В интерфейсе командной строки UserGate Management Center (UGMC) администраторы управляемой области могут централизованно настраивать параметры межсетевых экранов UserGate. Для этого в режиме конфигурации необходимо выполнить следующее:

1) настроить параметры шаблонов UserGate NGFW;

2) создать группы шаблонов UserGate NGFW;

3) добавить управляемые устройства UserGate NGFW.

Настройка параметров шаблонов UserGate NGFW

Перед настройкой параметров шаблонов UserGate NGFW необходимо создать шаблоны устройств. Рекомендуется создавать отдельные шаблоны для разных категорий параметров, например такие, как шаблон сетевых параметров, шаблон правил межсетевого экрана, шаблон правил фильтрации или шаблон библиотек. Это упростит дальнейшую работу с шаблонами при их объединении в группы. В таблице ниже приведены команды, которые вы можете использовать при создании шаблонов UserGate NGFW.

Действие	Команда	Пример ввода команды
Создание шаблона	`create ngfw template name <название шаблона> description <описание шаблона>`	`realmadmin/realm@nodename# create ngfw template name example_template_1 description for_example_template`
Просмотр шаблона	`show ngfw template <название шаблона>`	`realmadmin/realm@nodename# show ngfw template example_template_1`
Просмотр всех шаблонов	`show ngfw template`	`realmadmin/realm@nodename# show ngfw template`
Изменение названия и описания шаблона	`set ngfw template <название шаблона> name <новое название шаблона> description <новое описание шаблона>`	`realmadmin/realm@nodename# set ngfw template example_template_1 name example_template_2 description for_testing_templete`
Удаление шаблона	`delete ngfw template <название шаблона>`	`realmadmin/realm@nodename# delete ngfw template test_template_2`

После создания шаблона вы можете настроить его параметры. Эти параметры распространятся на все управляемые устройства UserGate NGFW, к которым будет применен шаблон в составе группы.

При настройке параметров шаблона следует учитывать следующее:

Значения параметров в шаблоне имеют более высокий приоритет, чем указанные администратором UserGate NGFW локально. Если значение параметра не указано ни в шаблоне, ни на стороне межсетевого экрана, то будет использоваться значение по умолчанию.
После применения шаблона к управляемым устройствам администраторы могут изменять базовые параметры и параметры сетевых интерфейсов локально на каждом межсетевом экране. Подробная информация об этих параметрах приведена в разделах «Общие настройки» и «Настройка интерфейсов» Руководства администратора UserGate NGFW.
При настройке параметров сетевых интерфейсов в шаблоне первым физическим интерфейсом, доступным для конфигурирования, будет port1. Интерфейс port0 используется для подключения UserGate NGFW к UGMC. Параметры этого интерфейса настраиваются администратором UserGate NGFW при первоначальной настройке продукта. Локально на UserGate NGFW также можно сконфигурировать и другие сетевые интерфейсы, для этого в параметрах интерфейса шаблона вам необходимо указать свойство on-device (или on-device on).
Библиотеки элементов шаблона (например, библиотеки IP-адресов, URL-списков, а также типов контента) по умолчанию не содержат данных, в отличие от библиотек UserGate NGFW. Перед настройкой политик в шаблоне необходимо добавить элементы библиотек. Данные библиотек не синхронизируются: если добавленные элементы не используются в политиках шаблона, то они не будут добавлены в библиотеки UserGate NGFW.

Чтобы настроить параметры шаблона UserGate NGFW:

Перейдите в режим настройки параметров шаблона, выполнив команду:

go ngfw-template <название шаблона>

Например:

realmadmin/realm@nodename# go ngfw-template test_template_2

Для настройки параметров шаблона вы можете использовать команды, которые приведены в разделе «Интерфейс командной строки» Руководства администратора UserGate NGFW.

Правила политик в шаблоне не переопределяют правила, созданные администраторами межсетевых экранов UserGate NGFW локально, а добавляются к ним в виде преправил и постправил. Подробная информация о создании правил политик приведена в разделе UserGate Policy Language Руководства администратора UserGate NGFW.

