В веб-интерфейсе UserGate Management Center (UGMC) администраторы управляемой области могут централизованно управлять подключенными UserGate NGFW, а также настраивать параметры этих устройств. Для этого необходимо выполнить следующее:

1) настроить параметры шаблонов UserGate NGFW;

2) создать группу шаблонов UserGate NGFW;

3) настроить интеграцию UserGate NGFW с UGMC.

Подробнее об объектах, используемых в управляемой области UGMC, таких как шаблоны, группы шаблонов и управляемые устройства — в разделе «Шаблоны и группы шаблонов».

Настройка параметров шаблонов UserGate NGFW

Перед настройкой параметров шаблонов UserGate NGFW необходимо создать шаблоны устройств. Рекомендуется создавать отдельные шаблоны для разных категорий параметров, например такие, как шаблон сетевых параметров или шаблон библиотек. Это упростит дальнейшую работу с шаблонами при их объединении в группы.

Чтобы создать шаблон UserGate NGFW:

1. В разделе Управление областью ➜ NGFW ➜ Шаблоны нажмите Добавить.

2. Укажите название и описание шаблона.

3. Нажмите Сохранить.

Созданный шаблон отобразится в таблице Шаблоны. Теперь вы можете перейти к настройке его параметров. Параметры шаблона распространятся на все управляемые устройства UserGate NGFW, к которым будет применен шаблон в составе группы.

При настройке параметров шаблона UserGate NGFW следует учитывать следующее:

• Значения параметров в шаблоне имеют более высокий приоритет, чем указанные администратором UserGate NGFW локально. Если значение параметра не указано ни в шаблоне, ни на стороне UserGate NGFW, будет использоваться значение по умолчанию.

• Для UserGate NGFW предусмотрен системный шаблон UserGate Libraries template, который создается в UGМС автоматически. Этот шаблон содержит сетевые зоны UserGate NGFW по умолчанию, а также библиотеки таких элементов, как сервисы, календари, полосы пропускания, шаблоны страниц, категории URL, профили SSL, профили приложений и профили СОВ.

• После применения параметров шаблона к управляемым устройствам администраторы могут изменять базовые параметры и параметры сетевых интерфейсов локально на каждом UserGate NGFW. Подробная информация об этих параметрах приведена в разделах «Общие настройки» и «Настройка интерфейсов» Руководства администратора UserGate NGFW.

• При настройке параметров сетевых интерфейсов в шаблоне невозможно конфигурировать интерфейс port0. Первым физическим интерфейсом, доступным для настройки в шаблоне, будет port1. 

Параметры интерфейса port0 настраиваются администратором UserGate NGFW при первоначальной настройке продукта. По умолчанию этот интерфейс используется для подключения UserGate NGFW к UGMC.

При необходимости можно сконфигурировать сетевые интерфейсы локально на UserGate NGFW, для этого в параметрах выбранного интерфейса шаблона должен быть установлен флажок Настраивается на устройстве.

Если вы создаете интерфейс в шаблоне, этот интерфейс автоматически будет добавлен в UserGate NGFW. Удаление интерфейса из шаблона не удаляет интерфейс на межсетевом экране. Если требуется удалить интерфейс на межсетевом экране, необходимо сделать это вручную.

• Правила политик в шаблоне не переопределяют правила, созданные администраторами межсетевых экранов UserGate NGFW локально, а добавляются к ним в виде преправил и постправил.

• Для некоторых правил политик в шаблоне можно указать управляемые устройства, к которым будут применяться эти правила. Действие доступно в окне свойств правила на вкладке Устройства.

Следует учитывать, что частое использование этой функции может усложнить для администраторов понимание того, какие правила политик будут применяться к устройству.

• Библиотеки элементов шаблона (например, библиотеки IP-адресов, URL-списков, а также типов контента) по умолчанию не содержат данных, в отличие от библиотек UserGate NGFW (подробнее — в разделе «Библиотеки элементов» Руководства администратора UserGate NGFW). Перед настройкой политик в шаблоне необходимо добавить элементы библиотек.

• При создании в шаблоне профиля СОВ в списке совпавших сигнатур может отображаться несколько копий одной и той же проприетарной сигнатуры (см. рисунок ниже).

Такая ситуация возникает, если в шаблоне переопределяются параметры проприетарных сигнатур СОВ (в разделе боковой панели Библиотеки ➜ Сигнатуры СОВ для выбранного шаблона), например действие по обнаружению сигнатуры. В этом случае для конфигурации параметров выбирается сигнатура, которая относится к выбранному шаблону.

• Начиная с версии 7.4.0 если идентификатор правила политик, созданного локально на UserGate NGFW, совпадает с идентификатором правила, созданного в шаблоне, то в конфигурацию параметров войдет правило из шаблона, а локальное правило будет удалено.

• При настройке шаблонов UserGate NGFW для узлов кластера конфигурации в свойствах параметров, которые не являются кластерными (например, в свойствах параметров агента UserID), вы можете указывать узел кластера, к которому будут применяться эти параметры.

Чтобы настроить параметры шаблона UserGate NGFW:

В разделе NGFW-конфигурация для объекта Шаблон в выпадающем списке выберите шаблон, параметры которого необходимо настроить.

