Центральная консоль

Помогает централизованно управлять серверами NGFW

Название службы раздела Центральная консоль: ideco-central-console-backend. Список служб для других разделов доступен по ссылке.

Ideco Center - это центральная консоль, которая поможет в администрировании сразу нескольких серверов Ideco NGFW. На данный момент не требует лицензирования и не имеет ограничений к использованию. Автоматически распространяет политики безопасности по всем подключенным Ideco NGFW, даже если они были подключены после того, как политики были настроены.

Возможности Ideco Center:

Создание правил политик безопасности (файрвол, контроль приложений, контент-фильтр) и объектов, которые переносятся в подключенные сервера Ideco NGFW одновременно;
Создание пользовательских категорий контент-фильтра;
Переход из Ideco Center в веб-интерфейс подключенных Ideco NGFW;
Обновление подключенных к Ideco Center NGFW;
Управление правами доступа администраторов. При этом администраторы Ideco Center имеют доступ к подключенными NGFW, а администраторы подключенных NGFW не имеют доступ к Ideco Center.

Подробнее о работе политик безопасности и объектов в статье Политики и объекты.

Технические требования для серверов и виртуальных машин:

Комплектующие

Минимальные системные требования

Процессор

Intel i3/i5/i7/i9/Xeon с поддержкой SSE 4.2

Объем оперативной памяти

16 ГБ (16-64 ГБ в зависимости от количества пользователей)

Дисковая подсистема

SSD объемом 150 Гб или больше, с интерфейсом SATA, mSATA, SAS, NVMe.

Сеть

Одна сетевая карта. Рекомендуется использовать карты на чипах Intel.

Гипервизоры

VMware, Microsoft Hyper-V (виртуальные машины 2-го поколения), VirtualBox, KVM, Citrix XenServer, Proxmox VE.

Дополнительно

Монитор и клавиатура

Замечания

Обязательна поддержка UEFI. Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет). Для виртуальных машин необходимо использовать фиксированный, а не динамический размер хранилища и оперативной памяти.

Обязательные условия для работы с Ideco Center: 1. Обязательная поддержка UEFI; 2. Для виртуальных машин необходимо использовать фиксированный, а не динамический размер хранилища и оперативной памяти; 3. Отключить режим Legacy загрузки, он может называться CSM (Compatability Support Module); 4. Отключить опцию Secure Boot в UEFI.

Файл для установки центральной консоли доступен для скачивания в личном кабинете. Процесс установки Ideco Center аналогичен процессу установки Ideco NGFW.

Источники обновления данных для Ideco Center:

Ideco Center получает обновления из следующих источников:

Отсылка уведомлений в личный кабинет/телеграм-бот: alerts.v16.ideco.dev;
Обновление баз Контент-фильтра: content-filter.v16.ideco.dev;
Отсылка анонимной статистики: gatherstat.v16.ideco.dev;
Обновления баз GeoIP: ip-list.v16.ideco.dev;
Отправка отчетов по почте: send-reports.v16.ideco.dev;
Обновления системы: sysupdate.v16.ideco.dev;
Синхронизация времени: ntp.ideco.ru.

Кроме того, часть запросов к указанным выше серверам может быть перенаправлена на mcs-vm.ideco.ru, update.ideco.ru, storage.yandexcloud.net.

Для корректной работы всех модулей фильтрации Ideco Center необходимо, чтобы доступ к вышеуказанным ресурсам, был разрешен настройками фильтрации.

Подключение Ideco NGFW к Ideco Center

При синхронизации Ideco Center и Ideco NGFW с разными мажорными версиями передача правил с Ideco Center происходить не будет. При этом в разделе Серверы будет информация о том, что Ideco Center и Ideco NGFW несовместимы:

Если в подключаемом Ideco NGFW используется кластер, достаточно подключить только активную ноду, пассивная автоматически примет эту настройку.

Сетевое подключение производится в направлении от Ideco NGFW к Ideco Center, т. е. возможна связь и когда Ideco NGFW за NAT.

Для подключения Ideco NGFW к Ideco Center:

1. Перейдите в раздел Управление сервером -> Центральная консоль;

2. Введите IP-адрес или доменное имя в строке Сервер центральной консоли и нажмите Подключить:

Если вместо доменного имени указан IP-адрес Ideco Center, загрузите корневой сертификат Ideco Center в Ideco NGFW:

Скачать корневой сертификат можно в Ideco Center, раздел Сервисы -> Сертификаты.

3. В интерфейсе Ideco Center перейдите в раздел Серверы и подтвердите подключение кнопкой .

Если сервер Ideco Center находится за NAT, укажите IP-адрес или доменное имя в разделе Управление сервером -> Дополнительно -> Адрес центральной консоли.

Для подключения нескольких Ideco NGFW к Ideco Center рекомендуем настроить VPN-подключение через IPsec. Альтернативный способ - создать правило DNAT в веб-интерфейсе Ideco NGFW.

Портмаппинг при подключении Ideco NGFW к Ideco Center

Проброс портов для подключения нескольких Ideco NGFW к Ideco Center осуществляется при отсутствии VPN-подключения между офисами. В этом случае вместо подключения по IPsec настраивается перенаправление портов. Для настройки нужно создать правило DNAT в веб-интерфейсе Ideco NGFW, через который Ideco Center выходит в интернет:

Назначение источника - внешний IP-адрес Ideco NGFW;
Сменить IP-адрес назначения - внутренний IP-адрес Ideco Center;
Порт - только порт 3151.

При применении настроенного правила трафик проходит в локальную сеть через внешний интерфейс и перенаправляется в Ideco Center. При получении трафика Ideco Center отправляет подтверждение.

Удаление сервера Ideco NGFW из Ideco Center разорвет привязку в интерфейсе Ideco NGFW:

При подключении к Ideco Center сервера, настройки которого восстановлены из бекапа другого сервера, такой клон не появится в таблице серверов Ideco Center. Возникает конфликт с донором резервной копии из-за одинакового claster_id.

В случае возникновения такой проблемы обратитесь в Техническую поддержку.

Переход из веб-интерфейса Ideco Center в веб-интерфейс Ideco NGFW

В Ideco Center предусмотрено два способа перехода в Ideco NGFW:

1. Перейдите в раздел Серверы и нажмите на :

В новой вкладке откроется веб-интерфейс Ideco NGFW.

2. Нажмите на в левом верхнем углу и выберите нужный NGFW:

Для обновления серверов, подключенных к центральной консоли, перейдите в интерфейс NGFW одним из указанных выше способов и воспользуйтесь статьей Автоматическое обновление сервера.

PreviousАдминистраторы NextУстановка

Last updated 4 months ago