Управление устройствами UserGate DCFW

Управление устройствами UserGate DCFW (Описание)

Централизованное управление UserGate DCFW (доступно в версии 7.4.0 и выше) можно разделить на 4 этапа:

1. Создание управляемой области. Смотрите раздел Создание управляемых областей.

2. Создание шаблона или несколько шаблонов, каждый из которых опишет свою часть настроек DCFW. Смотрите раздел Шаблоны устройств для более детальной информации.

3. Объединение необходимых шаблонов в группу шаблонов в требуемом порядке, чтобы получить корректную результирующую настройку управляемых устройств. Смотрите раздел Группы шаблонов для более детальной информации.

4. Добавление управляемого устройства (DCFW) и применение к нему группы шаблонов. Смотрите раздел Добавление устройств UserGate под управление UGMC для более детальной информации.

UGMC позволяет создавать и управлять кластерами конфигурации и отказоустойчивости. Подробно тонкости управления кластерами описаны в разделе Кластеризация UserGate DCFW с помощью UGMC.

При необходимости настройки, заданные в шаблонах, можно изменять, чтобы эти изменения применялись ко всем DCFW, к которым применимы данные шаблоны.

Шаблоны устройств

Шаблон — это базовый блок, с помощью которого можно настроить все параметры работы DCFW — сетевые настройки, правила межсетевого экрана и других. Для создания шаблона необходимо в разделе DCFW ➜ Шаблоны нажать на кнопку Добавить и дать шаблону имя и опциональное описание.

После создания шаблона можно производить настройку его параметров. Для этого необходимо перейти в раздел верхнего меню DCFW-конфигурация и в выпадающем меню Выберите шаблон выбрать необходимый шаблон.

Настройки параметров шаблона отображаются в виде дерева, полностью аналогично, как они представлены в UserGate DCFW. При настройке параметров следует придерживаться следующих правил:

1. Если значение настройки не определено в шаблоне, то ничего передаваться в DCFW не будет. В данном случае в DCFW будет использована либо настройка по умолчанию, либо настройка, которую указал локальный администратор DCFW.

2. Если настройка параметра выполнена в шаблоне, то эта настройка переопределит значение этой же настройки, назначенной локальным администратором.

После получения настроек с UGMC настройки следующих разделов могут быть изменены локально на DCFW:

ПримечаниеНастройка будет переопределена после изменения данной настройки в шаблоне DCFW администратором области на UGMC.

общие настройки устройства: вкладка Настройки, раздел UserGate ➜ Настройки;
настройки сетевых интерфейсов: вкладка Настройки, раздел Сеть ➜ Интерфейсы.

3. Правила политик не переопределяют правила, созданные локальным администратором, а добавляются к ним в виде пре- и пост- правил. Подробно о применении правил смотрите раздел данного руководства Шаблоны и группы шаблонов.

4. При настройке сетевых интерфейсов первый физический интерфейс, доступный для конфигурирования — это port1. Интерфейс port0 нельзя настроить с помощью средств UGMC, он всегда настраивается локальным администратором и необходим для обеспечения первичной связи управляемых устройств с UGMC.

5. При настройке сетевых интерфейсов возможно создать интерфейс и оставить его конфигурирование локальному администратору. Для этого необходимо поставить флажок Настраивается на устройстве в настройках сетевого интерфейса.

ПримечаниеПосле создания интерфейса в шаблоне на UGMC, он создается на управляемом DCFW. При удалении такого интерфейса в шаблоне UGMC, он на DCFW автоматически не удалится. Администратору DCFW будет необходимо удалить его на самом устройстве.

6. В некоторых настройках и правилах политик доступна опция применения данного правила или настройки только к конкретному устройству. Для этого необходимо выбрать управляемое устройство в свойствах правила/настройки в закладке Управляемые устройства. Хотя это и предоставляет определенную гибкость, следует избегать чрезмерного использования данной опции, поскольку это приводит к сложности понимания применения настроек к группам UserGate DCFW.

7. Библиотеки, например, такие как IP-адреса, списки URL и другие, по умолчанию не содержат никакого контента в UGMC в отличие от библиотек, создаваемых по умолчанию на устройствах DCFW. Для использования библиотек в политиках UGMC, необходимо предварительно добавить элементы в эти библиотеки. Элементы библиотек не участвуют в синхронизации: если список был создан, но не используется в политиках, то данный список не появится в разделе библиотек DCFW.

