Параметры работы интерфейса командной строки настраиваются на уровне settings cli.
Для настройки системного приглашения консоли CLI используется команда:
Admin@nodename# set settings cli custom-prompt <new-custom-prompt>
Вы можете поменять системное приглашение в консоли CLI с установленного по умолчанию (вида Admin@nodename#) на удобное вам. Например, чтобы поменять вид системного приглашения на NodeAABBCC, выполните следующую команду:
Admin@nodename# set settings cli custom-prompt NodeAABBCC
NodeAABBCC#
Вернуть системное приглашение в первоначальное состояние можно с помощью команды:
Admin@nodename# set settings cli custom-prompt default
Пример использования команды:
NodeAABBCC#
NodeAABBCC# set settings cli custom-prompt default
Admin@nodename#
Чтобы задать уровень детализации журналирования CLI используется команда:
Admin@nodename# set settings cli log-level
Вы можете установить следующие уровни детализации:
off — отключить журналирование;
error — только ошибки;
warning — ошибки и предупреждения;
info — ошибки, предупреждения и дополнительная информация;
debug — максимальная детализация.
Чтобы задать уровень детализации журналирования операций экспорта и импорта конфигурации в CLI используется команда:
Admin@nodename# set settings cli log-level
Вы можете установить следующие уровни детализации:
off — отключить журналирование;
error — только ошибки;
warning — ошибки и предупреждения;
info — ошибки, предупреждения и дополнительная информация;
debug — максимальная детализация.
Посмотреть текущие значения параметров работы интерфейса командной строки можно с помощью команды:
Admin@nodename# show settings cli
Базовые параметры UserGate SWG настраиваются на уровне settings general.
Структура команд для настройки базовых параметров устройства:
Admin@nodename# set settings general <settings-module> <parameters>
Базовые параметры устройства сгруппированы в разделы.
|
Раздел |
Описание |
|---|---|
|
admin-console |
Параметры консоли управления:
|
|
server-time |
Параметры установки точного времени:
|
|
modules |
Настройка работы модулей устройства:
|
|
cache |
Параметры кэширования прокси-сервера:
|
|
log-analyzer |
Параметры модуля сбора статистики:
|
|
proxy-portal |
Параметры предоставления доступа к внутренним ресурсам компании с помощью веб-портала:
|
|
pcap |
Настройка захвата пакетов. Команда для настройки:
Параметры:
|
|
change-tracker |
Настройка учета изменений параметров устройства:
|
|
management-center |
Настройка агента UserGate Management Center. Команда для настройки:
Параметры:
|
|
updates-schedule |
Настройка расписания скачивания обновлений программного обеспечения и библиотек. Расписание для обновления программного обеспечения задается командой: Admin@nodename# set settings general updates-schedule software schedule <schedule|disabled>
Единое расписание для скачивания обновлений библиотек задается командой: Admin@nodename# set settings general updates-schedule all-libraries schedule <schedule|disabled>
Расписание для скачивания обновлений отдельных библиотек задается командой: Admin@nodename# set settings general updates-schedule libraries [ lib-module ... ] schedule <schedule/disabled>
Время задается в crontab-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>. Каждое из полей может быть задано следующим образом:
Команда для просмотра расписания обновлений: Admin@nodename# show settings general updates-schedule |
|
metrics-collection |
Настройка параметров передачи метрик телеметрии.
|
Управление подключаемыми модулями устройства в CLI выполняется на уровне settings device.
Для управления модулями используется команда:
Admin@nodename# set settings device <parameters>
Укажите параметры команды.
|
Параметр |
Описание |
|---|---|
|
sip |
Включение или отключение загрузки модуля SIP; модуль необходимо включать для сопоставления сигнального соединения и соединения передачи данных в случае использования NAT:
По умолчанию модуль выгружен. Для разрешения передачи медиа-трафика напрямую между конечными участниками разговора:
Важно!После включения для корректной работы модуля необходимо перезагрузить таблицу правил межсетевого экрана (нажать «Принудительно применить» в разделе «Политики сети» ➜ «Межсетевой экран»).
|
|
h323 |
Включение или отключение загрузки модуля h323; модуль необходимо включать для сопоставления сигнального соединения и соединения передачи данных в случае использования NAT:
По умолчанию модуль выгружен |
|
sunrpc |
Включение или отключение загрузки модуля SunRPC:
По умолчанию модуль выгружен |
|
ftp-alg |
Включение или отключение загрузки модуля FTP; модуль необходимо включать для сопоставления сигнального соединения и соединения передачи данных в случае использования NAT:
Важно!Модуль нужно включать для пассивного режима работы FTP.
По умолчанию модуль выгружен |
|
auth-type |
Использование подписи IPsec Authentication Header для служебных пакетов VRRP в кластере отказоустойчивости:
|
|
fw-drop-invalid |
Включение или отключение блокировки пакетов с некорректным набором параметров в полях заголовка:
По умолчанию настройка находится в выключенном состоянии. Включение данной опции существенно понижает производительность межсетевого экрана; рекомендуется оставить данную настройку выключенной |
|
fw-established |
Включение или отключение создания одного общего правила межсетевого экрана для обратных пакетов:
По умолчанию настройка выключена |
|
bypass-optimization |
Включение или отключение оптимизации инспектирования SSL:
При включённом параметре bypass-optimization для снижения нагрузки на прокси-сервер инспекция SSL не будет происходить, если на узле нет запрещающих правил инспектирования SSL. При этом в журнале веб-доступа при включённой опции журналирования будет присутствовать только информация уровней L3/L4. По умолчанию настройка выключена |
Команда для просмотра текущих параметров:
Admin@nodename# show settings device
В этом разделе вы можете управлять параметрами диагностики устройства, необходимыми службе технической поддержки для решения возможных проблем.
Параметры диагностики задаются на уровне settings loglevel.
C помощью следующей команды вы можете установить необходимый уровень детализации журналирования событий:
Admin@nodename# set settings loglevel value <off | error | warning | info | debug>
off — ведение журналов диагностики отключено;
error — журналировать только ошибки;
warning — журналировать только ошибки и предупреждения;
info — журналировать только ошибки, предупреждения и дополнительную информацию;
debug — журналировать все возможные события.
При журналировании на уровнях warning, info и debug может снижаться производительность UserGate SWG, поэтому рекомендуется устанавливать уровни error или off, если технической поддержкой UserGate не было предложено иное.