Настройка параметров шаблона выполняется в разделах боковой панели аналогично настройке параметров локального UserGate NGFW (подробнее — в Руководстве администратора UserGate NGFW).

Создание группы шаблонов UserGate NGFW

После создания шаблонов UserGate NGFW их необходимо объединить в группы. Группа шаблонов позволяет создать конфигурацию параметров, которая будет применена к одному или нескольким управляемым устройствам. Эта конфигурация формируется в результате слияния параметров всех шаблонов, входящих в группу, с учетом их расположения.

Чтобы создать группу шаблонов UserGate NGFW:

1. В разделе Управление областью ➜ NGFW ➜ Группы шаблонов нажмите Добавить.

2. На вкладке Общие укажите название и описание группы шаблонов.

3. На вкладке Шаблоны нажмите Добавить:

• выберите шаблон в списке и добавьте его в группу по кнопке Добавить;

• повторите действие для всех шаблонов, которые требуется добавить в группу;

• нажмите Закрыть.

Порядок расположения шаблонов в списке соответствует порядку применения параметров шаблонов в конфигурации. При необходимости вы можете изменять порядок с помощью кнопок Наверх, Выше, Ниже, Вниз.

Вы также можете создавать и добавлять новые шаблоны по кнопке Создать и добавить новый объект.

4. Нажмите Сохранить.

Созданная группа шаблонов отобразится в таблице Группы шаблонов. Теперь вы можете перейти к настройке интеграции UserGate NGFW с UGMC.

Настройка интеграции UserGate NGFW с UGMC

Настройка интеграции с UGMC осуществляется путем создания в управляемой области логического объекта — устройства, к которому будут привязаны реальные UserGate NGFW при их подключении к UGMC. Каждый такой логический объект во включенном состоянии использует одну лицензию на управляемое устройство.

С помощью одного устройства, созданного в управляемой области, вы можете настроить интеграцию с UGMC одиночного UserGate NGFW или кластера межсетевых экранов. Для UserGate NGFW, объединенных в кластер, достаточно подключить к UGMC первый узел, остальные узлы будут подключены автоматически при их добавлении в кластер.

Для настройки интеграции UserGate NGFW с UGMC необходимо:

1) создать устройство в управляемой области;

2) подключить UserGate NGFW к UGMC.

Все UserGate NGFW, для которых настроена интеграция с UGMC, называются управляемыми устройствами.

Создание устройства в управляемой области

Чтобы создать устройство в управляемой области:

1. В разделе Управление областью ➜ NGFW ➜ Устройства нажмите Добавить.

2. На вкладке Общие укажите параметры устройства:

• название и описание;

• группу шаблонов, параметры которой должны применяться к подключенным UserGate NGFW;

• режим синхронизации параметров между группой шаблонов и подключенными UserGate NGFW.

В процессе синхронизации к управляемым устройствам применяется конфигурация параметров группы шаблонов. По умолчанию указан автоматический режим. В этом режиме параметры UserGate NGFW синхронизируются с конфигурацией параметров при каждом ее изменении.

При необходимости синхронизацию можно отключить. Это может понадобиться, например, если нужно одновременно изменить параметры нескольких шаблонов группы. В этом случае вы можете применить сразу все внесенные изменения в таблице Устройства, выполнив синхронизацию вручную по кнопке Запросить синхронизацию.

3. Если вы планируете настроить интеграцию UserGate NGFW с внешним сервером UserGate Log Analyzer, на вкладке Адреса UserGate для связи с LogAn укажите IP-адрес UserGate NGFW.

4. Нажмите Сохранить.

5. Выберите созданное устройство в списке и получите код для подключения UserGate NGFW, нажав Действия ➜ Показать уникальный код устройства.

6. Сохраните код для подключения UserGate NGFW.

В интерфейсе UGMC вы можете просматривать список созданных устройств.

Подключение UserGate NGFW к UGMC

Вы можете подключить UserGate NGFW к UGMC при первоначальной настройке межсетевого экрана по кнопке Настроить через UserGate Management Center, а также при его дальнейшем использовании (см. инструкцию ниже).

Перед выполнением инструкции необходимо в свойствах зоны для подключения UserGate NGFW разрешить использование сервиса UserGate Management Center. Действие выполняется администратором UGMC в разделе Центр управления ➜ Зоны. Также необходимо убедиться, что между серверами UserGate NGFW и UGMC есть сетевая связность.

Чтобы подключить UserGate NGFW к UGMC:

1. В разделе Настройки ➜ Консоль администратора ➜ Настройки в блоке Агент UserGate Management Center нажмите Настроить.

2. Укажите IP-адрес UGMC (например, 192.0.2.4) и код для подключения UserGate NGFW, сгенерированный в веб-интерфейсе UGMC.

3. Нажмите Сохранить.

Статус подключения отобразится в блоке Агент UserGate Management Center в виде цветового индикатора:

• Зеленый — соединение с сервером UGMC установлено, интеграция выполняется штатно.

• Красный — соединение с сервером UGMC не установлено, межсетевой экран UserGate NGFW отключен или на нем остановлена работа агента UserGate Management Center.

