Модель лицензирования решений UserGate включает два основных компонента:

1. Базовая лицензия (обязательная) — обеспечивает основные функциональные возможности устройства.

2. Дополнительные модули (опциональные) — позволяют активировать расширенные функции.

Базовая лицензия определяется параметрами производительности:

• для физических устройств — зависит от типа аппаратной платформы;

• для виртуальных образов — определяется количеством поддерживаемых ядер виртуальной машины. 

Базовая лицензия является бессрочной (без обновлений).

Дополнительные модули можно активировать выборочно. 

Модули включают регулярные обновления:

• программного обеспечения;

• встроенных библиотек и баз данных;

• сигнатур и аналитических моделей;

• экспертных правил и сервисов.

Способы активации лицензий на устройстве:

• Онлайн-активация (требуется подключение к интернету).

• Офлайн-активация (через сервис офлайн-активации ПИН-кодов).

Подробнее об особенностях лицензирования решений:

Задача

Что отображает список, открывающийся нажатием кнопки Показать в Дашборд? Как узнать количество занятых/свободных лицензий?

Решение

Кнопка Показать в Дашборд отображает список IP-адресов, занимающих лицензию. В этом списке могут присутствовать внешние IP-адреса, если через UserGate NGFW проходит трафик с этих адресов, за исключением устройств, чей трафик проходит через UserGate с использованием правил публикации DNAT, Reverse-прокси, веб-портала, защиты почтового трафика.

UserGate считает уникальные IP-адреса, трафик с которых приходит на интерфейсы UserGate; освобождение лицензии происходит по факту прекращения трафика с IP-адреса, который уже был учтён как "получивший" или "израсходовавший" лицензию. Таймаут, в течение которого с уникального IP-адреса не должно приходить ни одного TCP/IP пакета, - 1 минута.

Лицензии расходуются не только на подключения к NGFW, но и на любые исходящие соединения (например, соединение почтовой программой к внешнему почтовому серверу) и подключения неинтерактивных пользователей (например антивируса, службы обновления ОС и т.д.).

Чтобы узнать количество свободных лицензий необходимо от общего количества лицензируемых устройств отнять количество устройств, уже занимающих лицензию.

Задача

При попытке активации лицензии возникает ошибка: Превышен таймаут (между фронтендом и xml-rpc). Проверьте сетевые настройки (IP, DNS, шлюз).

Решение

Данная ошибка обычно возникает при недоступности одного из необходимых для обновления и лицензирования серверов. Необходимо обеспечить доступ до следующих серверов:

reg2.entensys.com
static.entensys.com
direct.entensys.com
urlf.entensys.com

Также необходимо проверить настройки DNS сервера на устройстве, устройство должно быть в состоянии разрешать вышеуказанные имена.

Скорее всего вам выдали лицензию без поддержки  кластеризации. Как активировать лицензию в кластере смотрите здесь.

Если на одном из узлов кластера отсутствует лицензия, выполните следующее:

1. Проверьте, что в вашу лицензию включен модуль Cluster, разрешающий работу устройств UserGate в режиме кластера конфигурации.

2. Убедитесь, что лицензия активирована на первом узле кластера (мастер-узле).

3. Активируйте лицензию на дополнительном узле. Для этого в веб-интерфейсе дополнительного узла кластера конфигурации на странице Дашборды в виджете Лицензия нажмите Проверить лицензию.

Если для подключения к интернету на кластере настроен виртуальный IP-адрес, для активации лицензии выполните следующее:

1. Активируйте лицензию на мастер-узле кластера.

2. Назначьте дополнительный узел мастер-узлом, чтобы виртуальный IP-адрес был присвоен дополнительному узлу.

3. Активируйте лицензию на временном мастер-узле. Для этого в его веб-интерфейсе на странице Дашборды в виджете Лицензия нажмите Проверить лицензию.

4. Верните роль мастер-узла первому узлу.

Если к интернету посредством кабеля подключен только мастер-узел, для активации лицензии выполните следующее:

1. На мастер-узле и дополнительном узле настройте пару интерфейсов и соедините их кабелем.

2. На дополнительном узле укажите первый узел в качестве шлюза по умолчанию.

3. Создайте правила межсетевого экрана и трансляции адресов, разрешающие передачу трафика из интернета.

4. Активируйте лицензию на дополнительном узле. Для этого в веб-интерфейсе дополнительного узла кластера конфигурации на странице Дашборды в виджете Лицензия нажмите Проверить лицензию.

Необходимо убедиться, что настройки сети на устройстве верны, т.е. проверить верно ли указан ip - адрес устройства, маска подсети, шлюз по умолчанию и DNS - сервер. При ошибочных настройках в любом из этих компонентов будут неполадки при работе с сетью и невозможно будет активировать лицензию, то есть для активации лицензии необходим доступ до сервера лицензий UserGate - reg2.entensys.com.

Подробнее о настройке сети можно прочитать в документации: UserGate NGFW, UserGate MC, UserGate LogAn

Обратитесь на кафедру информационной безопасности вашего учебного заведения за доступом к установленным виртуальным машинам с ПО UserGate.

Если ваш вуз еще не сотрудничает с нашей компанией, то вам нужно проделать следующие шаги:

1. Зарегистрируйтесь, указав актуальный адрес электронной почты в домене учебного заведения, на официальном сайте компании, заполнив форму регистрации.
2. Подтвердите свой электронный адрес, пройдя по ссылке из электронного письма. Если письмо долго не приходит, проверьте папку с нежелательной почтой.
3. Напишите письмо на academy@usergate.com с описанием проекта и указанием адреса электронной почты, использованного при регистрации, чтобы завершить процесс активации пользователя, получить доступ к дистрибутивам и облегчить подбор параметров лицензии.

Офлайн-активация лицензий необходима для устройств UserGate, находящихся в изолированной сети без доступа к интернету.

Процесс лицензирования включает следующие этапы:

1. Генерация запроса — создание на лицензируемом устройстве файла запроса на офлайн-активацию.

2. Активация запроса — обработка сгенерированного файла запроса с помощью сервиса офлайн-активации ПИН-кодов.

3. Применение лицензии — загрузка активированного файла обратно на лицензируемое устройство.

Генерация запроса

Чтобы сгенерировать файл запроса на офлайн-активацию лицензии, зайдите с помощью веб-браузера на лицензируемое устройство по следующему адресу:

• https://IP-address:8001?features=offline-reg — для NGFW, WAF, DCFW;

• https://IP-address:8010?features=offline-reg — для MC, LogAn, SIEM.

Где IP-address — это IP-адрес лицензируемого устройства.

В веб-консоли устройства перейдите на вкладку Дашборд. 

В виджете Лицензия нажмите на строку Нет лицензии.

В окне активации продукта нажмите на строку Начать активацию в автономном режиме:

Введите ПИН-код устройства а нажмите Далее:

Скачайте сгенерированный файл запроса на офлайн-активацию:

Активация запроса

С компьютера, имеющего доступ в интернет, обратитесь в сервис офлайн-активации ПИН-кодов. Для входа в сервис потребуется авторизация в Едином центре авторизации.

На странице сервиса офлайн-активации нажмите Выбрать и добавьте файл с запросом на офлайн-активацию, полученный с лицензируемого устройства:

Выберите версию ПО активируемого устройства и нажмите Обработать:

Подтвердите операцию активации:

В случае успешной активации файла отобразится статус: «Успешно активирован». Скачайте активированный файл, нажав на значок со стрелкой в столбце Действия:

Если активация не была успешной, отобразится статус: «Ошибка активации».

При нажатии на статус отобразится описание возможной причины ошибки.

Применение лицензии

Загрузите активированный файл на лицензируемое устройство. Для этого:

1. В виджете Лицензия на вкладке Дашборд лицензируемого устройства откройте окно офлайн-активации.

2. Выберите опцию Завершить активацию в автономном режиме:

3. В открывшемся окне укажите активированный файл, полученный в сервисе офлайн-активации, и нажмите Дальше:

Процесс лицензирования завершен.