Кроме того, при создании правила в шаблоне вы можете указывать позицию правила относительно преправил или постправил в списке, используя свойства mc_pre и mc_post соответственно. Ниже приведен пример создания постправила:

realmadmin/realm@nodename# create network-policy firewall 1 upl-rule \
...DENY
...enabled(true)
...src.zone = Trusted
...dst.zone = Untrusted
...user = unknown
...rule_log(session)
...mc_post
...name("Example of post rule name")

Созданное правило отобразится на первой позиции списка постправил. Это правило запрещает передачу трафика из зоны Trusted в зону Untrusted неидентифицированным пользователям.

Создание групп шаблонов UserGate NGFW

После создания шаблонов UserGate NGFW их необходимо объединить в группы. Группа шаблонов позволяет создать единую конфигурацию параметров, которая применяется к одному или нескольким управляемым устройствам. Эта конфигурация формируется в результате слияния параметров всех шаблонов, входящих в группу, с учетом их расположения. В таблице ниже приведены команды, которые вы можете использовать при создании группы шаблонов UserGate NGFW.

Действие	Команда	Пример ввода команды
Создание группы	`create ngfw groups name <название группы> description <описание группы> templates [ <название шаблона 1> ... <название шаблона n> ]`	`realmadmin/realm@nodename# create ngfw groups name example_group_1 description for_example_group templates [ example_template_1 ]`
Изменение названия, описания и набора шаблонов, входящих в группу	`set ngfw groups <название группы> name <новое название группы> description <новое описание группы> templates [ <название шаблона 1> ... <название шаблона n> ]`	`realmadmin/realm@nodename# set ngfw groups example_group_1 name example_group_2 description for_testing_group`
Добавление шаблонов, входящих в группу	`set ngfw groups <название группы> templates [ <название шаблона 1> ... <название шаблона n> ]`	`realmadmin/realm@nodename# set ngfw groups example_group_2 templates [ example_template_2 ]`
Удаление шаблонов, входящих в группу	`delete ngfw groups <название группы> templates [ <название шаблона 1> ... <название шаблона n> ]`	`realmadmin/realm@nodename# delete ngfw groups example_group_2 templates [ example_template_2 ]`
Просмотр группы	`show ngfw groups <название группы>`	`realmadmin/realm@nodename# show ngfw groups example_group_2`
Просмотр всех групп	`show ngfw groups`	`realmadmin/realm@nodename# show ngfw groups`
Удаление группы	`delete ngfw groups <название группы>`	`realmadmin/realm@nodename# delete ngfw groups example_group_2`

После создания групп шаблонов вы можете добавить управляемые устройства.

Добавление управляемых устройств UserGate NGFW

Под управляемым устройством понимается логический объект, созданный в управляемой области, которому соответствует реальный UserGate NGFW, подключенный к UGMC. Каждый такой объект во включенном состоянии использует одну лицензию на управляемое устройство.

Перед добавлением управляемого устройства UserGate NGFW вам необходимо на сервере UGMC в свойствах зоны, к которой подключен UserGate NGFW, разрешить использование сервиса UserGate Management Center.

Для этого под учетной записью администратора UGMC в интерфейсе командной строки в режиме конфигурации выполните команду:

set network zone <название зоны> enabled-services [ Management ]

Например:

Admin/system@nodename# set network zone example_zone enabled-services [ Management ]

Для добавления управляемого устройства UserGate NGFW необходимо:

1) создать устройство в управляемой области UGMC;

2) подключить UserGate NGFW к управляемому устройству.

Создание управляемого устройства

ПримечаниеИнструкция выполняется администратором управляемой области в интерфейсе командной строки UGMC в режиме конфигурации.

Чтобы создать управляемое устройство:

1. Выполните команду:

create ngfw devices <параметры управляемого устройства>

Укажите параметры управляемого устройства.