При успешном подключении конфигурация параметров группы шаблонов будет применена к UserGate NGFW. Параметры этой конфигурации (за исключением базовых параметров и параметров сетевых интерфейсов) будут недоступны для изменения на стороне UserGate NGFW.

Кроме того, вы можете просматривать информацию о подключении UserGate NGFW в веб-интерфейсе UGMC в разделе Управление областью ➜ NGFW ➜ Устройства. UGMC проверяет подключение к UserGate NGFW на портах TCP 2022 и 9712. Для каждого устройства в управляемой области отображаются статус и дата последнего подключения привязанных к нему UserGate NGFW, а также дополнительная информация, включая объем используемой памяти и время непрерывной работы межсетевых экранов.

В интерфейсе UGMC вы можете управлять подключенными UserGate NGFW.

Просмотр списка устройств в управляемой области

Раздел Управление областью ➜ NGFW ➜ Устройства содержит список устройств в управляемой области. В этом списке вы можете:

• Включать и отключать устройства по кнопкам Включить и Отключить соответственно. При отключении устройства для всех привязанных к нему UserGate NGFW будут разорваны соединения с сервером UGMC.

• Удалять устройства по кнопке Удалить.

• Изменять параметры устройства по кнопке Редактировать.

• Просматривать информацию об устройстве в отдельном окне по кнопке Показать детальную информацию.

Кроме того, вы можете настраивать отображение устройств в списке с помощью следующих фильтров:

• Все — все устройства (фильтр по умолчанию).

• Включенные и Выключенные — устройства в выбранном состоянии.

• Онлайн — для привязанных к устройствам UserGate NGFW установлено соединение с сервером UGMC.

• Офлайн — для привязанных к устройствам UserGate NGFW не установлено соединение с сервером UGMC.

• Не привязанные — устройства, к которым не привязаны UserGate NGFW.

• Консистентные устройства — устройства, к которым привязаны UserGate NGFW с параметрами, синхронизированными с конфигурацией параметров группы шаблонов.

• Неконсистентные устройства — устройства, к которым привязаны UserGate NGFW с параметрами, не синхронизированными с конфигурацией параметров группы шаблонов.

Вы также можете управлять синхронизацией параметров между группой шаблонов и UserGate NGFW, для этого доступны ручной и автоматический режимы. Вручную вы можете запускать синхронизацию сразу для всех управляемых устройств (по кнопке Действия ➜ Запустить полную синхронизацию) или только для выбранных (по кнопке Запросить синхронизацию).

В автоматическом режиме параметры управляемого устройства синхронизируются с конфигурацией параметров группы шаблонов при каждом ее изменении. Кроме того, при автоматической синхронизации подключенный UserGate NGFW отправляет UGMC сведения о своем состоянии каждые 20 секунд, в результате чего обновляется время последней синхронизации для устройства.

Управление подключенными UserGate NGFW

В разделе Управление областью ➜ NGFW ➜ Устройства вы можете управлять подключенными UserGate NGFW:

• Переходить в веб-интерфейс UserGate NGFW по кнопке Открыть консоль. Для UserGate NGFW, объединенных в кластер, по этой кнопке открывается окно выбора узла для перехода в веб-интерфейс этого узла.

• Перезагружать и выключать питание сервера одиночного UserGate NGFW или каждого из узлов кластера межсетевых экранов по ссылкам Перезагрузить и Выключить соответственно.

• Управлять лицензией UserGate NGFW: выполнять активацию лицензии по ссылке Нет лицензии, проверять срок ее действия по ссылке Проверить лицензию, а также обновлять лицензию по ссылке Зарегистрированная версия.

• Устанавливать обновление программного обеспечения (UGOS), загруженного локально на сервер одиночного UserGate NGFW или узла кластера межсетевых экранов, по ссылке Установить обновление.

• Изменять параметры UserGate NGFW посредством настройки параметров шаблонов, входящих в примененную конфигурацию.

Кластеризация UserGate NGFW

Вы можете объединять два или более UserGate NGFW (узлов) в кластер конфигурации и настраивать на них единые параметры для работы с трафиком, используя шаблоны.

Между узлами кластера конфигурации выполняется синхронизация параметров, что обеспечивает бесперебойную фильтрацию и обработку сетевого трафика при недоступности одного из узлов.

Кроме того, вы можете объединять до четырех узлов кластера конфигурации в кластер отказоустойчивости. Этот кластер поддерживает следующие режимы работы:

• «активный — активный», в котором один из межсетевых экранов выполняет роль основного узла, распределяя трафик на все остальные узлы кластера;

• «активный — пассивный», в котором обработку транзитного трафика выполняет основной узел, при сбоях в работе этого узла трафик перенаправляется на резервные узлы кластера.

В параметрах кластера отказоустойчивости вы можете настроить синхронизацию сессий между узлами (исключение составляют сессии, использующие прокси-сервер). Это может понадобиться для кластера в режиме «активный — пассивный», например при недоступности основного узла вы можете переключиться на резервный узел без потери установленных сессий.

На базе одного кластера конфигурации может быть создано несколько кластеров отказоустойчивости. В этом случае каждому кластеру отказоустойчивости вы можете присвоить уникальный мультикаст-идентификатор, который будет использоваться для синхронизации сессий между узлами.

Создание кластера конфигурации

Для создания кластера конфигурации необходимо:

1) настроить первый узел кластера конфигурации;

2) подключить первый узел кластера конфигурации к UGMC;

3) добавить дополнительные узлы в кластер конфигурации.

Чтобы настроить первый узел кластера конфигурации:

1. Выполните первоначальную настройку UserGate NGFW, который будет выполнять роль первого узла кластера, согласно инструкции раздела «Подключение к UserGate NGFW» Руководства администратора UserGate NGFW.

2. Настройте зону, через интерфейсы которой будет выполняться репликация параметров между узлами кластера.

Для этого в разделе Настройки ➜ Сеть ➜ Зоны создайте новую зону или используйте зону Cluster, созданную по умолчанию. В параметрах зоны в блоке Контроль доступа разрешите сервисы Консоль администрирования и Кластер.

3. Укажите IP-адрес первого узла для подключения к другим узлам кластера.

Для этого в разделе Настройки ➜ Консоль администратора ➜ Управление устройством в блоке параметров Кластер конфигурации выберите первый узел кластера, нажмите Редактировать и укажите IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.

4. В блоке Кластер конфигурации нажмите Сгенерировать секретный код и сохраните полученный код. Этот код потребуется для подключения второго и последующих узлов к кластеру.

После настройки первого узла необходимо подключить его к UGMC. В результате подключения узлу будет автоматически присвоен идентификатор node_1. Теперь вы можете добавить в кластер конфигурации дополнительные узлы.

Чтобы добавить дополнительный узел в кластер конфигурации:

1. Подключитесь к веб-интерфейсу UserGate NGFW, который будет выполнять роль дополнительного узла кластера.

2. Следуйте указаниям мастера первоначальной настройки:

• выберите язык веб-интерфейса;

• выберите часовой пояс;

• ознакомьтесь с условиями лицензионного соглашения.

3. В окне с вариантами использования узла выберите Дополнительный узел кластера.

4. В окне настройки узла укажите параметры подключения к кластеру:

• Название, IP-адрес и маску подсети сетевого интерфейса, который будет использоваться для подключения.

• Если первый и дополнительный узлы кластера находятся в разных подсетях, укажите IP-адрес шлюза, через который будет доступен первый узел кластера.

• IP-адрес первого узла кластера.

• Код для подключения, полученный при настройке первого узла кластера.

5. Нажмите Подключить.

6. При успешном подключении мастер первоначальной настройки предложит ввести идентификатор узла кластера. Укажите этот идентификатор в формате node_<номер узла кластера>, например node_2.

Дополнительный узел добавлен в кластер конфигурации. На этот узел будут автоматически реплицированы параметры, настроенные на первом узле. В интерфейсе UGMC дополнительный узел кластера отобразится в разделе Управление областью ➜ NGFW ➜ Устройства в строке управляемого устройства, к которому ранее был подключен первый узел кластера конфигурации.

При необходимости вы можете добавить другие дополнительные узлы, повторив шаги инструкции для каждого из них.

Создание кластера отказоустойчивости

Перед созданием кластера отказоустойчивости:

1. Создайте кластер конфигурации (см. инструкцию выше).

2. Проверьте, что:

• Выполняются требования аналогичные тем, что предъявляются к узлам при создании кластера отказоустойчивости без использования UGMC (подробнее — в разделе «Кластеризация и отказоустойчивость» Руководства администратора UserGate NGFW).

• На каждом из узлов кластера конфигурации созданы сетевые интерфейсы, управляемые UGMC. Вы можете назначать виртуальные IP-адреса только тем интерфейсам, которые созданы в шаблоне.

2. В UGMC под учетной записью администратора управляемой области выполните следующее:

• В разделе Управление областью ➜ NGFW ➜ Устройства проверьте, что все узлы кластера конфигурации доступны.

• Создайте шаблон сетевых зон и шаблон кластера отказоустойчивости.

• В шаблоне сетевых зон в разделе Настройки ➜ Сеть ➜ Зоны разрешите доступ к сервису VRRP тем зонам, для которых планируете добавлять кластерный виртуальный IP-адрес (подробнее — в разделе «Настройка зон» Руководства администратора UserGate NGFW).

Чтобы создать кластер отказоустойчивости:

1. В шаблоне кластера отказоустойчивости в разделе Консоль администратора ➜ Управление устройством в блоке параметров Кластер отказоустойчивости нажмите Добавить.

2. На вкладке Общие выполните следующие действия:

• Включите кластер.

• Укажите название и при необходимости описание кластера.

• Выберите режим работы отказоустойчивого кластера:

  • Актив-Актив — распределение нагрузки между узлами кластера;

  • Актив-Пассив — переключение нагрузки на резервные узлы в случае недоступности основного узла.

• Если между узлами кластера требуется выполнять синхронизацию пользовательских TCP-сессий, установите флажок Синхронизировать сессии.

Если в локальной сети присутствуют другие отказоустойчивые кластеры, вы можете указать уникальный мультикаст-идентификатор создаваемого кластера, который будет использоваться для синхронизации сессий между узлами.

На вкладке Синхронизация UDP/ICMP вы можете управлять режимом синхронизации пользовательских сессий:

• Если между узлами кластера требуется выполнять синхронизацию всех пользовательских сессий, включая UDP- и ICMP-трафик, установите флажок Синхронизовать все сессии.

• Если из синхронизации требуется исключить определенные пользовательские сессии, укажите IP-адреса, к которым привязаны эти сессии.

• При необходимости укажите уникальный идентификатор виртуального маршрутизатора (VRID).

Если в локальной сети отсутствуют сторонние VRRP-кластеры, рекомендуется оставить значение по умолчанию.

3. На вкладке Узлы укажите идентификаторы тех узлов кластера конфигурации, которые требуется объединить в кластер отказоустойчивости.

4. На вкладке Виртуальные IP назначьте виртуальные IP-адреса интерфейсам на узлах кластера отказоустойчивости. Вы можете назначать виртуальные IP-адреса только тем интерфейсам, которые созданы в шаблонах.

5. Нажмите Сохранить.

Созданный кластер отобразится в блоке параметров Кластер отказоустойчивости. Вы можете просматривать данные о состоянии кластера отказоустойчивости в разделе Управление областью ➜ NGFW ➜ Устройства в строке управляемого устройства, к которому подключены узлы этого кластера.

Если для авторизации пользователей в локальной сети планируется использовать captive-портал, после создания кластера отказоустойчивости в одном из шаблонов UserGate NGFW в разделе Консоль администратора ➜ Настройки в блоке параметров Модули для служебных доменных имен (например, auth.captive и logout.captive) укажите IP-адрес, назначенный в качестве кластерного виртуального адреса (подробнее — в разделе «Общие настройки» Руководства администратора UserGate NGFW).

Обновление UserGate NGFW

UGMC получает файлы обновлений программного обеспечения (UGOS) и системных библиотек из репозитория UserGate в рамках лицензии на модуль Security Update. При этом все UserGate NGFW, подключенные к управляемым устройствам, используют в качестве источника обновлений сервер UGMC.

В интерфейсе UGMC вы можете управлять обновлением UGOS:

• проверять наличие файлов обновлений в репозитории UserGate;

• загружать файлы обновлений из репозитория;

• изменять параметры обновления управляемых устройств;

• загружать файлы обновлений, полученные в личном кабинете my.usergate.com, в офлайн-режиме при отсутствии доступа к репозиторию UserGate.

Также вы можете управлять обновлением системных библиотек:

• управлять автоматическим обновлением библиотек на сервере UGMC;

• настраивать расписание автоматического обновления;

• загружать файлы обновлений, полученные в личном кабинете my.usergate.com, в офлайн-режиме при отсутствии доступа к репозиторию UserGate.

Управление обновлением UGOS

Вы можете загружать файлы обновлений UGOS на сервер UGMC напрямую из репозитория UserGate или в офлайн-режиме.

Чтобы загрузить файл обновления UGOS из репозитория UserGate:

1. В разделе Управление областью ➜ NGFW ➜ Обновления ПО нажмите Выбрать онлайн-обновления.

Начнется проверка наличия обновлений UGOS в репозитории UserGate. По окончании проверки будет сформирован список доступных файлов обновлений.

2. Укажите файл обновления в списке и нажмите Выбрать.

Обновление отобразится в таблице Обновление ПО. Вы можете отслеживать статус и прогресс его загрузки в соответствующих столбцах.

Чтобы загрузить файл обновления UGOS в офлайн-режиме:

1. В разделе Управление областью ➜ NGFW ➜ Обновления ПО нажмите Импортировать обновление.

2. По кнопке Обзор выберите файл обновления.

Начнется загрузка файла обновления. По окончании процесса в окне загрузки отобразятся название и версия обновления UGOS.

3. При необходимости в поле Совместимость укажите версию UGOS, совместимую с загруженным обновлением.

4. Нажмите Сохранить.

Обновление отобразится в таблице Обновление ПО.

После загрузки вам необходимо утвердить нужные обновления, чтобы они стали доступны для установки на подключенных UserGate NGFW. Для этого выберите обновление в таблице и нажмите Утвердить обновление. Действие также доступно при изменении параметров обновления. Кроме того, вы можете удалять обновления в таблице по кнопке Удалить обновление.

Чтобы изменить параметры обновления UGOS:

1. В разделе Управление областью ➜ NGFW ➜ Обновления ПО нажмите ссылку в столбце Название для обновления.

2. Если необходимо, на вкладке Общие:

• измените описание обновления;

• утвердите обновление с помощью флажка Утвердить обновление.

3. Если необходимо, на вкладке Устройства по кнопке Добавить добавьте управляемые устройства, которым будет доступно обновление.

4. Нажмите Сохранить.

Администраторы UserGate NGFW могут вручную устанавливать загруженные и утвержденные обновления UGOS локально на устройствах.

Управление обновлением библиотек

По умолчанию системные библиотеки на сервере UGMC обновляются автоматически. В разделе Управление областью ➜ NGFW ➜ Обновления библиотек администраторы управляемой области UGMC могут отключить автоматическое обновление выбранной библиотеки по кнопке Не обновлять, а также включить его обратно по кнопке Обновлять автоматически. Кроме того, по кнопке Импортировать обновление доступна загрузка файла обновления библиотек на сервер UGMC в офлайн-режиме.

