Сертификат AM Test Lab
Номер сертификата: 325
Дата выдачи: 24.12.2020
Срок действия: 24.12.2025
- Введение
- Архитектура UserGate Management Center
- Основные функциональные возможности UserGate Management Center
- Варианты поставки UserGate Management Center
- Применение UserGate Management Center
- Выводы
Введение
Управление большим количеством межсетевых экранов, например в компаниях с географически распределённой филиальной сетью, является сложной задачей и накладывает операционные расходы на сопровождение. Возникает потребность в использовании централизованного решения для управления средствами сетевой защиты.
Поэтому появление UserGate Management Center стало закономерным продолжением развития основного продукта компании — универсального межсетевого экрана UserGate. Основной задачей разработчиков было создать единый центр, из которого можно было бы осуществлять мониторинг шлюзов безопасности UserGate и управление ими, централизованно распространять конфигурации оборудования и правила фильтрации, применяемые к группам межсетевых экранов для обеспечения защиты корпоративной сети. UserGate Management Center позволяет систематизировать подход к составлению настроек через применение шаблонов, а также прозрачно применить эти настройки на выбранной части парка межсетевых экранов.
Архитектура UserGate Management Center
UserGate Management Center является дополняющим компонентом в архитектуре сетевой безопасности, построенной на межсетевых экранах UserGate.
Облачная модель управления предоставляет возможность независимого управления межсетевыми экранами разных подразделений через единый сервер UserGate Management Center.
Рисунок 1. Архитектура UserGate Management Center
Разграничение доступа по управлению устройствами происходит на уровне управляемых областей. Управляемая область — это логический объект, представляющий компанию или группу компаний под контролем одного администратора или группы таковых. Каждой области назначается отдельный администратор, который способен получить доступ только к ней и ни к какой другой. В UserGate Management Center можно создавать управляемые области и назначать в них администраторов, не имея при этом доступа к объектам самих областей.
Рисунок 2. UserGate Management Center и несколько управляемых областей
Для администрирования межсетевых экранов UserGate в одной организации достаточно создать одну управляемую область.
Основные функциональные возможности UserGate Management Center
К основным функциональным возможностям UserGate Management Center относятся:
- Поддержка облачной платформы управления (независимое администрирование межсетевых экранов разных предприятий через единый сервер).
- Применение общих политик и настроек (конфигурация сети, правила межсетевого экранирования, контентной фильтрации и системы обнаружения вторжений, другие настройки).
- Разделение полномочий на уровне управляемых областей.
- Управление кластерами.
Варианты поставки UserGate Management Center
Поставка UserGate Management Center возможна в виде программно-аппаратного комплекса или виртуального устройства. В первом случае в зависимости от размера сети предлагается на выбор два варианта аппаратных платформ. Для малого бизнеса, филиалов, POS-систем, школ, точек Wi-Fi подойдёт редакция UserGate Management Center C, а для больших корпоративных сетей и интернет-провайдеров — вариант UserGate Management Center E.
В свою очередь, виртуальная машина UserGate Management Center поставляется с двумя Ethernet-интерфейсами. Функциональность виртуального решения полностью эквивалентна той, что предоставляется аппаратными комплексами UserGate.
Спецификация платформ приведена ниже (см. табл. 1).
Таблица 1. Спецификация платформ UserGate Management Center
Характеристика | UserGate Management Center C | UserGate Management Center E | Виртуальная платформа |
Размер организации | |||
Количество управляемых устройств | до 50 | до 1 000 | зависит от конфигурации |
Спецификация оборудования | |||
Процессор, количество ядер | 4 | 16 | 4 и более |
Количество портов | 5 | Порты 10/100/1000Base-T: 8 встроенных и 24 дополнительных за счёт плат расширений. Порты 10GBase-F SFP+: 12 за счёт плат расширений | Порты 10/100/1000Base-T: до 8. Порты 10GBase-F SFP+: до 8 при использовании виртуальных адаптеров VMXNET3 |
Память | 8 ГБ | 32 ГБ | 8 ГБ и более |
Диск | 1х500 ГБ | 2х1000 ГБ, RAID-1, отказоустойчивый, стоечный | - |
Платы расширения | нет | 3 | - |
Управление по IPMI | нет | есть | - |
Форм-фактор | Tabletop | 1U | - |
Дополнительный блок питания с возможностью «горячей» замены | нет | есть | - |
UserGate Management Center лицензируется по количеству активных управляемых межсетевых экранов. При достижении максимального числа добавление нового межсетевого экрана станет невозможным. При этом учитываются только активные устройства, которые добавлены в UserGate Management Center. От количества управляемых областей лицензия не зависит — главное, чтобы общее число межсетевых экранов во всех областях не превышало количества устройств в лицензии. Лицензия на UserGate Management Center является бессрочной.
