Для централизованного управления межсетевыми экранами UserGate (NGFW) в управляемой области необходимо создать шаблоны и группы шаблонов, описывающие настройки NGFW, затем добавить управляемые NGFW и применить к ним созданные ранее шаблоны.

В интерфейсе CLI создание шаблонов, групп шаблонов и добавление управляемых устройств NGFW происходит на уровне ngfw.

Шаблоны устройств

Для создания шаблона NGFW используется команда:

realmadmin/realm@nodename# create ngfw template <name, description>

Для редактирования названия/описания шаблона NGFW используется команда:

realmadmin/realm@nodename# set ngfw template <name, description>

Для просмотра созданных ранее шаблонов NGFW используется команда:

realmadmin/realm@nodename# show ngfw template <template-name>

Для удаления созданных ранее шаблонов NGFW используется команда:

realmadmin/realm@nodename# delete ngfw template <template-name>

После создания шаблона NGFW можно начать производить настройку его параметров. Для этого необходимо перейти в режим настройки параметров шаблона управляемых устройств следующей командой:

realmadmin/realm@nodename# go ngfw-template <template-name>

В режиме настройки параметров шаблона доступны те же команды настройки параметров NGFW, которые определены в разделе Интерфейс командной строки Руководства администратора NGFW.

При настройке параметров следует придерживаться следующих правил:

1. Если значение настройки не определено в шаблоне, то ничего передаваться в NGFW не будет. В данном случае в NGFW будет использована либо настройка по умолчанию, либо настройка, которую указал локальный администратор NGFW.

2. Если настройка параметра выполнена в шаблоне, то эта настройка переопределит значение этой же настройки, назначенной локальным администратором.

После получения настроек с UGMC настройки следующих разделов могут быть изменены локально на NGFW:

ПримечаниеНастройка будет переопределена после изменения данной настройки в шаблоне NGFW администратором области на .

общие настройки устройства;
настройки сетевых интерфейсов.

3. Правила политик не переопределяют правила, созданные локальным администратором, а добавляются к ним в виде пре- и пост- правил. Подробно о применении правил смотрите раздел данного руководства Шаблоны и группы шаблонов.

4. При настройке сетевых интерфейсов первый физический интерфейс, доступный для конфигурирования — это port1. Интерфейс port0 нельзя настроить с помощью средств UGMC, он всегда настраивается локальным администратором и необходим для обеспечения первичной связи управляемых устройств с UGMC.

5. При настройке сетевых интерфейсов возможно создать интерфейс и оставить его конфигурирование локальному администратору. Для этого необходимо активировать параметр on-device (on-device on) в настройках интерфейса.

6. Библиотеки, например, такие как IP-адреса, списки URL, типы контента и другие, по умолчанию не содержат никакого контента в UGMC в отличие от библиотек, создаваемых по умолчанию на устройствах NGFW. Для использования библиотек в политиках UGMC, необходимо предварительно добавить элементы в эти библиотеки. Элементы библиотек не участвуют в синхронизации: если список был создан, но не используется в политиках, то данный список не появится в разделе библиотек NGFW.

7. Рекомендуется создавать отдельные шаблоны для разных групп настроек, это позволит избежать конфликтов настроек при объединении шаблонов в группы шаблонов и упростит понимание результирующей настройки, которая будет применена к управляемым устройствам. Например, шаблон сетевых настроек, шаблон правил межсетевого экрана, шаблон правил контентной фильтрации, шаблон библиотек и т.д.

Группы шаблонов

Группы шаблонов объединяют несколько шаблонов в единую конфигурацию, которая применяется к управляемому устройству. Результирующие настройки, применяемые к устройству, формируются в результате слияния всех настроек шаблонов, входящих в группу шаблонов, с учетом расположения шаблонов внутри группы.

Для создания группы шаблонов NGFW используется команда:

realmadmin/realm@nodename# create ngfw groups name <group-name> description <group description> templates [ teplate1-name template2-name ... ]

Для редактирования группы шаблонов NGFW используется команда:

realmadmin/realm@nodename# set ngfw groups name <group-name> <description, templates>

Для просмотра созданных ранее групп шаблонов NGFW используется команда:

realmadmin/realm@nodename# show ngfw groups <group-name>

Для удаления созданных ранее групп шаблонов NGFW используется команда:

realmadmin/realm@nodename# delete ngfw groups <group-name>

В созданной ранее группе шаблонов возможно удаление входящих в нее шаблонов:

realmadmin/realm@nodename# delete ngfw groups <group-name> templates [ template-name template-name ... ]

Добавление NGFW под управление UGMC

Группа шаблонов всегда применяется к одному или нескольким управляемым устройствам UserGate NGFW. Для добавления управляемого NGFW в UGMC необходимо выполнить следующие шаги:

1. Обеспечить доступ от управляемого NGFW до UGMC, для этого на сервере UGMC необходимо разрешить сервис Management в свойствах контроля доступа зоны, к которой подключены управляемые устройства

2. Создать объект управляемого устройства.

3. Связать созданный объект управляемого устройства с реальным устройством UserGate NGFW.

Для обеспечения доступа от управляемого NGFW до UGMC необходимо в режиме администратора UGMC выполнить следующую команду:

Admin/system@nodename# set network zone <zone-nfme> enabled-services [ Management ]

Для создания объекта управляемого устройства используется команда:

realmadmin/realm@nodename# create ngfw devices <parameters>

Необходимо указать следующие параметры:

Параметр	Описание
enabled	Включает объект управляемого устройства. Если объект управляемого устройства включен, то он занимает одну лицензию.
name	Название для управляемого устройства. Можно вводить произвольное название.
description	Описание управляемого устройства.
templates-group	Группа шаблонов, настройки которой следует применить к этому управляемому устройству.
sync-mode	Выбор режима синхронизации настроек группы шаблонов к устройству. Возможны 3 варианта: auto — автоматическая синхронизация. При изменении любой настройки из любого шаблона, включенного в группу шаблонов, примененную к управляемому устройству, это изменение применяется к NGFW без задержек. disabled — синхронизация выключена. manual — режим синхронизации, при котором настройки применяются однократно при запросе синхронизации.

Для осуществления связи уже настроенного NGFW с UGMC необходимо выполнить следующие шаги:

1. Получить Код устройства

2. Указать IP-адрес сервера UGMC и ввести уникальный код устройства

Код созданного объекта управляемого устройства (device-code) можно посмотреть следующей командой:

realmadmin/realm@nodename# show ngfw devices <device-name>

name                         : <device-name>
enabled                      : on
device-code                  : 9W8W14UC
templates-group              : <template-group-name>
...

В консоли управляемого устройства NGFW необходимо добавить IP-адрес управляющего UGMC и указать код созданного объекта управляемого устройства:

Admin@ngfw-nodename# set settings general management-center mc-address <ugmc-ip-address> device-code 9W8W14UC enabled on

Проверить подключение на стороне UGMC можно командой просмотра управляемого устройства:

realmadmin/realm@nodename# show ngfw devices <device-name>

Кластеризация UserGate NGFW с помощью UGMC

Кластер конфигурации

Создание кластера конфигурации, управляемого из UGMC, практически идентично созданию отдельностоящего кластера. Отличие лишь в том, что первый узел кластера должен быть подключен под управление UGMC до создания кластера конфигурации. Каждому узлу кластера конфигурации, подключаемому в UGMC, назначается идентификатор узла — уникальный идентификатор вида node_1, node_2, node_3 и так далее.

Первоначальная настройка на первом узле кластера должна быт выполнена, как описано в разделе Первоначальная инициализация Руководства администратора NGFW.

Настройка зоны, через которую будет осуществляться репликация кластера, на первом узле кластера должна быть выполнена, как указано в разделе Настройка сети Руководства администратора NGFW. Необходимо разрешить сервисы ha и Admin Console в соответствующей зоне.

Настройка IP-адреса на первом узле кластера, который будет использоваться для связи с другими узлами кластера, производится как указано в разделе Настройка кластеров Руководства администратора NGFW:

Admin@ngfw-nodename# set settings device-mgmt configuration-cluster

Генерация секретного кода на первом узле кластера производится как указано в разделе Настройка кластеров Руководства администратора NGFW:

Admin@ngfw-nodename# execute configurate-cluster generate-secret-key

Добавление первого узла кластера под управление UGMC производится как указано в предыдущей главе Добавление NGFW под управление UGMC.

Добавление в кластер конфигурации второго и последующих узлов возможно только при первоначальной инициализации этих узлов. Подробнее читайте в разделе Первоначальная инициализация Руководства администратора NGFW.

Настройка добавленного узла, включая настройки интерфейсов, зон, политик фильтрации, может производиться либо локально, либо через политики шаблонов UGMC. Если эти настройки уже были выполнены в шаблонах UGMC на момент подключения второго узла, то они будут применены к добавленному узлу сразу же после его добавления в кластер.

Кластер отказоустойчивости

Узлы кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив. Возможно собрать несколько кластеров отказоустойчивости. Для создания кластера отказоустойчивости с помощью UGMC необходимо выполнение следующих условий:

1. Наличие кластера конфигурации.

2. Наличие управляемых из UGMC интерфейсов. Виртуальные IP-адреса могут быть назначены только на интерфейсы, которые созданы в шаблонах UGMC.

3. Выполнение всех требований, предъявляемых к узлам, при создании кластера отказоустойчивости без использования UGMC. Подробно о кластерах отказоустойчивости описано в разделе Кластеризация и отказоустойчивость в Руководстве администратора NGFW.

