Настройка устройства

Управление сертификатами

UserGate NGFW использует защищенный протокол HTTPS для управления устройством, может перехватывать и расшифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также производить авторизацию администраторов в веб-консоли на основе их сертификатов.

Для выполнения этих функций NGFW использует различные типы сертификатов.

Сертификат	Описание
SSL веб-консоли	Используется для создания безопасного HTTPS-подключения администратора к веб-консоли NGFW
SSL captive-портала	Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации captive-портала, отображения страницы блокировки и страницы Logout captive-портала, для работы прокси-сервера FTP. Этот сертификат должен быть выпущен со следующими параметрами: `Subject name` — значение, установленное для домена Домен Auth captive-портала в разделе Настройки ➜ UserGate ➜ Настройки ➜ Модули. `Subject Alternative names` — необходимо указать все домены, для которых используется данный сертификат и которые заданы на странице Настройки ➜ UserGate ➜ Настройки: Домен Auth сaptive-портала; Домен Logout сaptive-портала; Домен страницы блокировки; FTP поверх HTTP; Адрес веб-портала. По умолчанию используется сертификат, подписанный с помощью сертификата SSL-инспектирования и выпущенный для домена auth.captive, со следующими параметрами: `Subject name = auth.captive` `Sunject alternative names = auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive` Если администратор не загрузил собственный сертификат для обслуживания этой роли, UserGate NGFW в автоматическом режиме перевыпускает такой сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive). Внимание!Если администратор использует отдельный сертификат для домена captive-портала, необходимо в сертификате в расширении `Subject Alternative name` добавить не только свой домен Auth captive-портала, но также и фиксированный домен cert.captive. Если cert.captive не добавить, при аутентификации через сертификат в браузере будет выдаваться ошибка безопасности
SSL-инспектирование	Сертификат класса удостоверяющего центра. Используется для генерации SSL-сертификатов для интернет-узлов, для которых производится перехват трафика HTTPS, SMTPS, POP3S. Например, рассмотрим перехват HTTPS-трафика сайта yahoo.com. Оригинальный сертификат выглядит следующим образом: `Subject name = yahoo.com` `Issuer name = VeriSign Class 3 Secure Server CA — G3`, Сертификат подменяется на: `Subject name = yahoo.com` `Issuer name = <компания, указанная в сертификате удостоверяющего центра, заведенного в UserGate NGFW>`. Этот сертификат также используется для создания сертификата по умолчанию для роли SSL captive-портала
SSL-инспектирование (промежуточный)	Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата SSL-инспектирования. Для корректной работы необходим только открытый ключ сертификата
SSL-инспектирование (корневой)	Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата SSL-инспектирования. Для корректной работы необходим только открытый ключ сертификата
Пользовательский сертификат	Сертификат, который назначается пользователю UserGate NGFW. Пользователь может быть как локальным, так и использующим LDAP-аутентификацию. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси
УЦ для авторизации в веб-консоли	Сертификат удостоверяющего центра для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа
SAML server	Используется для работы UserGate NGFW с сервером SSO SAML IDP. Подробнее о настройке работы UserGate NGFW с сервером авторизации SAML IDP — в соответствующем разделе руководства
Веб-портал	Сертификат, используемый для веб-портала. Если сертификат не указан явно, UserGate NGFW использует сертификат SSL captive-портала, выпущенный сертификатом SSL-инспектирования. Подробнее о настройке веб-портала — в соответствующем разделе руководства

Сертификатов для SSL веб-консоли, SSL captive-портала и SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения задач. Сертификатов типа УЦ для авторизации в веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.

Создание сертификата

Чтобы создать новый сертификат:

В разделе Настройки ➜ UserGate ➜ Сертификаты нажмите Создать и укажите информацию о сертификате.

ПримечаниеВ поле Common name указывается имя сертификата. Рекомендуется использовать только символы латинского алфавита для обеспечения совместимости с большинством браузеров.

Укажите роль сертификата в UserGate NGFW: выделите необходимый сертификат в списке сертификатов, нажмите Редактировать и в поле Используется выберите тип сертификата. В случае если вы выбрали тип SSL веб-консоли, UserGate NGFW перезагрузит сервис веб-консоли и предложит подключиться уже с использованием нового сертификата. Сертификат SSL-инспектирования начинает работать сразу после того, как его выбрали. Подробнее об инспектировании HTTPS — в разделе «Инспектирование SSL».

Экспорт и импорт сертификатов

UserGate NGFW позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например сертификаты, выписанные доверенным удостоверяющим центром вашей организации.

Чтобы экспортировать сертификат:

В разделе Настройки ➜ UserGate ➜ Сертификаты выделите нужный сертификат в списке и нажмите Экспорт.
Выберите тип сертификата для экспорта:

Экспорт сертификата — экспортируются данные сертификата в DER-формате без экспортирования закрытого ключа сертификата. Используйте файл, полученный в результате экспорта сертификата для SSL-инспектирования, для его установки в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом — в приложении «Установка сертификата локального удостоверяющего центра».
Экспорт CSR — экспортируется CSR сертификата, например для его подписи удостоверяющим центром.

ПримечаниеРекомендуется сохранять сертификат, чтобы впоследствии иметь возможность его восстановить.

ПримечаниеВ целях безопасности UserGate не разрешает экспорт закрытых ключей сертификатов.

ПримечаниеВы можете скачать для установки сертификат SSL-инспектирования по ссылке http://usergate_ip:8002/cps/ca, где usergate_ip — IP-адрес вашего UserGate NGFW.

Чтобы импортировать сертификат:

В разделе Настройки ➜ UserGate ➜ Сертификаты нажмите Импорт.
Заполните поля, указав необходимую информацию о сертификате.

Использование корпоративного УЦ для создания сертификата SSL-инспектирования

Если в компании уже существует внутренний УЦ или цепочка удостоверяющих центров, в качестве сертификата для SSL-инспектирования можно указать сертификат, созданный внутренним УЦ. В случае если внутренний УЦ является доверенным для всех пользователей компании, перехват SSL будет происходить незаметно, пользователи не будут получать предупреждения о подмене сертификата.

Рассмотрим более подробно процедуру настройки UserGate NGFW. Допустим, что в организации используется внутренний УЦ на базе Microsoft Enterprise CA, интегрированный в Active Directory. Структура УЦ следующая.

Необходимо выписать с помощью Sub CA2 сертификат для UserGate NGFW и настроить его в качестве сертификата для SSL-инспектирования. Также необходимо выписать сертификат UserGate SSL decrypt в качестве удостоверяющего центра.

В качестве сертификата для SSL-инспектирования могут быть использованы только те импортированные сертификаты, которые соответствуют требованиям ниже:

Сертификат относится к классу удостоверяющего центра (CA). В расширении X509v3 Basic Constraints (RFC 5280) сертификата должен быть атрибут CA:TRUE. В разделе Настройки ➜ UserGate ➜ Сертификаты консоли администратора такие сертификаты помечаются значком Файл сертификата УЦ слева от названия сертификата.
Ограничение использования сертификата не установлено или в его назначении в явном виде указаны атрибуты Digital signature и Certificate signing.
В сертификате не использованы никакие атрибуты расширения X509v3 Key Usage (RFC 5280). В столбце Назначение сертификата консоли администратора для такого сертификата будет указано Отсутствует.
Если в сертификате используется расширение X509v3 Key Usage, для SSL-инспектирования должны присутствовать атрибуты digitalSignature и keyCertSign. В столбце Назначение сертификата консоли администратора для такого сертификата будет указано Digital signature и Certificate signing.

Внимание!UserGate не поддерживает алгоритм подписи rsassaPss. Необходимо, чтобы в цепочке сертификатов, используемой для выписывания сертификата для SSL-инспектирования, не содержался этот алгоритм подписи.

