В данном разделе задаются параметры диагностики сервера, необходимые службе технической поддержки UserGate при решении возможных проблем.
Наименование
Описание
Детализация диагностики
Off — ведение журналов диагностики отключено.
Error — журналировать только ошибки работы сервера.
Warning — журналировать только ошибки и предупреждения.
Info — журналировать только ошибки, предупреждения и дополнительную информацию.
Debug — максимум детализации.
Рекомендуется установить значение параметра Детализация диагностики в Error (только ошибки) или Off (Отключено), если техническая поддержка UserGate не попросила вас установить иные значения. Любые значения, отличные от Error (только ошибки) или Off (Отключено), негативно влияют на производительность NGFW.
Журналы диагностики
Скачать журналы — скачать диагностические журналы для передачи их в службу поддержки UserGate; для скачивания доступны журналы веб-консоли и/или журналы системы. Для скачивания необходимо выбрать журналы и нажать Начать архивирование журналов; после архивирования журналы будут доступны для скачивания (кнопка Скачать).
Очистить журналы — удалить архивные (т.е. не активные в настоящий момент) журналы.
Удаленный помощник
Включено/Отключено — включение/отключение режима удаленного помощника. Удаленный помощник позволяет инженеру технической поддержки UserGate, зная значения идентификатора и токена удаленного помощника, произвести безопасное подключение к серверу UserGate для диагностики и решения проблем. Для успешной активации удаленного помощника NGFW должен иметь доступ к серверу удаленного помощника по протоколу SSH.
Идентификатор удаленного помощника — полученное случайным образом значение. Уникально для каждого включения удаленного помощника.
Токен удаленного помощника — полученное случайным образом значение токена. Уникально для каждого включения удаленного помощника.
Операции с сервером
Данный раздел позволяет произвести следующие операции с сервером:
Запуск процесса обновления сервера с возможностью создания точки восстановления.
Просмотр списка изменений ПО в обновлении.
Офлайн обновления
Загрузка файла для офлайн обновления.
Настройки вышестоящего прокси для проверки лицензий и обновлений
Настройка параметров вышестоящего HTTP(S) прокси-сервера для обновления лицензии и обновления ПО NGFW.
Необходимо указать IP-адрес и порт вышестоящего прокси сервера. При необходимости указать логин и пароль для аутентификации на вышестоящем прокси-сервере.
Команда UserGate постоянно работает над улучшением качества своего программного обеспечения и предлагает обновления продукта UserGate в рамках подписки на модуль лицензии Security Update (подробно о лицензировании смотрите в разделе Лицензирование). При наличии обновлений в разделе Управление устройством ➜ Операции с сервером отобразится соответствующее оповещение. Обновление продукта может занять довольно длительное время, рекомендуется планировать установку обновлений с учетом возможного времени простоя NGFW.
Для установки обновлений необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Создать файл резервного копирования
Создать резервную копию состояния NGFW, как это описано в разделе Системные утилиты. Данный шаг рекомендуется всегда выполнять перед применением обновлений, поскольку он позволит восстановить предыдущее состояние устройства в случае возникновения каких-либо проблем во время применения обновлений.
Шаг 2. Установить обновления
В разделе Управление устройством при наличии оповещения Доступны новые обновления нажать на ссылку Установить сейчас. Система установит скачанные обновления, по окончании установки NGFW будет перезагружен.
Управление резервным копированием
Данный раздел позволяет управлять резервным копированием NGFW: настройка правил экспорта конфигурации, создание резервной копии, восстановление NGFW.
Для создания резервной копии необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Создать резервную копию
В разделе Управление устройством ➜ Управление резервным копированием нажать Создание резервной копии. Система сохранит текущие настройки сервера под следующим именем:
backup_PRODUCT_NODE-NAME_DATE.gpg, где:
PRODUCT — тип продукта: NGFW, LogAn, MC;
NODE-NAME — имя узла UserGate;
DATE — дата и время создания резервной копии в формате YYYY-MM-DD-HH-MM; время указывается в часовом поясе UTC.
Процесс создания резервной копии может быть прерван нажатием кнопки Остановить. Запись о создании резервной копии отобразится в журнале событий устройства.
