Обзор UserGate Management Center, единого центра управления универсальными межсетевыми экранами UserGate

Обзор UserGate Management Center, центра управления межсетевыми экранами UserGate


Обзор UserGate Management Center, центра управления межсетевыми экранами UserGate

Ожидаемым вектором развития для российского вендора межсетевых экранов UserGate стала разработка системы централизованного управления ими — UserGate Management Center. С её помощью задаются все настройки, в том числе параметры сети, а также правила межсетевого экранирования, контентной фильтрации и системы обнаружения вторжений. В обзоре представлены архитектура, системные требования и основные функциональные возможности продукта, а также рассмотрена работа с ним.

Сертификат AM Test Lab

Номер сертификата: 325

Дата выдачи: 24.12.2020

Срок действия: 24.12.2025

Реестр сертифицированных продуктов »

  1. Введение
  2. Архитектура UserGate Management Center
  3. Основные функциональные возможности UserGate Management Center
  4. Варианты поставки UserGate Management Center
  5. Применение UserGate Management Center
  6. Выводы

Введение

Управление большим количеством межсетевых экранов, например в компаниях с географически распределённой филиальной сетью, является сложной задачей и накладывает операционные расходы на сопровождение. Возникает потребность в использовании централизованного решения для управления средствами сетевой защиты.

Поэтому появление UserGate Management Center стало закономерным продолжением развития основного продукта компании — универсального межсетевого экрана UserGate. Основной задачей разработчиков было создать единый центр, из которого можно было бы осуществлять мониторинг шлюзов безопасности UserGate и управление ими, централизованно распространять конфигурации оборудования и правила фильтрации, применяемые к группам межсетевых экранов для обеспечения защиты корпоративной сети. UserGate Management Center позволяет систематизировать подход к составлению настроек через применение шаблонов, а также прозрачно применить эти настройки на выбранной части парка межсетевых экранов.

Архитектура UserGate Management Center

UserGate Management Center является дополняющим компонентом в архитектуре сетевой безопасности, построенной на межсетевых экранах UserGate.

Облачная модель управления предоставляет возможность независимого управления межсетевыми экранами разных подразделений через единый сервер UserGate Management Center.

 

Рисунок 1. Архитектура UserGate Management Center

Архитектура UserGate Management Center

 

Разграничение доступа по управлению устройствами происходит на уровне управляемых областей. Управляемая область — это логический объект, представляющий компанию или группу компаний под контролем одного администратора или группы таковых. Каждой области назначается отдельный администратор, который способен получить доступ только к ней и ни к какой другой. В UserGate Management Center можно создавать управляемые области и назначать в них администраторов, не имея при этом доступа к объектам самих областей.

 

Рисунок 2. UserGate Management Center и несколько управляемых областей

UserGate Management Center и несколько управляемых областей

 

Для администрирования межсетевых экранов UserGate в одной организации достаточно создать одну управляемую область.

Основные функциональные возможности UserGate Management Center

К основным функциональным возможностям UserGate Management Center относятся:

  • Поддержка облачной платформы управления (независимое администрирование межсетевых экранов разных предприятий через единый сервер).
  • Применение общих политик и настроек (конфигурация сети, правила межсетевого экранирования, контентной фильтрации и системы обнаружения вторжений, другие настройки).
  • Разделение полномочий на уровне управляемых областей.
  • Управление кластерами.

Варианты поставки UserGate Management Center

Поставка UserGate Management Center возможна в виде программно-аппаратного комплекса или виртуального устройства. В первом случае в зависимости от размера сети предлагается на выбор два варианта аппаратных платформ. Для малого бизнеса, филиалов, POS-систем, школ, точек Wi-Fi подойдёт редакция UserGate Management Center C, а для больших корпоративных сетей и интернет-провайдеров — вариант UserGate Management Center E.

В свою очередь, виртуальная машина UserGate Management Center поставляется с двумя Ethernet-интерфейсами. Функциональность виртуального решения полностью эквивалентна той, что предоставляется аппаратными комплексами UserGate.

Спецификация платформ приведена ниже (см. табл. 1).