Для выполнения этой задачи:

В разделе Настройки ➜ UserGate ➜ Сертификаты нажмите Новый CSR, заполните необходимые поля и создайте CSR.
Будут созданы закрытый ключ и файл запроса.
В списке сертификатов выделите CSR и с помощью кнопки Экспорт скачайте файл запроса.
В Microsoft CA создайте сертификат на основе полученного CSR-файла с помощью утилиты certreq (certreq.exe -submit -attrib "CertificateTemplate:SubCA" HTTPS_csr.pem) или с помощью веб-консоли Microsoft CA, указав в качестве шаблона «Подчиненный центр сертификации». Вы получите сертификат (открытый ключ), подписанный УЦ Sub CA2.
Скачайте созданный сертификат из веб-консоли Microsoft CA.
В UserGate NGFW на вкладе Сертификаты выберите созданный ранее CSR-файл и нажмите Редактировать. Загрузите файл сертификата и нажмите Сохранить.
На вкладе Сертификаты повторно выберите созданный ранее CSR-файл и нажмите Редактировать. В поле Используется укажите SSL-инспектирование и нажмите Сохранить.
В веб-консоли Microsoft CA выберите и скачайте сертификаты для УЦ Sub CA1 и Sub CA2.
На вкладе Сертификаты с помощью кнопки Импорт загрузите скачанные на предыдущем шаге сертификаты для Sub CA1 и Sub CA2.
На вкладе Сертификаты для каждого из этих сертификатов нажмите Редактировать, в поле Используется укажите SSL-инспектирование (промежуточный) и нажмите Сохранить.

Дополнительно вы также можете с помощью кнопки Импорт загрузить корневой сертификат организации в UserGate NGFW. После загрузки выберите сертификат, нажмите Редактировать, в поле Используется укажите SSL-инспектирование (корневой)

Работа с вышестоящими прокси-серверами

UserGate NGFW позволяет создавать каскадную иерархию прокси-серверов. В этой иерархии межсетевой экран выступает в роли явного прокси-сервера и перенаправляет входящий веб-трафик на другой (вышестоящий) прокси-сервер, создавая тем самым цепочку прокси-серверов.

С помощью каскадной иерархии вы можете управлять доступом пользователей к веб-ресурсам. Например, используя вышестоящий прокси-сервер, можно обойти региональные ограничения или получить доступ к веб-ресурсам, обращение к которым возможно только через определенные сети.

Также вы можете использовать вышестоящий прокси-сервер для получения лицензий и обновлений продукта. Это может понадобиться, например, если UserGate NGFW установлен в изолированной сети (без доступа в интернет).

Опционально на вышестоящем прокси-сервере вы можете настроить аутентификацию по логину и паролю. Кроме того, начиная с версии 7.4.0 и выше вы можете управлять доступом к отдельным веб-ресурсам с помощью правил вышестоящих прокси-серверов.

Использование вышестоящего прокси-сервера

Для перенаправления трафика. Входящий веб-трафик, отфильтрованный правилами UserGate NGFW, перенаправляется на вышестоящий прокси-сервер. В этом случае вышестоящим может быть прокси-сервер HTTP, HTTPS или SOCKS5. Процесс перенаправления трафика представлен на рисунке ниже.

При запросе клиентом внешнего ресурса устанавливаются две TCP-сессии: первая — между клиентом и UserGate NGFW, вторая — между UserGate NGFW и вышестоящим прокси-сервером. Адрес назначения трафика — это IP-адрес вышестоящего прокси-сервера, для межсетевого экрана трафик является транзитным. Если ранее на UserGate NGFW было настроено запрещающее правило по IP-адресам назначения, то оно не будет срабатывать.

Для получения лицензий и обновлений продукта. Вы можете настроить получение лицензий и обновлений продукта через вышестоящий прокси-сервер. В этом случае вышестоящим может быть прокси-сервер HTTP или HTTPS. Процесс получения лицензий и обновлений представлен на рисунке ниже.

При активации лицензии или установке обновлений UserGate NGFW обращается к серверу лицензирования или серверу обновления UserGate не напрямую, а через вышестоящий прокси-сервер. Для каждого обращения в журнале событий межсетевого экрана отображается IP-адрес и порт вышестоящего прокси-сервера, например proxy: https://192.0.2.1:1080.

Настройка прокси-сервера для перенаправления трафика

ПримечаниеВы можете настраивать вышестоящий прокси-сервер для перенаправления трафика как в веб-интерфейсе, так и в интерфейсе командной строки UserGate NGFW. Ниже приведены инструкции для веб-интерфейса продукта.

Чтобы настроить вышестоящий прокси-сервер для перенаправления трафика, необходимо:

Подключить прокси-сервер к UserGate NGFW.
Создать профиль вышестоящего прокси-сервера. С помощью профилей вы можете выбирать прокси-серверы, которые будут использоваться в качестве вышестоящего прокси-сервера, а также изменять параметры проверки их состояния. Это обеспечивает отказоустойчивое подключение вышестоящего прокси-сервера к UserGate NGFW.
Создать правило вышестоящего прокси-сервера. С помощью правил вы можете управлять доступом к выбранным веб-ресурсам. В качестве условий срабатывания правила можно выбрать зоны и адреса источника, пользователей и их группы, URL-категории и URL-списки.

ПримечаниеЕсли в UserGate NGFW версий 7.1–7.3.2 был настроен вышестоящий прокси-сервер, то при обновлении продукта до версии 7.4.0 и выше автоматически будут добавлены один прокси-сервер, один профиль, одно правило.

Чтобы подключить прокси-сервер к UserGate NGFW:

1. В разделе Настройки ➜ Вышестоящие прокси ➜ Серверы нажмите Добавить.

2. Укажите параметры подключения прокси-сервера.

ПримечаниеЕсли в качестве прокси-сервера вы подключаете UserGate NGFW, то вы можете выбрать только режим HTTP(S).

3. Нажмите Сохранить.

Подключенный прокси-сервер отобразится в списке серверов раздела. Напротив прокси-сервера отображается статус его подключения к UserGate NGFW. Доступные серверы помечаются значком зеленого цвета. Проверка подключения прокси-сервера выполняется автоматически каждые 30 секунд.

Чтобы создать профиль вышестоящего прокси-сервера:

1. В разделе Настройки ➜ Вышестоящие прокси ➜ Профили нажмите Добавить.

2. На вкладке Общие укажите название и описание профиля.

3. На вкладке Серверы вышестоящего прокси выберите прокси-серверы.

ПримечаниеЕсли выбрано несколько прокси-серверов, то в качестве вышестоящего прокси-сервера будет использоваться первый доступный сервер из списка.

4. На вкладке Проверка состояния укажите параметры проверки состояния вышестоящего прокси-сервера:

адрес веб-ресурса, к которому будет подключаться вышестоящий прокси-сервер;
метод HTTP-запроса, посредством которого выполняется подключение к веб-ресурсу;
интервал проверки;
время ожидания ответа.

5. Нажмите Сохранить.

Созданный профиль отобразится в списке профилей раздела.

Чтобы создать правило вышестоящего прокси-сервера:

1. В разделе Настройки ➜ Вышестоящие прокси ➜ Правила нажмите Добавить.

2. На вкладке Общие укажите параметры правила:

состояние;
название и описание;
действие при срабатывании правила: Напрямую — трафик будет направлен через шлюз по умолчанию, Через прокси — трафик будет направлен через вышестоящий прокси-сервер;
журналирование срабатываний правила;
местоположение в списке правил.

При выборе действия Через прокси укажите дополнительные параметры правила:

профиль вышестоящего прокси-сервера;
действие в случае, если недоступны прокси-серверы, указанные в профиле.

3. На вкладках Источник, Пользователи, Категории URL и URL укажите объекты, для которых будет срабатывать правило.

Вы можете выбирать объекты из списков или создавать новые по кнопке Создать и добавить новый объект. При установке флажка Инвертировать (соответствует логическому отрицанию) указанные объекты будут исключены из условий срабатывания правила.

