Начиная с версии 7.5.0 в интерфейсе командной строки UserGate Management Center (UGMC) администраторы управляемой области могут централизованно управлять подключенными UserGate DCFW. Для этого в режиме конфигурации необходимо выполнить следующее:

1) настроить параметры шаблонов UserGate DCFW;

2) создать группу шаблонов UserGate DCFW;

3) настроить интеграцию UserGate DCFW с UGMC.

Подробнее об объектах, используемых в управляемой области UGMC, таких как шаблоны, группы шаблонов и управляемые устройства — в разделе «Шаблоны и группы шаблонов».

Настройка параметров шаблонов UserGate DCFW

Перед настройкой параметров шаблонов UserGate DCFW необходимо создать шаблоны устройств. Рекомендуется создавать отдельные шаблоны для разных категорий параметров, например такие, как шаблон сетевых параметров или шаблон библиотек. Это упростит дальнейшую работу с шаблонами при их объединении в группы.

В таблице ниже приведены команды, которые вы можете использовать при создании шаблонов UserGate DCFW.

Действие	Команда	Пример ввода команды
Создание шаблона	`create dcfw template name <название шаблона> description <описание шаблона>`	`realmadmin/realm@nodename# create dcfw template name "example template 1" description "for example template"`
Просмотр шаблона	`show dcfw template <название шаблона>`	`realmadmin/realm@nodename# show dcfw template "example template 1"`
Просмотр всех шаблонов	`show dcfw template`	`realmadmin/realm@nodename# show dcfw template`
Изменение названия и описания шаблона	`set dcfw template <название шаблона> name` `<новое название шаблона>` `description` `<новое описание шаблона>`	`realmadmin/realm@nodename# set dcfw template` `"example template 1"` `name` `"example template 2"` `description` `"for testing templete"`
Удаление шаблона	`delete dcfw template` `<название шаблона>`	`realmadmin/realm@nodename# delete dcfw template` `"test template 2"`

После создания шаблона вы можете перейти к настройке его параметров. Параметры шаблона распространятся на все управляемые устройства UserGate DCFW, к которым будет применен шаблон в составе группы.

При настройке параметров шаблона UserGate DCFW следует учитывать следующее:

Значения параметров в шаблоне имеют более высокий приоритет, чем указанные администратором UserGate DCFW локально. Если значение параметра не указано ни в шаблоне, ни на стороне UserGate DCFW, будет использоваться значение по умолчанию.
После применения шаблона к управляемым устройствам администраторы могут изменять базовые параметры и параметры сетевых интерфейсов локально на каждом UserGate DCFW. Подробная информация об этих параметрах приведена в разделах «Настройка устройства» и «Интерфейсы» Руководства администратора UserGate DCFW.
При настройке параметров сетевых интерфейсов в шаблоне невозможно конфигурировать интерфейс port0. Первым физическим интерфейсом, доступным для настройки в шаблоне, будет port1.

Параметры интерфейса port0 настраиваются администратором UserGate DCFW при первоначальной настройке продукта. По умолчанию этот интерфейс используется для подключения UserGate DCFW к UGMC.

При необходимости можно сконфигурировать сетевые интерфейсы локально на UserGate DCFW, для этого в параметрах интерфейса шаблона должно быть указано свойство on-device (или on-device on).

Если вы создаете интерфейс в шаблоне, этот интерфейс автоматически будет добавлен в UserGate DCFW. Удаление интерфейса из шаблона не удаляет интерфейс на межсетевом экране. Если требуется удалить интерфейс на межсетевом экране, необходимо сделать это вручную.

Библиотеки элементов шаблона (например, библиотеки IP-адресов, URL-списков, а также типов контента) по умолчанию не содержат данных, в отличие от библиотек UserGate DCFW (подробнее — в разделе «Библиотеки элементов» Руководства администратора UserGate DCFW). Перед настройкой политик в шаблоне необходимо добавить элементы библиотек.

