...
|
Режим администратора управляемой области
 После создания управляемой области и администратора области можно переключиться в режим управления данной областью. Для этого необходимо выйти из учетной записи администратора UGMC и заново зайти под учетной записью администратора управляемой области. Например, для входа по ssh в консоль управления областью realm для администратора области с учетной записью realmadmin необходимо указать следующее:
После успешной аутентификации в CLI появится строка ожидания ввода команды (режим диагностики). Для просмотра текущих возможных значений или автодополнения необходимо использовать клавишу Tab. Доступны:
Для отмены ввода текущей команды используется сочетание Ctrl + C; для просмотра истории команд — ↑, ↓. Для перехода в режим конфигурации используется команда:
После перехода в режим конфигурации командная строка будет выглядеть следующим образом:
Для просмотра подсказки о текущих возможных значениях или для автодополнения команд необходимо нажать клавишу Tab. В подсказке могут использоваться следующие вспомогательные символы: * — обязательное поле в командах create и ряде других команд; + — необязательное/вариативное поле; > — вложенное поле, после его введения предыдущий список полей становится недоступным, появляется новый список полей, которые можно ввести. Общая структура команд в режиме конфигурацииКоманды интерфейса командной строки имеют следующую структуру:
где: <action> — действие, которое необходимо выполнить. <level> — уровень конфигурации; уровни соответствуют разделам веб-интерфейса управляемой области в UGMC. <filter> — идентификатор объекта, к которому происходит обращение. <configuration_info> — значение параметров, которые необходимо применить к объекту <filter>.
Общие настройки консоли управляемой области задаются на уровне settings general. Структура команды для настройки одного из разделов (<settings-module>):
Доступна настройка следующих разделов:
Администратор управляемой области может сам создать дополнительных администраторов своей области аналогично командам, описанным в разделах Настройка прав доступа профилей администраторов и Настройка учетных записей администраторов. Настройка данного раздела производится на уровне settings administrators. В разделе описаны настройка настройка администраторов и их профилей. Настройка учётных записей администраторовНастройка учётных записей администраторов производится на уровне settings administrators administrators. Для создания учётной записи администратора используется следующая команда:
Далее необходимо указать тип учётной записи администратора (локальный, пользователь LDAP, группа LDAP, с профилем аутентификации) и установить соответствующие параметры:
Для редактирования параметров профиля используется команда:
Параметры для редактирования аналогичны параметрам создания профиля администратора. Для отображения информации о всех учётных записях администраторов:
Для отображения информации об определённой учётной записи администратора:
Настройка прав доступа профилей администраторовНастройка прав доступа профилей администраторов производится на уровне settings administrators profiles. Для создания профиля администратора используется следующая команда:
Далее необходимо указать следующие параметры:
Для редактирования профиля используется команда:
Параметры для редактирования аналогичны параметрам создания профиля администратора. Для просмотра информации о всех профилях администраторов:
Для отображения информации об определённом профиле:
Чтобы удалить профиль администратора:
Просмотр сессий администраторов текущей области (возможен просмотр сессии отдельного администратора: необходимо из предложенного списка выбрать IP-адрес, с которого была произведена авторизация):
Серверы аутентификации — это внешние источники учетных записей пользователей для аутентификации в консоли управления области. Работа сервера аутентификации области аналогична работе сервера аутентификации для UGMC, отличие только в месте их использования. Раздел Серверы аутентификации позволяет произвести настройку LDAP-коннектора, серверов RADIUS, TACACS+. Настройка серверов аутентификации производится на уровне users auth-server и будет рассмотрена далее в соответствующих разделах. Настройка LDAP-коннектораНастройка LDAP-коннектора производится на уровне users auth-server ldap. Для создания LDAP-коннектора используется команда:
Далее необходимо указать следующие параметры:
Для редактирования информации о существующем LDAP-коннекторе используется команда:
Параметры, доступные для обновления, аналогичны параметрам создания LDAP-коннектора. Команда для отображения информации о LDAP-коннекторе:
Примеры команд создания и редактирования LDAP-коннектора:
Для удаления LDAP-коннектора используется команда:
Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:
Настройка RADIUS-сервераНастройка RADIUS-сервера производится на уровне users auth-server radius. Для создания сервера аутентификации RADIUS используется команда со следующей структурой:
Далее необходимо указать следующие параметры:
Команда для обновления информации о сервере RADIUS:
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации. Команда для отображения информации о RADIUS-сервере:
Примеры команд создания и редактирования RADIUS-сервера:
Для удаления сервера:
Также возможно удаления отдельных параметров RADIUS-сервера. Для удаления доступны следующие параметры:
Настройка сервера TACACS+Настройка сервера TACACS+ производится на уровне users auth-server tacacs. Для создания сервера аутентификации TACACS+ используется команда со следующей структурой:
Далее необходимо указать следующие параметры:
Команда для редактирования информации о сервере TACACS+:
Параметры, которые могут быть обновлены, соответствуют параметрам, указание которых возможно при создании сервера аутентификации. Команда для отображения информации о сервере TACACS+:
Примеры команд для создания и редактирования сервера TACACS+:
Для удаления сервера:
Профиль позволяет определить набор способов аутентификации пользователей в консоли администрирования UserGate. Настройка профилей аутентификации производится на уровне users auth-profile. Для создания профиля аутентификации используется следующая команда:
Далее необходимо указать следующие параметры:
Команда для редактирования настроек профилей аутентификации:
Для обновления доступен список параметров, аналогичный списку параметров команды create. Пример создания и редактирования профиля аутентификации пользователя:
Через интерфейс командной строки возможно удаления всего профиля или отдельных способов аутентификации, заданных в профиле. Для этого используются следующие команды. Для удаления профиля аутентификации:
Для удаления методов аутентификации, заданных в профиле, необходимо указать метод аутентификации (доступные методы авторизации перечислены в таблице выше):
Для работы с каталогами пользователей необходим корректно настроенный LDAP-коннектор, который позволяет получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Пользователи и группы могут быть использованы при настройке политик, применяемых к управляемым устройствам. ПримечаниеПри настройке политик безопасности серверы аутентификации, настраиваемые в шаблонах управляемых устройств, не используются для добавления пользователей и групп в правила.
Создание и настройка каталога пользователей производится на уровне users catalogs ldap. Для создания каталога используется команда:
Далее необходимо указать следующие параметры:
Для редактирования информации о существующем каталоге используется команда:
Параметры, доступные для обновления, аналогичны параметрам создания каталога. Команда для отображения информации о каталоге пользователей:
Для удаления каталога используется команда:
Также возможно удаления отдельных параметров LDAP-коннектора. Для удаления доступны следующие параметры:
Для централизованного управления межсетевыми экранами UserGate (NGFW) в управляемой области необходимо создать шаблоны и группы шаблонов, описывающие настройки NGFW, затем добавить управляемые NGFW и применить к ним созданные ранее шаблоны. В интерфейсе CLI создание шаблонов, групп шаблонов и добавление управляемых устройств NGFW происходит на уровне ngfw. Шаблоны устройствДля создания шаблона NGFW используется команда:
Для редактирования названия/описания шаблона NGFW используется команда:
Для просмотра созданных ранее шаблонов NGFW используется команда:
Для удаления созданных ранее шаблонов NGFW используется команда:
После создания шаблона NGFW можно начать производить настройку его параметров. Для этого необходимо перейти в режим настройки параметров шаблона управляемых устройств следующей командой:
В режиме настройки параметров шаблона доступны те же команды настройки параметров NGFW, которые определены в разделе Интерфейс командной строки Руководства администратора NGFW. При настройке параметров следует придерживаться следующих правил: 1. Если значение настройки не определено в шаблоне, то ничего передаваться в NGFW не будет. В данном случае в NGFW будет использована либо настройка по умолчанию, либо настройка, которую указал локальный администратор NGFW. 2. Если настройка параметра выполнена в шаблоне, то эта настройка переопределит значение этой же настройки, назначенной локальным администратором. После получения настроек с UGMC настройки следующих разделов могут быть изменены локально на NGFW: ПримечаниеНастройка будет переопределена после изменения данной настройки в шаблоне NGFW администратором области на UGMC.
