Часовой пояс
|
Часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п.
|
Язык интерфейса по умолчанию
|
Язык, который будет использоваться по умолчанию в консоли.
|
Режим аутентификации веб-консоли
|
Способ аутентификации пользователя (администратора) при входе в веб-консоль управления. Возможны следующие варианты:
-
По имени и паролю. Администратор должен ввести имя и пароль для получения доступа к веб-консоли.
-
По X.509-сертификату. Для аутентификации по сертификату необходимо иметь сертификат пользователя, подписанный сертификатом удостоверяющего центра веб-консоли и установленный в браузер. При включении этого режима аутентификации режим аутентификации по имени и паролю отключается. Вернуть режим аутентификации по имени и паролю можно с помощью команд CLI.
-
Профиль сертификата пользователя. Аутентификации посредством сертификатов (PKI) использует профиль пользовательского сертификата, это позволяет управлять сертификатами для обеспечения безопасности и подтверждения подлинности в сетевых соединениях.
|
Профиль SSL для веб-консоли
|
Выбор профиля SSL для построения защищенного канала доступа к веб-консоли. Подробно о профилях SSL смотрите в главе Профили SSL.
|
Профиль SSL для страниц блокировки/авторизации
|
Выбор профиля SSL для построения защищенного канала для отображения страниц блокировки доступа к веб-ресурсам и страницы авторизации Captive-портала. Подробно о профилях SSL смотрите в главе Профили SSL.
|
Таймер автоматического закрытия сессии (мин.)
|
Настройка таймера автоматического закрытия сессии в случае отстуствия активности администратора в веб-консоли.
|
Профиль SSL конечного устройства
|
Выбор профиля SSL для построения защищенного канала общения NGFW и конечных устройств UserGate Client. Подробно о профилях SSL смотрите в главе Профили SSL.
|
Сертификат конечного устройства
|
Сертификат, который будет использоваться для построения защищённого канала связи между NGFW и конечными устройствами UserGate Client.
Важно! Конечные устройства запоминают сертификат, поэтому при изменении необходимо распространить корневой сертификат удостоверяющего центра (Root CA) на подключенные конечные устройства; сертификат должен быть установлен в хранилище доверенных корневых центров сертификации локального компьютера.
|
Настройка времени сервера
|
Настройка параметров установки точного времени.
-
Использовать NTP — использовать сервера NTP из указанного списка для синхронизации времени.
-
Основной сервер NTP — адрес основного сервера точного времени. Значение по умолчанию — pool.ntp.org.
-
Запасной сервер NTP — адрес запасного сервера точного времени.
-
Время на сервере — позволяет установить время на сервере. Время должно быть указано в часовом поясе UTC.
|
Модули
|
Позволяет настроить модули NGFW:
-
HTTP(S)-прокси порт — позволяет указать нестандартный (дополнительный) номер порта, который будет использоваться для подключения к встроенному прокси-серверу. По умолчанию используется порт TCP 8090; при изменении порт продолжает функционировать.
Важно! Нельзя использовать следующие порты, поскольку они используются внутренними сервисами NGFW: 2200, 8001, 4369, 9000-9100.
-
Домен auth captive-портала — служебный домен, который используется NGFW при авторизации пользователей через Captive-портал. Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса UserGate, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то разрешение адресов (resolving) настроено автоматически. По умолчанию используется имя auth.captive, которое может быть изменено на другое доменное имя, принятое в организации.
-
Домен logout captive-портала — служебный домен, который используется пользователями NGFW для окончания сессии (logout). Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то разрешение адресов (resolving) настроено автоматически. По умолчанию используется имя logout.captive, которое может быть изменено на другое доменное имя, принятое в организации.
-
Домен страницы блокировки — служебный домен, который используется для отображения страницы блокировки пользователям. Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то резолвинг настроен автоматически. По умолчанию используется имя block.captive, которое может быть изменено на другое доменное имя, принятое в организации.
-
FTP поверх HTTP — включение или отключение модуля, позволяющего получать доступ к содержимому FTP-серверов из пользовательского браузера.
Требуется явное указание прокси-сервера для протокола FTP в браузере пользователя.
Администратор может ограничивать доступ к ресурсам FTP с помощь правил контентной фильтрации (только по условиям Пользователи и URL).
-
FTP поверх HTTP домен — служебный домен, который используется для предоставления пользователям сервиса FTP поверх HTTP. Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то резолвинг настроен автоматически. По умолчанию используется имя ftpclient.captive, которое может быть изменено на другое доменное имя, принятое в организации.
-
Зона для инспектируемых туннелей — включение/выключение модуля инспектирования туннелей и указание зоны для их инспектирования.
-
Пароль агентов терминального сервиса — настройка пароля для подключения агентов авторизации терминальных серверов.