Важно!Данные библиотек не синхронизируются: если добавленные элементы не используются в политиках шаблона, они не будут добавлены в библиотеки UserGate DCFW. Поэтому, чтобы на управляемых устройствах отображались, например, списки IP-адресов, созданные в шаблоне, необходимо предварительно добавить эти списки в правила политик шаблона.

ПримечаниеКорректность работы проприетарных сигнатур СОВ и приложений зависит от актуальности библиотек для этих сигнатур — рекомендуется проверять актуальность библиотек после обновления UGMC или восстановления его параметров. Если по какой-либо причине библиотеки не обновились автоматически, их можно обновить вручную. Действие выполняется администратором UGMC в разделе «Центр управления» ➜ «Настройки» ➜ «Обновления библиотек».

Чтобы настроить параметры шаблона UserGate DCFW:

Перейдите в режим настройки параметров шаблона, выполнив команду:

go dcfw-template <название шаблона>

Например:

realmadmin/realm@nodename# go dcfw-template "test template 2"

Для настройки параметров шаблона вы можете использовать команды, которые приведены в разделе «Интерфейс командной строки» Руководства администратора UserGate DCFW.

ПримечаниеВы можете выйти из режима настройки параметров шаблона, выполнив команду go realm-settings.

Правила политик в шаблоне не переопределяют правила, созданные администраторами межсетевых экранов UserGate DCFW локально, а добавляются к ним в виде преправил и постправил. Подробная информация о создании правил политик межсетевых экранов UserGate приведена в разделе UserGate Policy Language Руководства администратора UserGate NGFW.

Кроме того, при создании правила в шаблоне вы можете указывать позицию правила относительно преправил или постправил в списке, используя свойства mc_pre и mc_post соответственно. Ниже приведен пример создания постправила.

realmadmin/realm@nodename# create network-policy firewall 1 upl-rule \
...DENY
...enabled(true)
...src.zone = Trusted
...dst.zone = Untrusted
...user = unknown
...rule_log(session)
...mc_post
...name("Example of post rule name")

Созданное правило отобразится на первой позиции списка постправил. Это правило запрещает передачу трафика из зоны Trusted в зону Untrusted неидентифицированным пользователям.

Создание групп шаблонов UserGate DCFW

После создания шаблонов UserGate DCFW их необходимо объединить в группы. Группа шаблонов позволяет создать единую конфигурацию параметров, которая применяется к одному или нескольким управляемым устройствам. Эта конфигурация формируется в результате слияния параметров всех шаблонов, входящих в группу, с учетом их расположения.

В таблице ниже приведены команды, которые вы можете использовать при создании группы шаблонов UserGate DCFW.

Действие	Команда	Пример ввода команды
Создание группы	`create dcfw groups name <название группы> description <описание группы> templates [ <название шаблона 1> ... <название шаблона n> ]`	`realmadmin/realm@nodename# create dcfw groups name "example group 1" description "for example group" templates [ "example template 1" ]`
Изменение названия, описания и набора шаблонов, входящих в группу	`set dcfw groups <название группы> name <новое название группы> description <новое описание группы> templates [ <название шаблона 1> ... <название шаблона n> ]`	`realmadmin/realm@nodename# set dcfw groups "example group 1" name "example group 2" description "for testing group"`
Добавление шаблонов, входящих в группу	`set dcfw groups <название группы> templates [ <название шаблона 1> ... <название шаблона n> ]`	`realmadmin/realm@nodename# set dcfw groups "example group 2" templates [ "example template 2" "example template 3" ]`
Удаление шаблонов, входящих в группу	`delete dcfw groups <название группы> templates [ <название шаблона 1> ... <название шаблона n> ]`	`realmadmin/realm@nodename# delete dcfw groups "example group 2" templates [ "example template 2" ]`
Просмотр группы	`show dcfw groups <название группы>`	`realmadmin/realm@nodename# show dcfw groups "example group 2"`
Просмотр всех групп	`show dcfw groups`	`realmadmin/realm@nodename# show dcfw groups`
Удаление группы	`delete dcfw groups <название группы>`	`realmadmin/realm@nodename# delete dcfw groups "example group 2"`

Шаблоны применяются в порядке их расположения в группе. Вы можете изменять позицию шаблона с помощью следующих параметров.

