UserGate NGFW поддерживает интерфейс командной строки, CLI (Command Line Interface). С помощью CLI администратор может выполнять команды диагностики и мониторинга, производить настройку устройства, а также перезагружать или выключать устройство.
CLI полезно использовать для диагностики сетевых проблем, или в случае, когда доступ к веб-консоли утерян, например некорректно указан IP-адрес интерфейса или ошибочно установлены параметры контроля доступа для зоны, запрещающие подключение к веб-интерфейсу.
К интерфейсу командной строки можно подключиться с помощью стандартных портов для монитора и клавиатуры (при наличии таких портов на оборудовании NGFW), с помощью эмулятора терминала через консольный порт, или с помощью протокола SSH по сети.
Для подключения к CLI с помощью монитора и клавиатуры:
1. Подключите монитор к разъему VGA (HDMI), клавиатуру к разъему USB.
2. Войдите в CLI, используя имя и пароль пользователя с правами «Full administrator» (по умолчанию — Admin).
Для подключения к CLI через консольный порт:
1. Подключите компьютер к NGFW с помощью кабеля для консольного порта.
2. Запустите программу-эмулятор терминала, например Putty для ОС Windows или minicom для ОС Linux. Установите подключение через последовательный порт, указав параметры подключения: 115200 8 n 1.
3. Войдите в CLI, используя имя и пароль пользователя с правами «Full administrator» (по умолчанию — Admin).
Для подключения к CLI по сети с помощью протокола SSH:
1. Разрешите доступ для протокола CLI по SSH в настройках зоны, к которой вы собираетесь подключаться для управления с помощью CLI (доступ по порту TCP 2200). Подробнее о настройках зоны в CLI — в разделе «Зоны».
2. Запустите на компьютере SSH-терминал, например SSH для ОС Linux или Putty для ОС Windows. Укажите IP-адрес NGFW, порт для подключения (2200), имя пользователя с правами «Full administrator» (по умолчанию — Admin). Пример команды подключения для ОС Linux: ssh Admin@<IP_NGFW> -p 2200
3. Войдите в CLI, используя пароль пользователя, указанного на предыдущем шаге.
В версии 7.4.0 и выше для подключения к CLI по SSH поддерживаются следующие алгоритмы:
Kex: diffie-hellman-group-exchange-sha256, diffie-hellman-group16-sha512, diffie-hellman-group18-sha512, diffie-hellman-group14-sha256.
Public key: ecdsa-sha2-nistp256, ecdsa-sha2-nistp384, ecdsa-sha2-nistp521, rsa-sha2-256, rsa-sha2-512, ssh-rsa.
Ciphers: aes128-ctr, aes192-ctr, aes256-ctr.
MAC: hmac-sha2-512-etm@openssh.com, hmac-sha2-256-etm@openssh.com, hmac-sha2-512, hmac-sha2-256.
CLI имеет два режима работы — режим диагностики и мониторинга, и режим конфигурации. После успешной авторизации в CLI вы попадаете в режим диагностики и мониторинга.
В режиме диагностики и мониторинга доступны команды:
проверки доступности сетевых ресурсов;
просмотра статистики и информации об интерфейсах;
просмотра информации о записях ARP;
отслеживания пакетов по установленным правилам;
мониторинга трафика;
просмотра информации о маршрутах;
мониторинга состояния кластера;
мониторинга заблокированных СОВ IP-адресов;
отображения системной информации;
диагностики работы протоколов динамической маршрутизации;
просмотра информации об авторизованных пользователях.
Приглашение командной строки в режиме диагностики и мониторинга имеет следующий вид:
Admin@nodename>
Настройка устройства производится в режиме конфигурации.
Для перехода в режим конфигурации используйте команду:
Admin@nodename> configure
После перехода в режим конфигурации приглашение командной строки будет выглядеть следующим образом:
Admin@nodename#
Для просмотра доступных команд, возможных параметров команды, или автодополнения ввода команды используйте клавишу «Tab».
В подсказке могут использоваться следующие вспомогательные символы:
«*» — обязательное поле в командах create и ряде других команд;
«+» — необязательное или вариативное поле;
«>» — вложенное поле, после его введения предыдущий список полей становится недоступным, появляется новый список полей, которые можно ввести.
Например:
Admin@nodename# set network virtual-router default
+ interfaces List of network interfaces attached to this virtual router
> routes List of static network routes
Для отмены ввода текущей команды используйте сочетание «Ctrl + C», для просмотра истории команд — «↑» или «↓».
Все команды интерфейса командной строки имеют следующую структуру:
<action> <level> <filter> <configuration_info>
Где:
<action> — действие, которое необходимо выполнить;
<level> — уровень конфигурации;
<filter> — идентификатор объекта, к которому происходит обращение;
<configuration_info> — значение параметров, которые необходимо применить к объекту <filter>.
CLI поддерживает ввод команды в несколько строк (многострочный ввод). Для перехода на новую строку необходимо добавить «\» в конце строки. Начиная со второй строки ввод «\» необязателен. Чтобы завершить ввод необходимо ввести одну пустую строку:
Admin@nodename# set users user example \
... name username1
... enabled on
... groups [ "Default Group" ]
...
Admin@nodename#