ПримечаниеПосле обновления MC и/или импорта настроек в MC для корректной работы проприетарных сигнатур СОВ/приложений рекомендуется запустить скачивание обновлений библиотек этих сигнатур в режиме администратора MC в разделе Настройка ➜ Центр обновлений ➜ Обновление библиотек. Обычно этот процесс происходит автоматически в течении нескольких минут после обновления версии (если нет проблем с сетью, лицензией и тд.). В случае, если с узла нет доступа к ресурсу с библиотеками, необходимо установить офлайн-обновление библиотек в разделе Настройка ➜ Центр обновлений ➜ Обновления ПО Офлайн-обновление.

8. Рекомендуется создавать отдельные шаблоны для разных групп настроек, это позволит избежать конфликтов настроек при объединении шаблонов в группы шаблонов и упростит понимание результирующей настройки, которая будет применена к управляемым устройствам. Например, шаблон сетевых настроек, шаблон правил межсетевого экрана, шаблон правил контентной фильтрации, шаблон библиотек и т.д.

9. При создании настроек функций, которые не являются кластерными в свойствах функции имеется возможность указать имя узла, для которого эти настройки будут применены (поле Имя узла).

Группы шаблонов

Группы шаблонов объединяют несколько шаблонов в единую конфигурацию, которая применяется к управляемому устройству. Результирующие настройки, применяемые к устройству, формируются в результате слияния всех настроек шаблонов, входящих в группу шаблонов, с учетом расположения шаблонов внутри группы. Подробнее о результирующих настройках смотрите главу руководства Шаблоны и группы шаблонов.

Для создания группы шаблонов необходимо в разделе DCFW ➜ Группы шаблонов нажать на кнопку Добавить, дать группе имя и опциональное описание и добавить в него созданные ранее шаблоны:

После добавления шаблонов их можно расположить в требуемом порядке, используя кнопки Выше, Ниже, Наверх, Вниз, создав таким образом необходимую результирующую конфигурацию.

Добавление устройств UserGate DCFW под управление UGMC

Группа шаблонов всегда применяется к одному или нескольким управляемым устройствам UserGate DCFW. Процедура добавления управляемого устройства в UGMC состоит из следующих шагов:

Наименование	Описание
Шаг 1. Обеспечить доступ от управляемого устройства до UGMC	На сервере UGMC необходимо разрешить сервис UserGate Management Center зоне, к которой подключены управляемые устройства. Сервер UGMC слушает подключения от управляемых устройств на портах TCP 2022 и 9712. Передача данных между сервером UGMC и управляемыми устройствами осуществляется по зашифрованному каналу.
Шаг 2. Создать объект управляемого устройства	В консоли управления областью в разделе DCFW ➜ Устройства нажать кнопку Добавить и указать необходимые настройки.
Шаг 3. Связать созданный объект управляемого устройства с реальным устройством UserGate DCFW.	В консоли управления UserGate DCFW настройте связь между UGMC и устройством. Данную операцию можно произвести в момент первоначальной установки DCFW, либо уже на настроенный DCFW. Оба варианта подробно описаны далее в этой главе.

Наименование

Описание

Шаг 1. Обеспечить доступ от управляемого устройства до UGMC

На сервере UGMC необходимо разрешить сервис UserGate Management Center зоне, к которой подключены управляемые устройства. Сервер UGMC слушает подключения от управляемых устройств на портах TCP 2022 и 9712.

Передача данных между сервером UGMC и управляемыми устройствами осуществляется по зашифрованному каналу.

Шаг 2. Создать объект управляемого устройства

В консоли управления областью в разделе DCFW ➜ Устройства нажать кнопку Добавить и указать необходимые настройки.

Шаг 3. Связать созданный объект управляемого устройства с реальным устройством UserGate DCFW.

В консоли управления UserGate DCFW настройте связь между UGMC и устройством. Данную операцию можно произвести в момент первоначальной установки DCFW, либо уже на настроенный DCFW. Оба варианта подробно описаны далее в этой главе.

При создании объекта управляемого устройства необходимо указать следующие параметры:

Наименование	Описание
Включено	Включает объект управляемого устройства. Если объект управляемого устройства включен, то он занимает одну лицензию.
Название	Название для управляемого устройства. Можно вводить произвольное название.
Описание	Описание управляемого устройства.
Группа шаблонов	Группа шаблонов, настройки которой следует применить к этому управляемому устройству.
Синхронизация	Выбор режима синхронизации настроек группы шаблонов к устройству. Возможны 3 варианта: Автоматическая синхронизация — синхронизация включена. Настройки применяются к устройству. При изменении любой настройки из любого шаблона, включенного в группу шаблонов, примененную к управляемому устройству, это изменение применяется к DCFW без задержек. Отключено — синхронизация выключена. Ручная синхронизация — режим синхронизации, при котором настройки применяются однократно при нажатии кнопки Запросить синхронизацию. Полезно в случаях, когда необходимо изменить много настроек в шаблонах и единовременно отослать их на устройство. В этом случае необходимо отключить синхронизацию, произвести необходимые изменения в шаблонах, после чего включить синхронизацию в режим Ручная синхронизация. Вне зависимости от выбранного режима доступен запуск синхронизации всех настроек для выбранных устройств (раздел DCFW ➜ Устройства кнопка Действия ➜ Запустить полную синхронизацию).
Адреса UserGate для связи с LogAn	Указание IP-адреса на управляемом DCFW для связи с LogAn.

Для осуществления связи DCFW с UGMC во время первоначальной настройки DCFW необходимо выполнить следующие шаги:

Наименование	Описание
Шаг 1. Скопировать Код устройства	В UGMC выбрать созданный объект управляемого устройства и нажать на кнопку Показать уникальный код устройства. Скопировать данный код в буфер обмена.
Шаг 2. На DCFW в момент первоначальной инициализации выбрать установку с помощью UGMC	В момент первоначальной инициализации на этапе задания имени администратора и его пароля необходимо выбрать ссылку Настроить через UGMC.
Шаг 3. Указать необходимые настройки нового узла и ввести уникальный код устройства	Указать следующие параметры: Сетевые настройки данного DCFW (IP, маска, шлюз). Данные настройки будут применены к указанному интерфейсу. Необходимо, чтобы после задания сетевых настроек появилась сетевая доступность с этого DCFW до UGMC. Имя локального администратора и его пароль. IP-адрес UGMC и уникальный код устройства, сохраненный на первом шаге.
Шаг 4. Проверить подключение	После подключения к UGMC, DCFW должен получить все настройки, подготовленные для него в UGMC. В DCFW настройки отображаются со значком замочка, означающим, что данную настройку локальный администратор не может изменять. В консоли UGMC в объекте управляемого устройства появится дополнительная информация о подключенном устройстве, такая как ПИН-код, серийный номер, информация о лицензии, используемой памяти и т.п.

Для осуществления связи уже настроенного DCFW с UGMC необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Скопировать Код устройства

В UGMC выбрать созданный объект управляемого устройства и нажать на кнопку Показать уникальный код устройства. Скопировать данный код в буфер обмена.

Шаг 2. Указать IP-адрес сервера UGMC и ввести уникальный код устройства

В разделе Настройки ➜ Агент UGMC выбрать Настроить, указать IP-адрес сервера UGMC, вставить уникальный код устройства и включить данное подключение. Для успешного выполнения данного шага необходимо, чтобы была сетевая доступность с этого DCFW до сервера UGMC.

Шаг 3. Проверить подключение

После подключения к UGMC DCFW UserGate должен получить все настройки, подготовленные для него в UGMC. В DCFW настройки отображаются со значком замочка, означающим, что данную настройку локальный администратор не может изменять.

В консоли UGMC в объекте управляемого устройства появится дополнительная информация о подключенном устройстве, такая как ПИН-код, серийный номер, информация о лицензии, используемой памяти и т.п.

После того, как DCFW успешно добавлен в UGMC администратор управляемого устройства может:

Наименование	Описание
Посмотреть расширенную информацию о состоянии управляемого устройства	В консоли UGMC необходимо выбрать объект управляемого устройства и нажать на кнопку Показать детальную информацию. Будет отображена следующая информация о подключенном устройстве: версия ПО устройства; ПИН-код устройства; серийный номер ПАК; время непрерывной работы; показатели загрузки устройства — загрузка ЦП, оперативной памяти, своп-файла, количество пользователей, подключенных через устройство.
Подключиться к консоли управляемого устройства	В консоли UGMC необходимо выбрать объект управляемого устройства и нажать на кнопку Открыть консоль. В новом окне откроется консоль DCFW.
Изменить настройки	В консоли UGMC измените настройки одного из шаблонов, входящего в группу шаблонов, примененного к устройству. Новые настройки будут применены к DCFW.

Наименование

Описание

Посмотреть расширенную информацию о состоянии управляемого устройства

В консоли UGMC необходимо выбрать объект управляемого устройства и нажать на кнопку Показать детальную информацию. Будет отображена следующая информация о подключенном устройстве:

версия ПО устройства;
ПИН-код устройства;
серийный номер ПАК;
время непрерывной работы;
показатели загрузки устройства — загрузка ЦП, оперативной памяти, своп-файла, количество пользователей, подключенных через устройство.