Параметр

Описание

Пример ввода команды

edge-position

Перемещение шаблона:

top — в начало группы;
bottom — в конец группы

realmadmin/realm@nodename# set dcfw groups "example group 2" templates [ "example template 2" ] edge-position top

after

Перемещение шаблона на одну позицию после другого шаблона

realmadmin/realm@nodename# set dcfw groups "example group 2" templates [ "example template 2" ] after "example template 3"

before

Перемещение шаблона на одну позицию перед другим шаблоном

realmadmin/realm@nodename# set dcfw groups "example group 2" templates [ "example template 2" ] before "example template 3"

После создания группы шаблонов вы можете перейти к настройке интеграции UserGate DCFW с UGMC.

Настройка интеграции UserGate DCFW с UGMC

Настройка интеграции с UGMC осуществляется путем создания в управляемой области логического объекта — устройства, к которому будут привязаны реальные UserGate DCFW при их подключении к UGMC. Каждый такой логический объект во включенном состоянии использует одну лицензию на управляемое устройство.

С помощью одного устройства, созданного в управляемой области, вы можете настроить интеграцию с UGMC одиночного UserGate DCFW или кластера межсетевых экранов. Для UserGate DCFW, объединенных в кластер, достаточно подключить к UGMC первый узел, остальные узлы будут подключены автоматически при их добавлении в кластер.

Для настройки интеграции UserGate DCFW с UGMC необходимо:

1) создать устройство в управляемой области;

2) подключить UserGate DCFW к UGMC.

Все UserGate DCFW, для которых настроена интеграция с UGMC, называются управляемыми устройствами.

Создание устройства в управляемой области

ПримечаниеИнструкция ниже выполняется администратором управляемой области в интерфейсе командной строки UGMC в режиме конфигурации.

Чтобы создать устройство в управляемой области:

1. Выполните команду:

create dcfw devices <параметры устройства>

Укажите параметры устройства.

Параметр	Описание
`enabled`	Состояние: `on` — включено; `off` — выключено
`name`	Название
`description`	Описание
`templates-group`	Название группы шаблонов, параметры которой должны применяться к подключенным UserGate DCFW
`sync-mode`	Режим синхронизации параметров между группой шаблонов и подключенными UserGate DCFW: `auto` — автоматическая синхронизация; `disabled` — синхронизация выключена; `manual` — запуск синхронизации вручную. В процессе синхронизации к управляемым устройствам применяется конфигурация параметров группы шаблонов. По умолчанию указан автоматический режим. В этом режиме параметры UserGate DCFW синхронизируются с конфигурацией параметров при каждом ее изменении. При необходимости синхронизацию можно отключить. Это может понадобиться, например, если нужно одновременно изменить параметры нескольких шаблонов группы. В этом случае вы можете применить сразу все внесенные изменения, выполнив синхронизацию вручную. Синхронизация для всех управляемых устройств выполняется с помощью команды `execute dcfw devices resync`

Например:

realmadmin/realm@nodename# create dcfw devices enabled on name "example name" templates-group "example group" sync-mode auto

2. Получите код для подключения созданного устройства к UGMC:

show dcfw devices <название управляемого устройства>

Например:

realmadmin/realm@nodename# show dcfw devices "example name"

name                         : example name
enabled                      : on
device-code                  : 9W8W14UC
templates-group              : example group
sync-mode                    : auto
...

Код для подключения межсетевого экрана UserGate DCFW к UGMC отобразится в выводе команды в параметре device-code.

Подключение UserGate DCFW к UGMC

Вы можете подключить UserGate DCFW к UGMC при первоначальной настройке межсетевого экрана, а также при его дальнейшем использовании (см. инструкцию ниже).

Перед выполнением инструкции необходимо в свойствах зоны для подключения UserGate DCFW разрешить использование сервиса UserGate Management Center. Для этого под учетной записью администратора UGMC в интерфейсе командной строки в режиме конфигурации выполните команду:

set network zone <название зоны> enabled-services [ Management ]

Например:

Admin/system@nodename# set network zone "example zone" enabled-services [ Management ]

ПримечаниеИнструкция выполняется администратором UserGate DCFW в интерфейсе командной строки в режиме конфигурации.

Чтобы подключить UserGate DCFW к UGMC:

Выполните команду:

set settings general management-center mc-address <IP-адрес UGMC> device-code <код для подключения, сгенерированный в UGMC> enabled on

Например:

Admin@dcfw-nodename# set settings general management-center mc-address 192.0.2.4 device-code 9W8W14UC enabled on

Вы можете проверить подключение на стороне UGMC.

ПримечаниеИнструкция выполняется администратором управляемой области в интерфейсе командной строки UGMC в режиме конфигурации.

Чтобы проверить подключение UserGate DCFW к UGMC:

Выполните команду:

show dcfw devices <название устройства, созданного в управляемой области>

Например:

realmadmin/realm@nodename# show dcfw devices "example name"

Параметры подключения отобразятся в выводе команды.

Кластеризация UserGate DCFW

Вы можете объединять два или более UserGate DCFW (узлов) в кластер конфигурации и настраивать на них единые параметры для работы с трафиком, используя шаблоны.

Между узлами кластера конфигурации выполняется синхронизация параметров, что обеспечивает бесперебойную фильтрацию и обработку сетевого трафика при недоступности одного из узлов.

Кроме того, вы можете объединять до четырех узлов кластера конфигурации в кластер отказоустойчивости. Этот кластер поддерживает следующие режимы работы:

«активный — активный», в котором один из межсетевых экранов выполняет роль основного узла, распределяя трафик на все остальные узлы кластера;
«активный — пассивный», в котором обработку транзитного трафика выполняет основной узел, при сбоях в работе этого узла трафик перенаправляется на резервные узлы кластера.

В параметрах кластера отказоустойчивости вы можете настроить синхронизацию сессий между узлами (исключение составляют сессии, использующие прокси-сервер). Это может понадобиться для кластера в режиме «активный — пассивный», например при недоступности основного узла вы можете переключиться на резервный узел без потери установленных сессий.

На базе одного кластера конфигурации может быть создано несколько кластеров отказоустойчивости. В этом случае каждому кластеру отказоустойчивости вы можете присвоить уникальный мультикаст-идентификатор, который будет использоваться для синхронизации сессий между узлами.

Создание кластера конфигурации

Чтобы создать кластер конфигурации:

1. Выполните первоначальную настройку на первом узле кластера.

2. Настройте на первом узле кластера зону, через интерфейсы которой будет выполняться репликация параметров между узлами кластера (см. раздел «Настройки сети» Руководства администратора UserGate DCFW). В параметре enabled-services должны быть указаны значения ha и Admin Console, разрешающие доступ к соответствующим сервисам.

3. Укажите IP-адрес, который будет использоваться для связи первого узла с другими узлами кластера (см. раздел «Настройка кластеров» Руководства администратора UserGate DCFW).

4. Сгенерируйте секретный код для первого узла кластера (см. раздел «Настройка кластеров» Руководства администратора UserGate DCFW).

5. Подключите первый узел кластера к UGMC. В результате подключения узлу будет автоматически присвоен идентификатор node_1.

6. Добавьте дополнительные узлы в кластер конфигурации, выполнив первоначальную настройку на каждом из них. В результате на дополнительные узлы кластера будут автоматически реплицированы параметры, настроенные на первом узле.

Создание кластера отказоустойчивости

Перед созданием кластера отказоустойчивости:

1. Создайте кластер конфигурации (см. инструкцию выше).

2. Проверьте, что:

Выполняются требования аналогичные тем, что предъявляются к узлам при создании кластера отказоустойчивости без использования UGMC (см. раздел «Кластеризация и отказоустойчивость» Руководства администратора UserGate DCFW).
На каждом из узлов кластера созданы сетевые интерфейсы, управляемые UGMC. Вы можете назначать виртуальные IP-адреса только тем интерфейсам, которые созданы в шаблоне.

ПримечаниеПеред выполнением инструкции необходимо убедиться, что созданы шаблон сетевых зон и шаблон кластера отказоустойчивости. Инструкция ниже выполняется администратором управляемой области в интерфейсе командной строки UGMC в режиме конфигурации.

Чтобы создать кластер отказоустойчивости:

1. В режиме настройки параметров шаблона сетевых зон разрешите доступ к сервису VRRP тем зонам, для которых планируете добавлять кластерный виртуальный IP-адрес. Для этого последовательно выполните команды:

go dcfw-template <название шаблона сетевых зон>

set network zone name <название зоны> enabled-services [ VRRP ]

Например:

realmadmin/realm@nodename# go dcfw-template "template for zones"

realmadmin/realm@nodename# set network zone name "example zone name" enabled-services [ VRRP ]
Template: template for zones

ПримечаниеВы можете выйти из режима настройки параметров шаблона, выполнив команду go realm-settings.

2. Настройте параметры кластера отказоустойчивости, последовательно выполнив команды:

go dcfw-template <название шаблона кластера отказоустойчивости>

create settings device-mgmt ha-clusters <параметры кластера отказоустойчивости>

Укажите параметры кластера отказоустойчивости.

Параметр	Описание
`enabled`	Состояние: `on` — включен; `off` — выключен
`name`	Название
`description`	Описание
`mode`	Режим работы: `active-active` — «активный — активный»; `active-passive` — «активный — пассивный»
`session-sync`	Режим синхронизации пользовательских TCP-сессий: `on` — синхронизация включена; `off` — синхронизация выключена; `ha-cluster-id: <`мультикаст-`идентификатор кластера отказоустойчивости>` — если в локальной сети присутствуют другие отказоустойчивые кластеры, можно указать уникальный мультикаст-идентификатор создаваемого кластера (значение от 0 до 8), который будет использоваться для синхронизации сессий между узлами
`session-sync-all`	Режим синхронизации всех пользовательских сессий, включая UDP- и ICMP-трафик: `on` — синхронизация включена; `off` — синхронизация выключена
`excluded-sync-ips`	IP-адреса, привязанные к тем пользовательским сессиям, которые требуется исключить из синхронизации
`virtual-router-id`	Идентификатор виртуального маршрутизатора (VRID) уникальный для каждого VRRP-кластера в локальной сети. Если в сети отсутствуют сторонние VRRP-кластеры, рекомендуется оставить значение по умолчанию
`nodes`	Идентификаторы узлов кластера конфигурации, которые требуется объединить в кластер отказоустойчивости
`virtual-ips <virtual-ips-filter> <virtual-ip-info>`	Назначение виртуальных IP-адресов интерфейсам на узлах кластера отказоустойчивости. Параметр `virtual-ips-filter` может принимать значения: `new` — создание нового виртуального IP-адреса; `<IP-адрес>` — изменение существующего виртуального IP-адреса. Параметр `virtual-ip-info` может принимать значения: `ip <IP-адрес / маска подсети>` — назначение виртуального IP-адреса интерфейсу; `ha-interfaces <название узла кластера / название интерфейса>` — выбор интерфейса на узле кластера