Для восстановления состояния устройства необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Восстановить состояние устройства
В разделе Управление устройством ➜ Управление резервным копированием нажать Восстановление из резервной копии и указать путь к ранее созданному файлу настроек для его загрузки на сервер. Восстановление будет предложено в консоли tty при перезагрузке устройства.
Дополнительно администратор может настроить сохранение файлов на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Создать правило экспорта конфигурации
В разделе Управление устройством ➜ Управление резервным копированием нажать кнопку Добавить, указать имя и описание правила.
Шаг 2. Указать параметры удаленного сервера
Во вкладке правила Удаленный сервер указать параметры удаленного сервера:
Тип сервера — FTP или SSH.
Адрес сервера — IP-адрес сервера.
Порт — порт сервера.
Логин — учетная запись на удаленном сервере.
Пароль/Повторите пароль — пароль учетной записи.
Путь на сервере — путь на сервере, куда будут выгружены настройки. Путь на сервере должен уже существовать. Сама система несуществующие папки не создаст!
В случае использование SSH-сервера возможно использование авторизации по ключу. Для импорта или генерации ключа необходимо выбрать Настроить SSH-ключ и указать Сгенерировать ключи или Импортировать ключ.
Важно! При повторном создании ключа существующий SSH-ключ будет удален. Публичный ключ должен находиться на SSH-сервере в директории пользовательских ключей /home/user/.ssh/ в файле authorized_keys.
При первоначальной настройке правила экспорта резервного копирования по SSH обязательна проверка соединения (кнопка Проверить соединение); при проверке соединения fingerprint помещается в known_hosts, без проверки файлы не будут отправляться.
Важно! Если сменить сервер SSH или его переустановить, то файлы резервного копирования будут недоступны, так как fingerprint изменится — это защита от спуфинга.
Шаг 3. Выбрать расписание выгрузки
Во вкладке правила Расписание указать необходимое время отправки настроек. В случае задания времени в crontab-формате, задайте его в следующем виде:
Каждое из первых пяти полей может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
Экспорт и импорт настроек
Администратор имеет возможность сохранить текущие настройки NGFW в файл и впоследствии восстановить эти настройки на этом же или другом NGFW. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки.
Экспорт настроек является кластерной функцией. Работает это следующим образом: при создании правила экспорта настроек на одном из узлов кластера оно автоматически реплицируется на остальные узлы кластера. При этом сами файлы экспорта создаются и отправляются отдельно на каждом узле.
ПримечаниеЭкспорт/импорт настроек не восстанавливает состояние кластера и информацию о лицензии. После окончания процедуры импорта необходимо повторно зарегистрировать NGFW с помощью имеющегося ПИН-кода и заново создать кластер, если это необходимо.
ПримечаниеВ случае использования мультифакторной аутентификации через TOTP, ключи TOTP не сохраняются; необходима повторная инициализация.
Имеется возможность сделать экспорт всех настроек (за исключением вышеперечисленных), либо сделать только экспорт сетевых настроек. При экспорте только сетевых настроек сохраняется информация о:
Настройки DNS.
Настройки DHCP.
Настройки всех интерфейсов, включая туннели.
Настройки шлюзов.
Настройки виртуальных маршрутизаторов (VRF).
Настройки WCCP.
Настройки зон.
Для экспорта настроек необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Экспорт настроек
В разделе Управление устройством➜ Экспорт и импорт настроек нажать на ссылку Экспорт ➜ Экспортировать все настройки или Экспортировать сетевые настройки. Система сохранит текущие настройки сервера под именем
Для применения созданных ранее настроек необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Импорт настроек
В разделе Управление устройством ➜ Экспорт и импорт настроек нажать Импорт и указать путь к ранее созданному файлу настроек. Указанные настройки применятся к серверу, после чего сервер будет перезагружен.
ПримечаниеДля корректного импорта правил, использующих обновляемые списки UserGate (приложения, категории URL и т.п.), необходимо наличие лицензии на модули SU и ATP, а также загруженных списков UserGate.
Дополнительно администратор может настроить сохранение настроек на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:
Наименование
Описание
Шаг 1. Создать правило экспорта
В разделе Управление устройством ➜ Экспорт и импорт настроек нажать кнопку Добавить, указать имя и описание правила.
Шаг 2. Указать параметры удаленного сервера
Во вкладке правила Удаленный сервер указать параметры удаленного сервера:
Каждое из первых пяти полей может быть задано следующим образом:
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа.