Параметры работы интерфейса командной строки настраиваются на уровне settings cli.
Для настройки системного приглашения консоли CLI используется команда:
Admin@nodename# set settings cli custom-prompt <new-custom-prompt>
Вы можете поменять системное приглашение в консоли CLI с установленного по умолчанию (вида Admin@nodename#) на удобное вам. Например, чтобы поменять вид системного приглашения на NodeAABBCC, выполните следующую команду:
Admin@nodename# set settings cli custom-prompt NodeAABBCC
NodeAABBCC#
Вернуть системное приглашение в первоначальное состояние можно с помощью команды:
Admin@nodename# set settings cli custom-prompt default
Пример использования команды:
NodeAABBCC#
NodeAABBCC# set settings cli custom-prompt default
Admin@nodename#
Чтобы задать уровень детализации журналирования CLI используется команда:
Admin@nodename# set settings cli log-level
Вы можете установить следующие уровни детализации:
off — отключить журналирование;
error — только ошибки;
warning — ошибки и предупреждения;
info — ошибки, предупреждения и дополнительная информация;
debug — максимальная детализация.
Чтобы задать уровень детализации журналирования операций экспорта и импорта конфигурации в CLI используется команда:
Admin@nodename# set settings cli log-level
Вы можете установить следующие уровни детализации:
off — отключить журналирование;
error — только ошибки;
warning — ошибки и предупреждения;
info — ошибки, предупреждения и дополнительная информация;
debug — максимальная детализация.
Посмотреть текущие значения параметров работы интерфейса командной строки можно с помощью команды:
Admin@nodename# show settings cli
Настройка базовых параметров устройства
Базовые параметры UserGate SWG настраиваются на уровне settings general.
Структура команд для настройки базовых параметров устройства:
Admin@nodename# set settings general <settings-module> <parameters>
Базовые параметры устройства сгруппированы в разделы.
Раздел
Описание
admin-console
Параметры консоли управления:
timezone — часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т. п.
language — язык интерфейса:
ru — русский;
en — английский.
webaccess — режим аутентификации веб-консоли:
password — аутентификация по имени и паролю;
cert — аутентификация по X.509-сертификату.
uc-profile — выбор профиля пользовательских сертификатов.
web-ssl-profile — выбор профиля SSL для построения защищенного канала доступа к веб-консоли. Подробнее о профилях SSL — в разделе «Настройка профилей SSL».
response-pages-ssl-profile — выбор профиля SSL для построения защищенного канала для отображения страниц блокировки доступа к веб-ресурсам и страницы авторизации captive-портала. Подробнее о профилях SSL — в разделе «Настройка профилей SSL».
api-session-lifetime — время ожидания сеанса администратора в минутах. По истечении этого времени при вводе команды CLI, использующей API-вызовы (команды создания объектов, изменения параметров, просмотра параметров, удаления объектов или параметров), сессия администратора будет завершена сообщением Authentication session expired. Restart CLI
server-time
Параметры установки точного времени:
ntp-enabled — включение и отключение использования NTP-серверов.
primary-ntp-server — адрес основного NTP-сервера.
second-ntp-server — адрес запасного NTP-сервера.
time — установка времени на устройстве. Время указывается в часовом поясе UTC в формате yyyy-mm-ddThh:mm:ss (например, 2022-02-15T12:00:00)
modules
Настройка работы модулей устройства:
proxy-port — указание нестандартного номера порта, который будет использоваться для подключения к встроенному прокси-серверу.
auth-captive — указание служебного домена, который будет использоваться UserGate SWG при авторизации пользователей через captive-портал.
logout-captive — указание служебного домена, который будет использоваться пользователями UserGate SWG для окончания сессии.
cert-captive — указание служебного домена, который будет использоваться UserGate SWG при авторизации пользователей через captive-портал с помощью сертификатов.
block-page-domain — указание служебного домена, который будет использоваться для отображения страницы блокировки.
ftp-enabled — включение или отключение модуля, позволяющего получать доступ к содержимому FTP-серверов из пользовательского браузера.
ftp-domain — указание служебного домена, который будет использоваться для предоставления пользователям сервиса FTP поверх HTTP.
length <fixed | dynamic> — длина идентификатора. Фиксированная (не более 8 байт), только для типа text или динамическая (не более 27 байт).
type <ip4 | ip6 | mac | text | octets> — формат идентификатора SNMP (IPv4, IPv6, MAC-адрес, текст, октеты).
value — значение идентификатора.
terminal-sever-agent — настройка пароля для подключения агентов авторизации терминального сервера.