3. Правила политик не переопределяют правила, созданные локальным администратором, а добавляются к ним в виде пре- и пост- правил. Подробно о применении правил смотрите раздел данного руководства Шаблоны и группы шаблонов. 4. При настройке сетевых интерфейсов первый физический интерфейс, доступный для конфигурирования — это port1. Интерфейс port0 нельзя настроить с помощью средств UGMC, он всегда настраивается локальным администратором и необходим для обеспечения первичной связи управляемых устройств с UGMC. 5. При настройке сетевых интерфейсов возможно создать интерфейс и оставить его конфигурирование локальному администратору. Для этого необходимо активировать параметр on-device (on-device on) в настройках интерфейса. 6. Библиотеки, например, такие как IP-адреса, списки URL, типы контента и другие, по умолчанию не содержат никакого контента в UGMC в отличие от библиотек, создаваемых по умолчанию на устройствах NGFW. Для использования библиотек в политиках UGMC, необходимо предварительно добавить элементы в эти библиотеки. Элементы библиотек не участвуют в синхронизации: если список был создан, но не используется в политиках, то данный список не появится в разделе библиотек NGFW. 7. Рекомендуется создавать отдельные шаблоны для разных групп настроек, это позволит избежать конфликтов настроек при объединении шаблонов в группы шаблонов и упростит понимание результирующей настройки, которая будет применена к управляемым устройствам. Например, шаблон сетевых настроек, шаблон правил межсетевого экрана, шаблон правил контентной фильтрации, шаблон библиотек и т.д. Группы шаблоновГруппы шаблонов объединяют несколько шаблонов в единую конфигурацию, которая применяется к управляемому устройству. Результирующие настройки, применяемые к устройству, формируются в результате слияния всех настроек шаблонов, входящих в группу шаблонов, с учетом расположения шаблонов внутри группы. Для создания группы шаблонов NGFW используется команда:
Для редактирования группы шаблонов NGFW используется команда:
Для просмотра созданных ранее групп шаблонов NGFW используется команда:
Для удаления созданных ранее групп шаблонов NGFW используется команда:
В созданной ранее группе шаблонов возможно удаление входящих в нее шаблонов:
Добавление NGFW под управление UGMCГруппа шаблонов всегда применяется к одному или нескольким управляемым устройствам UserGate NGFW. Для добавления управляемого NGFW в UGMC необходимо выполнить следующие шаги: 1. Обеспечить доступ от управляемого NGFW до UGMC, для этого на сервере UGMC необходимо разрешить сервис Management в свойствах контроля доступа зоны, к которой подключены управляемые устройства 2. Создать объект управляемого устройства. 3. Связать созданный объект управляемого устройства с реальным устройством UserGate NGFW. Для обеспечения доступа от управляемого NGFW до UGMC необходимо в режиме администратора UGMC выполнить следующую команду:
Для создания объекта управляемого устройства используется команда:
Необходимо указать следующие параметры:
Для осуществления связи уже настроенного NGFW с UGMC необходимо выполнить следующие шаги: 1. Получить Код устройства 2. Указать IP-адрес сервера UGMC и ввести уникальный код устройства Код созданного объекта управляемого устройства (device-code) можно посмотреть следующей командой:
В консоли управляемого устройства NGFW необходимо добавить IP-адрес управляющего UGMC и указать код созданного объекта управляемого устройства:
Проверить подключение на стороне UGMC можно командой просмотра управляемого устройства:
Кластеризация UserGate NGFW с помощью UGMCКластер конфигурацииСоздание кластера конфигурации, управляемого из UGMC, практически идентично созданию отдельностоящего кластера. Отличие лишь в том, что первый узел кластера должен быть подключен под управление UGMC до создания кластера конфигурации. Каждому узлу кластера конфигурации, подключаемому в UGMC, назначается идентификатор узла — уникальный идентификатор вида node_1, node_2, node_3 и так далее. Первоначальная настройка на первом узле кластера должна быт выполнена, как описано в разделе Первоначальная инициализация Руководства администратора NGFW. Настройка зоны, через которую будет осуществляться репликация кластера, на первом узле кластера должна быть выполнена, как указано в разделе Настройка сети Руководства администратора NGFW. Необходимо разрешить сервисы ha и Admin Console в соответствующей зоне. Настройка IP-адреса на первом узле кластера, который будет использоваться для связи с другими узлами кластера, производится как указано в разделе Настройка кластеров Руководства администратора NGFW:
Генерация секретного кода на первом узле кластера производится как указано в разделе Настройка кластеров Руководства администратора NGFW:
Добавление первого узла кластера под управление UGMC производится как указано в предыдущей главе Добавление NGFW под управление UGMC. Добавление в кластер конфигурации второго и последующих узлов возможно только при первоначальной инициализации этих узлов. Подробнее читайте в разделе Первоначальная инициализация Руководства администратора NGFW. Настройка добавленного узла, включая настройки интерфейсов, зон, политик фильтрации, может производиться либо локально, либо через политики шаблонов UGMC. Если эти настройки уже были выполнены в шаблонах UGMC на момент подключения второго узла, то они будут применены к добавленному узлу сразу же после его добавления в кластер. Кластер отказоустойчивостиУзлы кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив. Возможно собрать несколько кластеров отказоустойчивости. Для создания кластера отказоустойчивости с помощью UGMC необходимо выполнение следующих условий: 1. Наличие кластера конфигурации. 2. Наличие управляемых из UGMC интерфейсов. Виртуальные IP-адреса могут быть назначены только на интерфейсы, которые созданы в шаблонах UGMC. 3. Выполнение всех требований, предъявляемых к узлам, при создании кластера отказоустойчивости без использования UGMC. Подробно о кластерах отказоустойчивости описано в разделе Кластеризация и отказоустойчивость в Руководстве администратора NGFW. Для создания кластера отказоустойчивости необходимо выполнить следующие шаги: 1. В одном из шаблонов UGMC, где настроены зоны для управляемых устройств, разрешить сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес. Подробнее о настройке зон читайте в разделе Настройка сети Руководства администратора NGFW.
2. В одном из шаблонов UGMC указать параметры кластера отказоустойчивости:
3. Если предполагается использовать аутентификацию с помощью Captive-портала, то необходимо, чтобы системные имена auth.captive и logout.captive, которые используются процедурами аутентификации в Captive, определялись в IP-адрес, назначенный в качестве кластерного виртуального адреса. Данную настройку можно выполнить в одном из шаблонов UGMC, в разделе settings general.
Параметры отказоустойчивого кластера:
Управление обновлениями управляемых устройствUGMC позволяет создать централизованную политику обновления программного обеспечения UserGate (UGOS) и обновляемыми библиотеками, предоставляемыми по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, типов контента и другие). ПримечаниеПосле добавления UserGate NGFW под управление UGMC, устройство UserGate автоматически начинает скачивать все обновления с сервера UGMC.
Обновление ПОПорядок установки обновлений, следующий: 1. Загрузить обновления в репозитарий UGMC. Управление загрузками обновлений в репозиторий UGMC управляется командой:
Подробнее — в главе Общие настройки в Руководстве администратора UGMC. 2, Утвердить обновление для всех или для конкретных устройств:
3. Провести установку обновления. После утверждения обновление становится доступным для скачивания для всех или группы управляемых устройств. Управляемое устройство скачивает обновление в соответствии с расписанием проверки обновлений. После скачивания обновление может быть установлено администратором в консоли MC или в ручном режиме администратором управляемого устройства. Обновление библиотекБиблиотеки — это обновляемые базы ресурсов, предоставляемых по подписке клиентам UserGate (база категорий URL-фильтрации, сигнатуры СОВ, списки IP-адресов, URL, MIME-типов, морфологические базы и другие). Эти обновления выкладываются в репозитарий UserGate, откуда они уже доступны для скачивания UserGate NGFW. Если NGFW подключен к управлению через UGMC, то он проверяет наличие обновлений на сервере UGMC, который сам будет являться репозитарием. Репозитарий UserGate при этом будет использован сервером UGMC для получения новых обновлений. По умолчанию UGMC проверяет и скачивает обновления библиотек автоматически. Библиотеки, находящиеся в репозитарии UGMC доступны всем управляемым устройствам UserGate. Управляемые устройства скачивают и устанавливают доступные обновления автоматически в соответствии с расписанием проверки обновлений. Для настройки скачивания обновлений в UGMC из репозитария UserGate используется следующая команда:
Для централизованного управления конечными устройствами UserGate в управляемой области необходимо создать шаблоны и группы шаблонов, описывающие настройки конечных устройств, затем добавить управляемые конечные устройства и применить к ним созданные ранее шаблоны. В интерфейсе CLI создание шаблонов, групп шаблонов и добавление управляемых конечных устройств происходит на уровне endpoint. Шаблоны устройствДля создания шаблона конечных устройств используется команда:
Для редактирования названия/описания шаблона конечных устройств используется команда:
Для просмотра созданных ранее шаблонов конечных устройств используется команда:
Для удаления созданных ранее шаблонов конечных устройств используется команда:
После создания шаблона конечных устройств можно начать производить настройку его параметров. Для этого необходимо перейти в режим настройки параметров шаблона управляемых устройств следующей командой:
При настройке параметров шаблона следует придерживаться следующих правил: 1. Если значение настройки не определено в шаблоне, то ничего передаваться в управляемое устройство не будет. В данном случае будет использована настройка по умолчанию. 2. Библиотеки, например, такие как IP-адреса, списки URL, списки типов контента MIME, приложения и другие, по умолчанию не содержат никакого контента в UGMC. Для использования библиотек в политиках фильтрации, необходимо предварительно добавить элементы в эти библиотеки. 3. Рекомендуется создавать отдельные шаблоны для разных групп настроек, это позволит избежать конфликтов настроек при объединении шаблонов в группы шаблонов и упростит понимание результирующей настройки, которая будет применена к управляемому устройству. При создании шаблона администратор может использовать следующие разделы — Общие настройки, Настройки VPN, Библиотеки. Общие настройкиВ этом разделе устанавливаются параметры общих настроек управляемого устройства. Для настройки параметров используется следующая команда:
Параметры для настройки:
Настройка VPNДанный раздел позволяет настроить профили безопасности VPN, которые определяют такие настройки, как общий ключ шифрования (Pre-shared key), протокол соединения и алгоритмы для шифрования и аутентификации. Настройки VPN передаются на управляемое устройство UserGate Client; пользователь сможет выбрать необходимый VPN-сервер для подключения в начальном окне графического интерфейса. ПримечаниеНастройка VPN-соединений возможна только для конечных устройств с версией ОС Windows 10 и выше. После разрыва соединения попытки подключения будут производиться в течение 40 секунд. Если за это время соединение не будет установлено, то у пользователя отобразится окно для выбора VPN-сервера.
Для настройки параметров используется следующая команда:
Для настройки профиля VPN-сервера необходимо указать:
Библиотеки элементовДанный раздел содержит в себе адреса-сайтов, IP-адреса, приложения и прочие элементы, которые используются при настройке правил управляемых устройств UGC. Настройка библиотек в шаблонах конечных устройств происходит на уровне libraries. Для создания списков используется команда:
Для редактирования ранее созданных списков используется команда:
Для просмотра ранее созданных списков используется команда:
Для удаления ранее созданных списков используется команда:
СервисыРаздел Cервисы содержит список общеизвестных сервисов, основанных на протоколе TCP/IP, например, таких, как HTTP, HTTPS, FTP и другие. Данные сервисы могут быть использованы при построении правил управляемых устройств UGC. Первоначальный список сервисов поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для создания списков сервисов используется команда:
В качестве параметров указываются название и описание списка, необходимый протокол, порты назначения и источника. Группы сервисовСписки из библиотеки сервисов могут быть объединены в группы. Для создания группы сервисов используется комада:
В качестве параметров в команде указываются название и описание списка, указываются необходимые списки сервисов, например:
IP-адресаРаздел IP-адреса содержит список диапазонов IP-адресов, которые могут быть использованы при построении правил управляемых устройств UGC. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового списка IP-адресов используется команда:
Далее необходимо задать следующие параметры:
Для редактирования списка (список параметров, доступных для обновления, аналогичен списку параметров команды создания списка):
Чтобы добавить в список новые адреса:
Следующие команды используются для удаления всего списка адресов или IP-адресов, содержащихся в нём:
Команда отображения информации о всех имеющихся списках:
Чтобы отобразить информацию об определённом списке, необходимо указать название интересующего списка IP-адресов:
Также доступен просмотр содержимого списка IP-адресов:
Группы приложенийЭлемент библиотеки Группы приложений позволяет создать группы приложений для более удобного использования в правилах фильтрации сетевого трафика. ПО UserGate Client определяет приложение по его контрольной сумме, что дает администратору возможность очень точно и выборочно управлять доступом в сеть для определенных приложений, например, разрешать доступ в сеть только для определенной версии приложения, блокируя при это все остальные версии данного приложения. Для добавления новой группы приложений используется команда:
Далее необходимо задать следующие параметры:
Для редактирования группы приложений используется команда:
Чтобы добавить в список новые приложения:
Следующие команды используются для удаления всего списка адресов или IP-адресов, содержащихся в нём:
Команда отображения информации о всех имеющихся списках:
Чтобы отобразить информацию об определённом списке, необходимо указать название интересующего списка IP-адресов:
Также доступен просмотр содержимого списка IP-адресов:
Списки URLРаздел предназначен для задания списков указателей URL, которые могут быть использованы в правилах контентной фильтрации в качестве черных и белых списков. Настройка списков URL производится на уровне libraries url-list. Для добавления нового списка URL предназначена следующая команда:
Далее указывается следующая информация:
Для редактирования списка URL используется команда:
Параметры, значения которых можно обновить, представлены в таблицы выше. Далее представлены команды, с использованием которых доступно удаление всего списка URL или отдельных адресов URL:
Для просмотра информации о всех списках URL, об определённом списке URL или об адресах, входящих в определённый список, используются команды:
Категории URLЭлемент библиотеки Категории URL позволяет создать группы категорий UserGate URL filtering для более удобного использования в правилах фильтрации контента. Например, администратор может создать группу категорий «Бизнес категории» и поместить в нее необходимые категории. Раздел находится на уровне libraries url-categories. Для создания группы категорий URL используется следующая команда:
Параметры, которые необходимо указать:
Команда для редактирования параметров группы:
Для добавления категорий URL в существующую группу:
Команды для удаления группы URL-категорий:
или отдельных категорий из группы:
Команды для просмотра информации о всех группах URL-категорий:
об определённой группе:
Чтобы отобразить список категорий URL, входящих в группу:
Тип контентаС помощью фильтрации типов контента доступна возможность управления видео и аудио контентом, изображениями, исполняемыми файлами и другими типами. Раздел Типы контента находится на уровне libraries content-types. Добавление нового списка типов контента доступно с использованием следующей команды:
Далее указывается следующая информация:
Для редактирования списка используется следующая команда:
Параметры, доступные для обновления, представлены в таблице выше. Следующая команда используется для удаления списка с типами контента:
Также доступно удаление отдельных типов контента из списка:
Следующие команды используются для отображения информации о списках типов контента:
Для отображения типов контента, содержащихся в списке, используется команда:
КалендариКалендари позволяют создать временные интервалы, которые затем можно использовать в правилах. Администратор может добавлять необходимые ему элементы в процессе работы. Данный раздел находится на уровне libraries time-sets. Для создания группы используется следующая команда:
Далее необходимо задать следующие параметры:
Для редактирования календаря:
Параметры, доступные для обновления, представлены в таблице выше. Для редактирования интервала, заданного в календаре:
Далее указываются новые значения; <time-set-filter> — фильтр из текущих значений интервала. Добавление нового элемента в существующую группу:
Команда для удаления группы элементов:
Для удаления элемента календаря:
Для отображения информации о всех календарях:
Для отображения информации об определённом календаре:
Для отображения информации об элементах группы с одинаковым типом повторения:
Группы шаблоновГруппы шаблонов объединяют несколько шаблонов в единую конфигурацию, которая применяется к управляемому устройству. Результирующие настройки, применяемые к устройству, формируются в результате слияния всех настроек шаблонов, входящих в группу шаблонов, с учетом расположения шаблонов внутри группы. Для создания группы шаблонов конечных устройств используется команда:
Для редактирования группы шаблонов конечных устройств используется команда:
Для просмотра созданных ранее групп шаблонов конечных устройств используется команда:
Для удаления созданных ранее групп шаблонов конечных устройств используется команда:
В созданной ранее группе шаблонов возможно удаление входящих в нее шаблонов:
Добавление конечных устройств UGC под управление UGMCДля управления устройствами они должны быть добавлены в UGMC. Добавление конечных устройств UGC возможно двумя способами: 1. Добавление конечных устройств UGC по одному устройству. Данный вариант подходит для компаний с небольшим количеством управляемых устройств UGC. 2. Массовое добавление устройств. Вариант для компаний с большим количеством устройств. Добавление по одному устройству1. На UGMC необходимо разрешить сервис Контроль конечных устройств в свойствах контроля доступа зоны, к интерфейсу которой подключаются управляемое устройство. 2. Необходимо создать запись для конечного устройства UGC в UGMC. 3. Получить уникальный код созданного устройства. 4. Установить ПО UGC на конкретное устройство (компьютер) пользователя. Для разрешения сервиса Контроль конечных устройств в свойствах контроля доступа зоны, к интерфейсу которой подключаются управляемое устройство, необходимо в режиме администратора UGMC выполнить следующую команду:
Для создания записи для конечного устройства UGC используется команда:
Необходимо указать следующие параметры:
Для получения уникального кода созданного устройства (device-code) используется команда:
Установка ПО UGC на компьютер пользователя описана в разделе Установка ПО Usergate Client. Массовое добавление устройств1. На UGMC необходимо разрешить сервис Контроль конечных устройств в свойствах контроля доступа зоны, к интерфейсу которой подключаются управляемое устройство. 2. Создать код для группы конечных устройств. 3. Получить уникальный код для группы устройств. 4. Установить ПО UGC на конкретное устройство (компьютер) пользователя. Для разрешения сервиса Контроль конечных устройств в свойствах контроля доступа зоны, к интерфейсу которой подключаются управляемое устройство, необходимо в режиме администратора UGMC выполнить следующую команду:
Для создания кода для группы конечных устройств используется команда:
Необходимо указать следующие параметры:
Для получения уникального кода для группы устройств (device-code) используется команда:
Установка ПО UGC на компьютер пользователя описана в разделе Установка ПО Usergate Client. HIP-объектыОбъекты HIP позволяют настроить критерии соответствия для конечных устройств и могут быть использованы в качестве одного из условий при настройке политик безопасности. Для создания HIP объекта используется команда:
Необходимо указать следующие параметры:
HIP-профилиHIP-профили представляют собой набор объектов HIP и предназначены для проверки соответствия конечного устройства требованиям безопасности (комплаенса). С использованием профилей HIP можно настроить гибкие политики доступа к зоне сети или приложению. Для создания HIP-профиля используется команда:
Необходимо указать следующие параметры:
Для централизованного управления устройствами LogAn в управляемой области необходимо создать шаблоны и группы шаблонов, описывающие настройки LogAn, затем добавить управляемые устройства LogAn и применить к ним созданные ранее шаблоны. В интерфейсе CLI создание шаблонов, групп шаблонов и добавление управляемых устройств LogAn происходит на уровне logan. Шаблоны устройствДля создания шаблона устройств LogAn используется команда:
Для редактирования названия/описания шаблона устройств LogAn используется команда:
Для просмотра созданных ранее шаблонов устройств LogAn используется команда:
Для удаления созданных ранее устройств LogAn используется команда:
После создания шаблона устройств LogAn можно начать производить настройку его параметров. Для этого необходимо перейти в режим настройки параметров шаблона управляемых устройств LogAn следующей командой:
В режиме настройки параметров шаблона доступны те же команды настройки параметров LogAn, которые определены в разделе Интерфейс командной строки Руководства администратора LogAn. При настройке параметров следует придерживаться следующих правил: 1. Если значение настройки не определено в шаблоне, то ничего передаваться в LogAn не будет. В данном случае в LogAn будет использована либо настройка по умолчанию, либо настройка, которую указал локальный администратор. 2. Если настройка параметра выполнена в шаблоне, то эта настройка переопределит значение этой же настройки, назначенной локальным администратором. После получения настроек с UGMC настройки следующих разделов могут быть изменены локально на Log Analyzer: ПримечаниеНастройка будет переопределена после изменения данной настройки в шаблоне LogAn администратором области на UGMC.
