Режим администратора управляемой области
 
Режим администратора управляемой области (Описание)

После создания управляемой области и администратора области можно переключиться в режим управления данной областью. Для этого необходимо выйти из учетной записи администратора UGMC и заново зайти под учетной записью администратора управляемой области. Например, для входа по ssh в консоль управления областью realm для администратора области с учетной записью realmadmin необходимо указать следующее:

ssh realmadmin/realm@<UGMC-IP-address> -p 2200

После успешной аутентификации в CLI появится строка ожидания ввода команды (режим диагностики). Для просмотра текущих возможных значений или автодополнения необходимо использовать клавишу Tab. Доступны:

  • configure — переход в режим конфигурации.

  • date — просмотр текущих даты и времени на устройстве.

  • exit — выход из командной строки.

  • show — просмотр версии ПО UGOS и статистики по открытым сессиям TCP, UDP, ICMP.

  • clear — очистить статистику по открытым сессиям.

Для отмены ввода текущей команды используется сочетание Ctrl + C; для просмотра истории команд — ↑, ↓.

Режим конфигурации администратора управляемой области

Для перехода в режим конфигурации используется команда:

realmadmin/realm@nodename> configure

После перехода в режим конфигурации командная строка будет выглядеть следующим образом:

realmadmin/realm@nodename#

Для просмотра подсказки о текущих возможных значениях или для автодополнения команд необходимо нажать клавишу Tab. В подсказке могут использоваться следующие вспомогательные символы:

* — обязательное поле в командах create и ряде других команд;

+ — необязательное/вариативное поле;

> — вложенное поле, после его введения предыдущий список полей становится недоступным, появляется новый список полей, которые можно ввести.

 Общая структура команд в режиме конфигурации

Команды интерфейса командной строки имеют следующую структуру:

<action> <level> <filter> <configuration_info>

где:

<action> — действие, которое необходимо выполнить.

<level> — уровень конфигурации; уровни соответствуют разделам веб-интерфейса управляемой области в UGMC.

<filter> — идентификатор объекта, к которому происходит обращение.

<configuration_info> — значение параметров, которые необходимо применить к объекту <filter>.

Наименование

Описание

<action>

В режиме конфигурации доступны следующие действия:

  • create — создание новых объектов.

  • set — редактирование всех объектов, а также включение различных параметров.

  • show — отображение текущих значений. Можно использовать на любом уровне конфигурации — будет отображено всё, что находится глубже текущего уровня.

  • delete — удаление объекта или параметра из списка параметров.

  • edit — переход на какой-либо уровень конфигурации. Уровень конфигурации будет отображён под командной строкой.

  • end — переход на один уровень выше.

  • top — возврат на самый верхний уровень конфигурации.

  • import — импорт конфигурации.

  • export — экспорт конфигурации.

  • go — переход в режим настройки параметров шаблона управляемых устройств. 

  • exit — выход из режима конфигурации.

<level>

Уровни в командной строке повторяют веб-интерфейс консоли управления областью:

  • ngfw — соответствует разделу веб-интерфейса NGFW.

  • endpoint — соответствует разделу веб-интерфейса Конечные устройства.

  • logan — соответствует разделу веб-интерфейса LogAn.

  • settings — соответствует разделам веб-интерфейса Центр управления — Настройки, Администраторы, Профили аутентификации.

  • users — соответствует разделам веб-интерфейса Центр управления — Каталог пользователей.

<filter>

Идентификатор объекта, к которому происходит обращение. Идентификация происходит по имени объекта.

<configuration_info>

Набор пар: параметр-аргумент. Параметр — имя поля, для которого нужно установить аргумент. Аргумент может быть одиночным или множественным.

Одиночный аргумент — значение, соответствующее параметру. Если строка содержит пробелы, то необходимо использовать кавычки.

Множественные аргументы используются для установки множества значений какого-либо параметра; записываются в квадратных скобках и разделяются пробелами.

Общие настройки консоли управляемой области

Общие настройки консоли управляемой области задаются на уровне settings general. Структура команды для настройки одного из разделов (<settings-module>):

realmadmin/realm@nodename# set settings general <settings-module>

Доступна настройка следующих разделов:

Параметр Описание

admin-console

Настройки интерфейса (уровень settings general admin-console):

  • timezone: часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п

  • api-session-lifetime: время ожидания сеанса администратора в секундах.

change-tracker

Настройка учета изменений (уровень settings general change-tracker):

  • enabled: включение/отключение учёта изменений.

    • on.

    • off.

  • event-tracker-types: типы изменений задаются администратором. Для удаления типа изменения используется команда:

realmadmin/realm@nodename# delete settings general change-tracker event-tracker-types [ type1 ... ]

Администраторы управляемой области

Администратор управляемой области может сам создать дополнительных администраторов своей области аналогично командам, описанным в разделах Настройка прав доступа профилей администраторов и Настройка учетных записей администраторов.

Настройка данного раздела производится на уровне settings administrators. В разделе описаны настройка настройка администраторов и их профилей.

Настройка учётных записей администраторов

Настройка учётных записей администраторов производится на уровне settings administrators administrators.

Для создания учётной записи администратора используется следующая команда:

realmadmin/realm@nodename# create settings administrators administrators

Далее необходимо указать тип учётной записи администратора (локальный, пользователь LDAP, группа LDAP, с профилем аутентификации) и установить соответствующие параметры:

Параметр

Описание

local

Добавить локального администратора:

  • enabled: включение/отключение учётной записи администратора:

    • on.

    • off.

  • login: логин администратора.

  • display-name: отображаемое имя администратора.

  • description: описание учётной записи администратора.

  • admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.

  • password: пароль администратора.

ldap-user

Добавить пользователя из существующего домена (необходим корректно настроенный LDAP-коннектор; подробнее читайте в разделе Настройка LDAP-коннектора):

  • enabled: включение/отключение учётной записи администратора:

    • on.

    • off.

  • login: логин администратора в формате domain\user. Структура команды при указании данного параметра:

  • display-name: отображаемое имя администратора.

  • connector: название сконфигурированного ранее LDAP-коннектора. 

  • description: описание учётной записи администратора.

  • admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.

realmadmin/realm@nodename# create settings administrators administrators ldap-user admin-profile "test profile 1" connector "LDAP connector" description "Admin as domain user" login testd.local\user1 enabled on

ldap-group

Добавить группу пользователей из существующего домена (необходим корректно настроенный LDAP-коннектор; подробнее читайте в разделе Настройка LDAP-коннектора):

  • enabled: включение/отключение учётной записи администратора:

    • on.

    • off.

  • login: логин администратора

  • display-name: отображаемое имя администратора.

  • connector: название используемого LDAP-коннектора.

  • description: описание учётной записи администратора.

  • admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.

realmadmin/realm@nodename# create settings administrators administrators ldap-group admin-profile "test profile 1" connector "LDAP connector" description "Domain admin group" login testd.local\users enabled on

admin-auth-profile

Добавить администратора с профилем аутентификации (необходимы корректно настроенные серверы аутентификации; подробнее читайте в разделе Настройка серверов аутентификации):

  • enabled: включение/отключение учётной записи администратора:

    • on.

    • off.

  • login: логин администратора.

  • display-name: отображаемое имя администратора.

  • description: описание учётной записи администратора.

  • admin-profile: профиль администратора. Создание профилей администраторов рассмотрено далее.

  • auth-profile: выбор профиля аутентификации из созданных ранее; подробнее о профилях аутентификации читайте в разделе Настройка профилей аутентификации.

Для редактирования параметров профиля используется команда:

realmadmin/realm@nodename# set settings administrators administrators <admin-type> <admin-login>

Параметры для редактирования аналогичны параметрам создания профиля администратора.

Для отображения информации о всех учётных записях администраторов:

realmadmin/realm@nodename# show settings administrators administrators

Для отображения информации об определённой учётной записи администратора:

realmadmin/realm@nodename# show settings administrators administrators <admin-type> <admin-login>

Настройка прав доступа профилей администраторов

Настройка прав доступа профилей администраторов производится на уровне settings administrators profiles.

Для создания профиля администратора используется следующая команда:

realmadmin/realm@nodename# create settings administrators profiles

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля администратора.

description

Описание профиля администратора.

realm-permissions

Права доступа к управлению области:

  • no-access: нет доступа.

  • read: только чтение.

  • write: чтение и запись.

ngfw-permissions

Права доступа к управлению устройствами NGFW:

  • no-access: нет доступа.

  • read: только чтение.

  • write: чтение и запись.

ep-permissions

Права доступа к управлению конечными устройствами:

  • no-access: нет доступа.

  • read: только чтение.

  • write: чтение и запись.

logan-permissions

Права доступа к управлению устройствами LogAn:

  • no-access: нет доступа.

  • read: только чтение.

  • write: чтение и запись.

Для редактирования профиля используется команда:

realmadmin/realm@nodename# set settings administrators profiles <profile-name> <parameter>

Параметры для редактирования аналогичны параметрам создания профиля администратора.

Для просмотра информации о всех профилях администраторов:

realmadmin/realm@nodename# show settings administrators profiles

Для отображения информации об определённом профиле:

realmadmin/realm@nodename# show settings administrators profiles <profile-name>

Чтобы удалить профиль администратора:

realmadmin/realm@nodename# delete settings administrators profiles <profile-name>

Просмотр сессий администраторов текущей области (возможен просмотр сессии отдельного администратора: необходимо из предложенного списка выбрать IP-адрес, с которого была произведена авторизация):

realmadmin/realm@nodename# show settings administrators admin-sessions

Серверы аутентификации управляемой области

Серверы аутентификации — это внешние источники учетных записей пользователей для аутентификации в консоли управления области. Работа сервера аутентификации области аналогична работе сервера аутентификации для UGMC, отличие только в месте их использования.