lldp — настройка использования протокола канального уровня Link Layer Discovery Protocol (LLDP), который позволяет сетевому оборудованию, работающему в локальной сети, оповещать устройства о своем существовании, передавать им свои характеристики, а также получать от них аналогичную информацию. При настройке необходимо задать значения:
transmit-delay — задержка передачи. Указывается время ожидания устройства перед отправкой объявлений соседям после изменения TLV в протоколе LLDP или состояния локальной системы, например после изменения имени узла или адреса управления. Может принимать значения от 1 до 3600. Указывается в секундах.
transmit-hold — значение мультипликатора удержания. Произведение значений transmit-delay и transmit-hold определяет время жизни (TTL) пакетов LLDP. Может принимать значения от 1 до 100
cache
Параметры кэширования прокси-сервера:
caching-mode — включение или отключение режима кэширования.
exclusions — список URL, которые не будут кэшироваться. Для удаления исключений используйте команду:
Admin@nodename# delete settings general cache exclusions [ <URL> ]
max-cacheable-size — максимальный размер объектов, которые будут кэшироваться (МБ).
ram-size: размер оперативной памяти, отведенный под кэширование (МБ)
log-analyzer
Параметры модуля сбора статистики:
use-local-stat-server — использование локальной службы журналирования
proxy-portal
Параметры предоставления доступа к внутренним ресурсам компании с помощью веб-портала:
enabled — включение или отключение использования веб-портала.
hostname — имя узла, которое пользователи должны использовать, чтобы подключаться к сервису веб-портала.
port — порт TCP, который будет использоваться сервисом веб-портала.
auth-profile — указание профиля аутентификации, который будет использоваться для аутентификации пользователей, подключающихся к веб-порталу. Подробнее о настройке профилей аутентификации с использованием CLI — в разделе «Настройка профилей аутентификации».
auth-template — выбор шаблона страницы аутентификации.
portal-template — выбор шаблона веб-портала, который будет использоваться для отображения ресурсов, доступных через веб-портал.
enable-ldap — выбор домена AD или LDAP на странице аутентификации:
on — показывать;
off — не показывать.
use-captcha — показывать на странице аутентификации веб-портала код для ввода пользователем:
on — показывать;
off — не показывать.
ssl-profile — выбор профиля SSL для построения защищенного канала для отображения веб-портала. Подробнее о настройке профилей аутентификации с использованием CLI — в разделе «Настройка профилей SSL».
certificate — выбор сертификата, который будет использоваться для создания HTTPS-соединения.
auth-mode — выбор метода аутентификации:
aaa — аутентификация через логин и пароль локальных пользователей или аутентификация пользователей на AAA-сервере;
pki — аутентификация посредством X.509-сертификатов.
user-cert-profile — выбор профиля пользовательских сертификатов при аутентификации посредством сертификатов
pcap
Настройка захвата пакетов.
Команда для настройки:
Admin@nodename# set settings general pcap packet-capture-mode <parameters>
Параметры:
no-capture — без захвата;
one-packet — один пакет;
previous — предшествующие пакеты;
previous-and-following — предшествующие и последующие пакеты:
previous-packets — количество предшествующих пакетов (от 4 до 30 пакетов);
following-packets — количество последующих пакетов (от 2 до 15 пакетов)
change-tracker
Настройка учета изменений параметров устройства:
enabled — включение или отключение учета изменений параметров.
event-tracker-types — типы изменений (например, приказ, регламентные работы и т. д.). Для удаления типа изменения используется команда:
Admin@nodename# delete settings general change-tracker event-tracker-types [ type1 ... ]
management-center
Настройка агента UserGate Management Center.
Команда для настройки:
Admin@nodename# set settings general management-center <parameters>
Параметры:
enabled — включение или отключение агента UserGate Management Center;
mc-address — адрес сервера UserGate Management Center;
device-code — уникальный код устройства для подключения устройства к UserGate Management Center
updates-schedule
Настройка расписания скачивания обновлений программного обеспечения и библиотек.
Расписание для обновления программного обеспечения задается командой:
Admin@nodename# set settings general updates-schedule software schedule <schedule|disabled>
Единое расписание для скачивания обновлений библиотек задается командой:
Admin@nodename# set settings general updates-schedule all-libraries schedule <schedule|disabled>
Расписание для скачивания обновлений отдельных библиотек задается командой:
Admin@nodename# set settings general updates-schedule libraries [ lib-module ... ] schedule <schedule/disabled>
Время задается в crontab-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>.