Системные библиотеки, находящиеся в репозитории UGMC, доступны всем UserGate NGFW, подключенным в качестве управляемых устройств. Эти библиотеки обновляются на UserGate NGFW автоматически по расписанию. Вы можете настраивать расписание автоматического обновления на каждом UserGate NGFW локально (подробнее — в разделе «Общие настройки» Руководства администратора UserGate NGFW) или с помощью шаблонов устройств на UGMC. Ниже приведена инструкция по настройке расписания в шаблоне, которая выполняется администратором управляемой области в веб-интерфейсе UGMC.

Чтобы настроить расписание автоматического обновления системных библиотек:

1. В одном из шаблонов UserGate NGFW в разделе Консоль администратора ➜ Настройки ➜ Обновления библиотек для параметра Расписание автоматических обновлений нажмите Настроить.

2. Выберите библиотеку в списке и укажите для нее вариант расписания.

При выборе варианта Задать вручную вы можете указать время в cron-формате: <минуты: 0–59> <часы: 0–23> <дни месяца: 1–31> <месяцы: 1–12> <дни недели: 0–6, где 0 — воскресенье>.

Для ручного ввода вы можете использовать следующие символы:

• Звездочка (*) — для выбора всех значений. Например, в поле для ввода часов символ означает, что резервное копирование должно выполняться каждый час.

• Дефис (-) — для указания диапазона значений.

• Запятая (,) — в качестве разделителя значений.

• Косая черта (/) — для указания шага между значениями.

При установке флажка Единое расписание для всех обновлений расписание выбранной библиотеки будет применено ко всем библиотекам в списке.

3. Нажмите Сохранить.

Аварийное отключение UserGate NGFW от UGMC

При настроенной интеграции вы можете отключить UserGate NGFW от UGMC с помощью команды аварийного отключения. Эта команда выполняется в интерфейсе командной строки UserGate NGFW в режиме конфигурации (подробнее — в разделе «Режим конфигурации» руководства администратора NGFW):

Admin@nodename# execute mc-force-disconnect <arg>

В качестве значения аргумента (arg) вы можете указать следующие параметры:

• keep — при отключении все импортированные из UGMC объекты (например, библиотеки и правила политик) будут сохранены локально в UserGate NGFW.

• delete — при отключении все импортированные из UGMC объекты (например, библиотеки и правила политик) будут удалены. Исключение составляют объекты, используемые в настоящий момент, они будут сохранены локально в UserGate NGFW.

Например:

Admin@nodename# execute mc-force-disconnect keep
Admin@nodename# execute mc-force-disconnect delete

В UserGate MC реализована гибкая система управления конфигурациями устройств благодаря иерархической системе администрирования (подробнее читайте в разделе Администраторы) и использованию метода шаблонов (подробнее читайте в разделе Управление межсетевыми экранами UserGate).

Управление устройствами осуществляется в пределах управляемой области. Управляемая область может иметь в своем составе множество филиалов (городов), в которых установлены подконтрольные устройства.

Корневой администратор области имеет все права на управление областью. Он может создавать шаблоны настроек управляемых устройств, объединять шаблоны в группы и назначать эти группы на управляемые устройства. Корневой администратор управляемой области может создавать учетные записи дополнительных администраторов области или, иначе говоря, региональных администраторов, делегируя им права на администрирование только отдельных выделенных устройств в филиалах. 

Группы шаблонов могут включать в себя шаблоны, которые настраивает как сам администратор области, так и региональные администраторы.

Порядок шаблонов в группе имеет значение и определяет приоритет политик или используемых в них объектов.

Порядок применения правил на управляемом устройстве следующий:

1. Пре-правила первого шаблона, пре-правила второго шаблона и т.д.

2. Локальные правила политики на устройстве.

3. Пост-правила первого шаблона, пост-правила второго шаблона и т.д.

Это позволяет вставить правила в любое место в списке правил управляемого устройства. 

Порядок применения объектов, которые не являются правилами — берётся первый найденный подходящий объект при проходе по списку шаблонов из группы.

Благодаря такому подходу реализуется иерархическая система администрирования — администратор области управляет политиками на уровне организации, а региональные администраторы управляют политиками в своих филиалах. Администратор области создает шаблон общих политик для всех филиалов, который он может добавлять в группы шаблонов для региональных устройств. Таким образом решается задача управления политиками информационной безопасности на уровне организации. В свою очередь, региональные администраторы через свои шаблоны решают локальные задачи своих филиалов.

Рассмотрим два примера работы с шаблонами в пределах управляемой области.

Пример 1. Группирование шаблонов

Пример группирования шаблонов для филиалов в управляемой области.

В UserGate MC создана управляемая область AAA c корневым администратором области Admin/AAA.

Администратор области создает двух региональных администраторов для управления узлами NGFW в городах B и С (subAdminB/AAA и subAdminC/AAA соответственно).

Администратор области создает шаблоны для управления региональными узлами и предоставляет права на редактирование части шаблонов региональным администраторам:

• Шаблон A — для настройки базовых политик конфигурации сети администратором области.

• Шаблоны B1 и B2 — для локальных настроек политик узла в филиале B. Региональному администратору в городе B (subAdminB/AAA) делегируются права для настройки этих шаблонов.