 

Таблица 1. Спецификация платформ UserGate Management Center

Характеристика

UserGate Management Center C

UserGate Management Center E

Виртуальная платформа

Размер организации   
Количество управляемых устройствдо 50до 1 000зависит от конфигурации
Спецификация оборудования   
Процессор, количество ядер4164 и более
Количество портов5Порты 10/100/1000Base-T:
8 встроенных и 24 дополнительных за счёт плат расширений.
Порты 10GBase-F SFP+:
12 за счёт плат расширений
Порты 10/100/1000Base-T: до 8.
Порты 10GBase-F SFP+:
до 8 при использовании виртуальных адаптеров VMXNET3
Память8 ГБ32 ГБ8 ГБ и более
Диск1х500 ГБ2х1000 ГБ, RAID-1, отказоустойчивый, стоечный-
Платы расширениянет3-
Управление по IPMIнетесть-
Форм-факторTabletop1U-
Дополнительный блок питания с возможностью «горячей» заменынетесть-

 

UserGate Management Center лицензируется по количеству активных управляемых межсетевых экранов. При достижении максимального числа добавление нового межсетевого экрана станет невозможным. При этом учитываются только активные устройства, которые добавлены в UserGate Management Center. От количества управляемых областей лицензия не зависит — главное, чтобы общее число межсетевых экранов во всех областях не превышало количества устройств в лицензии. Лицензия на UserGate Management Center является бессрочной.

Применение UserGate Management Center

Работа с UserGate Management Center начинается с авторизации на устройстве. В веб-браузере необходимо набрать URL сервера UserGate Management Center. Появится стартовая страница, на которой необходимо ввести логин и пароль администратора для входа в систему.

 

Рисунок 3. Аутентификация в UserGate Management Center

Аутентификация в UserGate Management Center

 

После входа администратор автоматически попадает в главное меню UserGate Management Center.

 

Рисунок 4. Главное меню в UserGate Management Center

Главное меню в UserGate Management Center

 

Управление межсетевыми экранами UserGate в UserGate Management Center сводится к следующим основным действиям:

  • Создание управляемой области.
  • Создание шаблона или нескольких шаблонов, каждый из которых будет содержать часть настроек межсетевого экрана.
  • Объединение необходимых шаблонов в группу в требуемом порядке, чтобы получить корректную итоговую конфигурацию оборудования.
  • Добавление управляемого межсетевого экрана в систему UserGate Management Center и применение к нему группы шаблонов.

Начнём по порядку с управляемых областей.

 

Рисунок 5. Меню «Области» в UserGate Management Center

Меню «Области» в UserGate Management Center

 

Создадим новую область «Example realm». Это можно сделать в разделе «Управляемые области» → «Области».

 

Рисунок 6. Создание области в UserGate Management Center

Создание области в UserGate Management Center

 

Укажем название, а также код области, например «ЕХ» (его необходимо будет указывать при входе в веб-консоль для управления данной областью). Если задаётся параметр «Количество устройств», то администратор области будет ограничен этим числом и не сможет создать большего количества управляемых межсетевых экранов. Указанное значение не может превышать предел лицензированных подключений.

Также необходимо назначить администратора области. Для этого понадобится сначала создать для него профиль. Переходим в меню «Администраторы» и выполняем это действие, указывая тип «Администратор области» (рис. 7) и управляемую область «Example realm» (рис. 8). Профиль будет называться «Example realm administrator profile».

 

Рисунок 7. Создание профиля администратора области (выбор типа администратора) в UserGate Management Center

Создание профиля администратора области (выбор типа администратора) в UserGate Management Center

 

Рисунок 8. Создание профиля администратора (выбор управляемой области) в UserGate Management Center

Создание профиля администратора (выбор управляемой области) в UserGate Management Center

 

Заметим, что на данном этапе создаётся корневой администратор управления данной областью, у которого есть все права на неё. Гранулирование доступа происходит при создании администраторов внутри области.

 

Рисунок 9. Создание профиля администратора (права доступа) в UserGate Management Center

Создание профиля администратора (права доступа) в UserGate Management Center

 

Теперь добавляем учётную запись администратора «ex-admin», назначаем ей созданный ранее профиль «Example realm administrator profile» и задаём пароль.

