Планирование внедрения UGMC

Планирование внедрения UGMC (Описание)

Развертывание UGMC на предприятии требует тщательного планирования. От того, насколько качественно продумана архитектура шаблонов и групп шаблонов, зависит простота и гибкость применения политик управления на устройства UserGate. UGMC позволяет эффективно применять общие политики, группируя их по географическому, функциональному или смешанному принципам.

При планировании архитектуры рекомендуется:

Избегать конфликта настроек при добавлении шаблонов в группы шаблонов. Наличие конфликтов всегда усложняет управление конечными устройствами. Это основополагающий принцип, из которого вытекают следующие рекомендации.
Разделять различные группы настроек в разные шаблоны, например, общие настройки управляемых устройств — в одном, политики контентной фильтрации — в другом, политики межсетевого экранирования — в третьем, политики СОВ — в четвертом и так далее. Разнесение блоков настроек по разным шаблонам позволит избежать конфликта настроек и сделает централизованное управление проще.
Создавать глобальные настройки в одних шаблонах, а необходимые для некоторых устройств специфические настройки в других. Например, создать шаблон с правилами контентной фильтрации, применяемый для всех управляемых устройств, и еще один шаблон с правилами контентной фильтрации, применяемый только для группы устройств. Варьируя положение этих двух шаблонов в группах устройств, администратор может выстроить правильный порядок результирующих правил на конечных устройствах. Данная рекомендация допускает контролируемое количество конфликтных настроек.
Помнить про полномочия локальных администраторов. Если предполагается наличие локальных администраторов, то их полномочия будут ограничены настройками тех параметров, которые не заданы через шаблоны UGMC, а правила, созданные локальными администраторами, всегда помещаются между пре- и пост- правилами, применяемыми из UGMC.

Рассмотрим несколько типичных сценариев внедрения UGMC на примере использования UGMC для управления МЭ UserGate.

Один шаблон и одна группа шаблонов на каждое управляемое устройство

Самый простой вариант развертывания UGMC. К его преимуществам следует отнести простоту и прозрачность настроек, к недостаткам — отсутствие централизованного применения политик — для каждого из устройств придется настраивать свою собственную политику. Настройки сетевых подключений могут производиться как через шаблоны UGMC, так и локальным администратором.

Рекомендуется для простых внедрений с небольшим количеством МЭ UserGate. Пример такой настройки представлен на рисунке ниже.

Набор шаблонов с настройками каждого модуля. Специфичные настройки некоторых модулей для определенной группы управляемых устройств. Сеть настраивается локально

Настройки разбиты по шаблонам, каждый из которых отвечает за настройки специфического модуля, что позволяет избежать конфликта настроек. Суммарно все шаблоны формируют центрально управляемую политику, применяемую ко всем управляемым устройствам в компании. Для специфических управляемых устройств UG, которым необходима специальная политика, добавляются отдельные шаблоны. Сетевые интерфейсы настраиваются локальными администраторами.

Рекомендуется для большинства предприятий. Пример такой настройки представлен на рисунке ниже.

В данном примере шаблоны содержат следующие настройки:

Шаблон General-Settings — общие для всех настройки (time zone, уровень журналирования, сервера DNS, и т.п.);
Шаблон General-IDPS — общие для всех политики системы обнаружения вторжений;
Шаблон General-CF — общие для всех политики контентной фильтрации;
Шаблон General-FW — общие для всех политики межсетевого экранирования;
Шаблон Retail-CF — специфичные для ритейловых подразделений политики контентной фильтрации.

Набор шаблонов с настройками каждого модуля. Специфичные настройки некоторых модулей для определенной группы управляемых устройств UG. Сеть настраивается через UGMC

Аналогично предыдущему варианту, но с дополнительным шаблоном сетевых настроек для каждого из МЭ UserGate.

Рекомендуется для большинства предприятий, где необходима централизованная настройка сетевых интерфейсов. Пример такой настройки представлен на рисунке ниже.

В данном примере шаблоны содержат следующие настройки:

Шаблон General-NET — общие для всех настройки сетевых портов;
Шаблон General-CF — общие для всех политики контентной фильтрации;
Шаблон General-FW — общие для всех политики межсетевого экранирования;
Шаблон Retail-CF — специфичные для ритейловых подразделений политики контентной фильтрации;
Шаблон Novosibirsk-NET — специфичные для Новосибирского подразделения настройки сетевых портов;
Шаблон Moscow-NET — специфичные для Московского подразделения настройки сетевых портов;
Шаблон Moscow-Retail-NET — специфичные для Московского ритейл подразделения настройки сетевых портов.

Примеры шаблонов устройств

UserGate Management Center поставляется с созданной по умолчанию областью (Example realm), которая содержит в себе шаблоны NGFW.

ПримечаниеОбласть и представленные в ней шаблоны созданы исключительно для удобства пользователей. Элементы могут быть использованы или удалены за ненадобностью.

Для входа в область Example realm используйте созданный по умолчанию профиль администратора области с логином/паролем – ex_admin/Example.

В области представлены следующие шаблоны NGFW:

example_content_template: примеры настройки правил контентной фильтрации;
example_firewall_template: примеры настройки правил межсетевого экранирования;
example_settings: общие настройки UserGate (часовой пояс, язык интерфейса, настройки времени сервера);
UserGate Libraries template: набор зон и элементов библиотек: сервисы, календари, полосы пропускания, шаблоны страниц, категории URL, профили SSL.

ПримечаниеВ случае удаления шаблона UserGate Libraries template все элементы, добавленные UserGate по умолчанию, станут недоступными для использования и будут удалены. Рекомендуется не удалять данный шаблон и при настройке политик, связанных с наборами этого шаблона, использовать сам шаблон или его копию.