• Шаблоны C1 и C2 — для локальных настроек политик узла в городе C. Региональному администратору в городе C (subAdminC/AAA) делегируются права для настройки этих шаблонов.

Администратор области создает группы шаблонов, в которые он может добавить любые шаблоны, созданные и настраиваемые в любом регионе своей области.

В этом примере администратор области создает для каждого города свою группу шаблонов, куда он добавляет общий шаблон с базовыми политиками конфигурации сети и шаблоны с локальнями настройками политик, редактируемые региональными алминистраторами:

• Группа шаблонов для города B:

  • Шаблон A;

  • Шаблон B1;

  • Шаблон B2;

• Группа шаблонов для города C:

  • Шаблон A;

  • Шаблон C1;

  • Шаблон C2.

Администратор области назначает группы шаблонов на конкретные управляемые устройства.

Пример 2. Схема с главной политикой

В такой схеме есть одна центральная политика, но её конкретная финальная форма будет разной для разных регионов.

Как и в Примере 1 в управляемой области ААА есть два города B и C, в каждом из которых установлены свои NGFW, они оба подключены к MC. Созданы два региональных администратора для управления узлами NGFW в городах B и С (subAdminB/AAA и subAdminC/AAA соответственно).

Администратор области имеет шаблон общей политики, который ограничивает доступ группы с IP-адресами Test к сайтам с видеоконтентом. Для каждого города есть свои шаблоны, в которых региональные администраторы определяют список своих локальных адресов для группы Test:

• Шаблон A3 — шаблон общей политики администратора области с настройкой ограничения доступа к видеоконтенту.

• Шаблон B3 — для настройки группы IP-адресов, к которым должна быть применена политика. Региональному администратору города B (subAdminB/AAA) делегируются права для настройки параметров этого шаблона.

• Шаблон C3 — для настройки группы IP-адресов, к которым должна быть применена политика. Региональному администратору города С (subAdminС/AAA) делегируются права для настройки параметров этого шаблона.

Настройка шаблонов

 Администратор области в шаблоне А3 создает правило фильтрации видеоконтента, в котором на вкладке Источник указывает группу IP-адресов Test, но сами адреса в этом шаблоне не задаются. Списки IP адресов, к которым будет применено правило общей политики, будут создаваться в группе адресов Test региональными администраторами в своих шаблонах.

Администратор области делегирует региональным администраторам права для настройки библиотек элементов в шаблонах B3 и C3. Для этого в веб-консоли администратора области необходимо перейти в раздел Центр управления ➜ Администраторы ➜ Профили администраторов и в профилях региональных администраторов предоставить права на чтение и запись для раздела Библиотеки элементов.

Региональному администратору города B необходимо делегировать права в шаблоне B3: 

Региональному администратору города С необходимо делегировать права в шаблоне С3: 

Региональные администраторы создают в своих шаблонах группу IP-адресов Test. Для этого каждый региональный администратор должен войти в веб-консоль администратора со своим логином (subAdminB/AAA и subAdminC/AAA соответственно), перейти в раздел настройки шаблона (шаблон В3 и шаблон C3 соответственно) и создать группу IP-адресов Test со своими актуальными адресами:

Региональный администратор города B редактирует шаблон B3:

Региональный администратор города C редактирует шаблон C3:

Администратор области объединяет шаблоны в группы:

• Группа шаблонов для города B:

  • Шаблон A3;

  • Шаблон B3;

• Группа шаблонов для города C:

  • Шаблон A3;

  • Шаблон C3.

Администратор области назначает группы шаблонов на конкретные управляемые устройства.

Проверка работы схемы

У каждого регионального устройства есть собственные политики со своими собственными правилами фильтрации видео-контента.

NGFW B:

NGFW C:

Таким образом, в данном примере используется централизованное управление политикой доступа к сайтам с видеоконтентом для двух городов, но при этом учитываются региональные особенности (разные подсети) каждого филиала. Администратор области отвечает за создание и управление общим шаблоном политики, а региональные администраторы отвечают за настройку и управление своими устройствами с учетом региональных особенностей.

Функция переноса объектов между шаблонами в MC (доступна в версии 7.4.0 и выше) позволяет переносить или копировать объекты одинакового типа из одного шаблона в другой. 

Функция работает в шаблонах NGFW в разделах правил межсетевого экрана, NAT и маршрутизации, фильтрации контента, спискам зон, IP-адресов, спискам URL и сценариям. 

Работа со списками

При копировании/переносе списков копируется всё их содержимое.

Если в списках есть вложенные списки (например, списки IP-адресов или списки URL), переносятся ссылки на такие вложенные списки.

Если в целевом шаблоне нет списков IP-адресов, которые передаются в него ссылками, такие списки в целевом шаблоне будут помечены, как отсутствующий объект.

Если в целевом шаблоне нет списков URL, которые передаются в него ссылками, такие списки не будут перенесены в целевой шаблон.

Чтобы выполнить операцию копирования/переноса списков между шаблонами необходимо в исходном шаблоне, в панели инструментов раздела списка, нажать кнопку Перенести объекты и выбрать нужное действие.

Пример работы со списками IP-адресов:

Доступны операции копирования или перемещения как отдельных выбранных объектов (списков), так и всех объектов раздела целиком.

При копировании или перемещении выбранных объектов раздела в другой шаблон выводится диалоговое окно, в заголовке которого указана выполняемая операция и количество копируемых/перемещаемых объектов.

В поле Шаблон необходимо выбрать шаблон назначения и нажать кнопку действия (Копировать или Переместить в зависимости от выбранной операции):

При копировании выбранные списки скопируются в шаблон назначения с теми же названиями, при перемещении — будут скопированы в шаблон назначения с теми же названиями и удалены из текущего шаблона.

При копировании или перемещении всех объектов раздела в другой шаблон выводится диалоговое окно, в заголовке которого указана выполняемая операция и количество копируемых/перемещаемых объектов.

В поле Шаблон необходимо выбрать шаблон назначения и нажать кнопку действия (Копировать или Переместить в зависимости от выбранной операции):

При копировании все списки текущего раздела будут скопированы в шаблон назначения с теми же названиями, при перемещении — все списки текущего раздела будут скопированы в шаблон назначения с теми же названиями и удалены из текущего шаблона.

Если в шаблоне назначения уже есть объекты с такими же названиями, возникает конфликт имён. Выводится окно с указанием количества ошибок и списка пересекающихся имён (выводится не более 10 имён), операция копирования/перемещения полностью отменяется для всех объектов:

Для разрешения конфликта имён администратор должен вручную переименовать объекты с аналогичными именами и выполнить операцию копирования/перемещения заново.

Работа с правилами

Правила являются упорядоченными объектами и для них можно указать раздел (пре- или пост-правила) и место вставки (начало, конец раздела и т. д.).

При копировании/переносе правил переносится основная запись правила со ссылками на все вложенные объекты.

Чтобы выполнить операцию копирования/переноса правил между шаблонами необходимо в исходном шаблоне, в панели инструментов раздела правил, нажать кнопку Перенести объекты и выбрать нужное действие.

Пример работы с правилами межсетевого экрана:

Доступны операции копирования или перемещения как отдельных выбранных объектов (правил), так и всех объектов раздела целиком.

При копировании или перемещении выбранных объектов раздела (правил) в другой шаблон выводится диалоговое окно, в заголовке которого указана выполняемая операция и количество копируемых/перемещаемых объектов.

В поле Шаблон необходимо выбрать шаблон назначения.

В поле Раздел необходимо выбрать секцию, в которую будет скопировано правило (пре-правила или пост-правила).

В области Вставить необходимо выбрать место в разделе, куда будут скопированы правила (начало или конец раздела, или перед конкретным объектом в списке имеющихся в разделе целевого шаблона правил).

Флаг Открыть целевой шаблон после копирования откроет настройки целевого шаблона после выполнения операции. 

Далее необходимо нажать кнопку действия (Копировать или Переместить в зависимости от выбранной операции):

При копировании выбранные правила будут скопированы в шаблон назначения в указанные места с теми же названиями, при перемещении — выбранные правила будут скопированы в шаблон назначения с теми же названиями и удалены из текущего шаблона.

При копировании или перемещении всех объектов раздела (правил) в другой шаблон выводится диалоговое окно, в заголовке которого указана выполняемая операция и количество копируемых/перемещаемых объектов.

В поле Шаблон необходимо выбрать шаблон назначения.

Указать место размещения правил в соответствующих секциях раздела (пре- и пост-правила).

Далее необходимо нажать кнопку действия (Копировать или Переместить в зависимости от выбранной операции):

При копировании все правила текущего раздела будут скопированы в указанные места шаблона назначения с теми же названиями, при перемещении — все правила текущего раздела будут скопированы в указанные места шаблона назначения с теми же названиями и удалены из текущего шаблона.

Если в шаблоне назначения уже есть объекты (правила) с такими же названиями, возникает конфликт имён. Выводится окно с указанием количества ошибок и списка пересекающихся имён (выводится не более 10 имён) и операция копирования или переноса полностью отменяется для всех объектов:

Для разрешения конфликта имён администратор должен вручную переименовать объекты с аналогичными именами и выполнить операцию копирования/перемещения заново.

Пример использования

Правила межсетевого экрана в шаблоне Template 3 (правила на иллюстрациях созданы исключительно для демонстрации функции переноса объектов):

Правила межсетевого экрана в шаблоне Template 1 и выбор операции копирования всех правил из шаблона Template 1 в шаблон Template 3:

Настройка операции копирования:

Результат копирования правил межсетевого экрана в шаблоне Template 3:

Вы можете настроить в веб-интерфейсе UGMC такие параметры прокси-сервера, как добавление заголовков HTTP, тайм-ауты на подключение к сайтам и загрузку контента, защита исполняемого кода продукта и другие.

Чтобы настроить прокси-сервер:

1. В веб-интерфейсе администратора области в разделе NGFW-конфигурация ➜ UserGate ➜ Настройки в области Расширенные настройки нажмите Настроить.

2. В окне Настройки прокси-сервера настройте нужные параметры (см. таблицу ниже).

3. Сохраните изменения.

Ниже описаны настраиваемые параметры прокси-сервера.