеров:

Кластер конфигурации. Узлы, объединенные в кластер конфигурации, поддерживают единые параметры фильтрации и обработки трафика в рамках кластера.
Кластер отказоустойчивости. До четырех узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме «активный — активный» или «активный — пассивный». Возможно собрать несколько кластеров отказоустойчивости.

Кластер конфигурации

Ряд параметров уникален для каждого из узлов кластера. К уникальным относятся параметры:

Log Analyzer,
диагностики,
интерфейсов,
шлюзов,
DHCP,
маршрутов,
OSPF,
BGP.

Чтобы создать кластер конфигурации:

1. Выполните первоначальную настройку на первом узле кластера.

2. Настройте на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера: в разделе Настройки ➜ Сеть ➜ Зоны создайте выделенную зону для репликации кластера или используйте существующую (Cluster). В параметрах зоны в блоке Контроль доступа разрешите сервисы Консоль администрирования и Кластер.

Внимание!Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например к интернету.

3. Укажите IP-адрес, который будет использоваться для связи с другими узлами кластера: в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер конфигурации выберите текущий узел кластера, нажмите Редактировать и укажите IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.

4. В блоке Кластер конфигурации нажмите Еще ➜ Сгенерировать секретный код и скопируйте полученный код в буфер обмена. Код необходим для одноразовой авторизации второго узла при его добавлении в кластер.

5. Подключитесь к веб-консоли второго узла кластера, выберите язык установки. Укажите интерфейс, который будет использован для подключения к первому узлу кластера, и назначьте ему IP-адрес. Оба узла кластера должны находиться в одной подсети. Например, интерфейсам eth2 обоих узлов могут быть назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.

Укажите IP-адрес первого узла, настроенный на шаге 3, вставьте секретный код и нажмите Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и все параметры первого кластера реплицируются на второй.

Состояние узлов кластера конфигурации можно определить по цветовой индикации напротив названия узла UserGate в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер конфигурации:

Зеленый: узел доступен.
Желтый: происходит синхронизация между узлами кластера конфигурации.
Красный: связь с узлом потеряна, узел недоступен.

6. В веб-консоли второго узла кластера в разделе Настройки ➜ Сеть ➜ Интерфейсы назначьте каждому интерфейсу корректную зону. Зоны и их параметры получены в результате репликации данных с первого узла кластера.

7. Настройте шлюзы, маршруты, параметры OSPF, BGP, индивидуальные для каждого из узлов.

ПримечаниеПри вводе дополнительного узла в кластер конфигурации в явном виде указываются параметры интерфейса и шлюза для подключения к первому узлу. Тип присвоения IP-адреса этого интерфейса будет статическим.

Кластер отказоустойчивости «активный — пассивный»

До четырех узлов кластера конфигурации можно объединить в отказоустойчивый кластер. Самих кластеров отказоустойчивости может быть несколько, например в кластер конфигурации могут быть добавлены узлы A, B, C и D, на основе которых будет создано два кластера отказоустойчивости — A-B и C-D.

Поддерживаются два режима кластера отказоустойчивости — «активный — активный» или «активный — пассивный». Состояние узлов кластера можно определить по цвету индикатора около названия узла NGFW в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластеры отказоустойчивости:

Нет цветового индикатора: узел кластера доступен
Желтый: кластер отказоустойчивости не запущен на узле.
Красный: нет связи с соседними узлами конфигурации.

Отсутствие индикатора напротив названия узла говорит о доступности узла кластера.

В режиме «активный — пассивный» один из межсетевых экранов выступает в роли мастер-узла, обрабатывающего транзитный трафик пользователей, а остальные — в качестве резервных, которые находятся в состоянии готовности начать обработку трафика. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

ПримечаниеРежим «активный — пассивный» поддерживает синхронизацию пользовательских сессий — это обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси-сервер, например трафик HTTP(S).

При переходе главной роли на резервный сервер на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

Резервный узел не получает подтверждения о том, что мастер-узел находится в сети (таймеры: Adver — 1 сек., MasterDown — 3 сек.), например если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (см. раздел «Настройка шлюзов») и ни через один из шлюзов нет доступа в интернет.
Если узел, указанный в свойствах проверки сети, недоступен на всех узлах кластера, то кластер отказоустойчивости будет отключен.
Сбой в работе ПО UserGate NGFW.

Отключение одного или нескольких сетевых интерфейсов, на которые назначены виртуальные IP-адреса, понижает приоритет узла, но не обязательно приводит к изменению его роли. Переход на резервный узел произойдет, если приоритет резервного узла окажется выше, чем приоритет мастер-узла. По умолчанию приоритет узла, назначенный мастер-узлу, равен 250, приоритет резервного узла — 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, который физически не подключен к сети. Соответственно, если на кластере отказоустойчивости, состоящем из двух узлов, один из интерфейсов на мастер-узле будет физически отключен от сети, резервный узел станет мастером (при условии, что на резервном узле все кластерные интерфейсы подключены к сети). В таком случае приоритет мастер-узла будет равен 248, приоритет резервного — 249). При восстановлении физического подключения на первоначальном мастер-узле этот узел снова станет мастером, поскольку его приоритет вернется в значение 250 (справедливо для случая, когда виртуальные адреса сконфигурированы на двух и более интерфейсах; если на одном, то роль мастер-узла не возвращается).

Отключение одного или нескольких кластерных сетевых интерфейсов на резервном узле понижает приоритет узла, тем не менее этот резервный узел может стать мастером при безусловном переходе роли или в случае, когда приоритет мастер-узла станет меньше, чем приоритет резервного узла.

ПримечаниеЕсли кластерные IP-адреса назначены VLAN-интерфейсам, отсутствие подключения на физическом интерфейсе будет трактоваться кластером отказоустойчивости как потеря соединения на всех VLAN-интерфейсах, созданных на этом физическом интерфейсе.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на резервный узел при переключении, UserGate NGFW посылается служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. Пакет GARP отсылается UserGate NGFW каждую минуту и при переходе роли мастера на резервный узел.

Ниже представлена пример сетевой диаграммы отказоустойчивого кластера в режиме «активный — пассивный». Интерфейсы настроены следующим образом:

Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).
Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации параметров.

Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий узел, который станет мастером, например на UG2.

Кластер отказоустойчивости в режиме «активный — пассивный»

Кластер отказоустойчивости «активный — активный»

В режиме «активный — активный» один из межсетевых экранов выступает в роли мастер-узла, распределяющего трафик на все остальные узлы кластера. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

Виртуальные IP-адреса всегда находятся на интерфейсах мастер-узла, поэтому мастер-узел получает ARP-запросы клиентов и отвечает на них, последовательно отдавая MAC-адреса всех узлов отказоустойчивого кластера, обеспечивая равномерное распределение трафика на все узлы кластера, учитывая при этом необходимость неразрывности пользовательских сессий.

ПримечаниеБалансировка трафика будет работать только в одном широковещательном домене. Например, если для клиентов VIP-адрес будет шлюзом по умолчанию, балансировка трафика будет работать, так как разным клиентам будут поочередно отдаваться разные MAC-адреса узлов. Но в случае если между UserGate NGFW и клиентами находится маршрутизатор, балансировка работать не будет, так как ARP-запрос на VIP-адрес отправит только сам маршрутизатор и ему вернется MAC-адрес только одного из узлов, через который он и отправит весь трафик.

ПримечаниеРежим «активный — активный» поддерживает синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси-сервер, например трафик HTTP(S).

При переходе мастер-роли на резервный узел на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

Резервный сервер не получает подтверждения о том, что мастер-узел находится в сети (таймеры: Adver — 1 сек., MasterDown — 3 сек.), например если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (см. раздел «Настройка шлюзов») и ни через один из шлюзов нет доступа в интернет.
Сбой в работе ПО UserGate NGFW.

Отключение одного или нескольких кластерных сетевых интерфейсов на резервном узле, понижает приоритет узла, а также исключает этот узел из балансировки трафика. Тем не менее этот резервный узел может стать мастером при безусловном переходе роли или в случае, когда приоритет мастер-узла станет меньше, чем приоритет резервного узла.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на резервный узел при переключении, UserGate NGFW посылается служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. В режиме «активный — активный» пакет GARP отсылается UserGate NGFW только при переходе роли мастер-узла на резервный узел.

Ниже представлен пример сетевой диаграммы отказоустойчивого кластера в режиме «активный — активный». Интерфейсы настроены следующим образом:

Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).
Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации параметров.

Кластер отказоустойчивости в режиме «активный — активный»

ПримечаниеДля корректной обработки трафика необходимо, чтобы обратный трафик от сервера к клиенту вернулся через тот же узел UserGate NGFW, через который он был инициирован от клиента, то есть чтобы сессия пользователя всегда проходила через один и тот же узел кластера. Самое простое решение этой задачи – использование NAT, ведущего из сети клиента в сеть сервера (NAT из зоны Trusted в зону Untrusted).

Чтобы создать кластер отказоустойчивости:

1. Создайте кластер конфигурации (см. инструкцию выше).

2. В разделе Настройки ➜ Сеть ➜ Зоны разрешите сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес (зоны Trusted и Untrusted на диаграммах выше).

3. Создайте кластер отказоустойчивости: в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер отказоустойчивости нажмите Добавить и укажите параметры кластера отказоустойчивости.

4. Укажите виртуальный IP-адрес для узлов auth.captive, logout.captive, block.captive, ftpclient.captive. Если вы хотите использовать авторизацию с помощью captive-портала, необходимо, чтобы системные имена узлов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, преобразовывались (resolve) в IP-адрес, назначенный в качестве кластерного виртуального адреса. Более детально эти параметры описаны в разделе «Общие настройки».

Ниже описаны параметры отказоустойчивого кластера:

Параметр	Описание
Включено	Включение и отключение кластера отказоустойчивости.
Название	Название кластера отказоустойчивости.
Описание	Описание кластера отказоустойчивости.
Режим кластера	Режим кластера отказоустойчивости: Актив-Актив — нагрузка распределяется на все узлы кластера. Актив-Пассив — нагрузка идет на мастер-узел и переключается на резервный узел в случае, если мастер-узел недоступен.
Синхронизировать сессии	Включает режим синхронизации пользовательских сессий на всех узлах, входящих в кластер отказоустойчивости. Делает переключение с одного устройства на другое удобным для пользователей, но добавляет существенную нагрузку на платформу UserGate NGFW. Синхронизация сессий актуальна только для режима режима кластера активный — пассивный.
Мультикаст идентификатор	В одном кластере конфигурации может быть создано несколько кластеров отказоустойчивости. Для синхронизации сессий используется мультикастовый адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор.
Идентификатор виртуального маршрутизатора (VRID)	Идентификатор виртуального маршрутизатора должен быть уникален для каждого VRRP-кластера в локальной сети. Если в сети нет сторонних кластеров VRRP, рекомендуется оставить значение по умолчанию.
Узлы	Выбираются узлы кластера конфигурации для их объединения в кластер отказоустойчивости. Здесь же можно назначить роль мастера одному из выбранных узлов.
Виртуальные IP-адреса	Назначаются виртуальные IP-адреса и задается их соответствие интерфейсам узлов кластера.
Синхронизация UDP/ICMP	Управление режимом синхронизации пользовательских сессий: Синхронизовать все сессии — включение и отключение режима синхронизации всех пользовательских сессий, в том числе сессий UDP/ICMP. В случае если этот параметр не активирован, а параметр Синхронизировать сессии на вкладке Общие активирован, синхронизироваться будут только TCP-сессии. Важно! Когда режим включен, синхронизация пользовательских сессий по умолчанию происходит через случайно выбранный сетевой интерфейс узла кластера. Чтобы настроить синхронизацию сессий только через интерфейс, принадлежащий зоне кластера, в параметрах кластера отказоустойчивости на вкладке «Виртуальные IP» необходимо создать виртуальный IP-адрес для кластерных интерфейсов. Исключенные из синхронизации IP — IP-адреса, с которыми не будут синхронизироваться пользовательские сессии.

Просмотреть как статью

к началу

Кластеризация и отказоустойчивость (версия 7.5.0 и выше)

Вы можете объединить несколько межсетевых экранов в кластер и управлять им как единым логическим устройством. Кластеры позволяют повысить производительность, управлять сетевой нагрузкой и обеспечивать бесперебойную работу сетевых устройств.

UserGate NGFW поддерживает два типа кластеров:

Кластер конфигурации. Узлы, объединенные в кластер конфигурации, поддерживают единые параметры фильтрации и обработки трафика в рамках кластера. Такая синхронизация гарантирует, что набор политик будет одинаковым на всех узлах кластера и все изменения конфигурации будут выполняться с минимальными задержками.
Кластер отказоустойчивости. Если в сети настроен кластер конфигурации, то до четырех узлов, входящих в него, можно объединить в кластер отказоустойчивости, который обеспечит непрерывную фильтрацию и обработку трафика. В дополнение к возможностям кластера конфигурации кластер отказоустойчивости поддерживает синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла кластера на другой, — за исключением сессий, использующих прокси-сервер, например трафик HTTP(S). Поддерживаются два режима работы кластера отказоустойчивости: «активный — активный» и «активный — пассивный». Вы можете собрать несколько кластеров отказоустойчивости. Например, если в кластер конфигурации добавлены узлы A, B, C и D, на их основе можно создать два кластера отказоустойчивости — A-B и C-D.

Важно!Работа устройств UserGate в режимах кластера конфигурации и кластера отказоустойчивости доступна, если в используемую лицензию включен модуль Cluster.

Настройка кластера конфигурации

Настройка кластера конфигурации состоит из двух этапов: настройки первого узла и добавления дополнительных узлов. Каждый дополнительный узел добавляется в кластер на этапе первоначальной настройки этого узла. Если в вашей сети уже есть устройства UserGate NGFW, работающие как независимые, их можно добавить в кластер только выполнив сброс к фабричным параметрам.

Чтобы настроить кластер конфигурации:

1. Выполните первоначальную настройку первого узла кластера. Убедитесь, что активированная лицензия на первом узле (раздел Дашборды ➜ Лицензия) включает в себя модуль Cluster.

2. В веб-консоли первого узла в разделе Настройки ➜ Сеть ➜ Зоны добавьте зону, в которой будет выполняться репликация кластера, или выберите существующую зону Cluster. Убедитесь, что для выбранной зоны в окне Свойства сетевой зоны на вкладке Контроль доступа разрешены сервисы Консоль администрирования и Кластер.

Важно!Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например к интернету.

3. В разделе Настройки ➜ Сеть ➜ Интерфейсы выберите интерфейс, через который будет выполняться репликация кластера, и нажмите Редактировать.

4. В окне Свойства интерфейса:

на вкладке Общие назначьте интерфейсу зону кластера и установите флажок Включено;
на вкладке Сеть выберите режим Статический, с помощью кнопки Добавить укажите IP-адрес;
нажмите Сохранить.

5. В разделе Настройки ➜ Консоль администратора ➜ Управление устройством ➜ Кластер конфигурации выберите текущий узел кластера, нажмите Редактировать, укажите IP-адрес, назначенный интерфейсу на предыдущем шаге и нажмите Сохранить. Начнется перезагрузка устройства.

6. После завершения перезагрузки в блоке Кластер конфигурации выберите текущий узел, нажмите Сгенерировать секретный код и скопируйте код для авторизации дополнительного узла кластера.

7. Подключитесь к веб-консоли дополнительного узла. В мастере первоначальной настройки выберите язык интерфейса, примите лицензионное соглашение, выберите часовой пояс и затем в окне Установка нажмите Установка дополнительного узла кластера.

8. В блоке Шаг 1 укажите параметры дополнительного узла: кластерный интерфейс, его IP-адрес, маску подсети и IP-адрес шлюза (в случае, если первый и дополнительный узлы кластера находятся в разных подсетях). Например, если оба узла находятся в одной подсети, кластерному интерфейсу eth2 первого узла может быть назначен IP-адрес 192.168.100.5/24, а интерфейсу eth2 дополнительного узла в этом случае можно назначить IP-адрес 192.168.100.6/24.

ПримечаниеТак как IP-адрес интерфейса дополнительного узла и шлюз по умолчанию на этом шаге указываются в явном виде, режим присвоения этих параметров будет статическим.

9. В блоке Шаг 2 укажите IP-адрес кластерного интерфейса первого узла, вставьте созданный на нем секретный код и нажмите Подключить. Начнется настройка дополнительного узла, после чего он будет добавлен в кластер и все параметры первого узла реплицируются на дополнительный.

10. В веб-консоли дополнительного узла кластера конфигурации в разделе Настройки ➜ Сеть ➜ Интерфейсы назначьте каждому интерфейсу корректную зону, так как текущие параметры были получены в результате репликации данных с первого узла кластера.

11. В веб-консоли дополнительного узла кластера конфигурации на странице Дашборды в виджете Лицензия нажмите Проверить лицензию, чтобы активировать лицензию на дополнительном узле.

ПримечаниеЕсли на первом узле кластера лицензия была активирована онлайн, дополнительному узлу для активации лицензии также потребуется доступ в интернет. При офлайн-активации лицензии на первом узле подключение дополнительного узла к интернету не требуется.

12. Настройте шлюзы, маршруты, параметры OSPF, BGP, уникальные для каждого из узлов.

ПримечаниеК уникальным относятся параметры диагностики, интерфейсов, шлюзов, DHCP, маршрутов, OSPF, BGP и Log Analyzer.

13. Если первый и дополнительный узлы кластера находятся в разных подсетях, для первого узла в разделе Сеть ➜ Виртуальные маршрутизаторы настройте статический маршрут через кластерные интерфейсы до подсети, расположенной за дополнительным узлом кластера.

Вы можете отслеживать состояние узлов кластера конфигурации по статусу узла UserGate в любой из веб-консолей в блоке Настройки ➜ Консоль администратора ➜ Управление устройством ➜ Кластер конфигурации:

Зеленый: узел доступен.
Оранжевый: узел недоступен, идет перезагрузка узла.
Красный: узел недоступен, связь с узлом потеряна.
Черный: идет запуск узла.

Кластер отказоустойчивости «активный — пассивный»

В режиме работы кластера «активный — пассивный» один из межсетевых экранов выступает в роли мастер-узла (в веб-консоли статус этого узла — master), а остальные — в качестве резервных (в веб-консоли статус этих узлов — backup). Узел, выбранный в качестве мастер-узла, обладает наивысшим приоритетом в кластере, он отвечает на ARP-запросы клиентов и выполняет обработку и инспектирование пользовательского трафика. Резервные узлы не обрабатывают трафик, поступающий на виртуальные IP-адреса кластера, и находятся в режиме ожидания. При этом узлы, выступающие в кластере в роли резервных, могут обрабатывать трафик, который передается на их интерфейсы, не являющиеся кластерными.

На каждом из узлов кластера по умолчанию выбраны сетевые интерфейсы в зоне Cluster, которым назначены кластерные IP-адреса. Между кластерными интерфейсами передаются VRRP-объявления — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии. На основании VRRP-объявлений оценивается связность кластера, и уточняются приоритеты всех узлов кластера. Также кластерные интерфейсы участвуют в синхронизации сессий между узлами кластера.

На другие сетевые интерфейсы узлов кластера назначаются виртуальные IP-адреса, на которые направляется трафик. В случае если мастер-узел стал недоступен, роль мастер-узла и все виртуальные IP-адреса переносятся на резервный узел с наибольшим IP-адресом либо — если настроены необходимые параметры — с наибольшим приоритетом. Этот узел продолжит обработку трафика.

Безусловный перенос роли мастер-узла на резервный узел происходит при следующих событиях:

Резервный узел не получает подтверждения того, что мастер-узел находится в сети, например если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (см. раздел «Настройка шлюзов»), и ни через один из шлюзов нет доступа в интернет.

ПримечаниеЕсли проверка доступа в интернет настроена на каждом узле кластера и на всех узлах доступ в интернет отсутствует, перенос роли мастер-узла не выполняется, происходит прекращение обмена VRRP-сообщениями, и кластер отказоустойчивости приостанавливает работу.

Сбой в работе ПО UserGate NGFW.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на резервный узел при переключении, устройству UserGate NGFW посылается служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. Пакет GARP отсылается UserGate NGFW каждую минуту, в том числе при переключении роли мастер-узла на резервный узел.

Ниже представлен пример сетевой диаграммы отказоустойчивого кластера в режиме «активный — пассивный». Интерфейсы настроены следующим образом:

Зона Trusted: IP1, IP2, IP3, IP4 и виртуальный cluster IP (VIP trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и виртуальный cluster IP (VIP untrusted).
Зона Cluster: IP9, IP10, IP11, IP12. Интерфейсы в зоне Cluster являются кластерными и используются для передачи VRRP-объявлений.

Оба виртуальных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий узел, который станет мастер-узлом, например на UG2.

Кластер отказоустойчивости «активный — активный»

В режиме работы кластера «активный — активный» один из межсетевых экранов выступает в роли мастер-узла, распределяющего трафик на все остальные узлы кластера. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает кластерные IP-адреса. Между кластерными интерфейсами передаются VRRP-объявления — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии. На основании VRRP-объявлений оценивается связность кластера, а также уточняются приоритеты всех узлов кластера.