 

Рисунок 10. Создание учётной записи администратора «ex-admin» для области «Example realm» в UserGate Management Center

Создание учётной записи администратора «ex-admin» для области «Example realm» в UserGate Management Center

 

После создания учётной записи можно аутентифицироваться под её именем и управлять областью «Example realm».

 

Рисунок 11. Вход в UserGate Management Center под учётной записью администратора области «Example realm»

Вход в UserGate Management Center под учётной записью администратора области «Example realm»

 

Интерфейс консоли администратора области включает в себя два основных раздела: «Центр управления» (системные настройки, параметры учётных записей администраторов) и «Объекты». Нам интересен последний, где осуществляется целевое управление межсетевыми экранами (работа с шаблонами и устройствами).

 

Рисунок 12. Вкладка «Шаблоны устройств» для области «Example realm» в UserGate Management Center

Вкладка «Шаблоны устройств» для области «Example realm» в UserGate Management Center

 

UserGate Management Center оперирует шаблонами, с помощью которых можно задать все настройки — в том числе сетевые параметры, а также правила межсетевого экранирования, контентной фильтрации и системы обнаружения вторжений.

После создания шаблона можно указывать нужные значения полей. Настройки отображаются в виде дерева, полностью аналогично тому, как они представлены в межсетевом экране.

 

Рисунок 13. Настройки параметров шаблона в UserGate Management Center

Настройки параметров шаблона в UserGate Management Center

 

Несколько шаблонов можно собрать в группу — единую конфигурацию, которая применяется к межсетевому экрану. Итоговые настройки формируются в результате объединения параметров всех шаблонов в составе группы с учётом их расположения внутри неё.

 

Рисунок 14. Группы шаблонов для области «Example realm» в UserGate Management Center

Группы шаблонов для области «Example realm» в UserGate Management Center

 

Конфигурация, передаваемая на межсетевой экран, может быть двух типов:

  • Значение параметра (например, IP-адрес сервера DNS).
  • Правило политики (например, правило межсетевого экрана или контентной фильтрации).

Чем выше расположен шаблон, тем, соответственно, выше в итоговом списке на межсетевом экране будут размещаться указанные в нём правила.

 

Рисунок 15. Пример результирующего значения параметра, определённого в нескольких шаблонах

Пример результирующего значения параметра, определённого в нескольких шаблонах

 

Если значения в разных шаблонах одной группы конфликтуют, то проблемный параметр принимает значение, заданное в самом верхнем шаблоне. Локально указанные настройки этого параметра игнорируются.

Правила в шаблонах могут быть созданы как «пре-правила» или «пос-правила» (в терминах производителя). Таким образом определяется их местоположение относительно правил, создаваемых локальным администратором межсетевого экрана UserGate. Пре-правила всегда находятся выше локальных в списке и, следовательно, имеют более высокий приоритет. Пос-правила, наоборот, всегда помещаются ниже локальных и имеют более низкий приоритет.

 

Рисунок 16. Пример результирующей политики при наличии пре-, пос- и локальных правил

Пример результирующей политики при наличии пре-, пос- и локальных правил

 

Управляемые устройства (активные) в UserGate Management Center отображаются в одноимённом разделе.

 

Рисунок 17. Раздел «Управляемые устройства» для области «Example realm» в UserGate Management Center

Раздел «Управляемые устройства» для области «Example realm» в UserGate Management Center

 

Заходим в настройки межсетевого экрана UserGate и смотрим на конфигурацию агента UserGate Management Center. Как видно, агент UserGate Management Center находится в статусе «Не настроено».

 

Рисунок 18. Индикация состояния подключения межсетевого экрана к UserGate Management Center

Индикация состояния подключения межсетевого экрана к UserGate Management Center

 

Переходим обратно в UserGate Management Center, открываем раздел «Управляемые устройства» и добавляем новый объект.

При создании объекта в свойствах включаем его, вводим произвольное название (например, «UG2»), указываем группу шаблонов, настройки которой следует применить к этому устройству, и выбираем режим синхронизации настроек.

 

Рисунок 19. Добавление управляемого устройства для области «Example realm» в UserGate Management Center (свойства устройства)

Добавление управляемого устройства для области «Example realm» в UserGate Management Center (свойства устройства)

 

После этого в UserGate Management Center выбираем созданный нами межсетевой экран и нажимаем «Показать уникальный код устройства» (копируем его, т. к. в дальнейшем он понадобится нам для завершения настройки агента на межсетевом экране).