Для просмотра состояния уровня детализации диагностики используется команда:
Admin@nodename# show settings loglevel
Для включения или отключения удаленного помощника (radmin) используется команда:
Admin@nodename# set settings radmin enabled <on | off>
Для просмотра состояния удаленного помощника используется команда:
Admin@nodename# show settings radmin
Если произошел сбой в работе ядра UserGate SWG, может пропасть возможность авторизации в CLI. Для активации удаленного помощника в таких случаях администратор может зайти в CLI в режиме emergency под учетной записью корневого администратора, которая была создана при инициализации UserGate SWG. Обычно это учетная запись Admin. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля — пароль корневого администратора.
Команда входа в режим emergency CLI выглядит следующим образом:
ssh Admin@emergency@<SWG_IP> -p 2200
Команда включения и отключения удаленного доступа к серверу для технической поддержки в режиме emergency:
Admin@emergency@SWG# set radmin-emergency enabled <on | off> <parameters>
В команде указываются следующие сетевые параметры:
interface — название интерфейса;
ip-addr — IP-адрес интерфейса;
gateway-address — IP-адрес шлюза.
В режиме emergency доступна команда возврата устройства в первоначальное состояние:
Admin@emergency@SWG# execute factory-reset
Все данные и параметры будут утеряны. Версия ПО не изменится: сохранится версия, актуальная на момент запуска команды.
В этом разделе вы можете установить канал получения обновлений для устройства (стабильные версии или бета-версии).
Канал обновлений устанавливается с помощью команды:
Admin@nodename# set settings device-mgmt updates-channel <stable | beta>
Для просмотра наличия обновлений и выбранного канала обновления используется команда:
Admin@nodename# show settings device-mgmt updates-channelПравила резервного копирования создаются на уровне settings device-mgmt.
Для создания правила резервного копирования и выгрузки файлов на внешние серверы (FTP/SSH) используется команда:
Admin@nodename# create settings device-mgmt settings-backup <parameters>
Параметры правил резервного копирования.
|
Параметр |
Описание |
|---|---|
|
enabled |
Включение или отключение правила создания резервной копии устройства |
|
name |
Название правила резервного копирования |
|
description |
Описание правила резервного копирования |
|
type |
Выбор типа удаленного сервера для экспорта файлов:
|
|
address |
IP-адрес удаленного сервера |
|
port |
Порт сервера |
|
login |
Учетная запись на удаленном сервере |
|
password |
Пароль учетной записи |
|
path |
Путь на сервере, куда будут выгружены файлы |
|
schedule |
Расписание экспорта файлов резервных копий. Время задается в crontab-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>. Каждое из полей может быть задано следующим образом:
|
Для изменения существующего правила резервного копирования используется команда:
Admin@nodename# set settings device-mgmt settings-backup <rule-name>
Список параметров, доступных для изменения, аналогичен списку параметров, доступных при создании правила.
Для удаления правила резервного копирования используется команда:
Admin@nodename# delete settings device-mgmt settings-backup <rule-name>
Для просмотра параметров правила резервного копирования используется команда:
Admin@nodename# show settings device-mgmt settings-backup <rule-name>
Для команд изменения, удаления или отображения правил в качестве идентификатора правила можно использовать не только название, но и другие заданные в правиле параметры (см. список параметров в таблице выше).
Создание и настройка правил экспорта параметров устройства происходит на уровне settings device-mgmt settings-export.
Для создания правила экспорта параметров используется команда:
Admin@nodename# create settings device-mgmt settings-export ( <parameters> )
|
Параметр |
Описание |
|---|---|
|
enabled |
Включение или отключение правила экспорта параметров устройства |
|
name |
Название правила экспорта |
|
description |
Описание правила экспорта |
|
type |
Тип удаленного сервера для экспорта параметров:
|
|
address |
IP-адрес удаленного сервера |
|
port |
Порт сервера |
|
login |
Учетная запись на удаленном сервере |
|
password |
Пароль учетной записи на удаленном сервере |
|
path |
Путь на сервере, куда будут выгружены параметры |
|
schedule |
Расписание экспорта параметров. Время задается в crontab-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>. Каждое из полей может быть задано следующим образом:
|
Для изменения существующего правила экспорта параметров устройства используется команда:
Admin@nodename# set settings device-mgmt settings-export <rule-name>
Список параметров, доступных для изменения, аналогичен списку параметров, доступных при создании правила.
Для удаления правила экспорта параметров используется команда:
Admin@nodename# delete settings device-mgmt settings-export <rule-name>
Для просмотра параметров правила экспорта используется команда:
Admin@nodename# show settings device-mgmt settings-export <rule-name>
Для команд изменения, удаления или отображения правил в качестве идентификатора правила можно использовать не только название, но и другие заданные в существующем правиле параметры (см. список параметров в таблице выше).
Для настройки параметров защиты конфигурации устройства от изменения используется команда:
Admin@nodename# set settings change-control config <off | log | block>
Проверка целостности конфигурации происходит каждые несколько минут после загрузки UserGate SWG.
log — активация режима отслеживания изменений конфигурации. При обнаружении изменений UserGate SWG записывает информацию о факте изменения в журнал событий. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания.
off — отключение режима отслеживания изменений конфигурации. Необходимо указать пароль, который был задан при активации режима отслеживания конфигурации.
block — активация режима отслеживания изменений конфигурации. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate SWG записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик.
Перед активацией защиты конфигурации администратор производит настройку устройства в соответствии с требованиями организации, после чего защищает параметры от изменений (режим log или block). Любое изменение параметров через веб-интерфейс, CLI или другими способами будет приводить к журналированию и блокировке транзитного трафика, в зависимости от выбранного режима.
Для просмотра текущего режима защиты конфигурации от изменений используется команда:
Admin@nodename# show settings change-control configДля настройки защиты исполняемого кода устройства от потенциального несанкционированного изменения используется команда:
Admin@nodename# set settings change-control code <off | log | block>
Проверка целостности исполняемого кода происходит каждый раз после загрузки UserGate SWG.
log — активация режима отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений UserGate SWG записывает информацию о факте изменения в журнал событий. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания.
off — отключение режима отслеживания несанкционированных изменений исполняемого кода. Необходимо указать пароль, который был задан при активации режима отслеживания исполняемого кода.
block — активация режима отслеживания несанкционированных изменений исполняемого кода. Необходимо задать пароль, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate SWG записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик. Чтобы отключить созданное правило межсетевого экрана необходимо отключить отслеживание несанкционированных изменений.