4. На вкладке Время укажите расписание работы правила.

Вы можете выбирать календари из списка или создавать новые по кнопке Создать и добавить новый объект.

5. Нажмите Сохранить.

Созданное правило отобразится в списке правил раздела. Правила применяются поочередно в том порядке, в котором они указаны в списке. Срабатывает первое правило среди тех, в которых совпали все указанные условия. Для изменения порядка применения правил используйте кнопки Выше, Ниже, Наверх, Вниз или перетащите правила курсором.

Настройка прокси-сервера для получения лицензий и обновлений

Чтобы настроить получение лицензий и обновлений продукта через вышестоящий прокси-сервер:

1. В разделе Дашборды в виджете Лицензия нажмите Нет лицензии (при активации лицензии) или Зарегистрированная версия (при обновлении лицензии).

2. В окне активации продукта установите флажок Использовать прокси-сервер для активации и апдейтов и укажите параметры вышестоящего прокси-сервера.

3. Выполните активацию или обновление лицензии.

Кластеризация и отказоустойчивость

UserGate NGFW поддерживает следующие типы кластеров:

Кластер конфигурации. Узлы, объединенные в кластер конфигурации, поддерживают единые параметры фильтрации и обработки трафика в рамках кластера.
Кластер отказоустойчивости. До четырех узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме «активный — активный» или «активный — пассивный». Возможно собрать несколько кластеров отказоустойчивости.

Кластер конфигурации

Ряд параметров уникален для каждого из узлов кластера. К уникальным относятся параметры:

Log Analyzer,
диагностики,
интерфейсов,
шлюзов,
DHCP,
маршрутов,
OSPF,
BGP.

Чтобы создать кластер конфигурации:

1. Выполните первоначальную настройку на первом узле кластера.

2. Настройте на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера: в разделе Настройки ➜ Сеть ➜ Зоны создайте выделенную зону для репликации кластера или используйте существующую (Cluster). В параметрах зоны в блоке Контроль доступа разрешите сервисы Консоль администрирования и Кластер.

Внимание!Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например к интернету.

3. Укажите IP-адрес, который будет использоваться для связи с другими узлами кластера: в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер конфигурации выберите текущий узел кластера, нажмите Редактировать и укажите IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.

4. В блоке Кластер конфигурации нажмите Еще ➜ Сгенерировать секретный код и скопируйте полученный код в буфер обмена. Код необходим для одноразовой авторизации второго узла при его добавлении в кластер.

5. Подключитесь к веб-консоли второго узла кластера, выберите язык установки. Укажите интерфейс, который будет использован для подключения к первому узлу кластера, и назначьте ему IP-адрес. Оба узла кластера должны находиться в одной подсети. Например, интерфейсам eth2 обоих узлов могут быть назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.

Укажите IP-адрес первого узла, настроенный на шаге 3, вставьте секретный код и нажмите Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и все параметры первого кластера реплицируются на второй.

Состояние узлов кластера конфигурации можно определить по цветовой индикации напротив названия узла UserGate в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер конфигурации:

Зеленый: узел доступен.
Желтый: происходит синхронизация между узлами кластера конфигурации.
Красный: связь с узлом потеряна, узел недоступен.

6. В веб-консоли второго узла кластера в разделе Настройки ➜ Сеть ➜ Интерфейсы назначьте каждому интерфейсу корректную зону. Зоны и их параметры получены в результате репликации данных с первого узла кластера.

7. Настройте шлюзы, маршруты, параметры OSPF, BGP, индивидуальные для каждого из узлов.

ПримечаниеПри вводе дополнительного узла в кластер конфигурации в явном виде указываются параметры интерфейса и шлюза для подключения к первому узлу. Тип присвоения IP-адреса этого интерфейса будет статическим.

Кластер отказоустойчивости «активный — пассивный»

До четырех узлов кластера конфигурации можно объединить в отказоустойчивый кластер. Самих кластеров отказоустойчивости может быть несколько, например в кластер конфигурации могут быть добавлены узлы A, B, C и D, на основе которых будет создано два кластера отказоустойчивости — A-B и C-D.

Поддерживаются два режима кластера отказоустойчивости — «активный — активный» или «активный — пассивный». Состояние узлов кластера можно определить по цвету индикатора около названия узла NGFW в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластеры отказоустойчивости:

Нет цветового индикатора: узел кластера доступен
Желтый: кластер отказоустойчивости не запущен на узле.
Красный: нет связи с соседними узлами конфигурации.

Отсутствие индикатора напротив названия узла говорит о доступности узла кластера.

В режиме «активный — пассивный» один из межсетевых экранов выступает в роли мастер-узла, обрабатывающего транзитный трафик пользователей, а остальные — в качестве резервных, которые находятся в состоянии готовности начать обработку трафика. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

ПримечаниеРежим «активный — пассивный» поддерживает синхронизацию пользовательских сессий — это обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси-сервер, например трафик HTTP(S).

При переходе главной роли на резервный сервер на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

Резервный узел не получает подтверждения о том, что мастер-узел находится в сети (таймеры: Adver — 1 сек., MasterDown — 3 сек.), например если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (см. раздел «Настройка шлюзов») и ни через один из шлюзов нет доступа в интернет.
Если узел, указанный в свойствах проверки сети, недоступен на всех узлах кластера, то кластер отказоустойчивости будет отключен.
Сбой в работе ПО UserGate NGFW.

Отключение одного или нескольких сетевых интерфейсов, на которые назначены виртуальные IP-адреса, понижает приоритет узла, но не обязательно приводит к изменению его роли. Переход на резервный узел произойдет, если приоритет резервного узла окажется выше, чем приоритет мастер-узла. По умолчанию приоритет узла, назначенный мастер-узлу, равен 250, приоритет резервного узла — 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, который физически не подключен к сети. Соответственно, если на кластере отказоустойчивости, состоящем из двух узлов, один из интерфейсов на мастер-узле будет физически отключен от сети, резервный узел станет мастером (при условии, что на резервном узле все кластерные интерфейсы подключены к сети). В таком случае приоритет мастер-узла будет равен 248, приоритет резервного — 249). При восстановлении физического подключения на первоначальном мастер-узле этот узел снова станет мастером, поскольку его приоритет вернется в значение 250 (справедливо для случая, когда виртуальные адреса сконфигурированы на двух и более интерфейсах; если на одном, то роль мастер-узла не возвращается).

Отключение одного или нескольких кластерных сетевых интерфейсов на резервном узле понижает приоритет узла, тем не менее этот резервный узел может стать мастером при безусловном переходе роли или в случае, когда приоритет мастер-узла станет меньше, чем приоритет резервного узла.

ПримечаниеЕсли кластерные IP-адреса назначены VLAN-интерфейсам, отсутствие подключения на физическом интерфейсе будет трактоваться кластером отказоустойчивости как потеря соединения на всех VLAN-интерфейсах, созданных на этом физическом интерфейсе.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на резервный узел при переключении, UserGate NGFW посылается служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. Пакет GARP отсылается UserGate NGFW каждую минуту и при переходе роли мастера на резервный узел.

Ниже представлена пример сетевой диаграммы отказоустойчивого кластера в режиме «активный — пассивный». Интерфейсы настроены следующим образом:

Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).
Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации параметров.

Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий узел, который станет мастером, например на UG2.

Кластер отказоустойчивости в режиме «активный — пассивный»

Кластер отказоустойчивости «активный — активный»

В режиме «активный — активный» один из межсетевых экранов выступает в роли мастер-узла, распределяющего трафик на все остальные узлы кластера. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

Виртуальные IP-адреса всегда находятся на интерфейсах мастер-узла, поэтому мастер-узел получает ARP-запросы клиентов и отвечает на них, последовательно отдавая MAC-адреса всех узлов отказоустойчивого кластера, обеспечивая равномерное распределение трафика на все узлы кластера, учитывая при этом необходимость неразрывности пользовательских сессий.