На другие сетевые интерфейсы узлов кластера назначаются виртуальные IP-адреса, на которые направляется трафик. Виртуальные IP-адреса всегда находятся на интерфейсах мастер-узла, поэтому мастер-узел получает ARP-запросы клиентов и отвечает на них, последовательно отдавая MAC-адреса всех узлов отказоустойчивого кластера, обеспечивая равномерное распределение трафика на все узлы кластера и учитывая при этом необходимость неразрывности пользовательских сессий.

ПримечаниеБалансировка трафика будет работать только в одном широковещательном домене. Например, если для клиентов виртуальный IP-адрес будет шлюзом по умолчанию, балансировка трафика будет работать, так как разным клиентам будут поочередно отдаваться разные MAC-адреса узлов. Но в случае если между UserGate NGFW и клиентами находится маршрутизатор, балансировка работать не будет, так как ARP-запрос на виртуальный IP-адрес отправит только маршрутизатор и ему вернется MAC-адрес только одного из узлов, через который он и отправит весь трафик.

При переключении мастер-роли на дополнительный узел на него переносятся все виртуальные IP-адреса всех интерфейсов. Безусловное переключение роли происходит при следующих событиях:

Дополнительный узел не получает подтверждения того, что мастер-узел находится в сети, например если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (см. раздел «Настройка шлюзов»), и ни через один из шлюзов нет доступа в интернет.
Сбой в работе ПО UserGate NGFW.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на дополнительный узел при переключении, UserGate NGFW посылается служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. В режиме «активный — активный» пакет GARP отсылается UserGate NGFW только при переключении роли мастер-узла на дополнительный узел.

Зона Trusted: IP1, IP2, IP3, IP4 и виртуальный cluster IP (VIP trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и виртуальный cluster IP (VIP untrusted).
Зона Cluster: IP9, IP10, IP11, IP12. Интерфейсы в зоне Cluster являются кластерными и используются для передачи VRRP-объявлений.

Оба виртуальных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба виртуальных IP-адреса перейдут на следующий узел, который станет мастер-узлом, например на узел UG2.

ПримечаниеДля корректной обработки трафика необходимо, чтобы обратный трафик от сервера к клиенту возвращался через тот же узел UserGate NGFW, через который он был инициирован от клиента, то есть чтобы сессия пользователя всегда проходила через один и тот же узел кластера. Самое простое решение этой задачи — использование NAT, ведущего из сети клиента в сеть сервера (NAT из зоны Trusted в зону Untrusted).

Настройка кластера отказоустойчивости

Настройка кластера отказоустойчивости доступна только для узлов, входящих в кластер конфигурации.

Чтобы настроить кластер отказоустойчивости:

1. В разделе Настройки ➜ Сеть ➜ Зоны выберите зону, в которой планируется добавлять кластерные интерфейсы (зона Cluster на рисунках выше), и в окне Свойства сетевой зоны на вкладке Контроль доступа разрешите сервис VRRP.

2. В разделе Настройки ➜ Сеть ➜ Интерфейсы для каждого узла настройте интерфейсы для обмена VRRP-объявлениями между узлами кластера:

Выберите сетевой интерфейс, который будет участвовать в организации кластера.
В окне Свойства интерфейса на вкладке Общие установите флажок Включено и назначьте интерфейсу кластерную зону.
На вкладке Сеть добавьте IP-адрес, если он еще не был добавлен.

3. В разделе Настройки ➜ Консоль администратора ➜ Кластеры отказоустойчивости нажмите Добавить.

4. В окне Свойства кластера отказоустойчивости на вкладке Общие установите флажок Включено, введите название кластера и выберите режим кластера:

Активный — Пассивный (значение по умолчанию) — трафик обрабатывается только мастер-узлом и переводится на резервный узел в случае, если основной недоступен.
Активный — Активный — нагрузка распределяется мастер-узлом на остальные узлы кластера.

5. На вкладке Узлы в блоке Доступные узлы выберите от двух до четырех узлов, затем в блоке Настройка кластера назначьте одному из узлов роль мастер-узла.

ПримечаниеЕсли установлен флажок «Не учитывать приоритет при смене роли мастер-узла», понижение приоритета мастер-узла учитываться не будет, а переключение мастер-роли на резервный узел будет происходить только в случае, если основной узел выйдет из строя.

6. На вкладке Виртуальные IP-адреса нажмите Добавить и назначьте интерфейсам узлов кластера, не участвующим в организации кластера и находящимся в одной зоне, общий виртуальный IP-адрес, на который будет направляться трафик. (На рисунках выше это один виртуальный IP-адрес для интерфейсов в зоне Trusted и еще один для интерфейсов в зоне Untrusted.)

7. Если необходимо, на вкладке Общие в блоке Режим отправки служебного трафика выберите режим обмена служебным трафиком между узлами кластера.

ПримечаниеДоступность режима «Юникаст» зависит от выбранного режима работы кластера (см. таблицу ниже).

8. Если необходимо, настройте остальные параметры (см. таблицу ниже).

9. Сохраните изменения. В созданном кластере отказоустойчивости одному из узлов будет назначена роль мастер-узла, а на его сетевой интерфейс будет назначен указанный виртуальный IP-адрес.

10. Укажите виртуальный IP-адрес для узлов auth.captive, logout.captive, block.captive, ftpclient.captive. Если вы хотите использовать авторизацию с помощью captive-портала, необходимо, чтобы системные имена узлов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, преобразовывались (resolve) в IP-адрес, назначенный в качестве кластерного виртуального адреса. Более детально эти параметры описаны в разделе «Общие настройки».

В таблице описаны дополнительные параметры кластера отказоустойчивости.

Параметр	Описание
Вкладка Общие
Описание	Описание кластера отказоустойчивости
Идентификатор виртуального маршрутизатора (VRID)	Идентификатор, уникальный для каждого VRRP-кластера в локальной сети. Если в сети нет сторонних VRRP-кластеров, рекомендуется оставить значение по умолчанию
Режим отправки служебного трафика	Выбор режима обмена служебным трафиком между узлами кластера: Мультикаст — многоадресная передача сообщений синхронизации сессий и VRRP-объявлений. По умолчанию для отправки VRRP-объявлений назначены интерфейсы кластера конфигурации. Вы можете выбрать другие интерфейсы. Юникаст — одноадресная передача сообщений синхронизации сессий и VRRP-объявлений между мастер-узлом и резервным узлом. При выборе этого способа передачи следует указать IP-адреса и интерфейсы, по которым будет происходить общение между узлами. Доступно только в режиме работы кластера «активный — пассивный» после выбора узлов кластера на вкладке Узлы
Интервалы отправки и задержки	Параметры переключения роли мастер-узла на резервный узел: Периодичность VRRP-объявлений — интервал в секундах между VRRP-объявлениями, в которых мастер-узел сообщает остальным узлам о своем состоянии. Счетчик недоступности — количество интервалов, в течение которых резервный узел не получает подтверждения того, что мастер-узел находится в сети. По достижении этого значения начнется переключение роли мастер-узла на резервный узел. Задержка смены роли по приоритету — время, на которое будет задержано переключение роли после того, как приоритет мастер-узла понизится. Эта задержка предоставляет время для сбора информации (например, о маршрутах) и позволяет избежать сбоев в работе сразу после переключения роли мастер-узла
Использовать виртуальный MAC	Если флажок установлен и на соответствующей вкладке параметров кластера отказоустойчивости назначены виртуальные IP-адреса, узлу с ролью мастер-узла назначается виртуальный MAC-адрес кластера. После этого в разделе Настройки ➜ Сеть ➜ Интерфейсы отобразится интерфейс VMAC. В случае переноса мастер-роли на резервный узел этот MAC-адрес сохраняется, что позволяет избежать задержек в передаче трафика. Доступно только в режиме работы кластера «активный — пассивный»
Разрешить транзит трафика через пассивные узлы	Если флажок установлен, резервный узел будет обрабатывать транзитный трафик, который поступает на его интерфейсы. В целях безопасности вы можете запретить обработку этого трафика, при снятом флажке он будет отбрасываться. Отключение транзита трафика доступно только в режиме работы кластера «активный — пассивный»
Вкладка Синхронизация сессий
Синхронизировать сессии TCP, SCTP и DCCP	Включение и отключение синхронизации пользовательских сессий между узлами по протоколам TCP, SCTP, DCCP
Синхронизировать сессии UDP и ICMP	Включение и отключение синхронизации пользовательских сессий между узлами по протоколам UDP и ICMP. Доступно, если установлен флажок Синхронизировать сессии TCP, SCTP и DCCP
Мультикаст-идентификатор	Если в одном кластере конфигурации создано несколько кластеров отказоустойчивости, для синхронизации сессий будет использоваться мультикастовый IP-адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор. Доступно, если установлен флажок Синхронизировать сессии TCP, SCTP и DCCP и на вкладке Общие выбран мультикастовый режим доставки
Интерфейсы синхронизации узла	Выбор интерфейсов, через которые будет выполняться синхронизация пользовательских сессий в мультикастовом режиме. Важно!В свойствах зоны, в которой находятся выбранные интерфейсы, необходимо разрешить синхронизацию сессий. Доступно, если установлен флажок Синхронизировать сессии TCP, SCTP и DCCP и на вкладке Общие выбран мультикастовый режим доставки
Исключенные из синхронизации IP-адреса	Список IP-адресов, с которыми отключена синхронизация всех пользовательских сессий в мультикастовом режиме. Доступно, если установлен флажок Синхронизировать сессии TCP, SCTP и DCCP и на вкладке Общие выбран мультикастовый режим доставки

Диагностика узлов кластера отказоустойчивости

Доступность узлов кластера определяется в том числе исходя из результатов диагностики состояния узлов. По умолчанию выполняется проверка состояния узлов кластера, локального DNS-сервера, прокси-сервера и кластерных интерфейсов узлов. Дополнительно вы можете например включить диагностику шлюзов или проверку доступа к сервисам, развернутым в ИТ-инфраструктуре, через узлы кластера.

Результаты диагностики влияют на условия переноса роли мастер-узла на резервный узел. По умолчанию перенос роли происходит без учета приоритета узлов. Например, при отключении одного из сетевых интерфейсов мастер-узла весь мастер-узел считается недоступным.

