Настройка устройства

Кластеризация и отказоустойчивость

Для построения отказоустойчивого решения WAF (доступно в версии 7.4.0 и выше) необходимо настроить два типа кластеров — кластер конфигурации и кластер отказоустойчивости.

Кластер конфигурации — это объединение нескольких узлов в одну общую схему. Входящие в кластер конфигурации узлы «видят» друг друга и синхронизируют свою конфигурацию. При этом часть настроек для каждого из узлов кластера уникальна, например настройки сетевых интерфейсов, шлюзов, маршрутов, настройки диагностики.

Кластер отказоустойчивости обеспечивает работу сетевых операций на узлах, входящих в кластер конфигурации, например переключаемый виртуальный IP, который по определенным правилам мигрирует с одного узла на другой.

Кластер отказоустойчивости и кластер конфигурации работают на разных протоколах и в разных окружениях. При этом информация о статусе кластера отказоустойчивости распространяется между узлами через кластер конфигурации. Речь идет именно об информации о статусе, а не о данных, которыми кластер отказоустойчивости поддерживает свою работу. Статус узлов кластера отображается в веб-консоли.

До четырех узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме «активный — пассивный». Минимальный состав отказоустойчивого решения WAF состоит из двух узлов. Возможно собрать несколько кластеров отказоустойчивости.

Для создания отказоустойчивого кластера WAF необходимо сначала настроить кластер конфигурации, объединив в него необходимые узлы, затем настроить кластер отказоустойчивости.

Кластер конфигурации

Ряд настроек уникален для каждого из узлов кластера, например, настройка сетевых интерфейсов и IP-адресация. Список уникальных настроек:

Наименование	Описание
Настройки, уникальные для каждого узла	Настройки Log Analyzer. Настройки диагностики. Настройки интерфейсов. Настройки шлюзов. Настройки DHCP. Маршруты.

Наименование

Описание

Настройки, уникальные для каждого узла

Настройки Log Analyzer.

Настройки диагностики.

Настройки интерфейсов.

Настройки шлюзов.

Настройки DHCP.

Маршруты.

Для создания кластера конфигурации необходимо выполнить следующие шаги:

Наименование	Описание
Шаг 1. Выполнить первоначальную настройку на первом узле кластера.	Подробнее — в разделе Первоначальная настройка.
Шаг 2. Настроить на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера.	В разделе Зоны создайте выделенную зону для репликации настроек кластера или используйте существующую (Cluster). В настройках зоны разрешите следующие сервисы: Консоль администрирования, Кластер. Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к Интернету.
Шаг 3. Указать IP-адрес, который будет использоваться для связи с другими узлами кластера.	В разделе Управление устройством в окне Кластер конфигурации выберите текущий узел кластера и нажмите Редактировать. Укажите IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.
Шаг 4. Сгенерировать секретный код на первом узле кластера.	В разделе Управление устройством нажмите Сгенерировать секретный код. Полученный код скопируйте в буфер обмена. Код необходим для одноразовой авторизации второго узла при добавлении его в кластер.
Шаг 5. Подключить второй узел в кластер.	Подключитесь к веб-консоли второго узла кластера, выберите язык установки. Укажите интерфейс, который будет использован для подключения к первому узлу кластера и назначьте ему IP-адрес. Оба узла кластера должны находиться в одной подсети, например интерфейсам eth2 обоих узлов назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера. Укажите IP-адрес первого узла, настроенный на шаге 3, вставьте секретный код и нажмите Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и все настройки первого кластера реплицируются на второй. Состояние узлов кластера конфигурации можно определить по цветовой индикации напротив названия узла UserGate в разделе UserGate ➜ Управление устройством ➜ Кластер конфигурации: зеленый — узел доступен; желтый — происходит синхронизация между узлами кластера конфигурации; красный — связь до узла потеряна, узел недоступен.
Шаг 6. Назначить зоны интерфейсам второго узла.	В веб-консоли второго узла кластера в разделе Сеть ➜ Интерфейсы назначьте каждому интерфейсу корректную зону. Зоны и их настройки получены в результате репликации данных с первого узла кластера.
Шаг 7. Настроить параметры, индивидуальные для каждого узла кластера (опционально).	Настройте шлюзы, маршруты, индивидуальные для каждого из узлов.

ПримечаниеПри вводе дополнительного узла в кластер конфигурации в явном виде указываются настройки интерфейса и шлюза для подключения к мастер-узлу. Тип присвоения IP-адреса этого интерфейса будет статическим.

Кластер отказоустойчивости

До четырех узлов кластера конфигурации можно объединить в отказоустойчивый кластер. Самих кластеров отказоустойчивости может быть несколько, например в кластер конфигурации добавлены узлы A, B, C и D на основе которых создано два кластера отказоустойчивости — A+B и C+D.

Поддерживается режим кластера отказоустойчивости «активный — пассивный». Состояние узлов кластера можно определить в разделе UserGate ➜ Управление устройством ➜ Кластеры отказоустойчивости по цвету индикатора около названия узла WAF:

красный — нет связи с соседними узлами конфигурации;
желтый — кластер отказоустойчивости не запущен на узле.

Отсутствие индикатора напротив названия узла говорит о доступности узла кластера.

Один из серверов кластера выступает в роли мастер-узла, обрабатывающего трафик, а остальные — в качестве резервных. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

ПримечаниеКластер поддерживает синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой, за исключением сессий, использующих прокси-сервер, например, трафик HTTP/S.

При переходе роли мастер-узла на резервный узел, на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

запасной сервер не получает подтверждения о том, что главный узел находится в сети, например, если он выключен или отсутствует сетевая доступность узлов;
на узле настроена проверка доступа в интернет (смотрите раздел Настройка шлюзов), и доступ в Интернет отсутствует через все имеющиеся шлюзы;
сбой в работе ПО.

Если узел, указанный в свойствах проверки сети, недоступен на всех узлах кластера, то кластер отказоустойчивости будет отключен.

