Межсетевые экраны UserGate: лицензирование и организация HA-кластера

Межсетевой экран UserGate — межсетевой экран следующего поколения (NGFW), объединяющий функционал шлюзового антивируса, системы обнаружения и предотвращения вторжений (СОВ), VPN-сервера, системы контентной фильтрации, модуль мониторинга и статистики.

Лицензирование

UserGate лицензируется по каждому подключенному к нему устройству (IP-адресу), причем это касается как внешних пользователей, так и пользователей внутри локальной сети, включая пользователей терминальных серверов, за исключением трафика, проходящего через UserGate с устройств, использующих правила распространения DNAT, Reverse-прокси, веб-портала, защиты почтового трафика.

UserGate сертифицирован по требования РД ФСТЭК России как межсетевой экран 4-го класса типа «А» (физическая граница сети), «Б» (логическая граница сети) и «Д» (АСУ ТП), как система обнаружения вторжений 4-го класса и по требованию уровня доверия 4-го класса. UserGate использует модульную архитектуру, позволяющую выбирать только необходимые компоненты и конфигурировать их в соответствии с требованиями вашей сети.

1. Модуль Advanced Threat Protection (ATP)

Модуль ATP включает в себя следующие опции:

• подписка на базу категорий сайтов UserGate URL filtering;
• подписка на обновляемые списки запрещенных сайтов Роскомнадзора, список phishing-сайтов, Белый список UserGate, Черный список UserGate;
• подписка на морфологические базы, предоставляемые компанией UserGate;
• подписка на модуль блокировки рекламы.

По истечении срока действия лицензии:

• UserGate URL filtering перестает работать;
• фильтрация с помощью морфологии перестает работать;
• списки запрещенных сайтов Роскомнадзора, список phishing-сайтов, Белый список UserGate, Черный список UserGate продолжают работать, но обновления недоступны.
2. Модуль Mail Security
Mail security включает:
• облачный антиспам;
• антивирусную проверку почты;
• поддержку других методов фильтрации нежелательной почты.
По истечении срока действия антиспам UserGate перестает работать.
3. Модуль Stream Antivirus
Модуль включает в себя подписку на потоковый антивирус UserGate. По истечении срока действия лицензии антивирус UserGate перестает работать.
4. Модуль Security Update (SU)
Security Update включает в себя:
• обновления ПО UserGate;
• обновления сигнатур системы обнаружения вторжений;
• обновления сигнатур приложений L7;
• техническую поддержку.
Приобретение данной подписки обязательно при первоначальной покупке продукта. При окончании срока действия лицензии продукт остается в рабочем состоянии, но модули L7 и IDPS продолжают работать со старыми базами. Базы не обновляются, техническая поддержка не оказывается.
5. Модуль Cluster
Модуль включает подписку на работу устройств UserGate в режиме «кластер». Данная подписка является бессрочной. При покупке будущих модулей безопасности, укажите «Кластер». Поддерживаются 2 режима кластера отказоустойчивости Active-Active и Active-Passive. В режиме Active-Active 4 UG, в режиме Active-Passive 2 UG, без ограничений в конфигурации Кластер.

Пакеты технической поддержки


Стандартная поддержка назначается пользователям UserGate с действующей подпиской Security Updates и дает полный доступ к обновлениям, а также к системе онлайн поддержки. Расширенная поддержка с этим пакетом обеспечивает максимально быстрое реагирование на обращения в службу поддержки, с инженерами можно связаться 24 часа в сутки 7 дней в неделю по телефону.

Организация отказоустойчивого кластера

Для того чтобы объединить UG-устройства в кластер они должны быть одной модели (как для аппаратных, так и для виртуальных UserGate) и иметь одну версию ПО. Виртуальное исполнении поддерживается гипервизорами:VMware, VirtualBox, Hyper-V, Xen, KVM, OpensStack. В режиме Актив-Пассив один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные — в качестве резервных. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

Лицензионные ключи версий 6 и 7 не совместимы! Перед обновлением до версии 7, необходимо запросить у менеджера ключ для 7й версии.