ПримечаниеБалансировка трафика будет работать только в одном широковещательном домене. Например, если для клиентов VIP-адрес будет шлюзом по умолчанию, балансировка трафика будет работать, так как разным клиентам будут поочередно отдаваться разные MAC-адреса узлов. Но в случае если между UserGate NGFW и клиентами находится маршрутизатор, балансировка работать не будет, так как ARP-запрос на VIP-адрес отправит только сам маршрутизатор и ему вернется MAC-адрес только одного из узлов, через который он и отправит весь трафик.

ПримечаниеРежим «активный — активный» поддерживает синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси-сервер, например трафик HTTP(S).

При переходе мастер-роли на резервный узел на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

Резервный сервер не получает подтверждения о том, что мастер-узел находится в сети (таймеры: Adver — 1 сек., MasterDown — 3 сек.), например если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (см. раздел «Настройка шлюзов») и ни через один из шлюзов нет доступа в интернет.
Сбой в работе ПО UserGate NGFW.

Отключение одного или нескольких кластерных сетевых интерфейсов на резервном узле, понижает приоритет узла, а также исключает этот узел из балансировки трафика. Тем не менее этот резервный узел может стать мастером при безусловном переходе роли или в случае, когда приоритет мастер-узла станет меньше, чем приоритет резервного узла.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на резервный узел при переключении, UserGate NGFW посылается служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. В режиме «активный — активный» пакет GARP отсылается UserGate NGFW только при переходе роли мастер-узла на резервный узел.

Ниже представлен пример сетевой диаграммы отказоустойчивого кластера в режиме «активный — активный». Интерфейсы настроены следующим образом:

Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).
Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации параметров.

Кластер отказоустойчивости в режиме «активный — активный»

ПримечаниеДля корректной обработки трафика необходимо, чтобы обратный трафик от сервера к клиенту вернулся через тот же узел UserGate NGFW, через который он был инициирован от клиента, то есть чтобы сессия пользователя всегда проходила через один и тот же узел кластера. Самое простое решение этой задачи – использование NAT, ведущего из сети клиента в сеть сервера (NAT из зоны Trusted в зону Untrusted).

Чтобы создать кластер отказоустойчивости:

1. Создайте кластер конфигурации (см. инструкцию выше).

2. В разделе Настройки ➜ Сеть ➜ Зоны разрешите сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес (зоны Trusted и Untrusted на диаграммах выше).

3. Создайте кластер отказоустойчивости: в разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Кластер отказоустойчивости нажмите Добавить и укажите параметры кластера отказоустойчивости.

4. Укажите виртуальный IP-адрес для узлов auth.captive, logout.captive, block.captive, ftpclient.captive. Если вы хотите использовать авторизацию с помощью captive-портала, необходимо, чтобы системные имена узлов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, преобразовывались (resolve) в IP-адрес, назначенный в качестве кластерного виртуального адреса. Более детально эти параметры описаны в разделе «Общие настройки».

Ниже описаны параметры отказоустойчивого кластера:

Параметр	Описание
Включено	Включение и отключение кластера отказоустойчивости.
Название	Название кластера отказоустойчивости.
Описание	Описание кластера отказоустойчивости.
Режим кластера	Режим кластера отказоустойчивости: Актив-Актив — нагрузка распределяется на все узлы кластера. Актив-Пассив — нагрузка идет на мастер-узел и переключается на резервный узел в случае, если мастер-узел недоступен.
Синхронизировать сессии	Включает режим синхронизации пользовательских сессий на всех узлах, входящих в кластер отказоустойчивости. Делает переключение с одного устройства на другое удобным для пользователей, но добавляет существенную нагрузку на платформу UserGate NGFW. Синхронизация сессий актуальна только для режима режима кластера активный — пассивный.
Мультикаст идентификатор	В одном кластере конфигурации может быть создано несколько кластеров отказоустойчивости. Для синхронизации сессий используется мультикастовый адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор.
Идентификатор виртуального маршрутизатора (VRID)	Идентификатор виртуального маршрутизатора должен быть уникален для каждого VRRP-кластера в локальной сети. Если в сети нет сторонних кластеров VRRP, рекомендуется оставить значение по умолчанию.
Узлы	Выбираются узлы кластера конфигурации для их объединения в кластер отказоустойчивости. Здесь же можно назначить роль мастера одному из выбранных узлов.
Виртуальные IP-адреса	Назначаются виртуальные IP-адреса и задается их соответствие интерфейсам узлов кластера.
Синхронизация UDP/ICMP	Управление режимом синхронизации пользовательских сессий: Синхронизовать все сессии — включение и отключение режима синхронизации всех пользовательских сессий, в том числе сессий UDP/ICMP. В случае если этот параметр не активирован, а параметр Синхронизировать сессии на вкладке Общие активирован, синхронизироваться будут только TCP-сессии. Важно! Когда режим включен, синхронизация пользовательских сессий по умолчанию происходит через случайно выбранный сетевой интерфейс узла кластера. Чтобы настроить синхронизацию сессий только через интерфейс, принадлежащий зоне кластера, в параметрах кластера отказоустойчивости на вкладке «Виртуальные IP» необходимо создать виртуальный IP-адрес для кластерных интерфейсов. Исключенные из синхронизации IP — IP-адреса, с которыми не будут синхронизироваться пользовательские сессии.

Профили клиентских сертификатов

Профиль клиентского сертификата предназначен для проверки сертификатов, которые предоставляет клиент для аутентификации и получения доступа к приложению, сегменту сети или ресурсу. Проверка состоит из трех действий: получения имени пользователя из соответствующего атрибута в сертификате клиента, проверки иерархии доверия и подлинности сертификата.

В профиле указываются сертификаты УЦ, методы проверки актуальности пользовательских сертификатов, методы выбора имени пользователя для аутентификации.

При выборе режима аутентификации по сертификатам (PKI) указывается сконфигурированный ранее профиль клиентского сертификата, который в дальнейшем можно будет использовать в различных подсистемах UserGate NGFW, например на captive-портале, веб-портале, в VPN, reverse proxy.

Чтобы создать профиль клиентского сертификата:

В разделе Настройки ➜ UserGate ➜ Профили клиентских сертификатов нажмите Добавить и укажите значения следующих параметров.

Наименование	Описание
Название	Название профиля клиентских сертификатов
Описание	Описание профиля (необязательное для заполнения поле)
Получать имя пользователя из	Выбор атрибута сертификата, из которого межсетевой экран будет извлекать имя пользователя, используемое при аутентификации: Common-name — доменное имя или имя узла в поле Subject, для которого предназначен сертификат. Subject altname email — для определения имени пользователя используется адрес электронной почты пользователя, указанный в параметре с префиксом email в расширении SAN (Subject Alternative Name). Principal name — для определения имени пользователя используется параметр Universal Principal Name (UPN), содержащийся в поле otherName в расширении SAN. Если в полях расширения SAN сертификата указано несколько имен UPN или несколько адресов email, используется первое значение, указанное в сертификате
Сертификаты УЦ	Сертификаты корневых и промежуточных удостоверяющих центров, которые участвовали в выдаче сертификатов клиентов. Используются для проверки иерархии доверия к сертификату клиента. Сертификат клиента проверяется на подлинность для каждого сертификата УЦ из списка. Перебор списка идет сверху вниз
Проверка отозванных сертификатов	В списках отозванных сертификатов (CRL) содержатся сертификаты, которые были скомпрометированы либо срок действия которых истек. Такие сертификаты больше не могут использоваться для аутентификации. Возможно установить следующие значения параметра: Не проверять — доступ будет предоставляться вне зависимости от того, является ли сертификат отозванным. Вся цепочка — проверять все сертификаты в иерархии и требовать, чтобы они все были действительными. В профиль в разделе Сертификаты УЦ должны быть добавлены сертификаты корневого и всех промежуточных удостоверяющих центров, которые участвовали в выдаче сертификатов клиентов. Сертификат пользователя — проверять только сертификат клиента. В профиль в разделе Сертификаты УЦ должен быть добавлен сертификат удостоверяющего центра, которым подписан сертификат клиента. Считать валидным, если статус неизвестен — проверять сертификат и, если его статус не удалось определить по каким-то причинам (например, UG NGFW не смог получить CRL), считать сертификат действительным. При этом сертификат в результате проверки может получить статус invalid, если он найден в списке отозванных
Тайм-аут проверки	Дополнительный связанный параметр определяет интервал времени, по истечении которого UserGate NGFW перестает ожидать ответа о статусе сертификата от службы списков отозванных сертификатов. В этом случае сертификат считается подлинным, и при соблюдении прочих условий аутентификация по нему может быть выполнена

Общие настройки

В этом разделе описаны базовые параметры UserGate NGFW, настраиваемые в разделе Настройки ➜ UserGate ➜ Настройки.

Параметр	Описание
Часовой пояс	Часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т. п.
Язык интерфейса по умолчанию	Язык, который будет использоваться по умолчанию в консоли
Режим аутентификации веб-консоли	Возможны следующие способы аутентификации пользователя (администратора) при входе в веб-консоль управления: По имени и паролю. Администратор должен ввести имя и пароль для получения доступа к веб-консоли. По X.509-сертификату. Для аутентификации по сертификату необходимо иметь сертификат пользователя, подписанный сертификатом удостоверяющего центра веб-консоли и установленный в браузере. При включении этого режима аутентификация по имени и паролю отключается. Вернуть режим аутентификации по имени и паролю можно с помощью команд CLI. Профиль клиентского сертификата. Аутентификация посредством сертификатов (PKI) использует профиль пользовательского сертификата, это позволяет управлять сертификатами для обеспечения безопасности и подтверждения подлинности в сетевых соединениях
Профиль SSL для веб-консоли	Профиль SSL для построения защищенного канала доступа к веб-консоли. Подробнее о профилях SSL — в разделе «Профили SSL»
Профиль SSL для страниц блокировки/авторизации	Профиль SSL для построения защищенного канала для отображения страниц блокировки доступа к веб-ресурсам и страницы авторизации captive-портала. Подробнее о профилях SSL — в разделе «Профили SSL»
Таймер автоматического закрытия сессии (мин.)	Таймер автоматического закрытия сессии в случае отсутствия активности администратора в веб-консоли
Профиль SSL конечного устройства	Профиль SSL для построения защищенного канала общения UserGate NGFW и конечных устройств UserGate Client. Подробнее о профилях SSL смотрите — в разделе «Профили SSL»
Сертификат конечного устройства	Сертификат, который будет использоваться для построения защищенного канала связи между UserGate NGFW и конечными устройствами UserGate Client. Важно!Конечные устройства запоминают сертификат, поэтому при изменении необходимо распространить корневой сертификат удостоверяющего центра (Root CA) на подключенные конечные устройства; сертификат должен быть установлен в хранилище доверенных корневых центров сертификации локального компьютера
Настройка времени сервера	Настройка параметров установки точного времени. Использовать NTP — использовать серверы NTP из указанного списка для синхронизации времени. Основной сервер NTP — адрес основного сервера точного времени. Значение по умолчанию — `pool.ntp.org`. Запасной сервер NTP — адрес запасного сервера точного времени. Время на сервере — позволяет установить время на сервере. Время должно быть указано в часовом поясе UTC
Настройка кэширования HTTP	Вы можете настроить следующие параметры кэша прокси-сервера: Включен/Выключен — включение или отключение кэширования. Исключения кэширования — список URL, которые не будут кэшироваться. Максимальный размер объекта (МБ) — объекты с размером, превышающим указанный в этом параметре, не будут кэшироваться. Рекомендуется оставить значение по умолчанию — 1 МБ. Размер RAM-кэша (МБ) — размер оперативной памяти, отведенный под кэширование. Не рекомендуется использовать значение, превышающее 20% от объема оперативной памяти системы
Настройка PCAP	Настройка записи трафика при срабатывании сигнатур системы обнаружения вторжений. Настройка захвата пакетов: Без захвата; Один пакет; Предшествующие пакеты (от 4 до 30 пакетов); Предшествующие и последующие пакеты (предшествующие — от 4 до 30; последующие — от 2 до 15). Важно!Большой размер PCAP может привести к значительному замедлению обработки данных
Учет изменений	При включенном учете изменений и создании Типов изменений любое изменение в конфигурации, вносимое администратором через веб-консоль, будет требовать указания типа изменения и описания вносимого изменения. В качестве типов изменения могут быть, например, указаны: распоряжение; приказ; регламентные работы. Количество типов изменений не ограничено
Центр обновлений	Параметры для управления скачиванием обновлений программного обеспечения UserGate (UGOS) и системных библиотек, предоставляемых по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, типов контента и другие). Обновления ПО — настройка канала обновлений (стабильные, бета), проверки наличия новых обновлений UGOS и скачивание офлайн-обновлений. При установке обновления можно задать точку восстановления устройства. Если точка восстановления была создана, после успешного завершения обновления в стартовом меню устройства появится опция восстановления предыдущей версии ПО. Обновления библиотек — проверка наличия обновлений библиотек, скачивание обновлений и настройка расписания автоматической проверки и скачивания библиотек. Проверить наличие обновлений библиотек и скачать последние обновления можно по ссылке Проверить обновления. Настроить автоматическое обновление библиотек можно по ссылке Настроить. Начиная с версии 7.1.2 после активации лицензии автоматически будет обновляться следующий набор библиотек: Сигнатуры приложений L7; UserGate-анти-вирус; IP-список бот-сетей; Сигнатуры СОВ; URL-список фишинговых сайтов; UserGate URL filtering (URLF) — компактная и полная библиотеки; Блокировка рекламы; Доверенные УЦ. Список автоматически обновляемых библиотек может быть изменен администратором в настройках расписания автоматических обновлений. Для каждой библиотеки можно настроить расписание автоматической проверки и скачивания обновлений. Вы можете выбрать одно из предустановленных значений или указать время вручную в cron-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>. При ручном вводе также можно использовать следующие символы: Звездочка () — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час. Дефис (-) — для указания диапазона значений. Запятая (,) — в качестве разделителя значений. Косая черта (/) — для указания шага между значениями. При установке флажка Единое расписание для всех обновлений* расписание текущей библиотеки будет применено ко всем библиотекам. ПримечаниеВ целях уменьшения нагрузки на систему рекомендуется устанавливать автоматическое обновление только для используемых библиотек
Модули	Вы можете настроить следующие модули NGFW: HTTP(S)-прокси-порт — позволяет указать нестандартный (дополнительный) номер порта, который будет использоваться для подключения к встроенному прокси-серверу. По умолчанию используется порт TCP 8090; при изменении порт продолжает функционировать. Невозможно использовать следующие порты, поскольку они используются внутренними сервисами UserGate NGFW: 2200, 8001, 4369, 9000-9100. Домен Auth captive-портала — служебный домен, который используется NGFW при авторизации пользователей через captive-портал. Необходимо, чтобы пользователи могли преобразовывать указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то преобразование адресов (resolving) настроено автоматически. По умолчанию используется имя auth.captive, которое может быть изменено на другое доменное имя, принятое в организации. Домен Logout captive-портала — служебный домен, который используется пользователями NGFW для окончания сессии (logout). Необходимо, чтобы пользователи могли преобразовывать указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то преобразование настроено автоматически. По умолчанию используется имя logout.captive, которое может быть изменено на другое доменное имя, принятое в организации. Домен Cert captive-портала — служебный домен, который используется NGFW при авторизации пользователей через captive-портал с помощью сертификатов. Необходимо, чтобы пользователи могли преобразовывать указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то преобразование адресов настроено автоматически. По умолчанию используется имя cert.captive, которое может быть изменено на другое доменное имя, принятое в организации. Домен страницы блокировки — служебный домен, который используется для отображения страницы блокировки пользователям. Необходимо, чтобы пользователи могли преобразовывать указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес NGFW, то преобразование настроено автоматически. По умолчанию используется имя block.captive, которое может быть изменено на другое доменное имя, принятое в организации. FTP поверх HTTP — включение или отключение модуля, позволяющего получать доступ к содержимому FTP-серверов из пользовательского браузера. Требуется явное указание прокси-сервера для протокола FTP в браузере пользователя. Администратор может ограничивать доступ к ресурсам FTP с помощь правил контентной фильтрации (только по условиям Пользователи и URL). FTP поверх HTTP домен — служебный домен, который используется для предоставления пользователям сервиса FTP поверх HTTP. Необходимо, чтобы пользователи могли преобразовывать указанный здесь домен в IP-адрес интерфейса NGFW, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то преобразование настроено автоматически. По умолчанию используется имя `ftpclient.captive`, которое может быть изменено на другое доменное имя, принятое в организации. Зона для инспектируемых туннелей — включение/выключение модуля инспектирования туннелей и указание зоны для их инспектирования. Пароль агентов терминального сервиса — настройка пароля для подключения агентов авторизации терминальных серверов. Настройка LLDP — настройка использования протокола канального уровня Link Layer Discovery Protocol (LLDP), который позволяет сетевому оборудованию, работающему в локальной сети, оповещать устройства о своем существовании, передавать им свои характеристики, а также получать от них аналогичную информацию. При настройке необходимо задать значения: Transmit delay — задержка передачи. Указывается время ожидания устройства перед отправкой объявлений соседям после изменения TLV в протоколе LLDP или состояния локальной системы, например изменение имени узла или адреса управления. Может принимать значения от 1 до 3600, задается в секундах. Transmit hold — значение мультипликатора удержания. Произведение значений transmit delay и transmit hold определяет время жизни (TTL) пакетов LLDP. Может принимать значения от 1 до 100
Log Analyzer (начиная с версии 7.3.0 — Состояние базы данных журналов)	В этом блоке указана информация о сервере базы данных журналов. Сервер. Внешний сервер базы данных журналов — LogAn или локальный сервер. Версия сервера — версия ПО сервера базы данных журналов. Версия устройства — версия ПО самого устройства. Код устройства — уникальный код устройства для интеграции с внешним сервером Log Analyzer. ПримечаниеПри интеграции с внешним сервером LogAn обработка и экспорт журналов, создание отчетов и обработка других статистических данных производятся сервером LogAn
Веб-портал	Параметры для предоставления доступа к внутренним ресурсам компании с помощью веб-портала (SSL VPN). Подробное описание этих параметров — в разделе «Веб-портал»
Агент UserGate Management Center	Настройка подключения устройства к центральной консоли управления (UGMC), позволяющей управлять парком устройств UserGate из одной точки; для подключения к серверу UGMC используются порты TCP 2022 и TCP 9712. Среди параметров: Включен/Выключен — включение или отключение управления с помощью UGMC. Адрес UserGate Management Center — адрес сервера в формате IPv4-адреса или FQDN (возможно использование IDN-адреса). Код устройства — токен, требуемый для подключения к UGMC. UGMC может использоваться как источник обновления ПО и сигнатур. ПримечаниеПодключение UserGate Management Сenter к NGFW возможно только в том случае, если порт NGFW находится в виртуальном маршрутизаторе по умолчанию. Подробнее об этом — в разделе «Виртуальные маршрутизаторы»
Вышестоящий прокси (в версиях 7.1.x, 7.2.x, 7.3.x)	Настройки параметров вышестоящего прокси-сервера для перенаправления пользовательского трафика. В качестве параметров указывается тип вышестоящего прокси-сервера (HTTP(S), SOCKS5), IP-адрес и порт вышестоящего прокси-сервера, логин и пароль при необходимости для аутентификации на вышестоящем прокси-сервере

Управление доступом к интерфейсам администрирования

При первоначальной настройке UserGate NGFW по умолчанию создается локальная учетная запись суперадминистратора (Admin). Используя эту учетную запись, вы можете управлять доступом других администраторов к интерфейсам устройства: веб-интерфейсу, интерфейсу командной строки, а также программному интерфейсу REST API.

Суперадминистратор может создавать учетные записи дополнительных администраторов и назначать им профили доступа. Каждому профилю доступа соответствует набор разрешений на использование тех или иных функций продукта. Например, с помощью профиля доступа можно разрешить или запретить администратору подключаться к UserGate NGFW через интерфейс командной строки.

Вы также можете управлять доступом с помощью настройки зон. Для этого в разделе Настройки ➜ Сеть ➜ Зоны в свойствах зоны на вкладке Контроль доступа вы можете разрешить или запретить необходимое подключение.

В разделе Настройки ➜ UserGate ➜ Администраторы вы можете создавать учетные записи:

Локальных администраторов. Учетные данные для аутентификации хранятся на сервере UserGate NGFW.
Пользователей или групп пользователей LDAP. Аутентификация выполняется с помощью доменных учетных записей пользователей или групп пользователей. Предварительно в разделе Настройки ➜ Пользователи и устройства ➜ Серверы аутентификации необходимо настроить LDAP-коннектор. Логин учетной записи при аутентификации указывается в формате <логин администратора>@domain.
Администраторов с профилем аутентификации. Для аутентификации используются профили аутентификации, настроенные в разделе Настройки ➜ Пользователи и устройства ➜ Профили аутентификации.

Инструкции по настройке серверов аутентификации приведены в разделе «Серверы аутентификации», по настройке профилей аутентификации — в разделе «Профили аутентификации».

Вы можете удалять созданные учетные записи и изменять их параметры, а также управлять состоянием учетных записей (включать и отключать их). Кроме того, вы можете разблокировать локальную учетную запись, которая была заблокирована (например в случае, если было превышено количество неудачных попыток аутентификации).

Для дополнительной защиты локальных учетных записей можно настроить парольную политику. Для доменных учетных записей, а также для учетных записей с профилями аутентификации параметры защиты определяются внешним источником учетных записей.

По умолчанию аутентификация администраторов выполняется по логину и паролю, вы можете изменить способ аутентификации в разделе Настройки ➜ UserGate ➜ Настройки ➜ Настройки интерфейса ➜ Режим аутентификации веб-консоли. Например, для более безопасного подключения можно выбрать аутентификацию по сертификатам и настроить цифровые сертификаты.

Создание профиля доступа

Для создания учетной записи должен быть создан хотя бы один профиль доступа с набором разрешений, которые предоставляются администратору.

Чтобы создать профиль доступа:

1. В разделе Настройки ➜ UserGate ➜ Администраторы ➜ Профили администраторов нажмите Добавить.

2. На вкладке Общие укажите название профиля.

3. На вкладке Разрешение доступа выберите действия, которые может выполнять администратор в веб-интерфейсе.

4. На вкладке Разрешение для API выберите действия, которые может выполнять администратор при подключении через REST API.

5. На вкладке Разрешение для CLI разрешите или запретите администратору доступ к интерфейсу командной строки.

6. Нажмите Сохранить.

Теперь вы можете перейти к созданию учетной записи администратора.

Создание учетной записи администратора

Чтобы создать учетную запись администратора:

1. В разделе Настройки ➜ UserGate ➜ Администраторы в блоке Администраторы нажмите Добавить и выберите тип учетной записи.

2. Выберите профиль доступа и укажите параметры, необходимые для выбранного типа учетной записи.

3. Нажмите Сохранить.

Все администраторы, подключившиеся к UserGate NGFW одним из способов, отображаются в разделе Настройки ➜ UserGate ➜ Администраторы ➜ Сессии администраторов. Вы можете закрывать сессии администраторов по кнопке Закрыть сессию.