Параметр	Описание
`enabled`	Состояние: `on` — включено; `off` — выключено
`name`	Название
`description`	Описание
`templates-group`	Название группы шаблонов, параметры которой должны применяться к управляемому устройству
`sync-mode`	Режим синхронизации параметров между группой шаблонов и управляемым устройством: `auto` — автоматическая синхронизация; `disabled` — синхронизация выключена; `manual` — запуск синхронизации вручную. В процессе синхронизации к UserGate NGFW применяется конфигурация параметров группы шаблонов. По умолчанию указан автоматический режим. В этом режиме параметры UserGate NGFW синхронизируются с конфигурацией параметров при каждом ее изменении. При необходимости синхронизацию можно отключить. Это может понадобиться, например, если нужно одновременно изменить параметры нескольких шаблонов группы. В этом случае вы можете применить сразу все внесенные изменения, выполнив синхронизацию вручную. Синхронизация для всех управляемых устройств выполняется по команде `execute ngfw devices resync` (действие доступно в версии 7.4.0 и выше)

Например:

realmadmin/realm@nodename# create ngfw devices enabled on name example_name templates-group example_group sync-mode auto

2. Получите идентификатор созданного управляемого устройства:

show ngfw devices <название управляемого устройства>

Например:

realmadmin/realm@nodename# show ngfw devices example_name

name                         : example_name
enabled                      : on
device-code                  : 9W8W14UC
templates-group              : example_group
sync-mode                    : auto
...

Идентификатор управляемого устройства отобразится в выводе команды в параметре device-code. Этот идентификатор потребуется для подключения межсетевого экрана UserGate NGFW к управляемому устройству.

Подключение UserGate NGFW к управляемому устройству

Вы можете подключить UserGate NGFW к управляемому устройству при первоначальной настройке продукта, а также при его дальнейшем использовании (см. инструкцию ниже).

ПримечаниеИнструкция выполняется администратором UserGate NGFW в интерфейсе командной строки в режиме конфигурации.

Чтобы подключить UserGate NGFW к управляемому устройству:

Выполните команду:

set settings general management-center mc-address <IP-адрес UGMC> device-code <идентификатор управляемого устройства> enabled on

Например:

Admin@ngfw-nodename# set settings general management-center mc-address 192.0.2.4 device-code 9W8W14UC enabled on

Вы можете проверить подключение на стороне UGMC.

Чтобы проверить подключение UserGate NGFW к управляемому устройству:

Выполните команду:

show ngfw devices <название управляемого устройства>

Например:

realmadmin/realm@nodename# show ngfw devices example_name

Параметры подключения отобразятся в выводе команды.

Кластеризация UserGate NGFW

UserGate Management Center позволяет объединять межсетевые экраны UserGate NGFW в кластер конфигурации. Используя шаблоны устройств, вы можете применять одинаковые параметры на всех узлах этого кластера. Кроме того, в UGMC вы можете создать один или несколько кластеров отказоустойчивости на базе узлов кластера конфигурации.

Создание кластера конфигурации

Чтобы создать кластер конфигурации:

1. Выполните первоначальную настройку на первом узле кластера.

2. Настройте на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера (см. раздел «Настройки сети» Руководства администратора UserGate NGFW). В параметре enabled-services должны быть указаны значения ha и Admin Console, разрешающие доступ к соответствующим сервисам.

3. Укажите IP-адрес, который будет использоваться для связи первого узла с другими узлами кластера (см. раздел «Настройка кластеров» Руководства администратора UserGate NGFW).

4. Сгенерируйте секретный код для первого узла кластера (см. раздел «Настройка кластеров» Руководства администратора UserGate NGFW).

5. Подключите первый узел кластера к UGMC в качестве управляемого устройства. При подключении к UGMC каждому узлу кластера присваивается уникальный идентификатор вида node_n, где n — порядковый номер узла.

6. Добавьте в кластер конфигурации второй и последующие узлы, выполнив первоначальную настройку на каждом узле.