Для просмотра текущего режима защиты исполняемых файлов используется команда:
Admin@nodename# show settings change-control code
Для включения или отключения режима ускоренной обработки трафика используется команда:
Admin@nodename# set settings fastpath enabled <on/off>
Для просмотра параметров режима ускоренной обработки трафика используется команда:
Admin@nodename# show settings fastpath
Кластер конфигурации настраивается на уровне settings device-mgmt configuration-cluster.
Для изменения параметров существующего узла кластера используется команда:
Admin@nodename# set settings device-mgmt configuration-cluster <node-name>
Доступно изменение следующих параметров:
|
Параметр |
Описание |
|---|---|
|
name |
Изменение имени узла кластера |
|
description |
Изменение описание узла кластера |
|
ip |
Установка IP-адреса интерфейса, входящего в зону, выделенную для кластера |
Команды для удаления и отображения параметров узла кластера:
Admin@nodename# delete settings device-mgmt configuration-cluster <node-name>
...
Admin@nodename# show settings device-mgmt configuration-cluster <node-name>
Команда для генерации секретного кода для добавления нового узла в кластер конфигурации:
Admin@nodename# execute configurate-cluster generate-secret-key
Кластер отказоустойчивости настраивается на уровне settings device-mgmt ha-clusters.
Для создания кластера отказоустойчивости используется команда:
Admin@nodename# create settings device-mgmt ha-clusters
Далее необходимо задать следующие параметры:
|
Параметр |
Описание |
|---|---|
|
enabled |
Включение/отключение кластера отказоустойчивости:
|
|
name |
Название кластера отказоустойчивости |
| description |
Описание кластера отказоустойчивости |
|
nodes |
Выбор узлов кластера конфигурации для объединения их в кластер отказоустойчивости |
|
delivery-mode |
Выбор режима отправки служебного трафика:
|
|
virtual-ips |
Задание общего виртуального IP-адреса интерфейсам узлов кластера, находящимся в одной зоне:
|
|
mode |
Выбор режима работы кластера:
|
| advertise-time |
Выбор интервала в секундах между VRRP-объявлениями, в которых мастер-узел сообщает остальным узлам о своем состоянии. Один из параметров переключения роли мастер-узла на резервный узел. Можно указывать значения от 0 до 120 |
| master-down-timer |
Выбор количества интервалов, в течение которых резервный узел не получает подтверждения того, что мастер-узел находится в сети. Один из параметров переключения роли мастер-узла на резервный узел. По достижении этого значения начнется переключение роли мастер-узла на резервный узел. Можно указывать значения от 0 до 100 |
| preemption-delay |
Указание времени, на которое будет задержано переключение роли после того, как приоритет мастер-узла понизится. Один из параметров переключения роли мастер-узла на резервный узел. Можно указывать значения от 0 до 900 |
| allow-non-vip-traffic |
Включение/отключение обработки транзитного трафика резервным узлом. Отключение транзита трафика доступно только в режиме работы кластера «активный — пассивный |
| use-vmac |
Назначение/отключение виртуального MAC-адреса кластера узлу с ролью мастер-узла. Может назначаться, если назначены виртуальные IP-адреса и выбран режим работы кластера «активный — пассивный» |
| allow-non-vip-traffic |
Включение/отключение обработки транзитного трафика резервным узлом. Отключение транзита трафика доступно только в режиме работы кластера «активный — пассивный |
| no-preempt |
Управление переключением мастер-роли на резервный узел. Если включено, понижение приоритета мастер-узла учитываться не будет, а переключение мастер-роли на резервный узел будет происходить только в случае, если основной узел выйдет из строя |
| heartbeat |
Указание интерфейсов кластера, по которым будет проходить многоадресная передача сообщений синхронизации сессий и VRRP-объявлений (мультикастовый режим). По умолчанию для отправки VRRP-объявлений назначены интерфейсы кластера конфигурации |
| ha-cluster-multicast-id |
<num> — мультикаст идентификатор кластера (может принимать значения от 0 до 8). Синхронизация пользовательских сессий (кроме сессий, использующих прокси-сервер, например, трафик HTTP/S) включится автоматически |
|
session-sync |
Включение/отключение синхронизации пользовательских сессий между узлами кластера по протоколам TCP, SCTP, DCCP |
| session-sync-all |
Включение/отключение режима синхронизации всех пользовательских сессий, включая UDP/ICMP сессии |
|
vrid |
Идентификатор виртуального маршрутизатора (VRID) |
| node-sync |
Выбор интерфейсов, через которые будет выполняться синхронизация пользовательских сессий в мультикастовом режиме. В свойствах зоны, в которой находятся выбранные интерфейсы, необходимо разрешить синхронизацию сессий. |
|
excluded-sync-ips |
Указание IP-адресов, с которыми отключена синхронизация всех пользовательских сессий. Доступно для мультикастового режима |
|
unicast-sync-ip |
Указание IP-адресов, по которым будет происходить одноадресная передача сообщений между мастер-узлом и резервным узлом (юникастовый режим). Доступно только в режиме работы кластера «активный — пассивный» после выбора узлов кластера |
|
unicast-sync-port |
Указание интерфейсов, по которым будет происходить одноадресная передача сообщений между мастер-узлом и резервным узлом (юникастовый режим). Доступно только в режиме работы кластера «активный — пассивный» после выбора узлов кластера |
|
unicast-vrrp-ip |
Указание IP-адресов, по которым будет происходить обмен VRRP-объявлениями между узлами кластера (юникастовый режим). Доступно только в режиме работы кластера «активный — пассивный» после выбора узлов кластера |
|
unicast-vrrp-port |
Указание интерфейсов, по которым будет происходить обмен VRRP-объявлениями между узлами кластера (юникастовый режим). Доступно только в режиме работы кластера «активный — пассивный» после выбора узлов кластера |
|
track-interfaces-enabled |
Включение/отключение проверки интерфейсов |
| track-interfaces |
Выбор действия в случае недоступности интерфейса (доступно, если включена проверка интерфейсов):
|
Пример команды создания кластера отказоустойчивости:
Admin@nodename# create settings device-mgmt ha-clusters name ExampleCluster nodes [ node_1 node_2 ] mode active-passive delivery- mode multicast heartbeat [ node_1/port0 node_2/port0 ] node-sync [ node_1/port1 node_2/port1 ]
Команда для редактирования параметров кластера:
Admin@nodename# set settings device-mgmt ha-clusters <cluster-name>
Команда для настройки кластера отказоустойчивости в облачной среде Yandex Cloud
Admin@nodename# set settings device-mgmt ha-clusters ExampleCluster cloud service-provider yandex-cloud yandex-cloud-settings routes new
Параметры для редактирования:
|
Параметр |
Описание |
|---|---|
| heartbeat |
Указание интерфейсов кластера, по которым будет проходить многоадресная передача сообщений синхронизации сессий и VRRP-объявлений (мультикастовый режим). По умолчанию для отправки VRRP-объявлений назначены интерфейсы кластера конфигурации |
|
mode |
Выбор режима работы кластера:
|
|
name |
Название кластера отказоустойчивости |
|
nodes |
Выбор узлов кластера конфигурации для объединения их в кластер отказоустойчивости |
|
delivery-mode |
Выбор режима отправки служебного трафика:
|
|
enabled |
Включение/отключение кластера отказоустойчивости:
|
| description |
Описание кластера отказоустойчивости |
|
virtual-ips |
Задание общего виртуального IP-адреса интерфейсам узлов кластера, находящимся в одной зоне:
|
| advertise-time |
Выбор интервала в секундах между VRRP-объявлениями, в которых мастер-узел сообщает остальным узлам о своем состоянии. Один из параметров переключения роли мастер-узла на резервный узел. Можно указывать значения от 0 до 120 |
| master-down-timer |
Выбор количества интервалов, в течение которых резервный узел не получает подтверждения того, что мастер-узел находится в сети. Один из параметров переключения роли мастер-узла на резервный узел. По достижении этого значения начнется переключение роли мастер-узла на резервный узел. Можно указывать значения от 0 до 100 |
| preemption-delay |
Указание времени, на которое будет задержано переключение роли после того, как приоритет мастер-узла понизится. Один из параметров переключения роли мастер-узла на резервный узел. Можно указывать значения от 0 до 900 |
| allow-non-vip-traffic |
Включение/отключение обработки транзитного трафика резервным узлом. Отключение транзита трафика доступно только в режиме работы кластера «активный — пассивный |
| use-vmac |
Назначение/отключение виртуального MAC-адреса кластера узлу с ролью мастер-узла. Может назначаться, если назначены виртуальные IP-адреса и выбран режим работы кластера «активный — пассивный» |
| allow-non-vip-traffic |
Включение/отключение обработки транзитного трафика резервным узлом. Отключение транзита трафика доступно только в режиме работы кластера «активный — пассивный |
| no-preempt |
Управление переключением мастер-роли на резервный узел. Если включено, понижение приоритета мастер-узла учитываться не будет, а переключение мастер-роли на резервный узел будет происходить только в случае, если основной узел выйдет из строя |
|
master-node |
Назначение мастер-узла кластера отказоустойчивости |
| ha-cluster-multicast-id |
<num> — мультикаст идентификатор кластера (может принимать значения от 0 до 8). Синхронизация пользовательских сессий (кроме сессий, использующих прокси-сервер, например, трафик HTTP/S) включится автоматически |
|
session-sync |
Включение/отключение синхронизации пользовательских сессий между узлами кластера по протоколам TCP, SCTP, DCCP |
| session-sync-all |
Включение/отключение режима синхронизации всех пользовательских сессий, включая UDP/ICMP сессии |
|
vrid |
Идентификатор виртуального маршрутизатора (VRID) |
| node-sync |
Выбор интерфейсов, через которые будет выполняться синхронизация пользовательских сессий в мультикастовом режиме. В свойствах зоны, в которой находятся выбранные интерфейсы, необходимо разрешить синхронизацию сессий. |
|
excluded-sync-ips |
Указание IP-адресов, с которыми отключена синхронизация всех пользовательских сессий. Доступно для мультикастового режима |
|
unicast-sync-ip |
Указание IP-адресов, по которым будет происходить одноадресная передача сообщений между мастер-узлом и резервным узлом (юникастовый режим). Доступно только в режиме работы кластера «активный — пассивный» после выбора узлов кластера |
|
unicast-sync-port |
Указание интерфейсов, по которым будет происходить одноадресная передача сообщений между мастер-узлом и резервным узлом (юникастовый режим). Доступно только в режиме работы кластера «активный — пассивный» после выбора узлов кластера |
|
unicast-vrrp-ip |
Указание IP-адресов, по которым будет происходить обмен VRRP-объявлениями между узлами кластера (юникастовый режим). Доступно только в режиме работы кластера «активный — пассивный» после выбора узлов кластера |
|
unicast-vrrp-port |
Указание интерфейсов, по которым будет происходить обмен VRRP-объявлениями между узлами кластера (юникастовый режим). Доступно только в режиме работы кластера «активный — пассивный» после выбора узлов кластера |
|
track-interfaces-enabled |
Включение/отключение проверки интерфейсов |
|
track-interfaces |
Выбор действия в случае недоступности интерфейса (доступно, если включена проверка интерфейсов):
|
| checkers |
Настройка диагностики узлов кластера. Проверка доступности шлюзов
|
| cloud |
Параметры кластера:
|
Примеры редактирования настроек кластера:
Admin@nodename# set settings device-mgmt ha-clusters ExampleCluster nodes [ node_1 node_2 ] virtual-ips 192.168.1.5/24 ha-interfaces [ node_1/port3 node_2/port3 ]
...
Admin@nodename# set settings device-mgmt ha-clusters ExampleCluster master-node utmcore@iononsteswer
Для удаления кластера:
Admin@nodename# delete settings device-mgmt ha-clusters <cluster-name>
Также доступно удаление отдельных параметров:
nodes,
virtual-ips.
Для отображения информации о всех кластерах отказоустойчивости:
Admin@nodename# show settings device-mgmt ha-cluster
Для отображения информации об определённом кластере:
Admin@nodename# show settings device-mgmt ha-cluster <cluster-name>Настройка управления доступом к консоли UserGate SWG выполняется на уровне settings administrators. В разделе описаны настройка параметров защиты учётных записей, настройка администраторов и их профилей.
Настройка общих параметров доступа выполняется на уровне settings administrators general.
