UserGate NGFW поддерживает интерфейс командной строки, CLI (Command Line Interface). С помощью CLI администратор может выполнять команды диагностики и мониторинга, производить настройку устройства, а также перезагружать или выключать устройство.

CLI полезно использовать для диагностики сетевых проблем, или в случае, когда доступ к веб-консоли утерян, например некорректно указан IP-адрес интерфейса или ошибочно установлены параметры контроля доступа для зоны, запрещающие подключение к веб-интерфейсу.

Подключение к интерфейсу командной строки

К интерфейсу командной строки можно подключиться с помощью стандартных портов для монитора и клавиатуры (при наличии таких портов на оборудовании NGFW), с помощью эмулятора терминала через консольный порт, или с помощью протокола SSH по сети.

Для подключения к CLI с помощью монитора и клавиатуры:

1. Подключите монитор к разъему VGA (HDMI), клавиатуру к разъему USB.

2. Войдите в CLI, используя имя и пароль пользователя с правами «Full administrator» (по умолчанию — Admin).

Для подключения к CLI через консольный порт:

1. Подключите компьютер к NGFW с помощью кабеля для консольного порта.

2. Запустите программу-эмулятор терминала, например Putty для ОС Windows или minicom для ОС Linux. Установите подключение через последовательный порт, указав параметры подключения: 115200 8 n 1.

3. Войдите в CLI, используя имя и пароль пользователя с правами «Full administrator» (по умолчанию — Admin).

Для подключения к CLI по сети с помощью протокола SSH:

1. Разрешите доступ для протокола CLI по SSH в настройках зоны, к которой вы собираетесь подключаться для управления с помощью CLI (доступ по порту TCP 2200). Подробнее о настройках зоны в CLI — в разделе «Зоны».

2. Запустите на компьютере SSH-терминал, например SSH для ОС Linux или Putty для ОС Windows. Укажите IP-адрес NGFW, порт для подключения (2200), имя пользователя с правами «Full administrator» (по умолчанию — Admin). Пример команды подключения для ОС Linux: ssh Admin@<IP_NGFW> -p 2200

3. Войдите в CLI, используя пароль пользователя, указанного на предыдущем шаге. 

В версии 7.4.0 и выше для подключения к CLI по SSH поддерживаются следующие алгоритмы:

• Kex: diffie-hellman-group-exchange-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, diffie-hellman-group14-sha256.

• Public key: ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521, rsa-sha2-256, rsa-sha2-512, ssh-rsa.

• Ciphers: aes128-ctr, aes192-ctr, aes256-ctr.

• MAC: hmac-sha2-512-etm@openssh.com, hmac-sha2-256-etm@openssh.com, hmac-sha2-512, hmac-sha2-256.  

Режимы работы интерфейса командной строки

CLI имеет два режима работы — режим диагностики и мониторинга, и режим конфигурации. После успешной авторизации в CLI вы попадаете в режим диагностики и мониторинга.

В режиме диагностики и мониторинга доступны команды:

• проверки доступности сетевых ресурсов;

• просмотра статистики и информации об интерфейсах;

• просмотра информации о записях ARP;

• отслеживания пакетов по установленным правилам;

• мониторинга трафика;

• просмотра информации о маршрутах;

• мониторинга состояния кластера;

• мониторинга заблокированных СОВ IP-адресов;

• отображения системной информации;

• диагностики работы протоколов динамической маршрутизации;

• просмотра информации об авторизованных пользователях.

Приглашение командной строки в режиме диагностики и мониторинга имеет следующий вид:

Admin@nodename> 

Настройка устройства производится в режиме конфигурации. 

Для перехода в режим конфигурации используйте команду:

Admin@nodename> configure

После перехода в режим конфигурации приглашение командной строки будет выглядеть следующим образом:

Admin@nodename#

Горячие клавиши

Для просмотра доступных команд, возможных параметров команды, или автодополнения ввода команды используйте клавишу «Tab».

 В подсказке могут использоваться следующие вспомогательные символы:

«*» — обязательное поле в командах create и ряде других команд;

«+» — необязательное или вариативное поле;

«>» — вложенное поле, после его введения предыдущий список полей становится недоступным, появляется новый список полей, которые можно ввести.

Например:

Admin@nodename# set network virtual-router default 
+ interfaces           List of network interfaces attached to this virtual router
> routes               List of static network routes

Для отмены ввода текущей команды используйте сочетание «Ctrl + C», для просмотра истории команд — «↑» или «↓».

Структура команд

Все команды интерфейса командной строки имеют следующую структуру:

<action> <level> <filter> <configuration_info>

Где:

<action> — действие, которое необходимо выполнить;

<level> — уровень конфигурации;

<filter> — идентификатор объекта, к которому происходит обращение;

 <configuration_info> — значение параметров, которые необходимо применить к объекту <filter>.

CLI поддерживает ввод команды в несколько строк (многострочный ввод). Для перехода на новую строку необходимо добавить «\» в конце строки. Начиная со второй строки ввод «\» необязателен. Чтобы завершить ввод необходимо ввести одну пустую строку:

Admin@nodename# set users user example \
... name username1
... enabled on
... groups [ "Default Group" ]
...
Admin@nodename#