Данная инструкция написана версии UGOS 7.1.x релиз 7.1.0.890B

Обновление ПО

Обновление программного обеспечения лучше провести с USB носителя, а не с WEB-интерфейса, так как при сбросе на заводские настройки, UG вернет версию ПО, установленную на заводе производителя.
1. Загрузить образ диска.
2. Скачать ПО Rufus по ссылке и запустить его.
3. В Rufus указать следующие настройки:
   • параметр Устройство: выбрать USB на который будет записан образ;
   • параметр Метод загрузки: выбрать Диск или ISO-образ;
   • кнопка Выбрать: указать образ usergate_light_image.iso;
   • далее нажать кнопку Старт
   
4. После окончания записи скопировать образ utm-x.version-public.hdd.bz2 в созданный загрузочный USB в директорию /utm_image.

Установка загрузки с USB

1. Войдите в BIOS: нажать клавишу Delete после включения устройства и появления на экране следующего оповещения.

2. Перейдите во вкладку Boot в раздел USB Device BBS Priorities (если раздел отсутствует, выбрать раздел Hard Drive BBS Priorities).

3. В параметре Boot Option #1 (количество Boot опций может отличаться на разных устройствах) выбрать USB Flash с Ghost4Linux.

4. Вернуться в предыдущее меню и установить приоритет загрузки устройств. В параметре Boot Option #1 (количество Boot опций может отличаться на разных устройствах) выбрать флеш-накопитель с Ghost4Linux (не UEFI раздел).

5. Перейти во вкладку Save & Exit и выбрать команду Save Changes and Reset.

После перезагрузки произойдет загрузка с флеш-накопителя.

Настройка основной ноды

1. Подключение к UserGate
2. Используя CLI (Command Line Interface), назначить статический IP-адрес на интерфейс port0.
>configure
#edit network interface adapter port0
#set ip-addresses [ 10.10.10.6/24 ]

3. Подключить рабочую станцию в port0 назначьте зону — MGMT. В браузере, перейти по адресу https://x.x.x.x:8001

4. Указать имя пользователя — Аdmin, пароль — x.x.x.x

В нижнем левом углу отображается информация о лицензирование и версии установленного ПО.
5. Активация лицензии
6. Введите пин-код, выданный вам после приобретения лицензий.
Примечание! В кластере UserGate лицензия ставится только на «мастер-узел». После добавления следующего узла кластера, он(узел) возьмёт лицензию с мастер-узла. То есть лицензия одна — кластерная, и активируется ей только мастер-узел.
Пример пин-кода


7. Настройка Cluster зоны
8. ПерейдитеНастройки > Сеть > Зоны
9. Выберите из шаблона зону Cluster > редактировать
10. В настройках зоны Cluster разрешить следующие сервисы:
• консоль администрирования
• кластер
11. В настройках зоны Trusted, Untrusted разрешить VRRP. (На всех кластерных интерфейсах)

12. Перейдите Настройки > Сети> Интерфейсы
13. Выберите нужный Интерфейс:
• назначьте зону Cluster
• назначьте IP интерфейса

14. Перейдите Настройки > Управление устройством в окне Кластер отказоустойчивости выбрать +

15. Выбрать данный узел.
Выбрать виртуальный IP, добавить ip адрес, указать интерфейс кластеризации.

16. Перейдите Настройки > Управление устройством в окне Кластер конфигурации выбрать Секретный код.

Настройка резервной ноды

1. Настроить port0 интерфейс управления, зона — MGMT
2. Перейдите в web — интерфейс
3. Установить язык и время
4. Нажать Установка дополнительного узла кластера
Примечание! Указать интерфейс, который будет использован для подключения к первому узлу кластера и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети, например, интерфейсам eth2 обоих узлов назначены IP-адреса 192.168.200.2/24 и 192.168.200.3/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.

5. Инициация кластера прошла успешно

6. Перейдите Сеть > Интерфейсы назначьте каждому интерфейсу корректную зону.
7. Настройте шлюзы, маршруты , параметры OSPF, BGP, индивидуальные для каждого из узлов.
Примечание! Ряд настроек уникален для каждого из узлов кластера, эти параметры не синхронизируются.
Список уникальных настроек для каждой ноды:
• настройки Log Analyzer;
• настройки диагностики;
• настройки интерфейсов;
• настройки шлюзов;
• настройки DHCP;
• маршруты;
• настройки OSPF;
• настройки BGP.

Ресурсы

Документация UserGate — https://docs.usergate.com/dokumentaciya-120/
База знаний UserGate — https://docs.usergate.com/baza-znanij-119/
Техническая поддержка (создать тикет) — https://sd.usergate.com/ru/
Видео материал — https://docs.usergate.com/usergate-7x-283/