7. Настройте параметры узлов кластера. Вы можете выполнить настройку локально на каждом узле или настроить параметры в шаблонах UGMC.

Создание кластера отказоустойчивости

Узлы кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий режимы:

«активный — активный», в котором один из межсетевых экранов выступает в роли мастер-узла, распределяющего трафик на все остальные узлы кластера;
«активный — пассивный», в котором один из межсетевых экранов выступает в роли мастер-узла, обрабатывающего транзитный трафик пользователей, а остальные — в качестве резервных, которые находятся в состоянии готовности начать обработку трафика.

Перед созданием кластера отказоустойчивости нужно проверить, что:

Создан кластер конфигурации.
На каждом из узлов кластера созданы сетевые интерфейсы, управляемые UGMC. Вы можете назначать виртуальные IP-адреса только интерфейсам, созданным в шаблоне.
Выполняются требования аналогичные тем, которые предъявляются к узлам при создании кластера отказоустойчивости без использования UGMC (см. раздел «Кластеризация и отказоустойчивость» Руководства администратора UserGate NGFW).

ПримечаниеПеред выполнением инструкции должны быть созданы шаблон сетевых зон и шаблон кластера отказоустойчивости. Инструкция выполняется администратором управляемой области в интерфейсе командной строки UGMC в режиме конфигурации.

Чтобы создать кластер отказоустойчивости:

1. Разрешите сервис VRRP для всех сетевых зон, где планируется добавлять кластерный виртуальный IP-адрес, последовательно выполнив команды:

go ngfw-template <название шаблона сетевых зон>

set network zone name <название зоны> enabled-services [ VRRP ]

Например:

realmadmin/realm@nodename# go ngfw-template template_for_zones

realmadmin/realm@nodename# set network zone name zone_name enabled-services [ VRRP ]
Template: template_for_zones

2. Настройте параметры кластера отказоустойчивости, последовательно выполнив команды:

go ngfw-template <название шаблона кластера отказоустойчивости>

create settings device-mgmt ha-clusters <параметры кластера отказоустойчивости>

Укажите параметры кластера отказоустойчивости.

Параметр	Описание
`enabled`	Состояние: `on` — включен; `off` — выключен
`name`	Название
`description`	Описание
`mode`	Режим работы: `active-active` — «активный — активный»; `active-passive` — «активный — пассивный»
`session-sync`	Режим синхронизации пользовательских TCP-сессий: `on` — синхронизация включена; `off` — синхронизация выключена; `ha-cluster-id: <идентификатор кластера отказоустойчивости>` — если в одном кластере конфигурации создано несколько кластеров отказоустойчивости, то выполняется автоматическая синхронизация сессий с использованием мультикастового адреса (кроме сессий, использующих прокси-сервер). Идентификатор кластера отказоустойчивости — уникальное для каждого кластера значение от 0 до 8
`session-sync-all`	Режим синхронизации всех пользовательских сессий: `on` — синхронизация включена; `off` — синхронизация выключена
`excluded-sync-ips`	IP-адреса, с которыми не будут синхронизироваться пользовательские сессии
`virtual-router-id`	Идентификатор виртуального маршрутизатора (VRID). Уникален для каждого VRRP-кластера в локальной сети. Если в сети нет сторонних VRRP-кластеров рекомендуется оставить значение по умолчанию
`nodes`	Названия узлов кластера конфигурации для их объединения в кластер отказоустойчивости
`virtual-ips <virtual-ips-filter> <virtual-ip-info>`	Виртуальные IP-адреса кластера и их назначение сетевым интерфейсам на узлах кластера. Параметр `virtual-ips-filter` может принимать значения: `new` — создание нового виртуального IP-адреса; `<IP-адрес>` — изменение существующего виртуального IP-адреса. Параметр `virtual-ip-info` может принимать значения: `ip <IP-адрес/маска подсети>` — назначение виртуального IP-адреса интерфейсу; `ha-interfaces <название узла кластера/название интерфейса>` — выбор интерфейса на узле кластера