Раздел Серверы аутентификации позволяет произвести настройку LDAP-коннектора, серверов RADIUS, TACACS+. Настройка серверов аутентификации производится на уровне users auth-server и будет рассмотрена далее в соответствующих разделах.

Настройка LDAP-коннектора

Настройка LDAP-коннектора производится на уровне users auth-server ldap.

Для создания LDAP-коннектора используется команда:

realmadmin/realm@nodename# create users auth-server ldap <parameter>

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Имя LDAP-коннектора.

enabled

Включение/отключение сервера аутентификации.

description

Описание LDAP-коннектора.

ssl

Определяет:

  • on — использование SSL-соединения для подключения к LDAP-серверу.

  • off — подключение к LDAP-серверу без использования SSL-соединения.

address

IP-адрес контроллера или название домена LDAP.

bind-dn

Имя пользователя, которое будет использоваться для подключения к серверу; указывается в формате DOMAIN\username или username@domain. Пользователь должен быть заведён в домене.

password

Пароль пользователя для подключения к домену.

domains

Список доменов, которые обслуживаются указанным контроллером домена.

search-roots

Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com. Если пути поиска не указаны, то поиск производится по всему каталогу, начиная от корня.

Для редактирования информации о существующем LDAP-коннекторе используется команда:

realmadmin/realm@nodename# set users auth-server ldap <ldap-server-name> <parameter>

Параметры, доступные для обновления, аналогичны параметрам создания LDAP-коннектора.

Команда для отображения информации о LDAP-коннекторе:

realmadmin/realm@nodename# show users auth-server ldap <ldap-server-name>

Примеры команд создания и редактирования LDAP-коннектора:

realmadmin/realm@nodename# create users auth-server ldap name "New LDAP connector" ssl on address 10.10.0.10 bind-dn ug@testd.local password 12345 domains [ testd.local ] search-roots [ dc=testd,dc=local ] enabled on
realmadmin/realm@nodename# show users auth-server ldap "New LDAP connector"

name             : New LDAP connector
enabled          : on
ssl              : on
address          : 10.10.0.10
bind-dn          : ug@testd.local
domains          : testd.local
search-roots     : dc=testd,dc=local
keytab_exists    : off
realmadmin/realm@nodename# set users auth-server ldap "New LDAP connector" description "New LDAP connector description"
realmadmin/realm@nodename# show users auth-server ldap "New LDAP connector"

name             : New LDAP connector
description      : New LDAP connector description
enabled          : on
ssl              : on
address          : 10.10.0.10
bind-dn          : ug@testd.local
domains          : testd.local
search-roots     : dc=testd,dc=local
keytab_exists    : off

Для удаления LDAP-коннектора используется команда:

realmadmin/realm@nodename# delete users auth-server ldap <ldap-server-name> <parameter>

Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:

  • domains.

  • search-roots.

Настройка RADIUS-сервера

Настройка RADIUS-сервера производится на уровне users auth-server radius.

Для создания сервера аутентификации RADIUS используется команда со следующей структурой:

realmadmin/realm@nodename# create users auth-server radius <parameter>

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Имя RADIUS-сервера.

enabled

Включение/отключение сервера аутентификации.

description

Описание сервера аутентификации.

secret

Общий ключ, используемый протоколом RADIUS для аутентификации.

addresses

IP-адрес и UDP-порт, на котором сервер RADIUS слушает запросы (по умолчанию порт 1812); указывается в формате <ip:port>.

Команда для обновления информации о сервере RADIUS:

realmadmin/realm@nodename# set users auth-server radius <radius-server-name> <parameter>

Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.

Команда для отображения информации о RADIUS-сервере:

realmadmin/realm@nodename# show users auth-server radius <radius-server-name>

Примеры команд создания и редактирования RADIUS-сервера:

realmadmin/realm@nodename# create users auth-server radius name "New RADIUS server" addresses [ 10.10.0.9:1812 ] secret 12345 enabled on
realmadmin/realm@nodename# show users auth-server radius "New RADIUS server"

name           : New RADIUS server
enabled        : on
addresses      :
    host    : 10.10.0.9
    port    : 1812
realmadmin/realm@nodename# set users auth-server radius "New RADIUS server" description "New RADIUS server description"
realmadmin/realm@nodename# show users auth-server radius "New RADIUS server"

name           : New RADIUS server
description    : New RADIUS server description
enabled        : on
addresses      :
    host    : 10.10.0.9
    port    : 1812

Для удаления сервера:

realmadmin/realm@nodename# delete users auth-server radius <radius-server-name> <parameter>

Также возможно удаления отдельных параметров RADIUS-сервера. Для удаления доступны следующие параметры:

  • addresses.

Настройка сервера TACACS+

Настройка сервера TACACS+ производится на уровне users auth-server tacacs.

Для создания сервера аутентификации TACACS+ используется команда со следующей структурой:

realmadmin/realm@nodename# create users auth-server tacacs <parameter>

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Имя сервера TACACS+.

enabled

Включение/отключение сервера.

description

Описание сервера аутентификации.

secret

Общий ключ, используемый протоколом TACACS+ для аутентификации.

address

IP-адрес сервера TACACS+.

port

UDP-порт, на котором сервер TACACS+ слушает запросы на аутентификацию. По умолчанию это порт UDP 1812.

single-connection

Использовать одно TCP-соединение для работы с сервером TACACS+.

timeout

Время ожидания сервера TACACS+ для получения аутентификации. По умолчанию 4 секунды.

Команда для редактирования информации о сервере TACACS+:

realmadmin/realm@nodename# set users auth-server tacacs <tacacs-server-name> <parameter>

Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации.

Команда для отображения информации о сервере TACACS+:

realmadmin/realm@nodename# show users auth-server tacacs <tacacs-server-name>

Примеры команд для создания и редактирования сервера TACACS+:

realmadmin/realm@nodename# create users auth-server tacacs address 10.10.0.11 name "New TACACS+ server" port 1812 secret 12345 enabled on
realmadmin/realm@nodename# show users auth-server tacacs "New TACACS+ server"

name                 : New TACACS+ server
enabled              : on
address              : 10.10.0.11
port                 : 1812
single-connection    : off
timeout              : 4
realmadmin/realm@nodename#set users auth-server tacacs "New TACACS+ server" description "New TACACS+ server description"
realmadmin/realm@nodename# show users auth-server tacacs "New TACACS+ server"

name                 : New TACACS+ server
description          : New TACACS+ server description
enabled              : on
address              : 10.10.0.11
port                 : 1812
single-connection    : off
timeout              : 4

Для удаления сервера:

realmadmin/realm@nodename# delete users auth-server tacacs <tacacs-server-name>

Профили аутентификации управляемой области

Профиль позволяет определить набор способов аутентификации пользователей в консоли администрирования UserGate.

Настройка профилей аутентификации производится на уровне users auth-profile.

Для создания профиля аутентификации используется следующая команда:

realmadmin/realm@nodename# create users auth-profile <parameter>

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля.

description

Описание профиля.

auth-methods

Метод аутентификации:

  • ldap: аутентификация с использованием LDAP-коннектора.

  • radius: аутентификация с использованием RADIUS-сервера.

  • tacacs: аутентификация с использованием сервера TACACS+.

expiration-time

Время жизни авторизованного пользователя; указывается в секундах. Через указанный промежуток времени пользователь перейдёт в статус Unknown user; необходима повторная авторизация пользователя.

idle-time

Время бездействия до отключения; указывается в секундах. Через указанный промежуток времени при отсутствии активности пользователь перейдёт в статус Unknown user.

lockout-time

Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток аутентификации; указывается в секундах.

max-attempts

Число неудачных попыток аутентификации до блокировки учётной записи пользователя.

Команда для редактирования настроек профилей аутентификации:

realmadmin/realm@nodename# set users auth-profile <auth-profile-name> <parameter>

Для обновления доступен список параметров, аналогичный списку параметров команды create.

Пример создания и редактирования профиля аутентификации пользователя:

realmadmin/realm@nodename# create users auth-profile name "New LDAP auth profile" auth-methods ldap [ "New LDAP connector" ]
realmadmin/realm@nodename# show users auth-profile "New LDAP auth profile"

name               : New LDAP auth profile
max-attempts       : 5
idle-time          : 900
expiration-time    : 86400
lockout-time       : 300
mfa                : none
auth-methods       :
    http-basic         : off
    local-user-auth    : off
    policy-accept      : off
    ldap               : New LDAP connector
realmadmin/realm@nodename# set users auth-profile "New LDAP auth profile" description "New LDAP auth profile description"
realmadmin/realm@nodename# show users auth-profile "New LDAP auth profile"

name               : New LDAP auth profile
description        : New LDAP auth profile description
max-attempts       : 5
idle-time          : 900
expiration-time    : 86400
lockout-time       : 300
mfa                : none
auth-methods       :
    http-basic         : off
    local-user-auth    : off
    policy-accept      : off
    ldap               : New LDAP connector

Через интерфейс командной строки возможно удаления всего профиля или отдельных способов аутентификации, заданных в профиле. Для этого используются следующие команды.

Для удаления профиля аутентификации:

realmadmin/realm@nodename# delete users auth-profile <auth-profile-name>

Для удаления методов аутентификации, заданных в профиле, необходимо указать метод аутентификации (доступные методы авторизации перечислены в таблице выше):

realmadmin/realm@nodename# delete users auth-profile <auth-profile-name> auth-methods <auth-metod>

Каталоги пользователей управляемой области

Для работы с каталогами пользователей необходим корректно настроенный LDAP-коннектор, который позволяет получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Пользователи и группы могут быть использованы при настройке политик, применяемых к управляемым устройствам.

