Переход на версию 7.x с последующим импортом конфигурации возможен только с версий 6.1.9 и 7.0.x. Для перехода с более ранних версий нужно предварительно обновить устройства UserGate до последней стабильной версии 6.1.9.

Важно!Лицензионные ключи версий 6.x и 7.x несовместимы. Перед переходом на версию 7.x необходимо запросить у менеджера новый лицензионный ключ для каждого из продуктов.

ПримечаниеПереход на версию 7.x может занять длительное время, поэтому рекомендуется запланировать технологическое окно для обновления UserGate. Также, если у вас развернуты UserGate Management Center (далее — UGMC) и несколько кластеров NGFW, рекомендуется сначала обновить UGMC, временно подключить к нему кластеры NGFW текущей версии, чтобы избежать длительного простоя, и затем по очереди на каждом из кластеров выполнить переход на версию 7.х.

В качестве примера ниже описан сценарий перехода на версию 7.х для конфигурации, в которой развернуты устройства UGMC, UserGate LogAn и кластер из двух узлов UserGate NGFW версии 6.1.9. В случае если в вашей сети развернуты не все эти устройства, следует выполнять только те шаги, которые относятся к соответствующим устройствам.

Подготовка к переходу

Перед обновлением устройств выполните следующие действия:

1. Убедитесь, что в UGMC синхронизация со всеми подключенными устройствами переведена в ручной режим. Автоматическую синхронизацию устройств рекомендуется включить только после их полного обновления до версии 7.x.

2. Старайтесь избегать кириллицы и спецсимволов в названиях правил, сигнатур, узлов и других элементов. В противном случае в процессе импорта конфигурации могут возникать ошибки.

3. Выполните экспорт конфигурации текущих версий штатными средствами.

ПримечаниеВы также можете выполнить экспорт конфигурации UGMC и UserGate NGFW с помощью специальной программы.

4. Создайте резервные копии ваших устройств, чтобы в случае возникновения каких-либо проблем во время перехода можно было восстановить предыдущее состояние устройств.

5. Скачайте последние стабильные версии ПО из кабинета клиента.

ПримечаниеИнформацию об актуальных стабильных версиях ПО можно получить, обратившись в техническую поддержку UserGate.

Порядок перехода

Переход на версию 7.x выполняется последовательно: сначала следует обновить UGMC, затем — UserGate LogAn и потом — UserGate NGFW.

Чтобы перейти на версию 7.x:

1. Выполните чистую установку новой версии ПО UGMC и затем выполните импорт конфигурации.

2. Выполните чистую установку новой версии ПО UserGate LogAn и затем выполните импорт конфигурации.

3. Подключите устройство UserGate LogAn как новое устройство, но с прежними шаблонами, к устройству UGMC, если ранее оно было подключено. Убедитесь, что репликация параметров из шаблонов выполняется корректно.

4. Выполните чистую установку новой версии ПО UserGate NGFW на первый узел кластера, активируйте его с помощью ключа кластера для версии 7.x и затем выполните импорт конфигурации всех параметров для роли Master.

5. Подключите первый узел как новое устройство к UGMC и UserGate LogAn. Убедитесь, что все параметры импортированы корректно и синхронизация работает.

6. Выполните чистую установку новой версии ПО UserGate NGFW на дополнительный узел кластера и затем выполните на нем импорт параметров конфигурации для резервного узла кластера.

После завершения перехода на новую версию рекомендуется проверить базовые параметры конфигурации и корректность работы основных функций:

1. Проверьте разрешения в импортированных профилях администраторов (кроме профиля Admin). Начиная с версии 7.2 структура и список разрешений были изменены: разрешения для CLI и API настраиваются в окне настроек профиля администратора на одной вкладке Разрешения для API.

2. Если в версии ПО UGMC 6.1.9 в шаблонах использовались учетные записи LDAP-пользователей, после перехода на новую версию в разделе Управление областью ➜ Центр управления ➜ Каталоги пользователей добавьте каталог с указанием LDP-домена, чтобы использовать учетные записи LDAP-пользователей в версии 7.x.

3. В случае с кластером отказоустойчивости проверьте корректность его работы, выполнив на узлах смену роли мастер-узла.

4. Включите автоматическую синхронизацию для UserGate NGFW или LogAn, подключенных к UGMC, если она была отключена на время обновления.

5. Выполните аудит сенсоров на UserGate LogAn. Индикация подключения должна быть активной, а журналирование событий сенсоров выполняется.

6. Убедитесь, что в журнале событий нет записей об ошибках или предупреждениях.

Ограничения и особенности импорта конфигурации

Импорт конфигурации на устройства версии 7.x имеет следующие ограничения и особенности:

Импортированные правила межсетевого экрана, предназначенные для анализа трафика на уровне приложений (седьмом уровне модели OSI), будут принудительно выключены с назначенным действием Разрешить, и в них будет добавлен созданный L7-профиль. Профили создаются на базе правил с добавлением фильтров для каждой группы приложений:
- для группы All — фильтр "Any signatures";
- для групп по категориям — фильтр вида "category = <имя или номер категории>";
- для пользовательских групп — фильтр, включающий идентификаторы сигнатур, вида "id IN (...)".
Профили СОВ при импорте будут преобразованы в новый формат. В новых профилях будет один фильтр вида "id IN (...)", который будет включать все идентификаторы сигнатур СОВ из профиля СОВ старой версии.
Правила СОВ не будут импортированы. Необходимо заново настроить IDPS после завершения импорта, используя новые профили СОВ и правила межсетевого экрана.
После импорта сигнатур СОВ и приложений необходимо выполнить обновление сигнатур.
В импортированные профили приложений необходимо добавить сигнатуры новых типов, которые появились в версии 7.x: зависимые от типа протокола и связанные с другими сигнатурами. Подробнее о новых типах сигнатур приложений — в разделе «Приложения».
Журналы не будут импортированы.
При импорте конфигурации UserGate NGFW версии 6.1.9 или 7.0.x в UGMC могут создаваться списки IP-адресов с необычными алфавитно-цифровыми названиями. Причиной является то, что в UserGate NGFW этих версий в свойствах зон, в параметрах защиты от IP-спуфинга, используются одиночные IP-адреса или диапазоны адресов. В UserGate NGFW версий 7.x в этих параметрах используются списки IP-адресов. При импорте конфигурации из версии 6.1.9 или 7.0.x конвертер создает списки с автоматически сгенерированными названиями и помещает в них IP-адреса из параметров зон. В начале сгенерированного имени списка указывается название зоны, для которой он создавался при конвертации. Созданные при конвертации списки можно переименовать вручную.

Ограничения в работе UGMC 7.x с UserGate NGFW версий 6.1.9 и 7.0.1

В совместной работе UGMC версии 7.x и UserGate NGFW версии 6.1.9 или 7.0.x есть следующие ограничения:

не поддерживаются VPN, СОВ и L7;
недоступна аутентификация в веб-консоли UserGate NGFW с использованием профилей сертификатов (поддержка PKI есть только в версии 7.x);
недоступна аутентификация пользователей в captive-портале (так как введен новый режим аутентификации — PKI).