-
Настройка LLDP — настройка использования протокола канального уровня Link Layer Discovery Protocol (LLDP), который позволяет сетевому оборудованию, работающему в локальной сети, оповещать устройства о своём существовании, передавать им свои характеристики, а также получать от них аналогичную информацию. При настройке необходимо задать значения:
-
Transmit delay — задержка передачи, указывается время ожидания устройства перед отправкой объявлений соседям после изменения TLV в протоколе LLDP или состояния локальной системы, например, изменение имени хоста или адреса управления. Может принимать значения от 1 до 3600; задаётся в секундах.
-
Transmit hold — значение мультипликатора удержания; произведение значений transmit delay и transmit hold определяет время жизни (TTL) пакетов LLDP. Может принимать значения от 1 до 100.
|
Настройка кэширования HTTP
|
Настройка кэша прокси-сервера:
-
Включен/Выключен — включение или отключение кэширования.
-
Исключения кэширования — список URL, которые не будут кэшироваться.
-
Максимальный размер объекта, Мбайт — объекты с размером более, чем указано в данной настройке, не будут кэшироваться. Рекомендуется оставить значение по умолчанию — 1 Мбайт.
-
Размер RAM-кэша, Мбайт — размер оперативной памяти, отведенный под кэширование. Не рекомендуется ставить более 20% от объема оперативной памяти системы.
|
Log Analyzer
|
Настройки модуля LogAn:
-
Локальный сервер/Внешний сервер. Выберите внешний сервер, если у вас есть внешний сервер LogAn, в противном случае выберите локальный сервер.
-
Состояние — показывает текущее состояние сервиса статистики.
Важно! При указании внешнего LogAn обработка и экспорт журналов, создание отчётов и обработка других статистических данных производятся сервером LogAn.
|
Web-портал
|
Настройки для предоставления доступа к внутренним ресурсам компании с помощью веб-портала (SSL VPN). Подробное описание данных настроек смотрите в главе Веб-портал.
|
Настройка PCAP
|
Настройка записи трафика при срабатывании сигнатур системы обнаружения вторжений. Настройка захвата пакетов:
Важно! Большой размер PCAP может вести к значительному замедлению обработки данных.
|
Учет изменений
|
При включении данной опции и создания Типов изменений любое изменение в конфигурацию, вносимое администратором через веб-консоль, будет требовать указание типа изменения и описания вносимого изменения. В качестве типов изменения могут быть, например, указаны:
Количество типов изменений не ограничено.
|
Агент UserGate Management Center
|
Настройки для подключения устройства к центральной консоли управления (UGMC), позволяющей управлять парком устройств UserGate из одной точки; для подключения к серверу UGMC используются порты TCP 2022 и TCP 9712.
-
Включен/Выключен — включение или отключение управления с помощью UGMC.
-
Адрес UserGate Management Center — адрес сервера в формате IPv4-адреса или FQDN (возможно использование IDN-адреса).
-
Код устройства — токен, требуемый для подключения к UGMC.
UGMC может использоваться как источник обновления ПО и сигнатур.
|
Центр обновлений
|
Настройки для управления скачиванием обновлений программного обеспечения UserGate (UGOS) и системных библиотек, предоставляемых по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, типов контента и другие).
Обновления ПО — настройка канала обновлений (стабильные, бета), проверки наличия новых обновлений UGOS и скачивание оффлайн-обновлений.
Обновления библиотек — проверка наличия обновлений библиотек, скачивание обновлений и настройка расписания автоматической проверки и скачивания библиотек.
Проверить наличие обновлений библиотек и скачать последние обновления можно по ссылке Проверить обновления.
Настроить автоматическое обновление библиотек можно по ссылке Настроить.
Важно! Начиная с релиза UGOS 7.1.2 после активации лицензии автоматически будет обновляться следующий набор библиотек:
Список автоматически обновляемых библиотек может быть изменен администратором в настройках расписания автоматических обновлений.
Для каждой библиотеки можно настроить расписание автоматической проверки и скачивания обновлений. При задании расписания возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа.
При установке флажка Единое расписание для всех обновлений расписание текущей библиотеки будет применено ко всем библиотекам.
ПримечаниеВ целях уменьшения нагрузки на систему рекомендуется устанавливать автоматическое обновление только для используемых библиотек.
|
Вышестоящий прокси
|
Настройки параметров вышестоящего прокси-сервера для перенаправления пользовательского трафика. В качестве параметров указывается тип вышестоящего прокси-сервера (HTTP(S), SOCKS5), IP-адрес и порт вышестоящего прокси-сервера, логин и пароль при необходимости для аутентификации на вышестоящем прокси-сервере.
|