ПримечаниеПри настройке политик безопасности серверы аутентификации, настраиваемые в шаблонах управляемых устройств, не используются для добавления пользователей и групп в правила.

Создание и настройка каталога пользователей производится на уровне users catalogs ldap.

Для создания каталога используется команда:

realmadmin/realm@nodename# create users catalogs ldap <parameter>

Далее необходимо указать следующие параметры:

Параметр

Описание

name

Имя LDAP-коннектора.

enabled

Включение/отключение сервера аутентификации.

description

Описание LDAP-коннектора.

ssl

Определяет:

  • on — использование SSL-соединения для подключения к LDAP-серверу.

  • off — подключение к LDAP-серверу без использования SSL-соединения.

address

IP-адрес контроллера или название домена LDAP.

bind-dn

Имя пользователя, которое будет использоваться для подключения к серверу; указывается в формате DOMAIN\username или username@domain. Пользователь должен быть заведён в домене.

password

Пароль пользователя для подключения к домену.

domains

Список доменов, которые обслуживаются указанным контроллером домена.

search-roots

Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com. Если пути поиска не указаны, то поиск производится по всему каталогу, начиная от корня.

Для редактирования информации о существующем каталоге используется команда:

realmadmin/realm@nodename# set users catalogs ldap <ldap-server-name> <parameter>

Параметры, доступные для обновления, аналогичны параметрам создания каталога.

Команда для отображения информации о каталоге пользователей:

realmadmin/realm@nodename# show users catalogs ldap <ldap-server-name>

Для удаления каталога используется команда:

realmadmin/realm@nodename# delete users catalogs ldap <ldap-server-name> <parameter>

Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:

  • domains.

  • search-roots.

Управление межсетевыми экранами UserGate

Для централизованного управления межсетевыми экранами UserGate (NGFW) в управляемой области необходимо создать шаблоны и группы шаблонов, описывающие настройки NGFW, затем добавить управляемые NGFW и применить к ним созданные ранее шаблоны.     

В интерфейсе CLI создание шаблонов, групп шаблонов и  добавление управляемых устройств NGFW происходит на уровне ngfw

Шаблоны устройств

Для создания шаблона NGFW используется команда:

realmadmin/realm@nodename# create ngfw template <name, description>

Для редактирования названия/описания шаблона NGFW используется команда:

realmadmin/realm@nodename# set ngfw template <name, description>

Для просмотра созданных ранее шаблонов NGFW используется команда:

realmadmin/realm@nodename# show ngfw template <template-name>

Для удаления созданных ранее шаблонов NGFW используется команда:

realmadmin/realm@nodename# delete ngfw template <template-name>

После создания шаблона NGFW можно начать производить настройку его параметров. Для этого необходимо перейти в режим настройки параметров шаблона управляемых устройств следующей командой:

realmadmin/realm@nodename# go ngfw-template <template-name>

В режиме настройки параметров шаблона доступны те же команды настройки параметров NGFW, которые определены в разделе Интерфейс командной строки Руководства администратора NGFW.  

При настройке параметров следует придерживаться следующих правил:

1. Если значение настройки не определено в шаблоне, то ничего передаваться в NGFW не будет. В данном случае в NGFW будет использована либо настройка по умолчанию, либо настройка, которую указал локальный администратор NGFW.

2. Если настройка параметра выполнена в шаблоне, то эта настройка переопределит значение этой же настройки, назначенной локальным администратором.

После получения настроек с UGMC настройки следующих разделов могут быть изменены локально на NGFW:

ПримечаниеНастройка будет переопределена после изменения данной настройки в шаблоне NGFW администратором области на UGMC.
  • общие настройки устройства;

  • настройки сетевых интерфейсов.

3. Правила политик не переопределяют правила, созданные локальным администратором, а добавляются к ним в виде пре- и пост- правил. Подробно о применении правил смотрите раздел данного руководства Шаблоны и группы шаблонов.

4. При настройке сетевых интерфейсов первый физический интерфейс, доступный для конфигурирования — это port1. Интерфейс port0 нельзя настроить с помощью средств UGMC, он всегда настраивается локальным администратором и необходим для обеспечения первичной связи управляемых устройств с UGMC.

5. При настройке сетевых интерфейсов возможно создать интерфейс и оставить его конфигурирование локальному администратору. Для этого необходимо активировать параметр on-device (on-device on) в настройках интерфейса.

6. Библиотеки, например, такие как IP-адреса, списки URL, типы контента и другие, по умолчанию не содержат никакого контента в UGMC в отличие от библиотек, создаваемых по умолчанию на устройствах NGFW. Для использования библиотек в политиках UGMC, необходимо предварительно добавить элементы в эти библиотеки. Элементы библиотек не участвуют в синхронизации: если список был создан, но не используется в политиках, то данный список не появится в разделе библиотек NGFW.

7. Рекомендуется создавать отдельные шаблоны для разных групп настроек, это позволит избежать конфликтов настроек при объединении шаблонов в группы шаблонов и упростит понимание результирующей настройки, которая будет применена к управляемым устройствам. Например, шаблон сетевых настроек, шаблон правил межсетевого экрана, шаблон правил контентной фильтрации, шаблон библиотек и т.д.

Группы шаблонов

Группы шаблонов объединяют несколько шаблонов в единую конфигурацию, которая применяется к управляемому устройству. Результирующие настройки, применяемые к устройству, формируются в результате слияния всех настроек шаблонов, входящих в группу шаблонов, с учетом расположения шаблонов внутри группы. 

Для создания группы шаблонов NGFW используется команда:

realmadmin/realm@nodename# create ngfw groups name <group-name> description <group description> templates [ teplate1-name template2-name ... ]

Для редактирования группы шаблонов NGFW используется команда:

realmadmin/realm@nodename# set ngfw groups name <group-name> <description, templates>

Для просмотра созданных ранее групп шаблонов NGFW используется команда:

realmadmin/realm@nodename# show ngfw groups <group-name>

Для удаления созданных ранее групп шаблонов NGFW используется команда:

realmadmin/realm@nodename# delete ngfw groups <group-name>

В созданной ранее группе шаблонов возможно удаление входящих в нее шаблонов:

realmadmin/realm@nodename# delete ngfw groups <group-name> templates [ template-name template-name ... ]

Добавление NGFW под управление UGMC

Группа шаблонов всегда применяется к одному или нескольким управляемым устройствам UserGate NGFW. Для добавления управляемого NGFW в UGMC необходимо выполнить следующие шаги:

1. Обеспечить доступ от управляемого NGFW до UGMC, для этого на сервере UGMC необходимо разрешить сервис Management в свойствах контроля доступа зоны, к которой подключены управляемые устройства

2. Создать объект управляемого устройства.

3. Связать созданный объект управляемого устройства с реальным устройством UserGate NGFW.

Для обеспечения доступа от управляемого NGFW до UGMC необходимо в режиме администратора UGMC выполнить следующую команду:

Admin/system@nodename# set network zone <zone-nfme> enabled-services [ Management ]
 

Для создания объекта управляемого устройства используется команда:

realmadmin/realm@nodename# create ngfw devices <parameters>

Необходимо указать следующие параметры:

Параметр

Описание

enabled

Включает объект управляемого устройства. Если объект управляемого устройства включен, то он занимает одну лицензию.

name

Название для управляемого устройства. Можно вводить произвольное название.

description

Описание управляемого устройства.

templates-group

Группа шаблонов, настройки которой следует применить к этому управляемому устройству.

sync-mode

Выбор режима синхронизации настроек группы шаблонов к устройству. Возможны 3 варианта:

  • auto — автоматическая синхронизация. При изменении любой настройки из любого шаблона, включенного в группу шаблонов, примененную к управляемому устройству, это изменение применяется к NGFW без задержек.

  • disabled — синхронизация выключена.

  • manual — режим синхронизации, при котором настройки применяются однократно при запросе синхронизации.

Для осуществления связи уже настроенного NGFW с UGMC необходимо выполнить следующие шаги:

1. Получить Код устройства

2. Указать IP-адрес сервера UGMC и ввести уникальный код устройства

Код созданного объекта управляемого устройства (device-code) можно посмотреть следующей командой:

realmadmin/realm@nodename# show ngfw devices <device-name>

name                         : <device-name>
enabled                      : on
device-code                  : 9W8W14UC
templates-group              : <template-group-name>
...

В консоли управляемого устройства NGFW необходимо добавить IP-адрес управляющего UGMC и указать код созданного объекта управляемого устройства:

Admin@ngfw-nodename# set settings general management-center mc-address <ugmc-ip-address> device-code 9W8W14UC enabled on

Проверить подключение на стороне UGMC можно командой просмотра управляемого устройства:

realmadmin/realm@nodename# show ngfw devices <device-name>

Кластеризация UserGate NGFW с помощью UGMC

Кластер конфигурации

Создание кластера конфигурации, управляемого из UGMC, практически идентично созданию отдельностоящего кластера. Отличие лишь в том, что первый узел кластера должен быть подключен под управление UGMC до создания кластера конфигурации. Каждому узлу кластера конфигурации, подключаемому в UGMC, назначается идентификатор узла — уникальный идентификатор вида node_1, node_2, node_3 и так далее.

Первоначальная настройка на первом узле кластера должна быт выполнена, как описано в разделе Первоначальная инициализация Руководства администратора NGFW.

Настройка зоны, через которую будет осуществляться репликация кластера, на первом узле кластера должна быть выполнена, как указано в разделе Настройка сети Руководства администратора NGFW. Необходимо разрешить сервисы ha и Admin Console в соответствующей зоне.