Каждое из полей может быть задано следующим образом:
Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что проверка обновления программного обеспечения должна выполняться каждый час.
Дефис (-) — для указания диапазона значений.
Запятая (,) — в качестве разделителя значений.
Косая черта (/) — для указания шага между значениями.
Команда для просмотра расписания обновлений:
Admin@nodename# show settings general updates-schedule
metrics-collection
Настройка параметров передачи метрик телеметрии.
enabled — включение или выключение отправки метрик телеметрии. По умолчанию отправка метрик телеметрии включена.
masking-sensitive-data — маскирование чувствительных данных в отправляемых метриках. К чувствительным данным относятся IP-адреса, MAC-адреса, URL, адреса эл. почты и т. д. По умолчанию маскирование чувствительных данных отключено.
Управление подключаемыми модулями
Управление подключаемыми модулями устройства в CLI выполняется на уровне settings device.
Для управления модулями используется команда:
Admin@nodename# set settings device <parameters>
Укажите параметры команды.
Параметр
Описание
sip
Включение или отключение загрузки модуля SIP; модуль необходимо включать для сопоставления сигнального соединения и соединения передачи данных в случае использования NAT:
Admin@nodename# set settings device sip enabled
on;
off.
По умолчанию модуль выгружен.
Для разрешения передачи медиа-трафика напрямую между конечными участниками разговора:
Admin@nodename# set settings device sip direct-media
on;
off
Важно!После включения для корректной работы модуля необходимо перезагрузить таблицу правил межсетевого экрана (нажать «Принудительно применить» в разделе «Политики сети» ➜ «Межсетевой экран»).
h323
Включение или отключение загрузки модуля h323; модуль необходимо включать для сопоставления сигнального соединения и соединения передачи данных в случае использования NAT:
on;
off.
По умолчанию модуль выгружен
sunrpc
Включение или отключение загрузки модуля SunRPC:
on;
off.
По умолчанию модуль выгружен
ftp-alg
Включение или отключение загрузки модуля FTP; модуль необходимо включать для сопоставления сигнального соединения и соединения передачи данных в случае использования NAT:
on;
off.
Важно!Модуль нужно включать для пассивного режима работы FTP.
По умолчанию модуль выгружен
auth-type
Использование подписи IPsec Authentication Header для служебных пакетов VRRP в кластере отказоустойчивости:
ah — включение подписи;
pass — отключение проверки
fw-drop-invalid
Включение или отключение блокировки пакетов с некорректным набором параметров в полях заголовка:
on;
off.
По умолчанию настройка находится в выключенном состоянии. Включение данной опции существенно понижает производительность межсетевого экрана; рекомендуется оставить данную настройку выключенной
fw-established
Включение или отключение создания одного общего правила межсетевого экрана для обратных пакетов:
on;
off.
По умолчанию настройка выключена
bypass-optimization
Включение или отключение оптимизации инспектирования SSL:
on;
off.
При включённом параметре bypass-optimizationдля снижения нагрузки на прокси-сервер инспекция SSL не будет происходить, если на узле нет запрещающих правил инспектирования SSL. При этом в журнале веб-доступа при включённой опции журналирования будет присутствовать только информация уровней L3/L4.
По умолчанию настройка выключена
Команда для просмотра текущих параметров:
Admin@nodename# show settings device
Настройка управления устройством
Настройка диагностики
В этом разделе вы можете управлять параметрами диагностики устройства, необходимыми службе технической поддержки для решения возможных проблем.
Параметры диагностики задаются на уровне settings loglevel.
C помощью следующей команды вы можете установить необходимый уровень детализации журналирования событий:
Admin@nodename# set settings loglevel value <off | error | warning | info | debug>
off — ведение журналов диагностики отключено;
error — журналировать только ошибки;
warning — журналировать только ошибки и предупреждения;
info — журналировать только ошибки, предупреждения и дополнительную информацию;
debug — журналировать все возможные события.
При журналировании на уровнях warning,info и debug может снижаться производительность UserGate SWG, поэтому рекомендуется устанавливать уровни error или off, если технической поддержкой UserGate не было предложено иное.
Для просмотра состояния уровня детализации диагностики используется команда:
Admin@nodename# show settings loglevel
Для включения или отключения удаленного помощника (radmin) используется команда:
Admin@nodename# set settings radmin enabled <on | off>
Для просмотра состояния удаленного помощника используется команда:
Admin@nodename# show settings radmin
Режим emergency
Если произошел сбой в работе ядра UserGate SWG, может пропасть возможность авторизации в CLI. Для активации удаленного помощника в таких случаях администратор может зайти в CLI в режиме emergency под учетной записью корневого администратора, которая была создана при инициализации UserGate SWG. Обычно это учетная запись Admin. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля — пароль корневого администратора.