Для создания кластера отказоустойчивости необходимо выполнить следующие шаги:

1. В одном из шаблонов UGMC, где настроены зоны для управляемых устройств, разрешить сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес. Подробнее о настройке зон читайте в разделе Настройка сети Руководства администратора NGFW.

realmadmin/realm@nodename# go ngfw-template <template-name>

realmadmin/realm@nodename# set network zone name <zone-name> enabled-services [ VRRP ]
Template: <ntmplate-name>

2. В одном из шаблонов UGMC указать параметры кластера отказоустойчивости:

realmadmin/realm@nodename# create settings device-mgmt ha-clusters <parameters>
Template: <template-name>

3. Если предполагается использовать аутентификацию с помощью Captive-портала, то необходимо, чтобы системные имена auth.captive и logout.captive, которые используются процедурами аутентификации в Captive, определялись в IP-адрес, назначенный в качестве кластерного виртуального адреса. Данную настройку можно выполнить в одном из шаблонов UGMC, в разделе settings general.

realmadmin/realm@nodename# set settings general modules auth-captive sync on value <domain_name>

realmadmin/realm@nodename# set settings general modules logout-captive sync on value <domain_name>

Параметры отказоустойчивого кластера:

Параметр	Описание
enabled	Включение/отключение отказоустойчивого кластера.
name	Название отказоустойчивого кластера.
description	Описание отказоустойчивого кластера.
mode	Выбор режима работы кластера: active-passive: режим работы Актив-Пассив (один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные — в качестве резервных). active-active: режим работы Актив-Актив (один из серверов выступает в роли Мастер-узла, распределяющего трафик на все остальные узлы кластера).
session-sync	Настройка синхронизации пользовательских сессий в кластере: off — отключение синхронизации пользовательских сессий. on — включение синхронизации пользовательских сессий. ha-cluster-id: <num> — мультикаст идентификатор кластера (может принимать значения от 0 до 8). Синхронизация пользовательских сессий (кроме сессий, использующих прокси-сервер, например, трафик HTTP/S) включится автоматически.
session-sync-all	Включение/отключение режима синхронизации всех пользовательских сессий, включая UDP/ICMP сессии. В случае, если этот параметр не активирован, а настройка session-sync активирована, синхронизироваться будут только TCP сессии.
excluded-sync-ips	Указание IP-адресов, с которыми отключена синхронизация всех пользовательских сессий.
virtual-router-id	Идентификатор виртуального маршрутизатора (VRID).
nodes	Выбор узлов кластера конфигурации для объединения их в кластер отказоустойчивости.
virtual-ips	Задание виртуального IP-адреса для кластера и выбор рабочего интерфейса для каждого узла. Доступные параметры для <virtual-ips-filter>: new: создать виртуальный IP-адрес для заданного кластера. <ip>: изменить данные для выбранного виртуального адреса. Доступные параметры для <virtual-ip-info>: ip: задать IP-адрес для кластера отказоустойчивости (указывается в формате IP/mask). ha-interfaces: задать интерфейсы для узлов кластера (указываются в формате node-name/interface).

Управление обновлениями управляемых устройств

UGMC позволяет создать централизованную политику обновления программного обеспечения UserGate (UGOS) и обновляемыми библиотеками, предоставляемыми по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, типов контента и другие).

ПримечаниеПосле добавления UserGate NGFW под управление , устройство UserGate автоматически начинает скачивать все обновления с сервера .

Обновление ПО

Порядок установки обновлений, следующий:

1. Загрузить обновления в репозитарий UGMC. Управление загрузками обновлений в репозиторий UGMC управляется командой:

realmadmin/realm@nodename# set settings general updates-schedule software

Подробнее — в главе Общие настройки в Руководстве администратора UGMC.

2, Утвердить обновление для всех или для конкретных устройств:

realmadmin/realm@nodename# set ngfw software-updates <sw-update-name> devices <device-name>

3. Провести установку обновления. После утверждения обновление становится доступным для скачивания для всех или группы управляемых устройств. Управляемое устройство скачивает обновление в соответствии с расписанием проверки обновлений. После скачивания обновление может быть установлено администратором в консоли MC или в ручном режиме администратором управляемого устройства.

Обновление библиотек

Библиотеки — это обновляемые базы ресурсов, предоставляемых по подписке клиентам UserGate (база категорий URL-фильтрации, сигнатуры СОВ, списки IP-адресов, URL, MIME-типов, морфологические базы и другие). Эти обновления выкладываются в репозитарий UserGate, откуда они уже доступны для скачивания UserGate NGFW. Если NGFW подключен к управлению через UGMC, то он проверяет наличие обновлений на сервере UGMC, который сам будет являться репозитарием. Репозитарий UserGate при этом будет использован сервером UGMC для получения новых обновлений. По умолчанию UGMC проверяет и скачивает обновления библиотек автоматически.

Библиотеки, находящиеся в репозитарии UGMC доступны всем управляемым устройствам UserGate. Управляемые устройства скачивают и устанавливают доступные обновления автоматически в соответствии с расписанием проверки обновлений.

Для настройки скачивания обновлений в UGMC из репозитария UserGate используется следующая команда:

realmadmin/realm@nodename#set ngfw libraries-updates <library-name> download <auto/manual>