Настройка IP-адреса на первом узле кластера, который будет использоваться для связи с другими узлами кластера, производится как указано в разделе Настройка кластеров Руководства администратора NGFW:

Admin@ngfw-nodename# set settings device-mgmt configuration-cluster

Генерация секретного кода на первом узле кластера производится как указано в разделе Настройка кластеров Руководства администратора NGFW:

Admin@ngfw-nodename# execute configurate-cluster generate-secret-key

Добавление первого узла кластера под управление UGMC производится как указано в предыдущей главе Добавление NGFW под управление UGMC.

Добавление в кластер конфигурации второго и последующих узлов возможно только при первоначальной инициализации этих узлов. Подробнее читайте в разделе Первоначальная инициализация Руководства администратора NGFW.

Настройка добавленного узла, включая настройки интерфейсов, зон, политик фильтрации, может производиться либо локально, либо через политики шаблонов UGMC. Если эти настройки уже были выполнены в шаблонах UGMC на момент подключения второго узла, то они будут применены к добавленному узлу сразу же после его добавления в кластер.

Кластер отказоустойчивости

Узлы кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив. Возможно собрать несколько кластеров отказоустойчивости. Для создания кластера отказоустойчивости с помощью UGMC необходимо выполнение следующих условий:

1. Наличие кластера конфигурации.

2. Наличие управляемых из UGMC интерфейсов. Виртуальные IP-адреса могут быть назначены только на интерфейсы, которые созданы в шаблонах UGMC.

3. Выполнение всех требований, предъявляемых к узлам, при создании кластера отказоустойчивости без использования UGMC. Подробно о кластерах отказоустойчивости описано в разделе Кластеризация и отказоустойчивость в Руководстве администратора NGFW.

Для создания кластера отказоустойчивости необходимо выполнить следующие шаги:

1. В одном из шаблонов UGMC, где настроены зоны для управляемых устройств, разрешить сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес. Подробнее о настройке зон читайте в разделе Настройка сети Руководства администратора NGFW.

realmadmin/realm@nodename# go ngfw-template <template-name>

realmadmin/realm@nodename# set network zone name <zone-name> enabled-services [ VRRP ]
Template: <ntmplate-name>

2. В одном из шаблонов UGMC указать параметры кластера отказоустойчивости:

realmadmin/realm@nodename# create settings device-mgmt ha-clusters <parameters>
Template: <template-name>

3. Если предполагается использовать аутентификацию с помощью Captive-портала, то необходимо, чтобы системные имена auth.captive и logout.captive, которые используются процедурами аутентификации в Captive, определялись в IP-адрес, назначенный в качестве кластерного виртуального адреса. Данную настройку можно выполнить в одном из шаблонов UGMC, в разделе settings general.

realmadmin/realm@nodename# set settings general modules auth-captive sync on value <domain_name>

realmadmin/realm@nodename# set settings general modules logout-captive sync on value <domain_name>

Параметры отказоустойчивого кластера:

Параметр

Описание

enabled

Включение/отключение отказоустойчивого кластера.

name

Название отказоустойчивого кластера.

description

Описание отказоустойчивого кластера.

mode

Выбор режима работы кластера:

  • active-passive: режим работы Актив-Пассив (один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные — в качестве резервных).

  • active-active: режим работы Актив-Актив (один из серверов выступает в роли Мастер-узла, распределяющего трафик на все остальные узлы кластера).

session-sync

Настройка синхронизации пользовательских сессий в кластере:

  • off — отключение синхронизации пользовательских сессий. 

  • on — включение синхронизации пользовательских сессий.

  • ha-cluster-id: 

    • <num> — мультикаст идентификатор кластера (может принимать значения от 0 до 8). Синхронизация пользовательских сессий (кроме сессий, использующих прокси-сервер, например, трафик HTTP/S) включится автоматически.

session-sync-all

Включение/отключение режима синхронизации всех пользовательских сессий, включая UDP/ICMP сессии. В случае, если этот параметр не активирован, а настройка session-sync активирована, синхронизироваться будут только TCP сессии.  

excluded-sync-ips

Указание IP-адресов, с которыми отключена синхронизация всех пользовательских сессий.

virtual-router-id

Идентификатор виртуального маршрутизатора (VRID).

nodes

Выбор узлов кластера конфигурации для объединения их в кластер отказоустойчивости.

virtual-ips

Задание виртуального IP-адреса для кластера и выбор рабочего интерфейса для каждого узла. 

Доступные параметры для <virtual-ips-filter>:

  • new: создать виртуальный IP-адрес для заданного кластера.

  • <ip>: изменить данные для выбранного виртуального адреса.

Доступные параметры для <virtual-ip-info>:

  • ip: задать IP-адрес для кластера отказоустойчивости (указывается в формате IP/mask).

  • ha-interfaces: задать интерфейсы для узлов кластера (указываются в формате node-name/interface).

Управление обновлениями управляемых устройств

UGMC позволяет создать централизованную политику обновления программного обеспечения UserGate (UGOS) и обновляемыми библиотеками, предоставляемыми по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, типов контента и другие).

ПримечаниеПосле добавления UserGate NGFW под управление UGMC, устройство UserGate автоматически начинает скачивать все обновления с сервера UGMC.

Обновление ПО

Порядок установки обновлений, следующий:

1. Загрузить обновления в репозитарий UGMC. Управление загрузками обновлений в репозиторий UGMC управляется командой:

realmadmin/realm@nodename# set settings general updates-schedule software 

Подробнее — в главе Общие настройки в Руководстве администратора UGMC.

2, Утвердить обновление для всех или для конкретных устройств: 

realmadmin/realm@nodename# set ngfw software-updates <sw-update-name> devices <device-name>

3. Провести установку обновления. После утверждения обновление становится доступным для скачивания для всех или группы управляемых устройств. Управляемое устройство скачивает обновление в соответствии с расписанием проверки обновлений. После скачивания обновление может быть установлено администратором в консоли MC или в ручном режиме администратором управляемого устройства.

Обновление библиотек

Библиотеки — это обновляемые базы ресурсов, предоставляемых по подписке клиентам UserGate (база категорий URL-фильтрации, сигнатуры СОВ, списки IP-адресов, URL, MIME-типов, морфологические базы и другие). Эти обновления выкладываются в репозитарий UserGate, откуда они уже доступны для скачивания UserGate NGFW. Если NGFW подключен к управлению через UGMC, то он проверяет наличие обновлений на сервере UGMC, который сам будет являться репозитарием. Репозитарий UserGate при этом будет использован сервером UGMC для получения новых обновлений. По умолчанию UGMC проверяет и скачивает обновления библиотек автоматически.

Библиотеки, находящиеся в репозитарии UGMC доступны всем управляемым устройствам UserGate. Управляемые устройства скачивают и устанавливают доступные обновления автоматически в соответствии с расписанием проверки обновлений.

Для настройки скачивания обновлений в UGMC из репозитария UserGate используется следующая команда:

realmadmin/realm@nodename#set ngfw libraries-updates <library-name> download <auto/manual>

Управление конечными устройствами UserGate

Для централизованного управления конечными устройствами UserGate в управляемой области необходимо создать шаблоны и группы шаблонов, описывающие настройки конечных устройств, затем добавить управляемые конечные устройства и применить к ним созданные ранее шаблоны.     

В интерфейсе CLI создание шаблонов, групп шаблонов и  добавление управляемых конечных устройств происходит на уровне endpoint

Шаблоны устройств

Для создания шаблона конечных устройств используется команда:

realmadmin/realm@nodename# create endpoint template <name, description>

Для редактирования названия/описания шаблона конечных устройств используется команда:

realmadmin/realm@nodename# set endpoint template <name, description>

Для просмотра созданных ранее шаблонов конечных устройств используется команда:

realmadmin/realm@nodename# show endpoint template <template-name>

Для удаления созданных ранее шаблонов конечных устройств используется команда:

realmadmin/realm@nodename# delete endpoint template <template-name>

После создания шаблона конечных устройств можно начать производить настройку его параметров. Для этого необходимо перейти в режим настройки параметров шаблона управляемых устройств следующей командой:

realmadmin/realm@nodename# go endpoint-template <template-name>

При настройке параметров шаблона следует придерживаться следующих правил:

1. Если значение настройки не определено в шаблоне, то ничего передаваться в управляемое устройство не будет. В данном случае будет использована настройка по умолчанию.

2. Библиотеки, например, такие как IP-адреса, списки URL, списки типов контента MIME, приложения и другие, по умолчанию не содержат никакого контента в UGMC. Для использования библиотек в политиках фильтрации, необходимо предварительно добавить элементы в эти библиотеки.

3. Рекомендуется создавать отдельные шаблоны для разных групп настроек, это позволит избежать конфликтов настроек при объединении шаблонов в группы шаблонов и упростит понимание результирующей настройки, которая будет применена к управляемому устройству.

При создании шаблона администратор может использовать следующие разделы — Общие настройки, Настройки VPN, Библиотеки.

Общие настройки

В этом разделе устанавливаются параметры общих настроек управляемого устройства. Для настройки параметров используется следующая команда:

realmadmin/realm@nodename# set settings general <parameters>

Параметры для настройки:

Параметр

Описание

installation-settings

Настройки инсталляции ПО UserGate Client:

  • collect-ep-data: сбор информации о конечном устройстве (IP-адрес, время последнего подключения к UGMC, пользователь, имя компьютера, версия ОС, версия ПО UserGate Client, загрузка CPU и памяти, запущенные процессы, сервисы и т.д.).

    Значение по умолчанию: enabled.

    Если отключить данную функцию, то UGMC будет получать информацию только об IP-адресе, имени конечного устройства, версии ПО UserGate Client и ОС Windows, текущем времени и времени загрузки устройства, загрузке CPU и памяти.

    Важно! Отключение сбора информации о конечном устройстве влияет на работу профилей HIP.

  • network-access: настройка сетевого доступа при остановленном ПО UserGate Client.