Вы можете настроить параметры таким образом, чтобы перенос роли мастер-узла зависел от понижения его приоритета при отключении одного или нескольких кластерных интерфейсов. Перенос роли мастер-узла на резервный узел произойдет, если приоритет последнего окажется выше приоритета мастер-узла. По умолчанию приоритет, назначенный мастер-узлу, равен 250, приоритет резервного узла — 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, который физически не подключен к сети. Соответственно, если на кластере отказоустойчивости, состоящем из двух узлов, один из интерфейсов на мастер-узле будет физически отключен от сети, резервный узел станет мастер-узлом (при условии, что на резервном узле все кластерные интерфейсы подключены к сети). В таком случае приоритет мастер-узла будет равен 248, приоритет резервного — 249. При восстановлении физического подключения на первоначальном мастер-узле этот узел снова станет мастер-узлом, поскольку его приоритет вернется в значение 250.

ПримечаниеОтключение одного или нескольких кластерных интерфейсов на резервном узле также будет понижать его приоритет. Тем не менее этот резервный узел может стать мастер-узлом при безусловном переключении роли или в случае, если приоритет мастер-узла станет меньше приоритета резервного узла.

Чтобы настроить диагностику узлов кластера:

1. В разделе Настройки ➜ Консоль администратора ➜ Кластеры отказоустойчивости выберите кластер и нажмите Редактировать.

2. В окне Свойства кластера отказоустойчивости выберите вкладку Диагностика.

3. Установите флажок Проверка шлюзов и выберите, считать шлюз недоступным или понизить приоритет узла, если результаты проверки будут неудовлетворительными.

ПримечаниеЧтобы помимо проверки самих шлюзов также выполнялась проверка доступа в интернет, необходимо включить проверку сети. Подробнее об этом — в разделе «Настройка шлюзов».

4. Настройте параметры проверки доступности шлюзов:

Периодичность запуска проверки — регулярная проверка шлюзов через указанный промежуток времени.
Счетчик недоступности — количество последовательных неудовлетворительных результатов проверки, после которых шлюз признается недоступным или приоритет узла понижается.
Счетчик доступности — количество последовательных положительных результатов проверки, подтверждающее, что работоспособность шлюза восстановлена и узел можно признать доступным или повысить его приоритет.

5. Установите флажок Проверка ресурсов и выберите, считать узел недоступным или понизить приоритет узла, если проверка покажет, что указанные сервисы, развернутые в ИТ-инфраструктуре, недоступны.

6. Нажмите Проверяемые ресурсы и укажите IP-адреса или FQDN тех ресурсов, доступ к которым будет проверяться.

7. Настройте параметры проверки доступности ресурсов:

Периодичность запуска проверки — регулярная проверка ресурсов через указанный промежуток времени.
Счетчик недоступности — количество последовательных результатов проверки, после которых узел признается недоступным или его приоритет понижается.
Счетчик доступности — количество последовательных положительных результатов проверки, подтверждающее, что доступ к ресурсу восстановлен и узел можно признать доступным или повысить его приоритет.

8. Установите флажок Проверка интерфейсов, нажмите Настройки и настройте следующие параметры:

Для каждого из кластерных интерфейсов выберите действие, которое будет применено к узлу в случае недоступности интерфейса.
Если необходимо отслеживать состояние сетевых интерфейсов, на которые назначены виртуальные IP-адреса, нажмите Добавить, выберите соответствующие сетевые интерфейсы и действия для них в случае недоступности.

9. Сохраните изменения.

Настройка кластера отказоустойчивости в облачной среде Yandex Cloud

Вы можете настроить кластер отказоустойчивости UserGate NGFW в сервисе Yandex Cloud. Кластер отказоустойчивости, развернутый в облаке, может включать в себя только два узла, работающих в режиме «активный — пассивный», и поддерживает обмен служебными VRRP-объявлениями в юникаст-режиме.

Работа кластера отказоустойчивости в облачной среде возможна при соблюдении всех следующих условий:

В кластере только два узла.
Выбран режим работы кластера «активный — пассивный».
Обмен служебным трафиком между узлами кластера выполняется в юникаст-режиме.
Отключено использование виртуального MAC-адреса.
Интерфейсам узлов кластера не назначены виртуальные IP-адреса.
Отключена синхронизация пользовательских сессий.
Маршрутизация входящего трафика выполняется внешним балансировщиком.
Обеспечен доступ к таблицам маршрутизации Yandex Cloud и к API для работы с виртуальным частным облаком.

Перед тем как настроить параметры работы кластера UserGate NGFW, подготовьте виртуальные машины в облачной среде:

1. Создайте в Yandex Cloud сервисный аккаунт с ролью vpc.privateAdmin.

2. Разверните в Yandex Cloud две виртуальные машины UserGate NGFW и объедините их в кластер конфигурации.

ПримечаниеСервис Yandex Cloud поддерживает развертывание виртуальных машин как в одной сетевой зоне, так и в разных. Подробнее об этом — в справке сервиса.

3. В веб-интерфейсе сервиса Yandex Cloud в параметрах каждой виртуальной машины добавьте созданный сервисный аккаунт.

4. Создайте таблицу маршрутизации Yandex Cloud. Когда кластер отказоустойчивости будет настроен, UserGate NGFW передаст в эту таблицу IP-адрес сетевого интерфейса мастер-узла, через который будет направляться трафик. В случае если мастер-узел выйдет из строя, в таблицу статической маршрутизации Yandex Cloud будет передан IP-адрес резервного узла, и трафик перенаправится на этот IP-адрес.

Чтобы настроить кластер отказоустойчивости в облачной среде:

1. В разделе Настройки ➜ Сеть ➜ Зоны выберите или создайте зону для кластера и в окне Свойства сетевой зоны на вкладке Контроль доступа разрешите сервис VRRP.

Выберите сетевой интерфейс, который будет участвовать в организации кластера.
В окне Свойства интерфейса на вкладке Общие назначьте интерфейсу кластерную зону.
На вкладке Сеть добавьте IP-адрес, если он еще не был добавлен.
Убедитесь, что на вкладке Общие установлен флажок Включено.

3. В разделе Настройки ➜ Консоль администратора ➜ Кластеры отказоустойчивости нажмите Добавить.

4. В окне Свойства кластера отказоустойчивости на вкладке Узлы в блоке Доступные узлы выберите виртуальные машины, развернутые в Yandex Cloud, затем в блоке Настройка кластера назначьте одной из виртуальных машин роль мастер-узла.

5. Убедитесь, что на вкладке Виртуальные IP-адреса интерфейсам узлов кластера не назначены виртуальные IP-адреса.

6. На вкладке Общие установите флажок Включено, введите название кластера и выберите режим кластера Активный — Пассивный.

7. В качестве режима отправки служебного трафика выберите Юникаст и нажмите Настройки.

8. В окне Настройка интерфейсов для юникаст-трафика в блоке Передача VRRP-объявлений выберите интерфейсы, которые были настроены на шаге 2, укажите их IP-адреса и сохраните изменения.

9. Убедитесь, что на вкладке Общие снят флажок Использовать виртуальный MAC.

10. Убедитесь, что на вкладке Синхронизация сессий сняты флажки Синхронизировать сессии TCP, SCTP и DCCP и Синхронизировать сессии UDP и ICMP.

11. На вкладке Настройка облака выберите в качестве облачного провайдера Yandex Cloud.

12. В блоке Переключение маршрута нажмите Добавить и в окне Свойства переключения маршрута настройте параметры, в соответствии с которыми в таблицу статической маршрутизации будет передаваться IP-адрес мастер-узла:

В поле Таблица маршрутизации укажите идентификатор созданной ранее таблицы статической маршрутизации Yandex Cloud.
В поле Префикс назначения укажите префикс маршрута по умолчанию для таблицы статической маршрутизации Yandex Cloud.
В поле <имя_узла_кластера_1> для первого узла кластера укажите IP-адрес интерфейса, через который доступна внутренняя сеть.
В поле <имя_узла_кластера_2> для второго узла кластера укажите IP-адрес интерфейса, через который доступна внутренняя сеть, и сохраните изменения параметров переключения маршрута.

13. Сохраните изменения.

После сохранения изменений в таблицу статической маршрутизации Yandex Cloud с указанным идентификатором будут переданы префикс назначения и IP-адрес того узла, которому на вкладке Узлы назначена роль мастер-узла. Трафик будет направлен на IP-адрес мастер-узла.

Особенности настройки кластера отказоустойчивости с узлами в разных зонах Yandex Cloud

В зависимости от топологии и других особенностей ИТ-инфраструктуры вы можете настроить кластер отказоустойчивости, в котором узлы UserGate NGFW будут располагаться в разных зонах Yandex Cloud. В этом случае, помимо общей настройки кластера, для каждого из узлов необходимо указать статические маршруты до подсети, находящейся за узлом в другой зоне. В противном случае активный узел кластера не сможет передавать ответы на запросы, поступающие из подсети в другой зоне.

Для каждого узла кластера выполните следующие действия:

1. В разделе Настройки ➜ Сеть ➜ Виртуальные маршрутизаторы нажмите Добавить.

2. В раскрывающемся списке выберите Статические маршруты и нажмите Добавить.

3. В окне Свойства маршрута укажите его название, установите флажок Включено.

4. Убедитесь, что установлен тип маршрута Unicast.

5. В поле Адрес назначения укажите подсеть за другим узлом кластера, на которую будет указывать маршрут.

6. Задайте IP-адрес шлюза, через который указанная подсеть будет доступна. Этот IP-адрес должен быть доступен с узла, для которого настраивается маршрут.

7. Выберите сетевой интерфейс, через который будет добавлен маршрут. Если оставить значение Автоматически, UserGate NGFW сам определит интерфейс, исходя из параметров IP-адресации сетевых интерфейсов.

8. Сохраните изменения.

Просмотр информации о кластере отказоустойчивости

Вся информация о кластере доступна на странице Кластеры отказоустойчивости. Вы можете отслеживать состояние кластера отказоустойчивости и узлов, входящих в него.

Статусы кластера отказоустойчивости:

Зеленый: кластер доступен.
Оранжевый: неопределенное состояние кластера, как минимум один узел не участвует в работе кластера.
Желтый треугольник: нет связи как минимум с одним узлом кластера, узел перезагружается или вышел из строя.

Статусы узлов в кластере отказоустойчивости:

Зеленый: узел кластера доступен.
Оранжевый: узел работоспособен, но недоступен в кластере.
Желтый треугольник: узел перезагружается или вышел из строя.

Также в веб-консоли выбранного узла на странице Кластеры отказоустойчивости вы можете временно вывести этот узел из кластера, например для планового обслуживания. Для этого в блоке Узлы необходимо включить Приостановить работу.

Просмотреть как статью

к началу

О компании

Продукты

Поддержка

Техническая документация

Условия использования

Конфиденциальность