Для изменения параметров используется команда:
Admin@nodename# set settings administrators general <parameters>
Параметры, доступные для редактирования.
|
Параметр |
Описание |
|---|---|
|
password |
Изменить пароля текущего администратора. |
|
unblock |
Разблокировать администратора. |
|
strong-password |
Использовать сложный пароль:
|
|
num-auth-attempts |
Установить максимальное количество неверных попыток аутентификации. |
|
block-time |
Указать время блокировки учётной записи в случае достижения администратором максимального количества попыток аутентификации; указывается в секундах (максимальное значение: 3600 секунд). |
|
min-length |
Определить минимальную длину пароля (максимальное значение: 100 символов). |
|
min-uppercase |
Определить минимальное количество символов в верхнем регистре (максимальное значение: 100 символов). |
|
min-lowercase |
Определить минимальное количество символов в нижнем регистре (максимальное значение: 100 символов). |
|
min-digits |
Определить минимальное количество цифр (максимальное значение: 100 символов). |
|
spec-characters |
Определить минимальное количество специальных символов (максимальное значение: 100 символов). |
|
char-repetition |
Указать максимальную длину блока из одного и того же символа (максимальное значение: 100 символов). |
Пример редактирования параметров учетных записей:
Admin@nodename# set settings administrators general block-time 400
Для просмотра текущих параметров защиты учётных записей администраторов используется следующая команда:
Admin@nodename# show settings administrators general
strong-password : off
block-time : 400
min-length : 7
min-uppercase : 1
min-lowercase : 1
min-digits : 1
spec-characters : 1
char-repetition : 2
num-auth-attempts : 10
Учётные записи администраторов настраиваются на уровне settings administrators administrators.
Для создания учётной записи администратора используется команда:
Admin@nodename# create settings administrators administrators <parameters>
Далее необходимо указать тип учётной записи администратора (локальный, пользователь LDAP, группа LDAP, с профилем аутентификации) и установить соответствующие параметры.
|
Параметр |
Описание |
|---|---|
|
local |
Добавить локального администратора:
|
|
ldap-user |
Добавить пользователя из существующего домена (необходим корректно настроенный LDAP-коннектор; подробнее читайте в разделе Настройка LDAP-коннектора):
|
|
ldap-group |
Добавить группу пользователей из существующего домена (необходим корректно настроенный LDAP-коннектор; подробнее читайте в разделе Настройка LDAP-коннектора):
|
|
admin-auth-profile |
Добавить администратора с профилем аутентификации (необходимы корректно настроенные серверы аутентификации; подробнее читайте в разделе Настройка серверов аутентификации):
|
Для редактирования параметров профиля используется команда:
Admin@nodename# set settings administrators administrators <admin-type> <admin-login>
Параметры для редактирования аналогичны параметрам создания профиля администратора.
Команда для отображения информации о всех учётных записях администраторов:
Admin@nodename# show settings administrators administrators
Команда для отображения информации об определённой учётной записи администратора:
Admin@nodename# show settings administrators administrators <admin-type> <admin-login>
Пример выполнения команды:
Admin@nodename# show settings administrators administrators ldap-user testd.local\user1
login : testd.local\user1
enabled : on
type : ldap_user
locked : off
admin-profile : test profile 1
Команда для удаления учётной записи:
Admin@nodename# delete settings administrators administrators <admin-type> <admin-login>
Пример команды:
Admin@nodename# delete settings administrators administrators ldap-user testd.local\user1
Права доступа профилей администраторов настраиваются на уровне settings administrators profiles.
Для создания профиля администратора используется следующая команда:
Admin@nodename# create settings administrators profiles <parameters>
Далее необходимо указать следующие параметры.
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля администратора. |
|
description |
Описание профиля администратора. |
|
api-permissions |
Права доступа к API:
Возможно назначение прав сразу на все или на отдельные объекты: Admin@nodename# create settings administrators profiles ... api-permissions <permission> all
или Admin@nodename# create settings administrators profiles ... api-permissions <permission> [ object ... ] |
|
webui-permissions |
Права доступа к веб-интерфейсу UserGate SWG:
Возможно назначение прав сразу на все или на отдельные объекты: Admin@nodename# create settings administrators profiles ... webui-permissions <permission> all
или Admin@nodename# create settings administrators profiles ... webui-permissions <permission> [ object ... ] |
|
cli-permissions |
Права доступа к интерфейсу командной строки (CLI):
Возможно назначение прав сразу на все или на отдельные объекты: Admin@nodename# create settings administrators profiles ... cli-permissions <permission> all
или Admin@nodename# create settings administrators profiles ... cli-permissions <permission> [ object ... ] |
Команда для редактирования профиля:
Admin@nodename# set settings administrators profiles <profile-name> <parameter>
Параметры для редактирования аналогичны параметрам создания профиля администратора.
Команда для просмотра информации о всех профилях администраторов:
Admin@nodename# show settings administrators profiles
Команда для отображения информации об определённом профиле:
Admin@nodename# show settings administrators profiles <profile-name>
Команда для удаления профиля администратора:
Admin@nodename# delete settings administrators profiles <profile-name>
Просмотр активных сессий администраторов, прошедших авторизацию в веб-консоли или CLI, и закрытие сессий выполняется на уровне settings administrators admin-sessions.
Команда для просмотра сессий администраторов текущего узла UserGate (возможен просмотр сессии отдельного администратора: необходимо из предложенного списка выбрать IP-адрес, с которого была произведена авторизация):
Admin@nodename# show settings administrators admin-sessions
Для отображения сессий доступно использование фильтра:
ip: IP-адрес, с которого авторизован администратор.
source: где была произведена авторизация: CLI (cli), веб-консоль (web) или подключение по SSH (ssh).
admin-login: имя администратора.
node: узел кластера UserGate.
Admin@nodename# show settings administrators admin-sessions ( node <node-name> ip <session-ip> source <cli | web | ssh> admin-login <administrator-login> )
Команда для закрытия сессии администратора; необходимо из предложенного списка выбрать IP-адрес, с которого была произведена авторизация:
Admin@nodename# execute termination admin-sessions <IP-address/connection type>
Пример выполнения команд:
Admin@nodename# show settings administrators admin-sessions
admin-login : Admin
source : ssh
session_start_date : 2023-08-10T11:33:47Z
ip : 127.0.0.1
node : utmcore@dineanoulwer
admin-login : Admin
source : web
session_start_date : 2023-08-10T11:33:10Z
ip : 10.0.2.2
node : utmcore@dineanoulwer
Admin@nodename# execute termination admin-sessions 10.0.2.2/web
Admin@nodename# show settings administrators admin-sessions
admin-login : Admin
source : ssh
session_start_date : 2023-08-10T11:33:47Z
ip : 127.0.0.1
node : utmcore@dineanoulwer
При закрытии сессии администраторов возможно использование фильтра ( <filter> ). Параметры фильтрации аналогичны параметрам команды show.