    Значение по умолчанию: enabled.

  • firewall-access: разрешение пользователю самостоятельно, используя графический интерфейс, отключать контентную фильтрацию на конечном устройстве:

    • off — не разрешать самостоятельно отключать контентную фильтрацию.

    • on — разрешить самостоятельно отключать контентную фильтрацию.

    • by code — разрешить самостоятельно отключать контентную фильтрацию с использованием кода. Для разрешения пользователю самостоятельно отключать контентную фильтрацию необходимо указать/сгенерировать код, который клиент должен ввести на конечном устройстве; также можно указать срок действия кода (code-expiration-date).

    При разрешении пользователю отключать фильтрацию самостоятельно можно указать количество разрешённых отключений (number-of-shutdowns) и/или время, на которое фильтрация будет отключена (duration).

    Значение по умолчанию: on (отключение фильтрации на 10 минут без использования кода).

    Важно! В случае использования счётчика количества отключений: если внести изменения в настройки разрешения отключения межсетевого экрана, то счётчик на конечном устройстве обнулится.

  • uninstall-access: возможность удаления ПО UserGate Client. При использовании опции uninstall-code (Разрешить с использованием кода) необходимо указать/сгенерировать код, который необходимо ввести клиенту при удалении ПО.

    Значение по умолчанию: enabled.

Важно! Настройки не будут применены, если не включена синхронизация (параметр sync on). Иначе будут использованы значения по умолчанию.

notification

Настройка оповещений:

  • show-icons: отображение иконки UserGate Client в области уведомлений на панели задач.

  • notification-tooltips: включение/отключение отправки оповещений на конечное устройство.

    Если оповещения отключены, то уведомления не будут отображаться на конечном устройстве вне зависимости от настроек отдельных уведомлений (о добавлении/удалении устройства из карантина, блокировке ресурса).

  • add-to-quarantine-message: отправка уведомлений о блокировке устройства. Для настройки уведомления необходимо указать текст сообщения и тип. Уведомление будет отображено в виде всплывающего окна.

  • remove-from-quarantine-message: отправка уведомлений о разблокировке устройства. Для настройки уведомления необходимо указать текст сообщения и тип. Уведомление будет отображено в виде всплывающего окна.

  • resource-blocked-message: отправка уведомления при блокировке перехода по адресу электронного ресурса. Для настройки уведомления необходимо указать текст сообщения и тип. Уведомление будет отображено в виде всплывающего окна.

Важно! Настройки не будут применены, если не включена синхронизация (араметр sync on). Иначе будут использованы значения по умолчанию.

logan-device

Установка для конечного устройства сервера LogAn, на которое устройство будет отсылать информацию о событиях. Сервер LogAn должен быть предварительно зарегистрирован в UGMC.

Важно! Настройки не будут применены, если не включена синхронизация (араметр sync on). Иначе будут использованы значения по умолчанию.

Настройка VPN

Данный раздел позволяет настроить профили безопасности VPN, которые определяют такие настройки, как общий ключ шифрования (Pre-shared key), протокол соединения и алгоритмы для шифрования и аутентификации. Настройки VPN передаются на управляемое устройство UserGate Client; пользователь сможет выбрать необходимый VPN-сервер для подключения в начальном окне графического интерфейса.

ПримечаниеНастройка VPN-соединений возможна только для конечных устройств с версией ОС Windows 10 и выше. После разрыва соединения попытки подключения будут производиться в течение 40 секунд. Если за это время соединение не будет установлено, то у пользователя отобразится окно для выбора VPN-сервера.

Для настройки параметров используется следующая команда:

realmadmin/realm@nodename# create settings vpn-settings <parameters>

Для настройки профиля VPN-сервера необходимо указать:

Параметр

Описание

enabled

Включение/отключение правила.

name

Название профиля безопасности для подключения к серверу VPN.

descriptipon

Описание профиля.

vpn-address

Имя хоста (FQDN) или IP-адрес VPN-сервера.

Важно! Необходимо учитывать, что при указании адреса VPN-сервера в виде FQDN перебор IP-адресов не предусмотрен. В случае, если DNS-сервер вернет несколько адресов, будет выполнена попытка подключения к первому адресу в списке.

protocol

VPN-протоколы для создания туннеля:

  • ipsec2. Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных — протокол IPsec.

  • ikev2-with-certificate. Для создания защищенного канала будет использоваться протокол IKEv2, а для взаимной проверки подлинности сервера и клиента — сертификаты.

    Важно! При генерации клиентского сертификата обязательно должно быть указано поле CN — идентификатор пользователя, которому этот сертификат предназначается.

  • ikev2. Для создания защищенного канала будет использоваться протокол IKEv2, а для проверки клиента — логин и пароль (EAP-MSCHAP v2). Данный метод доступен только для пользователей доменного RADIUS-сервера.

ike-mode

Режим IKE (указать при выборе опции протоколаIPsec L2TP): main, aggressive.

Разница между режимами: в агрессивном режиме используется меньшее количество пакетов, что позволяет достичь более быстрого установления соединения. Агрессивный режим не передает некоторые параметры согласования, что требует предварительной идентичной настройки их на точках подключения.

psk

Cтрока, которая должна совпадать на сервере и клиенте для успешного подключения. Указывается для протокола IPsec L2TP.

Фаза 1

Во время первой фазы происходит согласование защиты IKE. Аутентификация происходит на основе общего ключа в режиме, выбранном ранее. Необходимо указать следующие параметры:

  • phase1-key-lifetime – по истечению данного времени происходят повторные аутентификация и согласование настроек первой фазы.

  • dpd-interval – для проверки состояния и доступности соседних устройств используется механизм Dead Peer Detection (DPD). DPD периодически отправляет сообщения R-U-THERE для проверки доступности IPsec-соседа. Минимальный интервал проверки: 10 секунд; значение 0 отключает проверку.

  • dpd-max-failures – максимальное количество запросов обнаружения недоступных IPsec-соседей, которое необходимо отправить до того, как IPsec-сосед будет признан недоступным.

  • dh-groups – выбор группы Диффи-Хеллмана, которая будет использоваться для обмена ключами. Сам ключ не передаётся, а передаются общие сведения, необходимые алгоритму определения ключа DH для создания общего секретного ключа. Чем больше номер группы Диффи-Хеллмана, тем больше бит используется для обеспечения надёжности ключа.

  • phase1-security – алгоритмы аутентификации и шифрования используются в порядке, в котором они отображены. Для изменения порядка перетащите необходимую пару вверх/вниз или используйте кнопки Выше/Ниже.

Фаза 2

Во второй фазе осуществляется выбор способа защиты IPsec подключения. Необходимо указать:

  • phase2-key-lifetime. По истечению данного времени узлы должны сменить ключ шифрования. Время жизни, заданное во второй фазе, меньше, чем у первой фазы, т.к. ключ необходимо менять чаще.

  • key-lifesize-enabled, key-lifesize. Время жизни ключа может быть задано в байтах. Если заданы оба значения (key-lifetime и key-lifesize), то счётчик, первый достигнувший лимита, запустит пересоздание ключей сессии.

  • phase2-security – алгоритмы аутентификации и шифрования.

Библиотеки элементов

Данный раздел содержит в себе адреса-сайтов, IP-адреса, приложения и прочие элементы, которые используются при настройке правил управляемых устройств UGC.

Настройка библиотек в шаблонах конечных устройств происходит на уровне libraries.

Для создания списков используется команда:

realmadmin/realm@nodename# create libraries <parameters>

Для редактирования ранее созданных списков используется команда:

realmadmin/realm@nodename# set libraries <parameters>

Для просмотра ранее созданных списков используется команда:

realmadmin/realm@nodename# show libraries <parameters>

Для удаления ранее созданных списков используется команда:

realmadmin/realm@nodename# delete libraries <parameters>

Сервисы

Раздел Cервисы содержит список общеизвестных сервисов, основанных на протоколе TCP/IP, например, таких, как HTTP, HTTPS, FTP и другие. Данные сервисы могут быть использованы при построении правил управляемых устройств UGC. Первоначальный список сервисов поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы.

Для создания списков сервисов используется команда:

realmadmin/realm@nodename# create libraries services <parameters>

В качестве параметров указываются название и описание списка, необходимый протокол, порты назначения и источника.

Группы сервисов

Списки из библиотеки сервисов могут быть объединены в группы. Для создания группы сервисов используется комада:

realmadmin/realm@nodename# create libraries service-groups <parameters>

В качестве параметров в команде указываются название и описание списка, указываются необходимые списки сервисов, например:

realmadmin/realm@nodename# create libraries service-groups name <service-group-name> services [ service-name1 service-name2 ... ]

IP-адреса

Раздел IP-адреса содержит список диапазонов IP-адресов, которые могут быть использованы при построении правил управляемых устройств UGC.

Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового списка IP-адресов используется команда:

realmadmin/realm@nodename# create libraries ip-list <parameters>

Далее необходимо задать следующие параметры:

Параметр

Описание

name

Название списка адресов.

description

Описание списка.

threat-lvl

Уровень угрозы:

  • very-low — очень низкий уровень угрозы.

  • low — низкий уровень угрозы.

  • medium — средний уровень угрозы.

  • high — высокий уровень угрозы.

  • very-high — высокий уровень угрозы.

type

Тип списка:

  • local — локальный.

  • updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.

Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:

  • Звездочка (*) — обозначает весь диапазон (от первого до последнего).

  • Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

  • Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

lists

Выбор существующих IP-листов для добавления в создаваемый лист.

ips 

IP-адреса или диапазон IP-адресов, которые необходимо включить в список. Указывается в формате: <ip>, <ip/mask> или <ip_range_start-ip_range_end>.