Подключиться к консоли управляемого устройства

В консоли UGMC необходимо выбрать объект управляемого устройства и нажать на кнопку Открыть консоль. В новом окне откроется консоль DCFW.

Изменить настройки

В консоли UGMC измените настройки одного из шаблонов, входящего в группу шаблонов, примененного к устройству. Новые настройки будут применены к DCFW.

Кластеризация UserGate DCFW с помощью UGMC

Шаблоны устройств позволяют объединить несколько устройств UserGate в кластер конфигурации с едиными настройками на всех узлах кластера и создать на базе узлов кластера конфигурации один или несколько кластеров отказоустойчивости.

Кластер конфигурации

Создание кластера конфигурации, управляемого из UGMC, практически идентично созданию отдельно стоящего кластера. Отличие лишь в том, что первый узел кластера должен быть подключен под управление UGMC до создания кластера конфигурации. Каждому узлу кластера конфигурации, подключаемому в UGMC, назначается идентификатор узла — уникальный идентификатор вида node_1, node_2, node_3 и так далее.

Настройка добавленного узла, включая настройки интерфейсов, зон, политик фильтрации, может производиться либо локально, либо через политики шаблонов UGMC. Если эти настройки уже были выполнены в шаблонах UGMC на момент подключения второго узла, то они будут применены к добавленному узлу сразу же после его добавления в кластер.

Добавление третьего и последующих узлов в кластер конфигурации выполняется аналогично.

Кластер отказоустойчивости

До 4-х узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив. Возможно собрать несколько кластеров отказоустойчивости.

Управление обновлениями управляемых устройств

UGMC позволяет создать централизованную политику обновления программного обеспечения UserGate (UGOS) и обновляемыми библиотеками, предоставляемыми по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, типов контента и другие).

Для управления обновлениями с помощью UGMC необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Настроить расписание проверки обновлений	Расписание проверки устанавливает время и периодичность проверки обновлений. Оно может быть настроено локально на каждом из устройств UserGate, либо централизовано с помощью настройки шаблонов в UGMC. В обоих случаях настройка выполняется идентично. В случае локальной настройки она производится в разделе Настройки в веб-консоли управления устройством. В случае настройки через UGMC настройка производится в одном из шаблонов в разделе Настройки.
Шаг 2. Настроить политику обновления ПО для устройств UserGate	Политика обновлений ПО позволяет задать обновление, доступное для установки на все или выборочные управляемые устройства. Подробно об обновлениях ПО смотрите в разделе Обновление ПО.
Шаг 3. Настроить политику обновления библиотек для устройств UserGate	Политика обновления библиотек позволяет выбрать необходимые обновления библиотек для установки на управляемые устройства. Подробно об обновлениях библиотек смотрите в разделе Обновление библиотек.

Обновление ПО

Компания UserGate периодически выпускает обновления программного обеспечения UserGate DCFW. Эти обновления выкладываются в репозиторий UserGate, откуда они уже доступны для скачивания DCFW. Если DCFW подключен к управлению через UGMC, то он проверяет наличие обновлений на сервере UGMC, который сам будет являться репозиторием. Репозиторий UserGate при этом будет использован сервером UGMC для получения новых обновлений.

В некоторых случаях служба поддержки UserGate может рекомендовать к установке определенным клиентам специфические обновления, недоступные для скачивания из репозитория. Такие обновления следует добавлять в UGMC с помощью импорта обновления из файла.

Порядок установки обновлений, следующий:

Наименование	Описание
Шаг 1. Загрузить обновления в репозиторий UGMC	Загрузить обновления можно либо из репозитория UserGate, либо импортировав файл обновления вручную. Для загрузки обновлений из репозитория необходимо в разделе DCFW ➜ Обновления ПО нажать на кнопку Выбрать онлайн-обновления, отобразится список обновлений, доступных для скачивания из репозитория UserGate. Выделить необходимые обновления и нажать кнопку Выбрать. Выделенные обновления будут загружены в UGMC. Для загрузки вручную необходимо в разделе DCFW ➜ Обновления ПО нажать на кнопку Импортировать обновление, выбрать файл с обновлением. Если для файла обновлений в самом обновлении не указаны название и версия обновления, то необходимо указать их в соответствующих полях. Кнопка Сохранить загрузит выбранное обновление в UGMC.
Шаг 2. Утвердить обновление для всех или для конкретных устройств	Для установки обновления на все устройства необходимо выбрать интересующее обновление и нажать на кнопку Утвердить обновление. Только одно обновление может быть утверждено для всех устройств. Если требуется установить данное обновление на группу устройств (например, для проведения тестирования), то необходимо в свойствах обновления указать управляемые устройства, для которых данное обновление будет доступно, и установить флажок Утвердить обновление.
Шаг 3. Провести установку обновления	После утверждения обновление становится доступным для скачивания для всех или группы управляемых устройств. Обновление может быть установлено на управляемом устройстве администратором этого устройства в ручном режиме.

Наименование

Описание

Шаг 1. Загрузить обновления в репозиторий UGMC

Загрузить обновления можно либо из репозитория UserGate, либо импортировав файл обновления вручную.

Для загрузки обновлений из репозитория необходимо в разделе DCFW ➜ Обновления ПО нажать на кнопку Выбрать онлайн-обновления, отобразится список обновлений, доступных для скачивания из репозитория UserGate. Выделить необходимые обновления и нажать кнопку Выбрать. Выделенные обновления будут загружены в UGMC.

Для загрузки вручную необходимо в разделе DCFW ➜ Обновления ПО нажать на кнопку Импортировать обновление, выбрать файл с обновлением. Если для файла обновлений в самом обновлении не указаны название и версия обновления, то необходимо указать их в соответствующих полях. Кнопка Сохранить загрузит выбранное обновление в UGMC.

Шаг 2. Утвердить обновление для всех или для конкретных устройств

Для установки обновления на все устройства необходимо выбрать интересующее обновление и нажать на кнопку Утвердить обновление. Только одно обновление может быть утверждено для всех устройств.

Если требуется установить данное обновление на группу устройств (например, для проведения тестирования), то необходимо в свойствах обновления указать управляемые устройства, для которых данное обновление будет доступно, и установить флажок Утвердить обновление.

Шаг 3. Провести установку обновления

После утверждения обновление становится доступным для скачивания для всех или группы управляемых устройств. Обновление может быть установлено на управляемом устройстве администратором этого устройства в ручном режиме.

Обновление в репозитории UGMC имеет следующие свойства:

Наименование	Описание
Название	Название обновления. Обычно не доступно для изменения, содержится в коде изменения.
Описание	Произвольное описание обновления.
Версия	Версия обновления. Не доступно для изменения, содержится в коде изменения.
Размер	Размер обновления.
Версия релиза	Версия релиза UserGate, для которого это обновление выпущено. Не доступно для изменения, содержится в коде изменения.
Статус	Статус обновления, например, скачано.
Прогресс	Показывает прогресс загрузки обновления с репозитория UserGate.
Канал обновлений	Канал обновлений репозитория UserGate: Стабильные — канал стабильных обновлений ПО; Бета — канал экспериментальных обновлений.
Список изменений	Ссылка на список изменений, содержащихся в данном обновлении.
Управляемые устройства	Список управляемых устройств, которым назначено данное обновление.
Добавлено	Дата добавления обновления в репозиторий UGMC и имя администратора, который выполнил добавление.
Утверждено	Дата утверждения обновления и имя администратора, который выполнил утверждение.

Обновление библиотек

Библиотеки — это обновляемые базы ресурсов, предоставляемых по подписке клиентам UserGate .Эти обновления выкладываются в репозиторий UserGate, откуда они уже доступны для скачивания UserGate DCFW. Если DCFW подключен к управлению через UGMC, то он проверяет наличие обновлений на сервере UGMC, который сам будет являться репозиторием. Репозиторий UserGate при этом будет использован сервером UGMC для получения новых обновлений. По умолчанию UGMC проверяет и скачивает обновления библиотек автоматически.

В случаях, когда UGMC не имеет доступа до репозитория UserGate, имеется возможность импортировать обновление вручную из файла, полученного в личном кабинете клиента UserGate (https://my.usergate.com).

Библиотеки, находящиеся в репозитории UGMC доступны всем управляемым устройствам UserGate. Управляемые устройства скачивают и устанавливают доступные обновления автоматически в соответствии с расписанием проверки обновлений.

Обновление библиотек в репозитории UGMC имеет следующие свойства:

Наименование	Описание
Название	Название обновления. Не доступно для изменения, содержится в коде изменения.
Описание	Произвольное описание обновления.
Скачивать	Режим скачивания новых версий. По умолчанию установлен режим Автоматически — UGMC автоматически проверяет наличие новых версий в репозитории UserGate и скачивает их. При выборе режима Ручное — UserGate не обновляет выбранную библиотек в автоматическом режиме.
Размер	Размер обновления.
Версия	Версия обновления библиотеки.
Обновлено	Дата и время последнего обновления конкретной библиотеки.