Отключение одного или нескольких сетевых интерфейсов, на которых назначены виртуальные IP-адреса понижает приоритет узла, но не обязательно приведет к изменению роли сервера. Переход на запасной узел произойдет, если приоритет запасного узла окажется выше, чем мастер-узла. По умолчанию приоритет узла, назначенный мастер-узлу, равен 250, приоритет резервного узла равен 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, у которого отсутствует физическое подключение к сети. Соответственно, для кластера отказоустойчивости, состоящего из двух узлов, при пропадании физического подключения к сети одного интерфейса на мастер-узле, роль мастера переместится на запасной сервер, если на запасном сервере все кластерные интерфейсы подключены к сети (приоритет мастер-сервера будет равен 248, приоритет резервного — 249). При восстановлении физического подключения на первоначальном мастер-узле роль мастера вернется обратно на него, поскольку его приоритет вернется в значение 250. Это справедливо для случая, когда виртуальные адреса сконфигурированы на двух и более интерфейсах; если на одном — роль мастера не возвращается.

Отключение одного или нескольких кластерных сетевых интерфейсов на запасном узле понижает приоритет узла, тем не менее, данный запасной узел может стать мастер-узлом при безусловном переходе роли, или в случае, когда приоритет мастер-узла станет меньше, чем приоритет данного запасного узла.

ПримечаниеЕсли кластерные IP-адреса назначены VLAN-интерфейсам, то отсутствие подключения на физическом интерфейсе будет трактоваться кластером отказоустойчивости как потеря соединения на всех VLAN-интерфейсах, созданных на данном физическом интерфейсе.

ПримечаниеДля уменьшения времени, требуемого сетевому оборудованию для перевода трафика на запасной узел при переключении, WAF посылает служебное оповещение GARP (Gratuitous ARP), извещающее сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. Пакет GARP отсылается каждую минуту и при переезде роли мастера на запасной сервер.

Ниже представлена пример сетевой диаграммы отказоустойчивого кластера. Интерфейсы настроены следующим образом:

зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted);
зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted);
зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации настроек.

Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий узел, который станет мастер-узлом, например UG2.

Создание и настройка кластера

Для создания отказоустойчивого кластера необходимо выполнить следующие шаги:

Наименование	Описание
Шаг 1. Создать кластер конфигурации.	Создайте кластер конфигурации, как это описано в предыдущей главе.
Шаг 2. Настроить зоны, интерфейсы которых будут участвовать в отказоустойчивом кластере.	В разделе Зоны разрешите сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес (зоны Trusted и Untrusted на диаграммах выше).
Шаг 3. Создать кластер отказоустойчивости.	В разделе Управление устройством ➜ Кластер отказоустойчивости нажмите Добавить (+) и укажите параметры кластера отказоустойчивости.

Параметры отказоустойчивого кластера:

Наименование	Описание
Включено	Включение/отключение отказоустойчивого кластера.
Название	Название отказоустойчивого кластера.
Описание	Описание отказоустойчивого кластера.
Синхронизировать сессии	Включение режима синхронизации пользовательских сессий между всеми узлами, входящими в кластер отказоустойчивости. Активация этой опции делает переключение пользователей с одного устройства на другое прозрачным для пользователей, но добавляет существенную нагрузку на платформу.
Мультикаст идентификатор	В одном кластере конфигурации может быть создано несколько кластеров отказоустойчивости. Для синхронизации сессий используется определенный мультикаст-адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор.
Идентификатор виртуального роутера (VRID)	Идентификатор виртуального роутера должен быть уникален для каждого VRRP-кластера в локальной сети. Если в сети не присутствуют сторонние кластеры VRRP, то рекомендуется оставить значение по умолчанию.
Узлы	Выбор узлов кластера конфигурации для объединения их в кластер отказоустойчивости. Здесь же можно назначить роль мастер-сервера одному из выбранных узлов.
Виртуальные IP-адреса	Назначение виртуальных IP-адресов и их соответствия интерфейсам узлов кластера.
Синхронизация UDP/ICMP	Управление режимом синхронизации пользовательских сессий: Синхронизовать все сессии — включение/отключение режима синхронизации всех пользовательских сессий, включая UDP/ICMP сессии. В случае, если этот параметр не активирован, а настройка Синхронизировать сессии во вкладке Общие активирована, синхронизироваться будут только TCP сессии. Исключенные из синхронизации IP — указание IP-адресов, с которыми не будут синхронизироваться пользовательские сессии.

Общие настройки

Раздел Общие настройки определяет базовые установки UserGate WAF:

Наименование	Описание
Часовой пояс	Часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п.
Язык интерфейса по умолчанию	Язык, который будет использоваться по умолчанию в консоли.
Режим аутентификации веб-консоли	Способ аутентификации пользователя (администратора) при входе в веб-консоль управления. Возможны следующие варианты: По имени и паролю. Администратор должен ввести имя и пароль для получения доступа к веб-консоли. По X.509-сертификату. Для аутентификации по сертификату необходимо иметь сертификат пользователя, подписанный сертификатом удостоверяющего центра веб-консоли и установленный в браузер. При включении этого режима аутентификации режим аутентификации по имени и паролю отключается. Вернуть режим аутентификации по имени и паролю можно с помощью команд CLI. Профиль сертификата пользователя. Аутентификации посредством сертификатов (PKI) использует профиль пользовательского сертификата, это позволяет управлять сертификатами для обеспечения безопасности и подтверждения подлинности в сетевых соединениях.
Профиль SSL для веб-консоли	Выбор профиля SSL для построения защищенного канала доступа к веб-консоли. Подробно о профилях SSL смотрите в главе Профили SSL.
Таймер автоматического закрытия сессии (мин.)	Настройка таймера автоматического закрытия сессии в случае отсутствия активности администратора в веб-консоли.
Настройка времени сервера	Настройка параметров установки точного времени. Использовать NTP — использовать сервера NTP из указанного списка для синхронизации времени. Основной сервер NTP — адрес основного сервера точного времени. Значение по умолчанию — pool.ntp.org. Запасной сервер NTP — адрес запасного сервера точного времени. Время на сервере — позволяет установить время на сервере. Время должно быть указано в часовом поясе UTC.
Модули	Позволяет настроить модули WAF: Настройка LLDP — настройка использования протокола канального уровня Link Layer Discovery Protocol (LLDP), который позволяет сетевому оборудованию, работающему в локальной сети, оповещать устройства о своём существовании, передавать им свои характеристики, а также получать от них аналогичную информацию. При настройке необходимо задать значения: Transmit delay — задержка передачи, указывается время ожидания устройства перед отправкой объявлений соседям после изменения TLV в протоколе LLDP или состояния локальной системы, например, изменение имени хоста или адреса управления. Может принимать значения от 1 до 3600; задаётся в секундах. Transmit hold — значение мультипликатора удержания; произведение значений transmit delay и transmit hold определяет время жизни (TTL) пакетов LLDP. Может принимать значения от 1 до 100.
Log Analyzer	Отображение состояния локального сервера LogAn и текущей версии ПО
Центр обновлений	Настройки для управления скачиванием обновлений программного обеспечения UserGate (UGOS) и системных библиотек, предоставляемых по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, типов контента и другие). Обновления ПО — настройка канала обновлений (стабильные, бета), проверки наличия новых обновлений ПО и скачивание оффлайн-обновлений. При установке обновления можно задать точку восстановления устройства. Если точка восстановления была создана, после завершения обновления в стартовом меню устройства появится опция восстановления предыдущей версии ПО. Обновления библиотек — проверка наличия обновлений библиотек, скачивание обновлений и настройка расписания автоматической проверки и скачивания библиотек. Проверить наличие обновлений библиотек и скачать последние обновления можно по ссылке Проверить обновления. Настроить автоматическое обновление библиотек можно по ссылке Настроить. Для каждой библиотеки можно настроить расписание автоматической проверки и скачивания обновлений. При задании расписания возможно указать следующие варианты: Отключено. Проверка наличия обновлений для выбранного элемента производиться не будет. Ежедневно. Еженедельно. Ежемесячно. Каждые … часов. Каждые … минут. Задать вручную. При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом: Звездочка () — обозначает весь диапазон (от первого до последнего). Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7. Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23". Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "/2" в поле "часы" будет означать "каждые два часа. При установке флажка Единое расписание для всех обновлений расписание текущей библиотеки будет применено ко всем библиотекам. ПримечаниеВ целях уменьшения нагрузки на систему рекомендуется устанавливать автоматическое обновление только для используемых библиотек.
Системные DNS-серверы	Настройка IP-адресов серверов DNS.