3. При настройке сетевых интерфейсов первый физический интерфейс, доступный для конфигурирования — это port1. Интерфейс port0 нельзя настроить с помощью средств UGMC, он всегда настраивается локальным администратором и необходим для обеспечения первичной связи управляемого устройства с UGMC. 4. При настройке сетевых интерфейсов возможно создать интерфейс и оставить его конфигурирование локальному администратору. Для этого необходимо активировать параметр on-device (on-device on) в настройках сетевого интерфейса. 5. Библиотеки, например, такие как IP-адреса, списки URL, типы контента и другие, по умолчанию не содержат никакого контента в UGMC в отличие от библиотек, создаваемых по умолчанию на устройствах UserGate. Для использования библиотек в политиках UGMC, необходимо предварительно добавить элементы в эти библиотеки. 6. Рекомендуется создавать отдельные шаблоны для разных групп настроек, это позволит избежать конфликтов настроек при объединении шаблонов в группы шаблонов и упростит понимание результирующей настройки, которая будет применена к управляемым устройствам. Например, шаблон сетевых настроек, шаблон библиотек и т.д. Группы шаблоновГруппы шаблонов объединяют несколько шаблонов в единую конфигурацию, которая применяется к управляемому устройству. Результирующие настройки, применяемые к устройству, формируются в результате слияния всех настроек шаблонов, входящих в группу шаблонов, с учетом расположения шаблонов внутри группы. Для создания группы шаблонов LogAn используется команда:
Для редактирования группы шаблонов LogAn используется команда:
Для просмотра созданных ранее групп шаблонов LogAn используется команда:
Для удаления созданных ранее групп шаблонов LogAn используется команда:
В созданной ранее группе шаблонов возможно удаление входящих в нее шаблонов:
Добавление устройств LogAn под управление UGMCГруппа шаблонов всегда применяется к одному или нескольким управляемым устройствам LogAn. Для добавления управляемых устройств LogAn в UGMC необходимо выполнить следующие шаги: 1. Обеспечить доступ от управляемого устройства LogAn до UGMC, для этого на UGMC необходимо разрешить сервис Management в свойствах контроля доступа зоны, к которой подключены управляемые устройства 2. Создать объект управляемого устройства LogAn. 3. Связать созданный объект управляемого устройства LogAn с реальным устройством UserGate LogAn. Для обеспечения доступа от управляемого устройства LogAn до UGMC необходимо в режиме администратора UGMC выполнить следующую команду:
Для создания объекта управляемого устройства используется команда:
Необходимо указать следующие параметры:
Для осуществления связи уже настроенного устройства LogAn с UGMC необходимо выполнить следующие шаги: 1. Получить Код устройства 2. Указать IP-адрес UGMC и ввести уникальный код устройства Код созданного объекта управляемого устройства (device-code) можно посмотреть следующей командой:
В консоли управляемого устройства LogAn необходимо добавить IP-адрес управляющего UGMC и указать код созданного объекта управляемого устройства:
Проверить подключение на стороне UGMC можно командой просмотра управляемого устройства:
Управление обновлениями управляемых устройствUGMC позволяет создать централизованную политику обновления программного обеспечения UserGate (UGOS) и обновляемыми библиотеками, предоставляемыми по подписке. ПримечаниеПосле добавления UserGate LogAn под управление UGMC, устройство UserGate автоматически начинает скачивать все обновления с сервера UGMC.
Обновление ПОПорядок установки обновлений, следующий: 1. Загрузить обновления в репозитарий UGMC. Управление загрузками обновлений в репозиторий UGMC управляется командой:
Подробнее — в главе Общие настройки в Руководстве администратора UGMC. 2. Утвердить обновление для всех или для конкретных устройств:
3. Провести установку обновления. После утверждения обновление становится доступным для скачивания для всех или группы управляемых устройств. Управляемое устройство скачивает обновление в соответствии с расписанием проверки обновлений. После скачивания обновление может быть установлено администратором в консоли UGMC или в ручном режиме администратором управляемого устройства. Обновление библиотекБиблиотеки — это обновляемые базы ресурсов, предоставляемых по подписке клиентам UserGate (база категорий URL-фильтрации, сигнатуры СОВ, списки IP-адресов, URL, MIME-типов, морфологические базы и другие). Эти обновления выкладываются в репозитарий UserGate, откуда они уже доступны для скачивания UserGate LogAn. Если LogAn подключен к управлению через UGMC, то он проверяет наличие обновлений на сервере UGMC, который сам будет являться репозитарием. Репозитарий UserGate при этом будет использован сервером UGMC для получения новых обновлений. По умолчанию UGMC проверяет и скачивает обновления библиотек автоматически. Библиотеки, находящиеся в репозитарии UGMC доступны всем управляемым устройствам UserGate. Управляемые устройства скачивают и устанавливают доступные обновления автоматически в соответствии с расписанием проверки обновлений. Для настройки скачивания обновлений в UGMC из репозитария UserGate используется следующая команда:
|