Для редактирования списка (список параметров, доступных для обновления, аналогичен списку параметров команды создания списка):

realmadmin/realm@nodename# set libraries ip-list <ip-list-name> <parameter>

Чтобы добавить в список новые адреса:

realmadmin/realm@nodename# set libraries ip-list <ip-list-name> [ <ip1> <ip2> ... ]

Следующие команды используются для удаления всего списка адресов или IP-адресов, содержащихся в нём:

realmadmin/realm@nodename# delete libraries ip-list <ip-list-name>
realmadmin/realm@nodename# delete libraries ip-list <ip-list-name> ips [ <ip1> <ip2>... ]

Команда отображения информации о всех имеющихся списках:

realmadmin/realm@nodename# show libraries ip-list

Чтобы отобразить информацию об определённом списке, необходимо указать название интересующего списка IP-адресов:

realmadmin/realm@nodename# show libraries ip-list <ip-list-name>

Также доступен просмотр содержимого списка IP-адресов:

realmadmin/realm@nodename# show libraries ip-list <ip-list-name> items

Группы приложений

Элемент библиотеки Группы приложений позволяет создать группы приложений для более удобного использования в правилах фильтрации сетевого трафика. 

ПО UserGate Client определяет приложение по его контрольной сумме, что дает администратору возможность очень точно и выборочно управлять доступом в сеть для определенных приложений, например, разрешать доступ в сеть только для определенной версии приложения, блокируя при это все остальные версии данного приложения.

Для добавления новой группы приложений используется команда:

realmadmin/realm@nodename# create libraries application-groups <parameters>

Далее необходимо задать следующие параметры:

Параметр

Описание

name

Название списка адресов.

description

Описание списка.

threat-lvl

Уровень угрозы:

  • very-low — очень низкий уровень угрозы.

  • low — низкий уровень угрозы.

  • medium — средний уровень угрозы.

  • high — высокий уровень угрозы.

  • very-high — высокий уровень угрозы.

type

Тип списка:

  • local — локальный.

  • updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.

Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:

  • Звездочка (*) — обозначает весь диапазон (от первого до последнего).

  • Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

  • Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

apps

Указание названия (name) и контрольной суммы (hash) приложения. Контрольная сумма исполняемого файла Windows должна быть определена по алгоритму SHA1, например, с помощью утилиты fciv.

 Для редактирования группы приложений используется команда:

realmadmin/realm@nodename# set libraries application-groups <group-name> <parameter>

Чтобы добавить в список новые приложения:

realmadmin/realm@nodename# set libraries application-groups <group-name> apps new name <app-name> hash <app-hash>

Следующие команды используются для удаления всего списка адресов или IP-адресов, содержащихся в нём:

realmadmin/realm@nodename# delete libraries application-groupst <group-name>
realmadmin/realm@nodename# delete libraries application-groups <group-name> apps <app-name>

Команда отображения информации о всех имеющихся списках:

realmadmin/realm@nodename# show libraries application-groups

Чтобы отобразить информацию об определённом списке, необходимо указать название интересующего списка IP-адресов:

realmadmin/realm@nodename# show libraries application-groups <group-name>

Также доступен просмотр содержимого списка IP-адресов:

realmadmin/realm@nodename# show libraries application-groups <group-name> apps

Списки URL

Раздел предназначен для задания списков указателей URL, которые могут быть использованы в правилах контентной фильтрации в качестве черных и белых списков.

 Настройка списков URL производится на уровне libraries url-list.

Для добавления нового списка URL предназначена следующая команда:

realmadmin/realm@nodename# create libraries url-list <parameters>

Далее указывается следующая информация:

Параметр

Описание

name

Название списка URL.

description

Описание списка URL.

type

Тип списка:

  • local — локальный.

  • updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.

Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 –вс). Каждое из поле может быть задано следующим образом:

  • Звездочка (*) — обозначает весь диапазон (от первого до последнего).

  • Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

  • Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

urls

URL, которые необходимо добавить в список.

case-sensitivity

Чувствительность к регистру в написании адреса URL:

  • sensitive — чувствительно к регистру букв в адресе.

  • insensitive — нечувствительно к регистру букв в адресе.

  • domain — список адресов доменов.

Для редактирования списка URL используется команда:

realmadmin/realm@nodename# set libraries url-list <url-list-name> <parameters>

Параметры, значения которых можно обновить, представлены в таблицы выше.

Далее представлены команды, с использованием которых доступно удаление всего списка URL или отдельных адресов URL:

realmadmin/realm@nodename# delete libraries url-list <url-list-name>
realmadmin/realm@nodename# delete libraries url-list <url-list-name> urls [ <url> ... ]

Для просмотра информации о всех списках URL, об определённом списке URL или об адресах, входящих в определённый список, используются команды:

realmadmin/realm@nodename# show libraries url-list <url-list-name>
realmadmin/realm@nodename# show libraries url-list <url-list-name> urls

Категории URL

Элемент библиотеки Категории URL позволяет создать группы категорий UserGate URL filtering для более удобного использования в правилах фильтрации контента. Например, администратор может создать группу категорий «Бизнес категории» и поместить в нее необходимые категории.

Раздел находится на уровне libraries url-categories.

Для создания группы категорий URL используется следующая команда:

realmadmin/realm@nodename# create libraries url-categories <parameter>

Параметры, которые необходимо указать:

Параметр

Описание

name

Название группы URL-категорий.

description

Описание группы.

categories

Категории URL, которые необходимо добавить в группу.

Команда для редактирования параметров группы:

realmadmin/realm@nodename# set libraries url-categories <list-name> <parameter>

Для добавления категорий URL в существующую группу:

realmadmin/realm@nodename# set libraries url-categories <list-name> categories [ <url-category> ... ]

Команды для удаления группы URL-категорий:

realmadmin/realm@nodename# delete libraries url-categories <list-name>

или отдельных категорий из группы:

realmadmin/realm@nodename# delete libraries url-categories <list-name> categories [ <url-category> ... ]

Команды для просмотра информации о всех группах URL-категорий:

realmadmin/realm@nodename# show libraries url-categories

об определённой группе:

realmadmin/realm@nodename# show libraries url-categories <list-name>

Чтобы отобразить список категорий URL, входящих в группу:

realmadmin/realm@nodename# show libraries url-categories <list-name> categories

Тип контента

С помощью фильтрации типов контента доступна возможность управления видео и аудио контентом, изображениями, исполняемыми файлами и другими типами.

Раздел Типы контента находится на уровне libraries content-types.

Добавление нового списка типов контента доступно с использованием следующей команды:

realmadmin/realm@nodename# create libraries content-types <parameters>

Далее указывается следующая информация:

Параметр

Описание

name

Название списка типов контента.

description

Описание списка.

type

Тип списка:

  • local — локальный.

  • updatable — если cписок является обновляемым, то необходимо указать адрес, с которого загружаются обновления (url). Периодичность обновления списка указывается параметром shedule в формате crontab.

Crontab-формат: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6; 0 — вс). Каждое из поле может быть задано следующим образом:

  • Звездочка (*) — обозначает весь диапазон (от первого до последнего).

  • Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

  • Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".

mime

Типы контента, которые необходимо добавить в список. Различные типы контента и их описание доступны по ссылке https://www.iana.org/assignments/media-types/media-types.xhtml.

Для редактирования списка используется следующая команда:

realmadmin/realm@nodename# set libraries content-types <content-types-list-name> <parameter>

Параметры, доступные для обновления, представлены в таблице выше.

Следующая команда используется для удаления списка с типами контента:

realmadmin/realm@nodename# delete libraries content-types <content-types-list-name>

Также доступно удаление отдельных типов контента из списка:

realmadmin/realm@nodename# delete libraries content-types <content-types-list-name> mime [ <mime-type> ... ]

Следующие команды используются для отображения информации о списках типов контента:

realmadmin/realm@nodename# show libraries content-types
realmadmin/realm@nodename# show libraries content-types <content-types-list-name>

Для отображения типов контента, содержащихся в списке, используется команда: 

realmadmin/realm@nodename# show libraries content-types <content-types-list-name> mime

Календари

Календари позволяют создать временные интервалы, которые затем можно использовать в правилах. Администратор может добавлять необходимые ему элементы в процессе работы. 

Данный раздел находится на уровне libraries time-sets.

Для создания группы используется следующая команда:

realmadmin/realm@nodename# create libraries time-sets <parameter>

Далее необходимо задать следующие параметры:

Параметр

Описание

name

Название группы.

description

Описание группы.

time-set

  • interval-name — название интервала повторения.

  • type — тип интервала повторения:

    • daily — ежедневно:

      • time-from — время начала (указывается в формате HH:MM).

      • time-to — время окончания (указывается в формате HH:MM).

      • all-day on — весь день.

    • weekly — каждую неделю:

      • time-from — время начала (указывается в формате HH:MM).

      • time-to — время окончания (указывается в формате HH:MM).

      • all-day on — весь день.

      • days [ Mon | Tue | Wed | Thu | Fri | Sat | Sun ] — дни недели.

    • monthly — каждый месяц:

      • time-from — время начала (указывается в формате HH:MM).

      • time-to — время окончания (указывается в формате HH:MM).

      • all-day on — весь день.

      • days — числа месяца (от 1 до 31).

    • fixed — единовременно:

      • time-from — время начала (указывается в формате HH:MM).

      • time-to — время окончания (указывается в формате HH:MM).

      • all-day on — весь день.

      • fixed-date — нужная дата (указывается в формате YYYY-MM-DD).

    • span — повторяющиеся события:

      • time-from — время начала (указывается в формате HH:MM).

      • time-to — время окончания (указывается в формате HH:MM).

      • all-day on — весь день.

      • fixed-date-from — дата начала (указывается в формате YYYY-MM-DD).