Управление устройством

Раздел Управление устройством определяет следующие настройки WAF:

Настройки диагностики.
Операции с сервером.
Резервное копирование.
Экспорт и импорт настроек.

Диагностика

В данном разделе задаются параметры диагностики сервера, необходимые службе технической поддержки UserGate при решении возможных проблем.

Наименование	Описание
Детализация диагностики	Off — ведение журналов диагностики отключено. Error — журналировать только ошибки работы сервера. Warning — журналировать только ошибки и предупреждения. Info — журналировать только ошибки, предупреждения и дополнительную информацию. Debug — максимум детализации. Рекомендуется установить значение параметра Детализация диагностики в Error (только ошибки) или Off (Отключено), если техническая поддержка UserGate не попросила вас установить иные значения. Любые значения, отличные от Error (только ошибки) или Off (Отключено), негативно влияют на производительность WAF.
Журналы диагностики	Скачать журналы — скачать диагностические журналы для передачи их в службу поддержки UserGate; для скачивания доступны журналы веб-консоли и/или журналы системы. Для скачивания необходимо выбрать журналы и нажать Начать архивирование журналов; после архивирования журналы будут доступны для скачивания (кнопка Скачать). Очистить журналы — удалить архивные (т.е. не активные в настоящий момент) журналы.
Удаленный помощник	Включено/Отключено — включение/отключение режима удаленного помощника. Удаленный помощник позволяет инженеру технической поддержки UserGate, зная значения идентификатора и токена удаленного помощника, произвести безопасное подключение к серверу UserGate для диагностики и решения проблем. Для успешной активации удаленного помощника WAF должен иметь доступ к серверу удаленного помощника по протоколу SSH. Идентификатор удаленного помощника — полученное случайным образом значение. Уникально для каждого включения удаленного помощника. Токен удаленного помощника — полученное случайным образом значение токена. Уникально для каждого включения удаленного помощника.

Наименование

Описание

Детализация диагностики

Off — ведение журналов диагностики отключено.
Error — журналировать только ошибки работы сервера.
Warning — журналировать только ошибки и предупреждения.
Info — журналировать только ошибки, предупреждения и дополнительную информацию.
Debug — максимум детализации.

Рекомендуется установить значение параметра Детализация диагностики в Error (только ошибки) или Off (Отключено), если техническая поддержка UserGate не попросила вас установить иные значения. Любые значения, отличные от Error (только ошибки) или Off (Отключено), негативно влияют на производительность WAF.

Журналы диагностики

Скачать журналы — скачать диагностические журналы для передачи их в службу поддержки UserGate; для скачивания доступны журналы веб-консоли и/или журналы системы. Для скачивания необходимо выбрать журналы и нажать Начать архивирование журналов; после архивирования журналы будут доступны для скачивания (кнопка Скачать).
Очистить журналы — удалить архивные (т.е. не активные в настоящий момент) журналы.

Удаленный помощник

Включено/Отключено — включение/отключение режима удаленного помощника. Удаленный помощник позволяет инженеру технической поддержки UserGate, зная значения идентификатора и токена удаленного помощника, произвести безопасное подключение к серверу UserGate для диагностики и решения проблем. Для успешной активации удаленного помощника WAF должен иметь доступ к серверу удаленного помощника по протоколу SSH.
Идентификатор удаленного помощника — полученное случайным образом значение. Уникально для каждого включения удаленного помощника.
Токен удаленного помощника — полученное случайным образом значение токена. Уникально для каждого включения удаленного помощника.

Операции с сервером

Данный раздел позволяет произвести следующие операции с сервером:

Наименование	Описание
Операции с сервером	Перезагрузить — перезагрузка WAF. Выключить — выключение WAF.
Настройки вышестоящего прокси для проверки лицензий и обновлений	Настройка параметров вышестоящего HTTP(S) прокси-сервера для обновления лицензии и обновления ПО WAF. Необходимо указать IP-адрес и порт вышестоящего прокси сервера. При необходимости указать логин и пароль для аутентификации на вышестоящем прокси-сервере.

Наименование

Описание

Операции с сервером

Перезагрузить — перезагрузка WAF.
Выключить — выключение WAF.

Настройки вышестоящего прокси для проверки лицензий и обновлений

Настройка параметров вышестоящего HTTP(S) прокси-сервера для обновления лицензии и обновления ПО WAF.

Необходимо указать IP-адрес и порт вышестоящего прокси сервера. При необходимости указать логин и пароль для аутентификации на вышестоящем прокси-сервере.