Команда входа в режим emergency CLI выглядит следующим образом:
ssh Admin@emergency@<SWG_IP> -p 2200
Команда включения и отключения удаленного доступа к серверу для технической поддержки в режиме emergency:
Admin@emergency@SWG# set radmin-emergency enabled <on | off> <parameters>
В команде указываются следующие сетевые параметры:
interface — название интерфейса;
ip-addr — IP-адрес интерфейса;
gateway-address — IP-адрес шлюза.
В режиме emergency доступна команда возврата устройства в первоначальное состояние:
Admin@emergency@SWG# execute factory-reset
Все данные и параметры будут утеряны. Версия ПО не изменится: сохранится версия, актуальная на момент запуска команды.
Настройка получения обновлений
В этом разделе вы можете установить канал получения обновлений для устройства (стабильные версии или бета-версии).
Канал обновлений устанавливается с помощью команды:
Admin@nodename# set settings device-mgmt updates-channel <stable | beta>
Для просмотра наличия обновлений и выбранного канала обновления используется команда:
Admin@nodename# show settings device-mgmt updates-channel
Управление резервным копированием
Правила резервного копирования создаются на уровне settings device-mgmt.
Для создания правила резервного копирования и выгрузки файлов на внешние серверы (FTP/SSH) используется команда:
Для просмотра параметров правила резервного копирования используется команда:
Admin@nodename# show settings device-mgmt settings-backup <rule-name>
Для команд изменения, удаления или отображения правил в качестве идентификатора правила можно использовать не только название, но и другие заданные в правиле параметры (см. список параметров в таблице выше).
Экспорт параметров
Создание и настройка правил экспорта параметров устройства происходит на уровне settings device-mgmt settings-export.
Для создания правила экспорта параметров используется команда:
Для просмотра параметров правила экспорта используется команда:
Admin@nodename# show settings device-mgmt settings-export <rule-name>
Для команд изменения, удаления или отображения правил в качестве идентификатора правила можно использовать не только название, но и другие заданные в существующем правиле параметры (см. список параметров в таблице выше).
Настройка защиты конфигурации от изменений
Для настройки параметров защиты конфигурации устройства от изменения используется команда:
Admin@nodename# set settings change-control config <off | log | block>
Проверка целостности конфигурации происходит каждые несколько минут после загрузки UserGate SWG.
log — активация режима отслеживания изменений конфигурации. При обнаружении изменений UserGate SWG записывает информацию о факте изменения в журнал событий. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания.
off — отключение режима отслеживания изменений конфигурации. Необходимо указать пароль, который был задан при активации режима отслеживания конфигурации.
block — активация режима отслеживания изменений конфигурации. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate SWG записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик.
Перед активацией защиты конфигурации администратор производит настройку устройства в соответствии с требованиями организации, после чего защищает параметры от изменений (режим log или block). Любое изменение параметров через веб-интерфейс, CLI или другими способами будет приводить к журналированию и блокировке транзитного трафика, в зависимости от выбранного режима.
Для просмотра текущего режима защиты конфигурации от изменений используется команда:
Admin@nodename# show settings change-control config
Настройка защиты исполняемых файлов от изменения
Для настройки защиты исполняемого кода устройства от потенциального несанкционированного изменения используется команда:
Admin@nodename# set settings change-control code <off | log | block>
Проверка целостности исполняемого кода происходит каждый раз после загрузки UserGate SWG.
log — активация режима отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений UserGate SWG записывает информацию о факте изменения в журнал событий. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания.
off — отключение режима отслеживания несанкционированных изменений исполняемого кода. Необходимо указать пароль, который был задан при активации режима отслеживания исполняемого кода.
block — активация режима отслеживания несанкционированных изменений исполняемого кода. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate SWG записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик. Чтобы отключить созданное правило межсетевого экрана необходимо отключить отслеживание несанкционированных изменений.
Для просмотра текущего режима защиты исполняемых файлов используется команда:
Admin@nodename# show settings change-control code
Настройка режима ускоренной обработки сетевого трафика
Для включения или отключения режима ускоренной обработки трафика используется команда:
Admin@nodename# set settings fastpath enabled <on/off>
Для просмотра параметров режима ускоренной обработки трафика используется команда:
