Введение
UserGate Management Center (UGMC) — это продукт, который позволяет контролировать большое количество управляемых устройств. Управляемым устройством может служить межсетевой экран UserGate или устройство сбора и анализа данных LogAn. UGMC предоставляет единую точку управления, из которой администратор может выполнять мониторинг управляемых устройств, применять необходимые настройки, создавать политики, применяемые к группам устройств для обеспечения безопасности корпоративной сети. Использование UGMC позволяет улучшить эффективность управления и поддержки распределенного парка межсетевых экранов UserGate и устройств сбора и анализа данных LogAn. Количество управляемых устройств, которое можно подключить, ограничено только лицензией. UGMC поставляется в виде программно-аппаратного комплекса (ПАК, appliance) либо в виде образа виртуальной машины (virtual appliance), предназначенного для развертывания в виртуальной среде. UGMC поддерживает облачную модель управления, то есть предоставляет возможность полностью независимого управления устройствами разных предприятий, используя единый сервер управления. Разделение полномочий происходит на уровне управляемых областей. Управляемая область UserGate — это логический объект, представляющий одно предприятие или группу предприятий, управляемых одним администратором. Каждой области назначается отдельный администратор, который может администрировать только одну назначенную ему область. Администратор одной области не может ни при каких обстоятельствах получить доступ к другой области. Администратор сервера UGMC имеет полномочия создавать управляемые области и назначать в них администраторов, не имея при этом доступа к объектам самой области. Более подробно о разграничении прав администраторов смотрите в главе Администраторы. Пример UGMC с несколькими управляемыми областями: Для управления устройствами UserGate одной организации достаточно создать одну управляемую область. Настройки параметров устройств UserGate производятся внутри управляемой области с помощью шаблонов и групп шаблонов. С помощью шаблонов и групп шаблонов администратор управляемой области настраивает находящиеся в ней устройства. Шаблон — это базовый блок, с помощью которого настраиваются все параметры работы управляемых устройств, например, межсетевого экрана — сетевые настройки, правила межсетевого экрана, контентной фильтрации, системы обнаружения вторжений и других. Группы шаблонов объединяют несколько шаблонов в единую конфигурацию, которая применяется к управляемому устройству. Группы упрощают централизованное управление, поскольку позволяют задать базовую конфигурацию для всех типов устройств с помощью одного или нескольких шаблонов, входящих в группу, оставив при этом возможность специфичной настройки каждого устройства UserGate, добавляя специфичные настройки отдельными шаблонами. Результирующие настройки, применяемые к устройству, формируются в результате слияния всех настроек шаблонов, входящих в группу шаблонов, с учетом расположения шаблонов внутри группы. Это позволяет определить группы шаблонов на основе функции географического расположения МЭ (например, Москва, Екатеринбург, Новосибирск и т. п.) или функциональной принадлежности МЭ (например, офис продаж, офис разработки, производство и т. п.). Пример области с несколькими группами шаблонов для управления МЭ UserGate: Конфигурация, передаваемая на устройство, может быть двух типов:
От типа конфигурации зависит способ определения результирующего значения. Правила политики всегда передаются на все устройства, результирующая политика — это набор всех правил, выстроенных в соответствии с их порядком в групповом шаблоне. Правила, указанные в более верхнем шаблоне, помещаются вверх в результирующем списке правил на конечном устройстве. Настройка параметра при конфликтующих значениях в разных шаблонах одной группы шаблонов принимает значение, заданное в наиболее верхнем шаблоне. Локально указанные настройки данного параметра игнорируются. Пример результирующего значения параметра, определенного в нескольких шаблонах: Правила, создаваемые в шаблонах, могут быть созданы как пре-правила или пост-правила. Пре- и пост-правила — это местоположение созданного правила относительно правил, создаваемых локальным администратором МЭ UserGate. Пре-правила всегда помещаются выше в списке правил и, следовательно, имеют более высокий приоритет относительно локально созданных правил. Пост-правила всегда помещаются ниже относительно локальных правил и имеют более низкий приоритет. Наличие возможности создавать пре- и пост-правила дает администратору области создавать гибкие настройки политики безопасности, давая локальному администратору больше полномочий (пост-правила), или ограничивая его полномочия (пре-правила). Пример результирующей политики при наличии пре-, пост- и локальных правил: Группа шаблонов всегда применяется к одному или нескольким устройствам UserGate. NGFW, LogAn являются конечными управляемыми устройствами в терминологии UGMC. Для совместимости разных версий UGMC и управляемых устройств используются разные версии протокола синхронизации. Для обеспечения возможности управления устройствами NGFW и LogAn из UGMC запрашиваемая управляемыми устройствами версия протокола синхронизации должна быть не выше поддерживаемой UGMC.
Управление UGMC делится на управление сервисами самой консоли и управление областями, которые в ней созданы. Управление сервисами UGMCУправление сервисами UGMC включает в себя следующие задачи:
Управление областями UGMCУправление областями выполняется администратором области и включает в себя следующие задачи:
Ролевое управлениеПри первоначальной настройке UGMC и создании хотя бы одной управляемой области создаются следующие администраторы:
Администратор UGMC может создать дополнительных администраторов UGMC и наделить их специальными полномочиями (профили администраторов) по управлению сервисами UGMC. При этом администраторы UGMC ограничены только возможностью управления сервисами UGMC (смотрите главу Настройка UserGate Management Center), не имея доступа к управлению областями. Пример прав доступа администраторов UGMC:
Корневой администратор области может создать дополнительных администраторов в своей области и наделить их специальными полномочиями (профили администраторов). Администраторы области ограничены только возможностью управления своей областью (смотрите главу Управляемые области), не имея доступа к управлению другими областями или сервисами UGMC. Корневой администратор области может быть только локальным, он не может быть администратором, привязанным к каталогу LDAP. Дополнительные администраторы, созданные корневым администратором области, могут иметь тип локального администратора или администратора, привязанного к каталогу LDAP. Примеры прав доступа администраторов области:
|