Настройка парольной политики

Для локальных учетных записей можно настроить парольную политику, а именно указать:

параметры сложности пароля;
максимальное количество неудачных попыток аутентификации;
время блокировки учетной записи при превышении количества неудачных попыток аутентификации.

Чтобы настроить парольную политику:

1. В разделе Настройки ➜ UserGate ➜ Администраторы в блоке Администраторы нажмите Еще ➜ Настроить.

2. Укажите параметры, которым должен соответствовать пароль локальной учетной записи администратора.

3. Нажмите Сохранить.

Настройка цифровых сертификатов

Вы можете использовать аутентификацию администраторов по сертификатам, это обеспечит дополнительную защиту при подключении к UserGate NGFW. Для этого цифровые сертификаты должны быть настроены.

ПримечаниеНиже приводится инструкция по настройке сертификатов в OpenSSL. Вы можете выполнять инструкцию в этой же утилите или в ее аналогах.

Чтобы настроить цифровые сертификаты:

1. Создайте сертификат удостоверяющего центра для доступа к веб-интерфейсу, последовательно выполнив команды:

openssl req -x509 -subj '/C=RU/ST=Moscow/O= MyCompany /CN=ca.mycompany.com' -newkey rsa:2048 -keyout ca-key.pem -out ca.pem -nodes openssl rsa -in ca-key.pem -out ca-key.pem

Будут созданы файл закрытого ключа ca-key.pem и файл открытого ключа ca.pem. Импортируйте открытый ключ на сервер UserGate NGFW.

2. Создайте сертификат администратора для каждой учетной записи, выполнив команду:

openssl req -subj '/C=RU/ST=Moscow/O= MyCompany /CN=<логин администратора>' -out admin.csr -newkey rsa:2048 -keyout admin-key.pem -nodes

3. Подпишите сертификат администратора каждой учетной записи сертификатом удостоверяющего центра, последовательно выполнив команды:

openssl x509 -req -days 9999 -CA ca.pem -CAkey ca-key.pem -set_serial 1 -in admin.csr -out admin.pem

openssl pkcs12 -export -in admin.pem -inkey admin-key.pem -out admin.p12 -name '<логин администратора> client certificate'

Подписанные сертификаты администраторов будут сохранены в файл admin.p12. Вам необходимо добавить этот файл в операционную систему и в браузер, которые будут использовать администраторы для подключения к устройству.

Управление устройством

В разделе Настройки ➜ UserGate ➜ Управление устройством вы можете настраивать следующие параметры устройства:

кластеры отказоустойчивости;
кластер конфигурации;
диагностика;
операции с сервером;
резервное копирование;
экспорт и импорт настроек.

Информация о настройке кластеров приведена в разделе «Кластеризация и отказоустойчивость».

Диагностика

В этом блоке вы можете управлять параметрами диагностики, необходимыми службе технической поддержки UserGate для решения возможных проблем с продуктом.

Параметр	Описание
Детализация диагностики	Доступны следующие уровни журналирования: Off — ведение журналов диагностики отключено. Error — журналировать только ошибки в работе NGFW. Warning — журналировать только ошибки и предупреждения. Info — журналировать только ошибки, предупреждения и дополнительную информацию. Debug — журналировать все возможные события. При журналировании с уровнями Warning, Info и Debug может снижаться производительность NGFW, поэтому рекомендуется устанавливать уровни Error или Off, если технической поддержкой UserGate не было предложено иное
Журналы диагностики	Вы можете: Скачать журналы — скачать диагностические журналы для их передачи в службу технической поддержки UserGate. Для скачивания доступны журналы веб-консоли и системные журналы. Скачать выбранные журналы можно только после их архивирования по кнопке Начать архивирование журналов. Очистить файлы логов — удалить архивные (не активные в настоящий момент) журналы
Удаленный помощник	Удаленный помощник позволяет специалисту технической поддержки UserGate безопасно подключаться к серверу UserGate NGFW для диагностики и решения проблем. Для активации удаленного помощника продукт должен иметь доступ к серверу удаленного помощника по протоколу SSH. При включенном удаленном помощнике отображаются его идентификатор и токен, которые необходимо сообщить специалисту технической поддержки UserGate

Параметр

Описание

Детализация диагностики

Доступны следующие уровни журналирования:

Off — ведение журналов диагностики отключено.
Error — журналировать только ошибки в работе NGFW.
Warning — журналировать только ошибки и предупреждения.
Info — журналировать только ошибки, предупреждения и дополнительную информацию.
Debug — журналировать все возможные события.

При журналировании с уровнями Warning, Info и Debug может снижаться производительность NGFW, поэтому рекомендуется устанавливать уровни Error или Off, если технической поддержкой UserGate не было предложено иное

Журналы диагностики

Вы можете:

Скачать журналы — скачать диагностические журналы для их передачи в службу технической поддержки UserGate. Для скачивания доступны журналы веб-консоли и системные журналы. Скачать выбранные журналы можно только после их архивирования по кнопке Начать архивирование журналов.
Очистить файлы логов — удалить архивные (не активные в настоящий момент) журналы

Удаленный помощник

Удаленный помощник позволяет специалисту технической поддержки UserGate безопасно подключаться к серверу UserGate NGFW для диагностики и решения проблем. Для активации удаленного помощника продукт должен иметь доступ к серверу удаленного помощника по протоколу SSH.

При включенном удаленном помощнике отображаются его идентификатор и токен, которые необходимо сообщить специалисту технической поддержки UserGate

Операции с сервером

В этом блоке вы можете перезагрузить или выключить сервер UserGate NGFW, а также настроить вышестоящий прокси-сервер для проверки лицензий и обновлений продукта.

UserGate поставляет обновления в рамках лицензии на модуль Security Update (см. раздел «Лицензирование»). При наличии обновлений в блоке Операции с сервером отобразится соответствующее оповещение. Установка обновлений может занять длительное время, поэтому рекомендуется планировать этот процесс с учетом возможного времени простоя UserGate NGFW.

Перед установкой обновлений рекомендуется создать резервную копию UserGate NGFW. Это позволит восстановить предыдущее состояние продукта, если возникнут проблемы, связанные с применением обновлений.

Управление резервным копированием

В этом блоке вы можете:

создавать резервные копии;
восстанавливать продукт из резервной копии;
настраивать расписание экспорта резервных копий на удаленный сервер;
настраивать SSH-ключи.

Чтобы создать резервную копию продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Еще ➜ Создание резервной копии.

Начнется создание резервной копии. Вы можете прервать процесс по кнопке Остановить.

По окончании процесса резервная копия UserGate NGFW будет сохранена в файле backup_PRODUCT_NODENAME_DATE.gpg, где:

PRODUCT — тип продукта: NGFW, LogAn, MC;
NODENAME — имя узла продукта;
DATE — дата и время создания резервной копии в формате YYYY-MM-DD-HH-MM (в часовом поясе UTC+0).

Запись о создании резервной копии отобразится в журнале событий продукта.

Чтобы восстановить продукт из резервной копии:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Еще ➜ Восстановление резервной копии и подтвердите восстановление.

2. Укажите путь к файлу с резервной копией UserGate NGFW.

Восстановление будет предложено в консоли TTY при перезагрузке сервера UserGate NGFW.

Администраторы могут создавать правила экспорта, по которым резервные копии будут выгружаться на удаленные серверы по расписанию.

Чтобы создать правило экспорта резервной копии продукта:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Добавить.

2. На вкладке Общие укажите имя правила.

3. На вкладке Удаленный сервер укажите параметры удаленного сервера:

тип — FTP или SSH;
адрес;
порт для подключения;
учетные данные для авторизации — логин и пароль (при выборе FTP-сервера) или логин (при выборе SSH-сервера);
путь к существующей папке для сохранения файлов экспорта.

Внимание!Если вы создаете правило для SSH-сервера, необходимо предварительно настроить SSH-ключи. Кроме того, необходимо проверить соединение с SSH-сервером по кнопке «Проверить соединение». Во время проверки устанавливается первичное соединение, при котором отпечаток открытого ключа автоматически добавляется на удаленный сервер. Это обеспечивает безопасность последующих соединений.

4. На вкладке Расписание укажите время экспорта резервной копии.

Вы можете выбрать одно из предустановленных значений или указать время вручную в cron-формате: <минуты: 0—59> <часы: 0—23> <дни месяца: 1—31> <месяцы: 1—12> <дни недели: 0—6, где 0 — воскресенье>.

При ручном вводе также можно использовать следующие символы:

Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час.
Дефис (-) — для указания диапазона значений.
Запятая (,) — в качестве разделителя значений.
Косая черта (/) — для указания шага между значениями.

5. Нажмите Сохранить.

Перед подключением к удаленному SSH-серверу, необходимо настроить SSH-ключи, используемые для авторизации на этом сервере.

Чтобы настроить SSH-ключи:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Управление резервным копированием нажмите Еще ➜ Настроить SSH-ключ.

2. Нажмите Сгенерировать новый ключ.

Будет сгенерирована пара SSH-ключей (закрытый и открытый). Открытый ключ отобразится в окне настройки, закрытый ключ будет автоматически сохранен на сервере UserGate NGFW.

ПримечаниеЕсли у вас уже есть пара SSH-ключей, вы можете добавить закрытый ключ на сервер UserGate NGFW вручную по кнопке «Загрузить ключ».

3. Добавьте открытый SSH-ключ на удаленный сервер.

По умолчанию SSH-ключи хранятся в папке /home/user/.ssh/ в файле authorized_keys.

Экспорт и импорт настроек

В этом блоке вы можете экспортировать текущие параметры UserGate NGFW в виде файлов экспорта в формате BIN. Впоследствии такие файлы могут понадобиться для восстановления параметров продукта, а также для импорта в другие NGFW.

Экспорт может выполняться вручную или по расписанию. Вы можете экспортировать все текущие параметры (за исключением данных о кластерах и лицензии) или только сетевые. К сетевым относятся параметры зон, интерфейсов, шлюзов, виртуальных маршрутизаторов, а также параметры сервисов DNS, DHCP и WCCP. Сетевые параметры настраиваются в разделе Настройки ➜ Сеть (см. раздел «Настройка сети»).

Чтобы экспортировать все параметры продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Экспорт ➜ Экспортировать все настройки.

Параметры будут сохранены в файле utm-utmcore@NODENAME_VERSION_DATE.bin, где:

NODENAME — имя узла продукта;
VERSION — версия UGOS;
DATE — дата и время выгрузки параметров в формате YYYYMMDD_HHMMSS (в часовом поясе UTC+0).

Чтобы экспортировать только сетевые параметры продукта:

В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Экспорт ➜ Экспортировать сетевые настройки.

Параметры будут сохранены в файле utm-net-utmcore@NODENAME_VERSION_DATE.bin, где:

NODENAME — имя узла продукта;
VERSION — версия UGOS;
DATE — дата и время выгрузки параметров в формате YYYYMMDD_HHMMSS (в часовом поясе UTC+0).

Администраторы могут создавать правила экспорта, по которым параметры продукта будут выгружаться на удаленные серверы по расписанию. Если узлы продукта объединены в кластер, то при создании правила экспорта на одном из узлов это правило будет распространяться на все узлы кластера. Параметры каждого узла при экспорте будут сохраняться в отдельном файле.

Чтобы создать правило экспорта параметров продукта:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Добавить.

2. На вкладке Общие укажите имя правила.

3. На вкладке Удаленный сервер укажите параметры удаленного сервера:

тип — FTP или SSH;
адрес;
порт для подключения;
учетные данные для авторизации;
путь к существующей папке для сохранения файлов экспорта.

ПримечаниеДля авторизации на удаленном SSH-сервере вы можете использовать SSH-ключи. Для этого их нужно предварительно настроить.

Внимание!Если вы создаете правило для SSH-сервера с авторизацией по SSH-ключам, необходимо проверить соединение с SSH-сервером по кнопке «Проверить соединение». Во время проверки устанавливается первичное соединение, при котором отпечаток открытого ключа автоматически добавляется на удаленный сервер. Это обеспечивает безопасность последующих соединений.

4. На вкладке Расписание укажите время экспорта параметров.

При ручном вводе также можно использовать следующие символы:

Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час.
Дефис (-) — для указания диапазона значений.
Запятая (,) — в качестве разделителя значений.
Косая черта (/) — для указания шага между значениями.

5. Нажмите Сохранить.

Вы можете восстанавливать параметры продукта из файлов экспорта. Эти файлы не содержат данные о кластерах и лицензии, поэтому после восстановления параметров вам потребуется повторно активировать лицензию и настроить кластеры. Кроме того, если для входа в UserGate NGFW вы используете многофакторную аутентификацию через TOTP, после восстановления необходимо повторно добавить ключи инициализации.

ПримечаниеДля импорта правил фильтрации, в которых указаны пользователи или группы пользователей, необходим доступ к LDAP-серверу. В противном случае эти правила будут восстановлены без данных о пользователях. Для корректного восстановления правил, использующих обновляемые списки, необходима лицензия на модули Security Update и Advanced Threat Protection.

Внимание!При восстановлении параметров UserGate NGFW из файла экспорта, созданного в более поздней версии продукта, работоспособность сервера UserGate NGFW не гарантируется.

Чтобы восстановить параметры продукта из файла экспорта:

1. В разделе Настройки ➜ UserGate ➜ Управление устройством ➜ Экспорт и импорт настроек нажмите Импорт.

2. Выберите файл экспорта.

3. В окне Импортировать настройки выберите тип импорта (все параметры или только сетевые).

4. Нажмите Старт.

Начнется восстановление параметров. По окончании процесса сервер UserGate NGFW будет перезагружен.

После перезагрузки сервера вам необходимо обновить библиотеки сигнатур в разделе Настройки ➜ UserGate ➜ Настройки ➜ Обновление библиотек. Если доступ к ресурсу с библиотеками отсутствует, вы можете загрузить файл обновления вручную в разделе Настройки ➜ UserGate ➜ Настройки ➜ Обновление ПО.

ПримечаниеПри выполнении операции импорта всех настроек происходит сброс конфигурации устройства к первоначальному состоянию (factory reset) с удалением всех журналов.

Способ загрузки	Описание
UGOS NGFW	Загрузка UserGate NGFW с выводом диагностической информации о загрузке в последовательный порт
UGOS NGFW (serial console)	Загрузка UserGate NGFW в упрощенном видеорежиме консоли
Support menu	Вход в раздел системных утилит с выводом информации в консоль tty1 (монитор)
Restore previous version	Раздел доступен после обновления или создания резервной копии

Действие	Описание
Check filesystems	Запуск проверки файловой системы устройства на наличие ошибок и их автоматическое исправление
Expand data partition	Увеличение раздела для хранения данных. Эта операция обычно используется после увеличения дискового пространства, выделенного гипервизором для виртуальной машины UserGate NGFW. Внимание! Для расширения системного раздела с сохранением данных и параметров UserGate NGFW необходимо с помощью средств гипервизора добавить новый диск и затем выполнить операцию Expand data partition, как указано в разделе «Расширение системного раздела»
Create backup	Создание полной копии диска UserGate NGFW на внешнем USB-носителе. Внимание! Перед созданием резервной копии USB-носитель будет отформатирован
Restore from backup	Восстановление UserGate NGFW с внешнего USB-носителя
Factory reset	Сброс состояния UserGate NGFW. Все данные и параметры будут утеряны. Версия ПО не изменится: сохранится версия, актуальная на момент запуска команды
Exit	Выход и перезагрузка устройства