Admin@nodename# execute termination admin-sessions ( node <node-name> ip <session-ip> source <cli | web | ssh> admin-login <administrator-login> )Управление сертификатами выполняется на уровне settings certificates.
Для импорта сертификатов используется команда:
Admin@nodename# import settings certificates <parameters>
Далее необходимо указать параметры.
|
Параметр |
Описание |
|---|---|
|
name |
Название сертификата, которое будет отображено в списке. |
|
description |
Описание сертификата. |
|
certificate-data |
Сертификат в формате PEM. |
|
certificate-chain |
Цепочка сертификатов в формате PEM. |
|
private-key |
Приватный ключ в формате PEM. |
|
passphrase |
Пароль для приватного ключа или контейнера PKCS12 (необязательное значение). |
|
user |
Локальный пользователь, которому будет назначен пользовательский сертификат. |
|
ldap-user |
Пользователь LDAP-коннектора, которому будет назначен пользовательский сертификат.
|
|
role |
Тип сертификата:
|
Для экспорта доступны сертификаты, вся цепочка сертификатов и CSR:
Admin@nodename# export settings certificates <certificate-name>
Admin@nodename# export settings certificates <certificate-name> with-chain on
С использованием командной строки возможно создание сертификата и CSR:
Admin@nodename# create settings certificates type <certificate | csr> <parameters>
Далее необходимо указание следующие параметры.
|
Параметр |
Описание |
|---|---|
|
name |
Название сертификата. |
|
description |
Описание сертификата. |
|
country |
Страна, в которой выписывается сертификат. |
|
state |
Область/штат, в котором выписывается сертификат. |
|
locality |
Город, в котором выписывается сертификат. |
|
organization |
Название организации, для которой выписывается сертификат. |
|
common-name |
Имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров. |
|
|
Email компании. |
Команда для управления сертификатом:
Admin@nodename# set settings certificates <certificate-name> <parameters>
Доступные параметры.
|
Параметр |
Описание |
|---|---|
|
name |
Название сертификата. |
|
description |
Описание сертификата. |
|
role |
Тип сертификата:
|
|
user |
Локальный пользователь, которому будет назначен пользовательский сертификат. |
|
ldap-user |
Пользователь LDAP-коннектора, которому будет назначен пользовательский сертификат.
|
|
certificate-data |
Сертификат в формате PEM. |
|
certificate-chain |
Цепочка сертификатов в формате PEM. |
Команда для удаления сертификата:
Admin@nodename# delete settings certificates <certificate-name>
Команды для просмотра информации об определённом сертификате или о всех сертификатах:
Admin@nodename# show settings certificates
Admin@nodename# show settings certificates <certificate-name>
Чтобы удалить сертификат из кэша используется команда:
Admin@nodename# delete settings certificates-cache <common-name>
Команды для просмотра и настройки параметров прокси-сервера доступны на уровне settings proxy.
Вы можете настроить такие параметры, как добавление заголовков HTTP — via и forwarded, а также настройки тайм-аутов на подключение к сайтам и на загрузку контента.
Для изменения параметров прокси-сервера используется команда:
Admin@nodename# set settings proxy <parameters>
|
Параметр |
Описание |
|---|---|
|
via |
Добавление HTTP заголовков Via:
По умолчанию отключено |
|
forwarded |
Добавление HTTP заголовков Forwarded:
По умолчанию отключено |
|
xforwarded |
Добавление HTTP заголовков X-Forwarded-For:
По умолчанию отключено |
|
connection-timeout |
Время ожидания, выделяемое на подключение HTTP. По умолчанию — 20 секунд |
|
loading-timeout |
Время ожидания, выделяемое на загрузку контента HTTP. По умолчанию — 60 секунд |
|
smode |
Режим SYN Proxy:
По умолчанию режим включен |
|
icap-wait-timeout |
Время, которое сервер UserGate ждет ответа от ICAP-сервера; указывается в секундах. Значение по умолчанию — 10 секунд |
|
proxy_host_rfc |
Доступно:
|
Команда для просмотра текущих параметров:
Admin@nodename# show settings proxy
В интерфейсе командной строки настройка сценария перенаправления трафика доступна на уровне upstream-proxy.
Настройка состоит из следующих основных шагов:
Настройка подключения к вышестоящему прокси-серверу.
Создание профиля подключения.
Создание правила вышестоящего прокси.
Для создания подключения к вышестоящему прокси-серверу используется команда:
Admin@nodename# create upstream-proxy servers <parameters>
Параметры для настройки подключения.
|
Параметр |
Описание |
|---|---|
|
enabled |
Подключение к вышестоящему прокси-серверу:
|
|
name |
Название подключения к вышестоящему прокси-серверу |
|
description |
Описание подключения |
|
mode |
Тип вышестоящего прокси-сервера:
|
|
ip |
IP-адрес вышестоящего прокси-сервера |
|
port |
Порт вышестоящего прокси-сервера |
|
auth |
Аутентификация на вышестоящем прокси-сервере:
|
|
user |
Логин для подключения к вышестоящему прокси-серверу |
|
password |
Пароль для подключения к вышестоящему прокси-серверу |
Команда для редактирования параметров ранее созданного подключения к вышестоящему прокси-серверу:
Admin@nodename# set upstream-proxy servers <server-name> <parameters>
В команде редактирования можно использовать те же параметры, которые используются в команде создания подключения.
Команда для просмотра настроек ранее созданного подключения:
Admin@nodename# show upstream-proxy servers <server-name>
Команда для удаления ранее созданное подключения к вышестоящему прокси-серверу:
Admin@nodename# delete upstream-proxy servers <server-name>
Для создания профиля подключения к вышестоящему прокси-серверу используется команда:
Admin@nodename# create upstream-proxy profiles <parameters>
Параметры для настройки профиля.
|
Параметр |
Описание |
|---|---|
|
enabled |
Включение/отключение профиля:
|
|
name |
Название профиля |
|
description |
Описание профиля |
|
used-servers |
Указание вышестоящих прокси-серверов из списка ранее настроенных в системе |
|
http-method |
Выбор метода HTTP-запроса для проверки состояния подключения с помощью контрольного обращения к указанному URL-ресурсу: GET, HEAD, OPTIONS |
|
url-host |
Указание URL-ресурса для проверки состояния подключения через вышестоящий прокси-сервер |
|
check-interval |
Интервал проверки подключения в секундах |
|
check-timeout |
Время ожидания ответа проверки подключения в секундах |
Команда для редактирования параметров ранее созданного профиля подключения к вышестоящему прокси-серверу:
Admin@nodename# set upstream-proxy profiles <profile-name>
В команде редактирования можно использовать те же параметры, которые используются в команде создания профиля.
Команда для просмотра настройки ранее созданного профиля:
Admin@nodename# show upstream-proxy profiles <profile-name>
Команда для удаления ранее созданного профиля:
Admin@nodename# delete upstream-proxy profiles <profile-name>
Правила создаются с помощью языка описания правил UPL. Подробнее о синтаксисе языка UPL — в разделе «UserGate Policy Language».
Команда для создания правила подключения к вышестоящему прокси-серверу:
Admin@nodename# create upstream-proxy rules <position> upl-rule <parameters>
Команда для редактирования ранее созданных правил:
Admin@nodename# set upstream-proxy rules <position> upl-rule <parameters>
Команда для просмотра ранее созданных правил:
Admin@nodename# show upstream-proxy rules <position>
Команда для удаления ранее созданных правил:
Admin@nodename# delete upstream-proxy rules <position>
Параметры для настройки правил.
|
Параметр |
Описание |
|---|---|
|
PASS OK |
Действие для создания правила с помощью UPL |
|
enabled |
Включение/отключение правила:
|
|
name |
Название правила. Например, name("Rule 1") |
|
desc |
Описание правила. Например, desc("Rule example set via CLI") |
|
proxy_profile |
Профиль подключения к вышестоящему прокси-серверу. Например, proxy_profile(Profile1") |
|
fallback_action |
Резервное действие при недоступности вышестоящего прокси-сервера:
|
|
rule_log |
Запись в журнал информации о трафике при срабатывании правила. Возможны варианты:
|
|
src.zone |
Зона источника трафика. Например, для указания зоны Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны» |
|
src.ip |
Добавление списков IP-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием интерфейса командной строки — в разделе «Настройка IP-адресов». Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL» |
|
src.geoip |
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке |
|
user |
Пользователи или группы пользователей (локальные или доменные), для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор на устройстве. Подробнее о настройке LDAP-коннектора с использованием интерфейса командной строки — в разделе «Настройка LDAP-коннектора». Примеры добавления пользователей в правило:
|
|
time |
Настройка расписания работы правила. Для установки расписания: time = lib.time(); в скобках необходимо указать название группы календарей. Подробнее о настройке календарей — в разделе «Настройка календарей» |
Для настройки активации лицензии и обновления ПО узла UserGate через внешний прокси-сервер используется команда:
Admin@nodename# set settings device-mgmt licensing-upstream-proxy <parameters>
Дополнительные параметры команды.
|
Параметр |
Описание |
|---|---|
|
enabled |
Включение или отключение режима активации лицензии и обновления ПО через внешний прокси-сервер:
|
|
ip |
IP-адрес внешнего прокси-сервера |
|
port |
Порт внешнего прокси-сервера |
|
auth |
Аутентификация на внешнем прокси-сервере:
|
|
name |
Логин на внешнем прокси-сервере |
|
password |
Пароль на внешнем прокси-сервере |
Команда для просмотра созданных настроек активации лицензии и обновления ПО узла UserGate через внешний прокси-сервер:
Admin@nodename# show settings device-mgmt licensing-upstream-proxy
Подробнее о функциональности Upstream Proxy, сценариях использования и настройках в веб-консоли администратора — в разделе «Настройка работы с вышестоящими прокси-серверами».
Настройка параметров мониторинга устройства в интерфейсе командной строки выполняется в режиме конфигурации на уровне monitoring.
Команды этого уровня позволяют управлять настройкой параметров SNMP устройства, правил мониторинга по SNMP, профилей безопасности для аутентификации SNMP-менеджеров, правилами оповещений. Подробнее о правилах мониторинга и оповещений — в разделе «Оповещения».
Параметры SNMP устройства настраиваются на уровне monitoring smnp-parameter.
Для настройки параметров используется команда:
Admin@nodename# set monitoring snmp-parameter <parameters>
Далее необходимо указать следующие параметры.
|
Параметр |
Описание |
|---|---|
|
agent-name |
Название системы, используемое подсистемой управления SNMP |
|
location |
Информация о физическом расположении SNMP-агента |
|
description |
Описание системы |
|
Engine ID |
Каждое устройство UserGate имеет уникальный идентификатор SNMPv3 Engine ID. По умолчанию Engine ID генерируется на основании имени узла UserGate. При редактировании Engine ID необходимо указать длину (length), тип и значение идентификатора. Длина может быть определена как фиксированная (не более 8 байт) или динамическая (не более 27 байт). Фиксированная длина идентификатора применима только для типа text. Engine ID может быть сформирован в формате:
|
Подробнее о параметрах SNMP устройства UserGate — в разделе «SNMP».
Правила мониторинга устройства по SNMP настраиваются на уровне monitoring snmp.
Для создания правила используется команда:
Admin@nodename# create monitoring snmp <parameters>
Далее необходимо указать следующие параметры.
|
Параметр |
Описание |
|---|---|
|
name |
Название правила |
|
enabled |
Включение/отключение правила |
|
community |
SNMP community — строка для идентификации сервера UserGate и сервера управления SNMP для версии SNMP v2c. Используйте только латинские буквы и цифры |
|
context |
Необязательный параметр, определяющий SNMP context. Можно использовать только латинские буквы и цифры. На некоторых устройствах может быть несколько копий полного поддерева MIB. Например, на устройстве может быть создано несколько виртуальных маршрутизаторов. Каждый такой виртуальный маршрутизатор будет иметь полное поддерево MIB. В этом случае каждый виртуальный маршрутизатор может быть указан как контекст на сервере SNMP. Контекст определяется по имени. Когда клиент отправляет запрос, он может указать имя контекста. Если имя контекста не указано, будет запрошен контекст по умолчанию |
|
version |
Указывает версию протокола SNMP, которая будет использоваться в данном правиле. Возможны варианты SNMP v2c и SNMP v3 |
|
query |
При включении разрешает получение и обработку SNMP-запросов от SNMP-менеджера |
|
trap |
При включении разрешает отправку SNMP-трапов на сервер, настроенный для приема оповещений |
|
trap-host |
IP-адрес сервера для трапов. Данная настройка необходима только в случае, если необходимо отправлять трапы на сервер оповещений |
|
trap-port |
Порт, на котором сервер слушает оповещения. Обычно это порт UDP 162. Данная настройка необходима только в случае, если необходимо отправлять трапы на сервер оповещений |
|
security-profile |
Только для SNMP v3. Подробнее — в разделе «Профили безопасности SNMP» |
|
events |
Выбор типов параметров, доступных для мониторинга по правилу. |
Команда для изменения параметров ранее созданного правила:
Admin@nodename# set monitoring snmp <rule-name>
Для работы SNMP-менеджера с UserGate SWG необходимо в свойствах зоны интерфейса, к которому будет осуществляться подключение по протоколу SNMP, разрешить сервис SNMP в настройках контроля доступа. Подробнее о настройке зон в CLI — в разделе «Настройки сети».
Профили безопасности для аутентификации SNMP-менеджеров настраиваются на уровне monitoring smnp-security-profile.
Для создания профиля используется команда:
Admin@nodename# create monitoring snmp-security-profile <parameters>
Далее необходимо указать следующие параметры.
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля безопасности SNMP |
|
description |
Описание профиля безопасности SNMP |
|
username |
Имя пользователя для аутентификации SNMP-менеджера |
|
auth-type |
Выбор режима аутентификации SNMP-менеджера. Возможны варианты:
Наиболее безопасным считается режим работы authPriv |
|
auth-alg |
Алгоритм, используемый для аутентификации. Возможно использовать:
|
|
auth-password |
Пароль, используемый для аутентификации |
|
encrypt-alg |
Алгоритм, используемый для шифрования. Возможно использовать DES и AES |
|
encrypt-password |
Пароль, используемый для шифрования |
Команда для изменения параметров ранее созданного профиля:
Admin@nodename# set monitoring snmp-security-profile <profile-name>
Правила оповещений настраиваются на уровне monitoring alert-rules.
Для создания правила оповещения используется команда:
Admin@nodename# create monitoring alert-rules <parameters>
Далее необходимо указать следующие параметры.
|
Параметр |
Описание |
|---|---|
|
enabled |
Включает/отключает данное правило |
|
name |
Название правила |
|
description |
Описание правила |
|
notification-profile |
Созданный ранее профиль оповещения |
|
sender |
От кого будет приходить оповещение |
|
subject |
Тема оповещения |
|
timeout |
Тайм-аут, в течение которого сервер не будет отправлять сообщение при повторном срабатывании данного правила. Данная настройка позволяет предотвратить шторм сообщений при частом срабатывании правила оповещения |
|
events |
События, для которых необходимо получать оповещения |
|
phones |
Для SMPP-профиля. Группы номеров телефонов, куда отправлять SMS-оповещения |
|
emails |
Для SMTP-профиля. Группы адресов email, на которые будут отправляться почтовые оповещения |
Команда для изменения параметров ранее созданного правила:
Admin@nodename# set monitoring alert-rules <rule-name>
Захват пакетов позволяет записать трафик, удовлетворяющий заданным условиям, в pcap-файл для дальнейшего анализа с помощью сторонних средств, например wireshark. Это бывает необходимо при диагностировании сетевых проблем.
Pcap-фильтры определяют условия, по которым будет записываться трафик. В качестве условий могут выступать адрес источника, порт источника, адрес назначения, порт назначения, протокол IPv4.
Pcap-фильтры настраиваются на уровне monitoring pcap-filter.
Для создания pcap-фильтра используется команда:
Admin@nodename# create monitoring pcap-filter <parameters>
Команда для изменения параметров ранее созданного фильтра:
Admin@nodename# set monitoring pcap-filter <parameters>
В pcap-правилах указываются интерфейсы UserGate, на которых необходимо записывать трафик, фильтры, созданные ранее, имя и размер файла, в который записывается перехваченный трафик.
Pcap-правила настраиваются на уровне monitoring pcap-rule.
Для создания правила используется команда:
Admin@nodename# create monitoring pcap-rule <parameters>
Команда для изменения параметров ранее созданного правила:
Admin@nodename# set monitoring pcap-rule <parameters>
Профили клиентских сертификатов настраиваются на уровне settings certificate-profiles.
Для создания профиля клиентского сертификата используется команда:
Admin@nodename# create settings certificate-profiles <parameters>
Далее необходимо указать следующие параметры.
|
Параметр |
Описание |
|---|---|
|
name |
Название профиля клиентского сертификата |
|
description |
Описание профиля |
|
username-field |
Выбор поля в сертификате, по которому определяется имя пользователя, используемое при аутентификации:
Если в полях расширения SAN сертификата указано несколько имен UPN или несколько адресов email, берется первый, указанный в сертификате |
|
certificates |
Сертификаты УЦ, назначаемые профилю |
|
crl |
В списках отзыва сертификатов (CRL) содержатся сертификаты, которые были отозваны и больше не могут использоваться. В этот список входят сертификаты, срок действия которых истек или они были скомпрометированы. Параметр для проверки состояния отзыва сертификатов:
|
|
receive-timeout |
Интервал времени, по истечении которого UserGate SWG перестает ожидать ответа от службы отзыва сертификатов |
Команды для просмотра ранее созданных профилей клиентских сертификатов:
Admin@nodename# show settings certificate-profiles
Admin@nodename# show settings certificate-profiles <certificate-profile-name>
Команда для изменения параметров ранее созданного профиля:
Admin@nodename# set settings certificate-profiles <certificate-profile-name> <parameters>
Параметры, доступные для редактирования профиля, аналогичны параметрам создания профиля, рассмотренным ранее.
Команда для удаления ранее созданного профиля:
Admin@nodename# delete settings certificate-profiles <certificate-profile-name>
Параметры управления телеметрией устройства настраиваются на уровне settings telementry.
Для редактирования параметров используется команда:
Admin@nodename# set settings telemetry <parameters>
Далее необходимо указать следующие параметры.
|
Параметр |
Описание |
|---|---|
|
enabled |
Включение или отключение сбора телеметрии на устройстве:
По умолчанию сбор телеметрии включен |
|
hide-sensitive-data |
Включение или отключение функции сокрытия персональных данных в телеметрии:
По умолчанию функция отключена |
Команда для просмотра текущих параметров:
Admin@nodename# show settings telemetry