Команда UserGate постоянно работает над улучшением качества своего программного обеспечения и предлагает обновления продукта UserGate. При наличии обновлений в разделе Управление устройством ➜ Операции с сервером отобразится соответствующее оповещение. Обновление продукта может занять довольно длительное время, рекомендуется планировать установку обновлений с учетом возможного времени простоя WAF.

Для установки обновлений необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Создать файл резервного копирования	Создать резервную копию состояния WAF, как это описано в разделе Системные утилиты. Данный шаг рекомендуется всегда выполнять перед применением обновлений, поскольку он позволит восстановить предыдущее состояние устройства в случае возникновения каких-либо проблем во время применения обновлений.
Шаг 2. Установить обновления	В разделе Управление устройством при наличии оповещения Доступны новые обновления нажать на ссылку Установить сейчас. Система установит скачанные обновления, по окончании установки WAF будет перезагружен.

Наименование

Описание

Шаг 1. Создать файл резервного копирования

Создать резервную копию состояния WAF, как это описано в разделе Системные утилиты. Данный шаг рекомендуется всегда выполнять перед применением обновлений, поскольку он позволит восстановить предыдущее состояние устройства в случае возникновения каких-либо проблем во время применения обновлений.

Шаг 2. Установить обновления

В разделе Управление устройством при наличии оповещения Доступны новые обновления нажать на ссылку Установить сейчас. Система установит скачанные обновления, по окончании установки WAF будет перезагружен.

Управление резервным копированием

Данный раздел позволяет управлять резервным копированием WAF: настройка правил экспорта конфигурации, создание резервной копии, восстановление WAF.

Для создания резервной копии необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Создать резервную копию	В разделе Управление устройством ➜ Управление резервным копированием нажать Создание резервной копии. Система сохранит текущие настройки сервера под следующим именем: backup_PRODUCT_NODE-NAME_DATE.gpg, где: PRODUCT — тип продукта: WAF, LogAn, MC; NODE-NAME — имя узла UserGate; DATE — дата и время создания резервной копии в формате YYYY-MM-DD-HH-MM; время указывается в часовом поясе UTC. Процесс создания резервной копии может быть прерван нажатием кнопки Остановить. Запись о создании резервной копии отобразится в журнале событий устройства.

Наименование

Описание

Шаг 1. Создать резервную копию

В разделе Управление устройством ➜ Управление резервным копированием нажать Создание резервной копии. Система сохранит текущие настройки сервера под следующим именем:

backup_PRODUCT_NODE-NAME_DATE.gpg, где:

PRODUCT — тип продукта: WAF, LogAn, MC;

NODE-NAME — имя узла UserGate;

DATE — дата и время создания резервной копии в формате YYYY-MM-DD-HH-MM; время указывается в часовом поясе UTC.

Процесс создания резервной копии может быть прерван нажатием кнопки Остановить. Запись о создании резервной копии отобразится в журнале событий устройства.

Для восстановления состояния устройства необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Восстановить состояние устройства	В разделе Управление устройством ➜ Управление резервным копированием нажать Восстановление из резервной копии и указать путь к ранее созданному файлу настроек для его загрузки на сервер. Восстановление будет предложено в консоли tty при перезагрузке устройства.

Наименование

Описание

Шаг 1. Восстановить состояние устройства

В разделе Управление устройством ➜ Управление резервным копированием нажать Восстановление из резервной копии и указать путь к ранее созданному файлу настроек для его загрузки на сервер. Восстановление будет предложено в консоли tty при перезагрузке устройства.

Дополнительно администратор может настроить сохранение файлов на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Создать правило экспорта конфигурации	В разделе Управление устройством ➜ Управление резервным копированием нажать кнопку Добавить, указать имя и описание правила.
Шаг 2. Указать параметры удаленного сервера	Во вкладке правила Удаленный сервер указать параметры удаленного сервера: Тип сервера — FTP или SSH. Адрес сервера — IP-адрес сервера. Порт — порт сервера. Логин — учетная запись на удаленном сервере. Пароль/Повторите пароль — пароль учетной записи. Путь на сервере — путь на сервере, куда будут выгружены настройки. Путь на сервере должен уже существовать. Сама система несуществующие папки не создаст! В случае использование SSH-сервера возможно использование авторизации по ключу. Для импорта или генерации ключа необходимо выбрать Настроить SSH-ключ и указать Сгенерировать ключи или Импортировать ключ. Важно! При повторном создании ключа существующий SSH-ключ будет удален. Публичный ключ должен находиться на SSH-сервере в директории пользовательских ключей /home/user/.ssh/ в файле authorized_keys. При первоначальной настройке правила экспорта резервного копирования по SSH обязательна проверка соединения (кнопка Проверить соединение); при проверке соединения fingerprint помещается в known_hosts, без проверки файлы не будут отправляться. Важно! Если сменить сервер SSH или его переустановить, то файлы резервного копирования будут недоступны, так как fingerprint изменится — это защита от спуфинга.
Шаг 3. Выбрать расписание выгрузки	Во вкладке правила Расписание указать необходимое время отправки настроек. В случае задания времени в crontab-формате, задайте его в следующем виде: (минуты:0-59) (часы:0-23) (дни месяца:1-31) (месяц:1-12) (день недели:0-6, 0-воскресенье) Каждое из первых пяти полей может быть задано следующим образом: Звездочка () — обозначает весь диапазон (от первого до последнего). Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7. Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23". Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "/2" в поле "часы" будет означать "каждые два часа".

Наименование

Описание

Шаг 1. Создать правило экспорта конфигурации

В разделе Управление устройством ➜ Управление резервным копированием нажать кнопку Добавить, указать имя и описание правила.

Шаг 2. Указать параметры удаленного сервера

Во вкладке правила Удаленный сервер указать параметры удаленного сервера:

Тип сервера — FTP или SSH.
Адрес сервера — IP-адрес сервера.
Порт — порт сервера.
Логин — учетная запись на удаленном сервере.
Пароль/Повторите пароль — пароль учетной записи.
Путь на сервере — путь на сервере, куда будут выгружены настройки. Путь на сервере должен уже существовать. Сама система несуществующие папки не создаст!

В случае использование SSH-сервера возможно использование авторизации по ключу. Для импорта или генерации ключа необходимо выбрать Настроить SSH-ключ и указать Сгенерировать ключи или Импортировать ключ.