Применение UserGate Management Center
Работа с UserGate Management Center начинается с авторизации на устройстве. В веб-браузере необходимо набрать URL сервера UserGate Management Center. Появится стартовая страница, на которой необходимо ввести логин и пароль администратора для входа в систему.
Рисунок 3. Аутентификация в UserGate Management Center
После входа администратор автоматически попадает в главное меню UserGate Management Center.
Рисунок 4. Главное меню в UserGate Management Center
Управление межсетевыми экранами UserGate в UserGate Management Center сводится к следующим основным действиям:
- Создание управляемой области.
- Создание шаблона или нескольких шаблонов, каждый из которых будет содержать часть настроек межсетевого экрана.
- Объединение необходимых шаблонов в группу в требуемом порядке, чтобы получить корректную итоговую конфигурацию оборудования.
- Добавление управляемого межсетевого экрана в систему UserGate Management Center и применение к нему группы шаблонов.
Начнём по порядку с управляемых областей.
Рисунок 5. Меню «Области» в UserGate Management Center
Создадим новую область «Example realm». Это можно сделать в разделе «Управляемые области» → «Области».
Рисунок 6. Создание области в UserGate Management Center
Укажем название, а также код области, например «ЕХ» (его необходимо будет указывать при входе в веб-консоль для управления данной областью). Если задаётся параметр «Количество устройств», то администратор области будет ограничен этим числом и не сможет создать большего количества управляемых межсетевых экранов. Указанное значение не может превышать предел лицензированных подключений.
Также необходимо назначить администратора области. Для этого понадобится сначала создать для него профиль. Переходим в меню «Администраторы» и выполняем это действие, указывая тип «Администратор области» (рис. 7) и управляемую область «Example realm» (рис. 8). Профиль будет называться «Example realm administrator profile».
Рисунок 7. Создание профиля администратора области (выбор типа администратора) в UserGate Management Center
Рисунок 8. Создание профиля администратора (выбор управляемой области) в UserGate Management Center
Заметим, что на данном этапе создаётся корневой администратор управления данной областью, у которого есть все права на неё. Гранулирование доступа происходит при создании администраторов внутри области.
Рисунок 9. Создание профиля администратора (права доступа) в UserGate Management Center
Теперь добавляем учётную запись администратора «ex-admin», назначаем ей созданный ранее профиль «Example realm administrator profile» и задаём пароль.
Рисунок 10. Создание учётной записи администратора «ex-admin» для области «Example realm» в UserGate Management Center
После создания учётной записи можно аутентифицироваться под её именем и управлять областью «Example realm».
Рисунок 11. Вход в UserGate Management Center под учётной записью администратора области «Example realm»
Интерфейс консоли администратора области включает в себя два основных раздела: «Центр управления» (системные настройки, параметры учётных записей администраторов) и «Объекты». Нам интересен последний, где осуществляется целевое управление межсетевыми экранами (работа с шаблонами и устройствами).
Рисунок 12. Вкладка «Шаблоны устройств» для области «Example realm» в UserGate Management Center
UserGate Management Center оперирует шаблонами, с помощью которых можно задать все настройки — в том числе сетевые параметры, а также правила межсетевого экранирования, контентной фильтрации и системы обнаружения вторжений.
После создания шаблона можно указывать нужные значения полей. Настройки отображаются в виде дерева, полностью аналогично тому, как они представлены в межсетевом экране.
Рисунок 13. Настройки параметров шаблона в UserGate Management Center
Несколько шаблонов можно собрать в группу — единую конфигурацию, которая применяется к межсетевому экрану. Итоговые настройки формируются в результате объединения параметров всех шаблонов в составе группы с учётом их расположения внутри неё.
Рисунок 14. Группы шаблонов для области «Example realm» в UserGate Management Center
Конфигурация, передаваемая на межсетевой экран, может быть двух типов:
- Значение параметра (например, IP-адрес сервера DNS).
- Правило политики (например, правило межсетевого экрана или контентной фильтрации).
Чем выше расположен шаблон, тем, соответственно, выше в итоговом списке на межсетевом экране будут размещаться указанные в нём правила.
Рисунок 15. Пример результирующего значения параметра, определённого в нескольких шаблонах
Если значения в разных шаблонах одной группы конфликтуют, то проблемный параметр принимает значение, заданное в самом верхнем шаблоне. Локально указанные настройки этого параметра игнорируются.
Правила в шаблонах могут быть созданы как «пре-правила» или «пос-правила» (в терминах производителя). Таким образом определяется их местоположение относительно правил, создаваемых локальным администратором межсетевого экрана UserGate. Пре-правила всегда находятся выше локальных в списке и, следовательно, имеют более высокий приоритет. Пос-правила, наоборот, всегда помещаются ниже локальных и имеют более низкий приоритет.
Рисунок 16. Пример результирующей политики при наличии пре-, пос- и локальных правил
Управляемые устройства (активные) в UserGate Management Center отображаются в одноимённом разделе.
Рисунок 17. Раздел «Управляемые устройства» для области «Example realm» в UserGate Management Center
Заходим в настройки межсетевого экрана UserGate и смотрим на конфигурацию агента UserGate Management Center. Как видно, агент UserGate Management Center находится в статусе «Не настроено».
Рисунок 18. Индикация состояния подключения межсетевого экрана к UserGate Management Center
Переходим обратно в UserGate Management Center, открываем раздел «Управляемые устройства» и добавляем новый объект.
При создании объекта в свойствах включаем его, вводим произвольное название (например, «UG2»), указываем группу шаблонов, настройки которой следует применить к этому устройству, и выбираем режим синхронизации настроек.
Рисунок 19. Добавление управляемого устройства для области «Example realm» в UserGate Management Center (свойства устройства)
После этого в UserGate Management Center выбираем созданный нами межсетевой экран и нажимаем «Показать уникальный код устройства» (копируем его, т. к. в дальнейшем он понадобится нам для завершения настройки агента на межсетевом экране).
Рисунок 20. Добавление управляемого устройства для области «Example realm» в UserGate Management Center (получение уникального кода устройства)
Переходим в настройки агента UserGate Management Center на межсетевом экране, вводим IP-адрес UserGate Management Center и полученный уникальный код устройства.
Рисунок 21. Подключение к UserGate Management Center на межсетевом экране (настройка агента)
После ввода IP-адреса и кода и сохранения настроек на межсетевом экране статус агента должен измениться на «Подключён».
Рисунок 22. Индикация состояния подключения межсетевого экрана к UserGate Management Center
Проверяем добавленное устройство в UserGate Management Center. В консоли станет доступной дополнительная информация о нём, такая как PIN-код, серийный номер, информация о лицензии, используемой памяти и т. п.
После того как межсетевой экран UserGate будет успешно добавлен в UserGate Management Center, администратор сможет:
- отслеживать данные о состоянии межсетевого экрана (версию программного обеспечения, серийный номер, показатели загрузки устройства);
- подключиться к консоли межсетевого экрана (нажать кнопку «Открыть консоль»);
- изменить настройки (в консоли UserGate Management Center можно отредактировать параметры шаблона из состава конфигурации, применённой к управляемому межсетевому экрану).
Рисунок 23. Добавленное устройство для области «Example realm» в UserGate Management Center
После подключения к UserGate Management Center межсетевой экран UserGate должен получить все настройки, подготовленные для него в центре управления. Вновь открываем параметры межсетевого экрана и переходим в раздел «Политики». Строки из UserGate Management Center выделены бежевым / оранжевым цветом, а политики с 3-й по 10-ю (белые / серые) созданы локально на межсетевом экране его администратором. Правила, которые отображаются со значком замка, локальный администратор изменять не может.
Рисунок 24. Политики межсетевого экрана UserGate
То же самое можно увидеть и во всех остальных разделах межсетевого экрана UserGate, для которых в UserGate Management Center были созданы шаблоны. Вот, например, правила фильтрации контента (рис. 25).
Рисунок 25. Обновлённые правила фильтрации контента на межсетевом экране UserGate
Отметим, что настроить межсетевой экран через UserGate Management Center можно и в момент первоначальной инициализации устройства на этапе задания имени администратора и его пароля.
На этом мы завершаем наш обзор и переходим к выводам.
Выводы
Разработка системы централизованного управления универсальными межсетевыми экранами — UserGate Management Center — стала ожидаемым вектором развития для российского вендора ИБ-решений UserGate. UserGate Management Center объединяет управление множеством межсетевых экранов в одной точке.
Консолидированное управление пулом географически распределённых межсетевых экранов UserGate снижает операционные расходы на сопровождение, а также позволяет систематизировать конфигурирование шлюзов безопасности через применение шаблонов и прозрачно применить эти настройки на выбранной части парка межсетевых экранов.
Достоинства:
- Управление большим количеством межсетевых экранов в единой точке.
- Быстрое предоставление политик безопасности для инфраструктуры сетевой защиты.
- Разграничение доступа администраторов на уровне управляемых областей.
- Интуитивно понятный графический интерфейс с поддержкой русской и английской локализаций.
- Возможность поставки в виде виртуального устройства.
- Наличие в линейке аппаратных устройств, ориентированных на различные размеры организаций.
- Система лицензирования по принципу «за устройство», что снижает начальные затраты.
Недостатки:
- На момент написания обзора отсутствует управление обновлениями прошивок устройств (вендор уже работает над этим).