 

Рисунок 20. Добавление управляемого устройства для области «Example realm» в UserGate Management Center (получение уникального кода устройства)

Добавление управляемого устройства для области «Example realm» в UserGate Management Center (получение уникального кода устройства)

 

Переходим в настройки агента UserGate Management Center на межсетевом экране, вводим IP-адрес UserGate Management Center и полученный уникальный код устройства.

 

Рисунок 21. Подключение к UserGate Management Center на межсетевом экране (настройка агента)

Подключение к UserGate Management Center на межсетевом экране (настройка агента)

 

После ввода IP-адреса и кода и сохранения настроек на межсетевом экране статус агента должен измениться на «Подключён».

 

Рисунок 22. Индикация состояния подключения межсетевого экрана к UserGate Management Center

Индикация состояния подключения межсетевого экрана к UserGate Management Center

 

Проверяем добавленное устройство в UserGate Management Center. В консоли станет доступной дополнительная информация о нём, такая как PIN-код, серийный номер, информация о лицензии, используемой памяти и т. п.

После того как межсетевой экран UserGate будет успешно добавлен в UserGate Management Center, администратор сможет:

  • отслеживать данные о состоянии межсетевого экрана (версию программного обеспечения, серийный номер, показатели загрузки устройства);
  • подключиться к консоли межсетевого экрана (нажать кнопку «Открыть консоль»);
  • изменить настройки (в консоли UserGate Management Center можно отредактировать параметры шаблона из состава конфигурации, применённой к управляемому межсетевому экрану).

 

Рисунок 23. Добавленное устройство для области «Example realm» в UserGate Management Center

Добавленное устройство для области «Example realm» в UserGate Management Center

 

После подключения к UserGate Management Center межсетевой экран UserGate должен получить все настройки, подготовленные для него в центре управления. Вновь открываем параметры межсетевого экрана и переходим в раздел «Политики». Строки из UserGate Management Center выделены бежевым / оранжевым цветом, а политики с 3-й по 10-ю (белые / серые) созданы локально на межсетевом экране его администратором. Правила, которые отображаются со значком замка, локальный администратор изменять не может.

 

Рисунок 24. Политики межсетевого экрана UserGate

Политики межсетевого экрана UserGate

 

То же самое можно увидеть и во всех остальных разделах межсетевого экрана UserGate, для которых в UserGate Management Center были созданы шаблоны. Вот, например, правила фильтрации контента (рис. 25).

 

Рисунок 25. Обновлённые правила фильтрации контента на межсетевом экране UserGate

Обновлённые правила фильтрации контента на межсетевом экране UserGate

 

Отметим, что настроить межсетевой экран через UserGate Management Center можно и в момент первоначальной инициализации устройства на этапе задания имени администратора и его пароля.

На этом мы завершаем наш обзор и переходим к выводам.

Выводы

Разработка системы централизованного управления универсальными межсетевыми экранами — UserGate Management Center — стала ожидаемым вектором развития для российского вендора ИБ-решений UserGate. UserGate Management Center объединяет управление множеством межсетевых экранов в одной точке.

Консолидированное управление пулом географически распределённых межсетевых экранов UserGate снижает операционные расходы на сопровождение, а также позволяет систематизировать конфигурирование шлюзов безопасности через применение шаблонов и прозрачно применить эти настройки на выбранной части парка межсетевых экранов.

Достоинства:

  • Управление большим количеством межсетевых экранов в единой точке.
  • Быстрое предоставление политик безопасности для инфраструктуры сетевой защиты.
  • Разграничение доступа администраторов на уровне управляемых областей.
  • Интуитивно понятный графический интерфейс с поддержкой русской и английской локализаций.
  • Возможность поставки в виде виртуального устройства.
  • Наличие в линейке аппаратных устройств, ориентированных на различные размеры организаций.
  • Система лицензирования по принципу «за устройство», что снижает начальные затраты.

Недостатки:

  • На момент написания обзора отсутствует управление обновлениями прошивок устройств (вендор уже работает над этим).

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.