Важно! При повторном создании ключа существующий SSH-ключ будет удален. Публичный ключ должен находиться на SSH-сервере в директории пользовательских ключей /home/user/.ssh/ в файле authorized_keys.

При первоначальной настройке правила экспорта резервного копирования по SSH обязательна проверка соединения (кнопка Проверить соединение); при проверке соединения fingerprint помещается в known_hosts, без проверки файлы не будут отправляться.

Важно! Если сменить сервер SSH или его переустановить, то файлы резервного копирования будут недоступны, так как fingerprint изменится — это защита от спуфинга.

Шаг 3. Выбрать расписание выгрузки

Во вкладке правила Расписание указать необходимое время отправки настроек. В случае задания времени в crontab-формате, задайте его в следующем виде:

(минуты:0-59) (часы:0-23) (дни месяца:1-31) (месяц:1-12) (день недели:0-6, 0-воскресенье)

Каждое из первых пяти полей может быть задано следующим образом:

Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

Экспорт и импорт настроек

Администратор имеет возможность сохранить текущие настройки WAF в файл и впоследствии восстановить эти настройки на этом же или другом WAF. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки.

Имеется возможность сделать экспорт всех настроек (за исключением вышеперечисленных), либо сделать только экспорт сетевых настроек. При экспорте только сетевых настроек сохраняется информация о:

Настройки DNS.
Настройки всех интерфейсов.
Настройки шлюзов.
Настройки виртуальных маршрутизаторов (VRF).
Настройки зон.

Для экспорта настроек необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Экспорт настроек	В разделе Управление устройством ➜ Экспорт и импорт настроек нажать на ссылку Экспорт ➜ Экспортировать все настройки или Экспортировать сетевые настройки. Система сохранит текущие настройки сервера под именем utm-utmcore@nodename_version-YYYYMMDD_HHMMSS.bin, где: nodename — имя узла WAF version — версия UGOS YYYYMMDD_HHMMSS — время выгрузки настроек в часовом поясе UTC, например: utm-utmcore@heashostatot_6.1.1.10462R-1_20210511_095942

Наименование

Описание

Шаг 1. Экспорт настроек

В разделе Управление устройством ➜ Экспорт и импорт настроек нажать на ссылку Экспорт ➜ Экспортировать все настройки или Экспортировать сетевые настройки. Система сохранит текущие настройки сервера под именем

utm-utmcore@nodename_version-YYYYMMDD_HHMMSS.bin, где:

nodename — имя узла WAF

version — версия UGOS

YYYYMMDD_HHMMSS — время выгрузки настроек в часовом поясе UTC, например:

utm-utmcore@heashostatot_6.1.1.10462R-1_20210511_095942

Для применения созданных ранее настроек необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Импорт настроек	В разделе Управление устройством ➜ Экспорт и импорт настроек нажать Импорт и указать путь к ранее созданному файлу настроек. Указанные настройки применятся к серверу, после чего сервер будет перезагружен.

Дополнительно администратор может настроить сохранение настроек на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Создать правило экспорта	В разделе Управление устройством ➜ Экспорт и импорт настроек нажать кнопку Добавить, указать имя и описание правила.
Шаг 2. Указать параметры удаленного сервера	Во вкладке правила Удаленный сервер указать параметры удаленного сервера: Тип сервера — FTP или SSH. Адрес сервера — IP-адрес сервера. Порт — порт сервера. Логин — учетная запись на удаленном сервере. Пароль/Подтверждение пароля — пароль учетной записи. Путь на сервере — путь на сервере, куда будут выгружены настройки.
Шаг 3. Выбрать расписание выгрузки	Во вкладке правила Расписание указать необходимое время отправки настроек. В случае задания времени в CRONTAB-формате, задайте его в следующем виде: (минуты:0-59) (часы:0-23) (дни месяца:1-31) (месяц:1-12) (день недели:0-6, 0-воскресенье) Каждое из первых пяти полей может быть задано следующим образом: Звездочка () — обозначает весь диапазон (от первого до последнего). Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7. Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23". Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "/2" в поле "часы" будет означать "каждые два часа.

Наименование

Описание

Шаг 1. Создать правило экспорта

В разделе Управление устройством ➜ Экспорт и импорт настроек нажать кнопку Добавить, указать имя и описание правила.

Шаг 2. Указать параметры удаленного сервера

Во вкладке правила Удаленный сервер указать параметры удаленного сервера:

Тип сервера — FTP или SSH.
Адрес сервера — IP-адрес сервера.
Порт — порт сервера.
Логин — учетная запись на удаленном сервере.
Пароль/Подтверждение пароля — пароль учетной записи.
Путь на сервере — путь на сервере, куда будут выгружены настройки.

Шаг 3. Выбрать расписание выгрузки

Во вкладке правила Расписание указать необходимое время отправки настроек. В случае задания времени в CRONTAB-формате, задайте его в следующем виде:

(минуты:0-59) (часы:0-23) (дни месяца:1-31) (месяц:1-12) (день недели:0-6, 0-воскресенье)

Каждое из первых пяти полей может быть задано следующим образом:

Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа.

Управление доступом к консоли UserGate WAF

Доступ к веб-консоли UserGate WAF регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.

ПримечаниеПри первоначальной настройке WAF создается локальный суперпользователь Admin.

Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Создать профиль доступа администратора.	В разделе Администраторы ➜ Профили администраторов нажать кнопку Добавить и указать необходимые настройки.
Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора.	В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант: Добавить локального администратора — создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа. Добавить пользователя LDAP — добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль. Добавить группу LDAP — добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль. Добавить администратора с профилем авторизации – создать пользователя, назначить созданный ранее профиль администратора и профиль авторизации (необходимы корректно настроенные серверы авторизации).

Наименование

Описание

Шаг 1. Создать профиль доступа администратора.

В разделе Администраторы ➜ Профили администраторов нажать кнопку Добавить и указать необходимые настройки.

Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора.

В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:

Добавить локального администратора — создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа.
Добавить пользователя LDAP — добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.
Добавить группу LDAP — добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.
Добавить администратора с профилем авторизации – создать пользователя, назначить созданный ранее профиль администратора и профиль авторизации (необходимы корректно настроенные серверы авторизации).

При создании профиля доступа администратора необходимо указать следующие параметры:

Наименование	Описание
Название	Название профиля.
Описание	Описание профиля.
Разрешения для API	Список объектов, доступных для делегирования доступа при работе через программный интерфейс (API). Объекты описаны документации API. В качестве доступа можно указать: Нет доступа. Чтение. Чтение и запись.
Разрешения для веб-консоли	Список объектов дерева веб-консоли, доступных для делегирования. В качестве доступа можно указать: Нет доступа. Чтение. Чтение и запись.
Разрешения для CLI	Позволяет разрешить доступ к CLI. В качестве доступа можно указать: Нет доступа. Чтение. Чтение и запись.

Администратор WAF может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.

Для настройки этих параметров необходимо:

Наименование	Описание
Шаг 1. Настроить политику паролей.	В разделе Администраторы ➜ Администраторы нажать кнопку Настроить.
Шаг 2. Заполнить необходимые поля.	Указать значения следующих полей: Сложный пароль — включает дополнительные параметры сложности пароля, задаваемые ниже, такие как — минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа. Число неверных попыток аутентификации — количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки. Время блокировки — время, на которое блокируется учетная запись.

Наименование

Описание

Шаг 1. Настроить политику паролей.

В разделе Администраторы ➜ Администраторы нажать кнопку Настроить.

Шаг 2. Заполнить необходимые поля.

Указать значения следующих полей:

Сложный пароль — включает дополнительные параметры сложности пароля, задаваемые ниже, такие как — минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа.
Число неверных попыток аутентификации — количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки.
Время блокировки — время, на которое блокируется учетная запись.

ПримечаниеДополнительные параметры защиты учетной записи администратора применимы только к локальным учетным записям. Если в качестве администратора устройства выбирается учетная запись из внешнего каталога (например, LDAP), то параметры защиты для такой учетной записи определяются этим внешним каталогом.

Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8001).

ПримечаниеНе рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети интернет.

Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе Контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.

Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.

Для включения данного режима необходимо выполнить следующие действия (в качестве примера используется утилита openssl):

Наименование	Описание
Шаг 1. Создать учетные записи дополнительных администраторов.	Произвести настройку, как это описано ранее в этой главе, например, создать учетную запись администратора с именем Administrator54.
Шаг 2. Создать или импортировать существующий сертификат типа УЦ (удостоверяющего центра) авторизации веб-консоли.	Создать или импортировать существующий сертификат удостоверяющего центра (достаточно только публичного ключа) в соответствии с главой Управление сертификатами. Важно! Существующий сертификат удостоверяющего центра — сертификат, которым непосредственно подписаны сертификаты администраторов, а не корневой. Например, для создания удостоверяющего центра с помощью утилиты openssl требуется выполнить команды: `openssl req -x509 -subj '/C=RU/ST=Moscow/O= MyCompany /CN=ca.mycompany.com' -newkey rsa:2048 -keyout ca-key.pem -out ca.pem -nodes` `openssl rsa -in ca-key.pem -out ca-key.pem` В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem — публичный ключ. Импортировать публичный ключ в WAF.
Шаг 3. Создать сертификаты для учетных записей администраторов.	С помощью средств сторонних утилит (например, openssl) создать сертификаты для каждого из администраторов. Необходимо, чтобы поле сертификата Common name в точности совпадало с именем учетной записи администратора, как она была создана в WAF. Для openssl и пользователя Administrator54 команды будут следующими: `openssl req -subj '/C=RU/ST=Moscow/O= MyCompany /CN=Administrator54' -out admin.csr -newkey rsa:2048 -keyout admin-key.pem -nodes`
Шаг 4. Подписать сертификаты администраторов, созданным на шаге 2 сертификатом удостоверяющего центра.	С помощью средств сторонних утилит (например, openssl) подписать сертификаты администраторов сертификатом удостоверяющего центра веб-консоли. Для openssl команды будут следующими: `openssl x509 -req -days 9999 -CA ca.pem -CAkey ca-key.pem -set_serial 1 -in admin.csr -out admin.pem` `openssl pkcs12 -export -in admin.pem -inkey admin-key.pem -out admin.p12 -name 'Administrator54 client certificate'` Файл admin.p12 содержит подписанный сертификат администратора.
Шаг 5. Добавить подписанные сертификаты в ОС, с которой администраторы будут авторизоваться в веб-консоль.	Добавить подписанные сертификаты администраторов (admin.p12 в нашем примере) в ОС (или в браузер Firefox, если он используется для доступа к консоли), с которой администраторы будут авторизоваться в веб-консоль. Более подробно смотрите руководство по используемой вами ОС.
Шаг 6. Переключите режим авторизации веб-консоли в авторизацию по сертификатам x.509.	В разделе Настройки поменяйте Режим авторизации веб-консоли на По X.509 сертификату.

ПримечаниеПереключить режим авторизации веб-консоли можно с помощью команд CLI.

В разделе Администраторы ➜ Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования WAF. При необходимости любую из сессий администраторов можно сбросить (закрыть).

Управление сертификатами

Общие сведения

UserGate WAF использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS), а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.

Для выполнения данных функций WAF использует различные типы сертификатов:

Наименование	Описание
SSL веб-консоли	Используется для создания безопасного HTTPS-подключения администратора к веб-консоли WAF.
SSL инспектирование	Сертификат класса удостоверяющего центра. Он используется для генерации SSL-сертификатов для интернет-хостов, для которых производится перехват HTTPS трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный: Subject name = yahoo.com Issuer name = VeriSign Class 3 Secure Server CA — G3, подменяется на Subject name = yahoo.com Issuer name = компания, как она указана в сертификате центра сертификации, заведенного в WAF.
SSL инспектирование (промежуточный)	Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата.
SSL инспектирование (корневой)	Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата.
УЦ для авторизации в веб-консоли	Сертификат удостоверяющего центра для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа.
SAML server	Используется для работы WAF с сервером SSO SAML IDP. Подробно о настройке работы WAF с сервером авторизации SAML IDP смотрите в соответствующем разделе руководства.

Сертификатов для SSL веб-консоли и SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ для авторизации в веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.

Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Создать сертификат	Нажать на кнопку Создать в разделе Сертификаты.
Шаг 2. Заполнить необходимые поля	Указать значения следующих полей: Название — название сертификата, под которым он будет отображен в списке сертификатов. Описание — описание сертификата. Страна — страна, в которой выписывается сертификат. Область или штат — область или штат, в котором выписывается сертификат. Город — город, в котором выписывается сертификат. Название организации — название организации, для которой выписывается сертификат. Common name — имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров. E-mail — email вашей компании.
Шаг 3. Указать, для чего будет использован данный сертификат	После создания сертификата необходимо указать его роль в WAF. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, инспектирование SSL, УЦ для авторизации в веб-консоли). В случае, если вы выбрали SSL веб-консоли, WAF перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат инспектирования SSL начинает работать немедленно после того, как его выбрали.

Наименование

Описание

Шаг 1. Создать сертификат

Нажать на кнопку Создать в разделе Сертификаты.

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

Название — название сертификата, под которым он будет отображен в списке сертификатов.
Описание — описание сертификата.
Страна — страна, в которой выписывается сертификат.
Область или штат — область или штат, в котором выписывается сертификат.
Город — город, в котором выписывается сертификат.
Название организации — название организации, для которой выписывается сертификат.
Common name — имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров.
E-mail — email вашей компании.

Шаг 3. Указать, для чего будет использован данный сертификат

После создания сертификата необходимо указать его роль в WAF. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, инспектирование SSL, УЦ для авторизации в веб-консоли). В случае, если вы выбрали SSL веб-консоли, WAF перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат инспектирования SSL начинает работать немедленно после того, как его выбрали.

WAF позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.

Для экспорта сертификата необходимо:

Наименование	Описание
Шаг 1. Выбрать сертификат для экспорта	Выделить необходимый сертификат в списке сертификатов.
Шаг 2. Экспортировать сертификат	Выбрать тип экспорта: Экспорт сертификата — экспортирует данные сертификата в der-формате без экспортирования приватного ключа сертификата. Используйте файл, полученный в результате экспорта сертификата для инспектирования SSL, для установки его в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом читайте в приложении Установка сертификата локального удостоверяющего центра. Экспорт CSR — экспортирует CSR сертификата, например, для подписи его удостоверяющим центром.

Наименование

Описание

Шаг 1. Выбрать сертификат для экспорта

Выделить необходимый сертификат в списке сертификатов.

Шаг 2. Экспортировать сертификат

Выбрать тип экспорта:

Экспорт сертификата — экспортирует данные сертификата в der-формате без экспортирования приватного ключа сертификата. Используйте файл, полученный в результате экспорта сертификата для инспектирования SSL, для установки его в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом читайте в приложении Установка сертификата локального удостоверяющего центра.
Экспорт CSR — экспортирует CSR сертификата, например, для подписи его удостоверяющим центром.

ПримечаниеРекомендуется сохранять сертификат для возможности его последующего восстановления.

ПримечаниеВ целях безопасности UserGate не разрешает экспорт приватных ключей сертификатов.

ПримечаниеПользователи могут скачать себе для установки сертификат инспектирования SSL с UserGate по прямой ссылке: http://UserGate_IP:8002/cps/ca

Для импорта сертификата необходимо иметь файлы сертификата и — опционально — приватного ключа сертификата и выполнить следующие действия:

Наименование	Описание
Шаг 1. Начать импорт	Нажать на кнопку Импорт.
Шаг 2. Заполнить необходимые поля	Указать значения следующих полей: Название — название сертификата, под которым он будет отображен в списке сертификатов. Описание — описание сертификата. Файл сертификата: загрузите файл, содержащий данные сертификата. Приватный ключ: загрузите файл, содержащий приватный ключ сертификата. Пароль для приватного ключа, если таковой требуется. Цепочка сертификатов – файл, содержащий сертификаты вышестоящих центров сертификации, которые участвовали в создании сертификата. Необязательное поле.

Наименование

Описание

Шаг 1. Начать импорт

Нажать на кнопку Импорт.

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

Название — название сертификата, под которым он будет отображен в списке сертификатов.
Описание — описание сертификата.
Файл сертификата: загрузите файл, содержащий данные сертификата.
Приватный ключ: загрузите файл, содержащий приватный ключ сертификата.
Пароль для приватного ключа, если таковой требуется.
Цепочка сертификатов – файл, содержащий сертификаты вышестоящих центров сертификации, которые участвовали в создании сертификата. Необязательное поле.

Использование корпоративного УЦ для создания сертификата инспектирования SSL

Если в компании уже существует внутренний УЦ или цепочка удостоверяющих центров, то можно указать в качестве сертификата для инспектирования SSL сертификат, созданный внутренним УЦ. В случае, если внутренний УЦ является доверяемым для всех пользователей компании, то перехват SSL будет происходить незаметно, пользователи не будут получать предупреждение о подмене сертификата.

Рассмотрим более подробно процедуру настройки WAF. Допустим, что в организации используется внутренний УЦ на базе Microsoft Enterprise CA, интегрированный в Active Directory. Структура УЦ следующая:

Пример структуры корпоративного УЦ

Необходимо выписать с помощью Sub CA2 сертификат для WAF и настроить его в качестве сертификата для инспектирования SSL. Необходимо выписать сертификат UserGate SSL decrypt в качестве удостоверяющего центра.

Важно! В качестве сертификата для инспектирования SSL могут быть использованы только те импортированные сертификаты, которые соответствуют двум требованиям ниже:

Сертификат класса удостоверяющего центра (CA):

В расширении X509v3 Basic Constraints (RFC 5280) сертификата должен быть атрибут CA:TRUE.
В разделе UserGate ➜ Сертификаты консоли администратора такие сертификаты помечаются иконкой Файл сертификата УЦ слева от названия сертификата.

Ограничение использования сертификата не установлено или в его назначении в явном виде указаны атрибуты Digital signature и Certificate signing.

В сертификате не использованы никакие атрибуты расширения X509v3 Key Usage (RFC 5280).
- В столбце Назначение сертификата раздела UserGate ➜ Сертификаты консоли администратора для такого сертификата будет указано Отсутствует.
Если в сертификате используется расширение X509v3 Key Usage, то для инспектирования SSL обязательно должны присутствовать атрибуты digitalSignature и keyCertSign.
- В столбце Назначение сертификата раздела UserGate ➜ Сертификаты консоли администратора для такого сертификата будет указано Digital signature и Certificate signing.

ПримечаниеUserGate не поддерживает алгоритм подписи rsassaPss. Необходимо, чтобы вся цепочка сертификатов, которая используется для выписывания сертификата для инспектирования SSL, не содержала данного алгоритма подписи.

Для выполнения этой задачи следует выполнить следующие шаги:

Наименование	Описание
Шаг 1. Создать CSR-запрос на создание сертификата в WAF.	Нажать на кнопку Создать ➜ Новый CSR. Заполнить необходимые поля и создать CSR. Будет создан приватный ключ и файл запроса. С помощью кнопки Экспорт скачать файл запроса.
Шаг 2. Создать сертификат на основе подготовленного CSR.	В Microsoft CA создать сертификат на основе полученного на предыдущем шаге CSR-файла с помощью утилиты certreq: certreq.exe -submit -attrib "CertificateTemplate:SubCA" HTTPS_csr.pem или с помощью веб-консоли Microsoft CA, указав в качестве шаблона «Подчиненный центр сертификации». Обратитесь к документации Microsoft за более подробной информацией. По окончании процедуры вы получите сертификат (публичный ключ), подписанный УЦ Sub CA2.
Шаг 3. Скачать полученный сертификат.	Из веб-консоли Microsoft CA скачать созданный сертификат (публичный ключ).
Шаг 4. Загрузить сертификат в созданный ранее CSR.	В WAF выбрать созданный ранее CSR и нажать кнопку Редактировать. Загрузить файл сертификата и нажать Сохранить.
Шаг 5. Указать тип сертификата – инспектирование SSL.	В WAF выбрать созданный ранее CSR и нажать кнопку Редактировать. В поле Используется указать SSL инспектирование.
Шаг 6. Скачать сертификаты для промежуточных УЦ (Sub CA1 и Sub CA2).	В веб-консоли Microsoft CA выбрать и скачать сертификаты (публичные ключи) для УЦ Sub CA1 и Sub CA2.
Шаг 7. Загрузить сертификаты Sub CA1 и Sub CA2 в WAF.	С помощью кнопки Импорт загрузить скачанные на предыдущем шаге сертификаты для Sub CA1 и Sub CA2.
Шаг 8. Установить тип — инспектирование SSL (промежуточный) для сертификатов Sub CA1 и Sub CA2.	В UserGate выбрать загруженные сертификаты и нажать кнопку Редактировать. Указать в поле Используется — Инспектирование SSL (промежуточный) для обоих сертификатов.
Шаг 9. Загрузить сертификат Root CA в UserGate (опционально).	С помощью кнопки Импорт загрузить корневой сертификат организации в WAF. С помощью кнопки Редактировать указать в поле Используется — Инспектирование SSL (корневой).

Профили клиентских сертификатов

Профиль клиентского сертификата позволяет управлять сертификатами для обеспечения безопасности и подтверждения подлинности в сетевых соединениях. В профиле указываются сертификаты УЦ, методы проверки актуальности пользовательских сертификатов, методы выбора имени пользователя для аутентификации.

Профиль клиентского сертификата используется для валидации предоставленного клиентом сертификата. Сертификат клиента проверяется на валидность для каждого сертификата УЦ из списка.

При выборе режима аутентификации посредством сертификатов (PKI) указывается сконфигурированный ранее профиль клиентского сертификата, который в дальнейшем можно будет использовать в настройках reverse-прокси.

Чтобы создать профиль клиентского сертификата, необходимо в разделе Настройки ➜ UserGate ➜ Профили клиентских сертификатов нажать на кнопку Добавить и указать необходимые параметры:

Наименование	Описание
Название	Название профиля клиентских сертификатов.
Описание	Опциональное описание профиля.
Получать имя пользователя из	Выбор поля в сертификате, по которому определяется имя пользователя, используемое при аутентификации: Common-name — доменное имя или имя хоста в поле Subject, для которых предназначен сертификат. Subject altname email — для определения имени пользователя используется параметр с префиксом email в расширении SAN (Subject Alternative Name). Principal name — для определения имени пользователя используется параметр Universal Principal Name (UPN), содержащийся в поле otherName в расширении SAN. Если в полях расширения SAN сертификата указано несколько имен UPN или несколько адресов email, берется первый, указанный в сертификате.
Сертификаты УЦ	Сертификаты УЦ, назначаемые профилю. Список сертификатов удостоверяющих центров. Используется для валидации предоставленного клиентом сертификата. Сертификат клиента проверяется на валидность для каждого сертификата УЦ из списка. Перебор списка идет сверху вниз.
Проверка отозванных сертификатов	В списках отзыва сертификатов (CRL) содержатся сертификаты, которые были отозваны и больше не могут использоваться. В этот список входят сертификаты, срок действия которых истек или они были скомпрометированы. Параметр для проверки состояния отзыва сертификатов: Не проверять — не проверять ни один сертификат. Вся цепочка — проверять все сертификаты в цепочке и требовать, чтобы они все были валидными. Сертификат пользователя — проверять только сертификат клиента. Считать валидным, если статус неизвестен — если проверить CRL не удалось по какой-то причине, то сертификат считается валидным (при этом он всё равно проверяется и может вернуть статус invalid, если сертификат есть в списке отозванных).
Тайм-аут проверки	Интервал времени, по истечению которого WAF перестает ожидать ответа от службы списков отзыва сертификатов.

Наименование	Описание
UGOS WAF	Загрузка WAF с выводом диагностической информации о загрузке в последовательный порт.
UGOS WAF (failsafe)	Загрузка WAF в упрощённом видеорежиме.
Support menu	Войти в раздел системных утилит с выводом информации в консоль tty1 (монитор).
Restore previous version	Раздел доступен после обновления или создания резервной копии.

Наименование	Описание
Check filesystems	Запуск проверки файловой системы устройства на наличие ошибок и их автоматическое исправление.
Expand data partition	Увеличение раздела для хранения данных. Эта операция обычно используется после увеличения дискового пространства, выделенного гипервизором для виртуальной машины WAF. Важно! Для расширения системного раздела с сохранением данных и настроек WAF необходимо средствами гипервизора добавить новый диск и затем выполнить операцию Expand data partition, как указано в статье руководства администратора Расширение системного раздела.
Create backup	Создать полную копию диска WAF на внешний USB носитель. Важно! Перед созданием резервной копии USB носитель будет отформатирован.
Restore from backup	Восстановление WAF с внешнего USB носителя.
Factory reset	Сброс состояния WAF. Версия ПО останется той, которая была установлена при запуске команды. Все данные и настройки будут утеряны.
Exit	Выход и перезагрузка устройства.