      • fixed-date-to — дата окончания (указывается в формате YYYY-MM-DD).

    • range — диапазон дат:

      • time-from-enabled <on | off> — включение/отключение указания даты начала интервала.

      • fixed-date-from — дата начала (указывается в формате YYYY-MM-DD).

      • time-from — время начала (указывается в формате HH:MM).

      • time-to-enabled <on | off> — включение/отключение указания даты окончания интервала.

      • fixed-date-to — дата окончания (указывается в формате YYYY-MM-DD).

      • time-to — время окончания (указывается в формате HH:MM).

Для редактирования календаря:

realmadmin/realm@nodename# set libraries time-sets <time-sets-name> <parameter>

Параметры, доступные для обновления, представлены в таблице выше.

Для редактирования интервала, заданного в календаре:

realmadmin/realm@nodename# set libraries time-sets <time-sets-name> ... time-set <time-set-type> ( <time-set-filter> )

Далее указываются новые значения; <time-set-filter> — фильтр из текущих значений интервала.

Добавление нового элемента в существующую группу:

realmadmin/realm@nodename# create libraries time-sets <time-sets-name> ... time-set <time-set-type> new

Команда для удаления группы элементов:

realmadmin/realm@nodename# delete libraries time-sets <time-sets-name>

Для удаления элемента календаря:

realmadmin/realm@nodename# delete libraries time-sets <time-sets-name> <time-set-type> ( <time-set-filter> )

Для отображения информации о всех календарях:

realmadmin/realm@nodename# show libraries time-sets

Для отображения информации об определённом календаре:

realmadmin/realm@nodename# show libraries time-sets <time-sets-name>

Для отображения информации об элементах группы с одинаковым типом повторения:

realmadmin/realm@nodename# show libraries time-sets <time-sets-name> <time-set-type>

Группы шаблонов

Группы шаблонов объединяют несколько шаблонов в единую конфигурацию, которая применяется к управляемому устройству. Результирующие настройки, применяемые к устройству, формируются в результате слияния всех настроек шаблонов, входящих в группу шаблонов, с учетом расположения шаблонов внутри группы. 

Для создания группы шаблонов конечных устройств используется команда:

realmadmin/realm@nodename# create endpoint groups name <group-name> description <group description> templates [ teplate1-name template2-name ... ]

Для редактирования группы шаблонов конечных устройств используется команда:

realmadmin/realm@nodename# set endpoint groups name <group-name> <description, templates>

Для просмотра созданных ранее групп шаблонов конечных устройств используется команда:

realmadmin/realm@nodename# show endpoint groups <group-name>

Для удаления созданных ранее групп шаблонов конечных устройств используется команда:

realmadmin/realm@nodename# delete endpoint groups <group-name>

В созданной ранее группе шаблонов возможно удаление входящих в нее шаблонов:

realmadmin/realm@nodename# delete endpoint groups <group-name> templates [ template-name template-name ... ]

Добавление конечных устройств UGC под управление UGMC

Для управления устройствами они должны быть добавлены в UGMC. Добавление конечных устройств UGC возможно двумя способами:

1. Добавление конечных устройств UGC по одному устройству. Данный вариант подходит для компаний с небольшим количеством управляемых устройств UGC.

2. Массовое добавление устройств. Вариант для компаний с большим количеством устройств.

Добавление по одному устройству

1. На UGMC необходимо разрешить сервис Контроль конечных устройств в свойствах контроля доступа зоны, к интерфейсу которой подключаются управляемое устройство. 

2. Необходимо создать запись для конечного устройства UGC в UGMC.

3. Получить уникальный код созданного устройства.

4. Установить ПО UGC на конкретное устройство (компьютер) пользователя.

Для разрешения сервиса Контроль конечных устройств в свойствах контроля доступа зоны, к интерфейсу которой подключаются управляемое устройство, необходимо в режиме администратора UGMC выполнить следующую команду:

Admin/system@nodename# set network zone <zone-nfme> enabled-services [ "Device net" ]

Для создания записи для конечного устройства UGC используется команда:

realmadmin/realm@nodename# create endpoint devices <parameters>

Необходимо указать следующие параметры:

Параметр

Описание

enabled

Включение объекта управляемого устройства UGC.

licensed

Лицензирование конечного устройства: on/off. Если on, то он использует одну лицензию.

В случае отсутствия лицензии конечное устройство не сможет подключиться к UGMC.

Если параметр будет поставлен в off после регистрации устройства на UGMC, то:

  • правила межсетевого экрана, полученные от МС ранее, продолжают работать;

  • подключение по VPN с настройками, полученными ранее от МС доступно;

  • новые настройки конечное устройство от MC не получает.

name

Название для управляемого устройства UGC. Можно вводить произвольное название.

description

Описание управляемого устройства UGC.

templates-group

Группа шаблонов, настройки которой следует применить к этому управляемому устройству UGC. Настройки (политики) применятся после синхронизации с UGMC.

sync-mode

Режим синхронизации: отключено (disabled), автоматическая (auto) или ручная (manual) синхронизация.

Для получения уникального кода созданного устройства (device-code) используется команда:

realmadmin/realm@nodename# show endpoint devices <device-name>

name                         : <device-name>
enabled                      : on
device-code                  : g8wkh31z
templates-group              : <group-name>
sync-mode                    : auto

Установка ПО UGC на компьютер пользователя описана в разделе Установка ПО Usergate Client.

Массовое добавление устройств

1. На UGMC необходимо разрешить сервис Контроль конечных устройств в свойствах контроля доступа зоны, к интерфейсу которой подключаются управляемое устройство. 

2. Создать код для группы конечных устройств.

3. Получить уникальный код для группы устройств.

4. Установить ПО UGC на конкретное устройство (компьютер) пользователя.

Для разрешения сервиса Контроль конечных устройств в свойствах контроля доступа зоны, к интерфейсу которой подключаются управляемое устройство, необходимо в режиме администратора UGMC выполнить следующую команду:

Admin/system@nodename# set network zone <zone-nfme> enabled-services [ "Device net" ]

Для создания кода для группы конечных устройств используется команда:

realmadmin/realm@nodename# create endpoint codes <parameters>

Необходимо указать следующие параметры:

Параметр

Описание

enabled

Включение объекта управляемого устройства UGC.

name

Название для управляемого устройства UGC. Можно вводить произвольное название.

description

Описание управляемого устройства UGC.

group

Группа шаблонов, настройки которой следует применить к этому управляемому устройству UGC. Настройки (политики) применятся после синхронизации с UGMC.

Для получения уникального кода для группы устройств (device-code) используется команда:

realmadmin/realm@nodename# show endpoint codes <code-name>

name           : <code-name>
enabled        : on
group          : <groupe-name>
device-code    : 4shmps46

Установка ПО UGC на компьютер пользователя описана в разделе Установка ПО Usergate Client.

HIP-объекты

Объекты HIP позволяют настроить критерии соответствия для конечных устройств и могут быть использованы в качестве одного из условий при настройке политик безопасности.

Для создания HIP объекта используется команда:

realmadmin/realm@nodename# create endpoint hip-object <parameters>

Необходимо указать следующие параметры:

Параметр

Описание

name

Название объекта HIP.

description

Описание объекта HIP (опционально).

os-version

Версия операционной системы устройства пользователя.

При использовании операторов = и != необходимо указывать полную версию Windows.

ug-client-version 

Версия ПО UserGate Client.

security

Статусы компонентов безопасности конечного устройства:

  • firewall — межсетевой экран;

  • virus-protection — Антивирус;

  • automatic-update — Автоматическое обновление;

  • bitlocker.

Важно! BitLocker считается включенным, если он включен хотя бы на одном из дисков.

products

Проверка соответствия программного обеспечения, установленного на конечном устройстве:

  • antimalware. Проверка соответствия антивирусного ПО на устройстве пользователя.

    • enabled: проверка статуса ПО;

    • database-updated: проверка актуальности баз (да, нет, не проверять);

    • version ПО;

    • vendor: производитель и название продукта.

  • firewall. Проверка соответствия межсетевого экрана на конечном устройстве. При настройке необходимо указать:

    • installed: проверка наличия установленного ПО;

    • enabled: проверка статуса ПО (да, нет, не проверять);

    • version ПО;

    • vendor: производитель и название продукта;

  • backup. Проверка ПО для резервного копирования:

    • installed: проверка наличия установленного ПО;

    • version ПО;

    • vendor: производитель и название продукта.

  • disk-encryption. Проверка установленных на конечном устройстве программ для шифрования диска:

    • installed: проверка наличия установленного ПО;

    • version ПО;

    • vendor: производитель и название продукта.

  • dlp. Проверка соответствия системы предотвращения утечек информации.

    • installed: проверка наличия установленного ПО;

    • version ПО;

    • vendor: производитель и название продукта.

  • patch-management. Проверка актуальности обновления.

    • installed: проверка наличия установленного ПО;

    • version ПО;

    • vendor: производитель и название продукта.

processes

Проверка процессов, запущенных на конечном устройстве.

running-services

Проверка служб, запущенных на конечном устройстве.

registry-keys

Ключ реестра Microsoft Windows — каталог, в котором хранятся настройки и параметры операционной системы.

Поддерживаются следующие типы параметров реестра:

  • REG_SZ: строка Unicode или ANSI с нулевым символом в конце.

  • REG_BINARY: двоичные данные в любой форме.

  • REG_DWORD: 32-разрядное число.

Доступна проверка ключей следующих разделов реестра:

  • HKEY_LOCAL_MACHINE

  • HKEY_USERS

Важно! Путь указывается с использованием обратного слэша (\), например, \HKEY_LOCAL_MACHINE, после которых через (\) указывается полный путь к параметру.  

Описание ключей реестра читайте в документации Microsoft (https://docs.microsoft.com/ru-ru/troubleshoot/developer/webapps/iis/general/use-registry-keys).

installed-updates

Проверка наличия указанного обновления на конечном устройстве. Необходимо указать номер статьи базы знаний Microsoft (KB), например, KB5013624.

HIP-профили

HIP-профили представляют собой набор объектов HIP и предназначены для проверки соответствия конечного устройства требованиям безопасности (комплаенса). С использованием профилей HIP можно настроить гибкие политики доступа к зоне сети или приложению.

Для создания HIP-профиля используется команда:

realmadmin/realm@nodename# create endpoint hip-objects <parameters>

Необходимо указать следующие параметры:

Параметр

Описание

name

Название профиля HIP.

description

Описание профиля HIP (опционально).

hip-objects

Выбор логического элемента (and, or, and-not, or-not) и объектов HIP.

Подробнее о создании объектов читайте в разделе Объекты HIP.

Управление устройствами LogAn

Для централизованного управления устройствами LogAn в управляемой области необходимо создать шаблоны и группы шаблонов, описывающие настройки LogAn, затем добавить управляемые устройства LogAn и применить к ним созданные ранее шаблоны.     

В интерфейсе CLI создание шаблонов, групп шаблонов и  добавление управляемых устройств LogAn происходит на уровне logan

Шаблоны устройств

Для создания шаблона устройств LogAn используется команда:

realmadmin/realm@nodename# create logan template <name, description>

Для редактирования названия/описания шаблона устройств LogAn используется команда:

realmadmin/realm@nodename# set logan template <name, description>

Для просмотра созданных ранее шаблонов устройств LogAn используется команда:

realmadmin/realm@nodename# show logan template <template-name>

Для удаления созданных ранее устройств LogAn используется команда:

realmadmin/realm@nodename# delete logan template <template-name>

После создания шаблона устройств LogAn можно начать производить настройку его параметров. Для этого необходимо перейти в режим настройки параметров шаблона управляемых устройств LogAn следующей командой:

realmadmin/realm@nodename# go logan-template <template-name>

В режиме настройки параметров шаблона доступны те же команды настройки параметров LogAn, которые определены в разделе Интерфейс командной строки Руководства администратора LogAn. 

При настройке параметров следует придерживаться следующих правил:

1. Если значение настройки не определено в шаблоне, то ничего передаваться в LogAn не будет. В данном случае в LogAn будет использована либо настройка по умолчанию, либо настройка, которую указал локальный администратор.

2. Если настройка параметра выполнена в шаблоне, то эта настройка переопределит значение этой же настройки, назначенной локальным администратором.

После получения настроек с UGMC настройки следующих разделов могут быть изменены локально на Log Analyzer:

ПримечаниеНастройка будет переопределена после изменения данной настройки в шаблоне LogAn администратором области на UGMC.

  • общие настройки устройства;

  • настройки сетевых интерфейсов.

3. При настройке сетевых интерфейсов первый физический интерфейс, доступный для конфигурирования — это port1. Интерфейс port0 нельзя настроить с помощью средств UGMC, он всегда настраивается локальным администратором и необходим для обеспечения первичной связи управляемого устройства с UGMC.

4. При настройке сетевых интерфейсов возможно создать интерфейс и оставить его конфигурирование локальному администратору. Для этого необходимо активировать параметр on-device (on-device on) в настройках сетевого интерфейса.

5. Библиотеки, например, такие как IP-адреса, списки URL, типы контента и другие, по умолчанию не содержат никакого контента в UGMC в отличие от библиотек, создаваемых по умолчанию на устройствах UserGate. Для использования библиотек в политиках UGMC, необходимо предварительно добавить элементы в эти библиотеки.

6. Рекомендуется создавать отдельные шаблоны для разных групп настроек, это позволит избежать конфликтов настроек при объединении шаблонов в группы шаблонов и упростит понимание результирующей настройки, которая будет применена к управляемым устройствам. Например, шаблон сетевых настроек, шаблон библиотек и т.д.

Группы шаблонов

Группы шаблонов объединяют несколько шаблонов в единую конфигурацию, которая применяется к управляемому устройству. Результирующие настройки, применяемые к устройству, формируются в результате слияния всех настроек шаблонов, входящих в группу шаблонов, с учетом расположения шаблонов внутри группы. 

Для создания группы шаблонов LogAn используется команда:

realmadmin/realm@nodename# create logan groups name <group-name> description <group description> templates [ teplate1-name template2-name ... ] template-enabled <on/off>

Для редактирования группы шаблонов LogAn используется команда:

realmadmin/realm@nodename# set logan groups name <group-name> <description, templates>

Для просмотра созданных ранее групп шаблонов LogAn используется команда:

realmadmin/realm@nodename# show logan groups <group-name>

Для удаления созданных ранее групп шаблонов LogAn используется команда:

realmadmin/realm@nodename# delete logan groups <group-name>

В созданной ранее группе шаблонов возможно удаление входящих в нее шаблонов:

realmadmin/realm@nodename# delete logan groups <group-name> templates [ template-name template-name ... ]

Добавление устройств LogAn под управление UGMC

Группа шаблонов всегда применяется к одному или нескольким управляемым устройствам LogAn. Для добавления управляемых устройств LogAn в UGMC необходимо выполнить следующие шаги:

1. Обеспечить доступ от управляемого устройства LogAn до UGMC, для этого на UGMC необходимо разрешить сервис Management в свойствах контроля доступа зоны, к которой подключены управляемые устройства

2.  Создать объект управляемого устройства LogAn.

3. Связать созданный объект управляемого устройства LogAn с реальным устройством UserGate LogAn.

Для обеспечения доступа от управляемого устройства LogAn до UGMC необходимо в режиме администратора UGMC выполнить следующую команду:

Admin/system@nodename# set network zone <zone-nfme> enabled-services [ Management ]

Для создания объекта управляемого устройства используется команда:

realmadmin/realm@nodename# create logan devices <parameters>

Необходимо указать следующие параметры:

Наименование

Описание

enabled

Включает объект управляемого устройства. Если объект управляемого устройства включен, то он занимает одну лицензию.

name

Название для управляемого устройства. Можно вводить произвольное название.

description

Описание управляемого устройства.

templates-group

Группа шаблонов, настройки которой следует применить к этому управляемому устройству.

sync-mode

Выбор режима синхронизации настроек группы шаблонов к устройству. Возможны 3 варианта:

  • auto — автоматическая синхронизация. При изменении любой настройки из любого шаблона, включенного в группу шаблонов, примененную к управляемому устройству, это изменение применяется к управляемому устройству без задержек.

  • disabled — синхронизация выключена.

  • manual — режим синхронизации, при котором настройки применяются однократно при запросе синхронизации.

Для осуществления связи уже настроенного устройства LogAn с UGMC необходимо выполнить следующие шаги:

1. Получить Код устройства

2. Указать IP-адрес UGMC и ввести уникальный код устройства

Код созданного объекта управляемого устройства (device-code) можно посмотреть следующей командой:

realmadmin/realm@nodename# show logan devices <device-name>

name                         : <device-name>
enabled                      : on
device-code                  : 7w1lecpt
templates-group              : <template-group-name>
...

В консоли управляемого устройства LogAn необходимо добавить IP-адрес управляющего UGMC и указать код созданного объекта управляемого устройства:

Admin@logan-nodename# set settings general management-center mc-address <ugmc-ip-address> device-code 7w1lecpt enabled on

Проверить подключение на стороне UGMC можно командой просмотра управляемого устройства:

realmadmin/realm@nodename# show logan devices <device-name>

Управление обновлениями управляемых устройств

UGMC позволяет создать централизованную политику обновления программного обеспечения UserGate (UGOS) и обновляемыми библиотеками, предоставляемыми по подписке.

ПримечаниеПосле добавления UserGate LogAn под управление UGMC, устройство UserGate автоматически начинает скачивать все обновления с сервера UGMC.

Обновление ПО

Порядок установки обновлений, следующий:

1. Загрузить обновления в репозитарий UGMC. Управление загрузками обновлений в репозиторий UGMC управляется командой:

realmadmin/realm@nodename# set settings general updates-schedule software 

Подробнее — в главе Общие настройки в Руководстве администратора UGMC.

2. Утвердить обновление для всех или для конкретных устройств: 

realmadmin/realm@nodename# set logan software-updates <sw-update-name> devices <device-name>

3. Провести установку обновления. После утверждения обновление становится доступным для скачивания для всех или группы управляемых устройств. Управляемое устройство скачивает обновление в соответствии с расписанием проверки обновлений. После скачивания обновление может быть установлено администратором в консоли UGMC или в ручном режиме администратором управляемого устройства.

Обновление библиотек

Библиотеки — это обновляемые базы ресурсов, предоставляемых по подписке клиентам UserGate (база категорий URL-фильтрации, сигнатуры СОВ, списки IP-адресов, URL, MIME-типов, морфологические базы и другие). Эти обновления выкладываются в репозитарий UserGate, откуда они уже доступны для скачивания UserGate LogAn. Если LogAn подключен к управлению через UGMC, то он проверяет наличие обновлений на сервере UGMC, который сам будет являться репозитарием. Репозитарий UserGate при этом будет использован сервером UGMC для получения новых обновлений. По умолчанию UGMC проверяет и скачивает обновления библиотек автоматически.

Библиотеки, находящиеся в репозитарии UGMC доступны всем управляемым устройствам UserGate. Управляемые устройства скачивают и устанавливают доступные обновления автоматически в соответствии с расписанием проверки обновлений.

Для настройки скачивания обновлений в UGMC из репозитария UserGate используется следующая команда:

realmadmin/realm@nodename#set logan libraries-updates <library-name> download <auto/manual>