Первоначальная настройка
Описание настройки в веб-интерфейсе
Last updated
Описание настройки в веб-интерфейсе
Last updated
Поддержка браузеров для администрирования сервера в веб-интерфейсе: Поддерживаются современные версии браузеров Firefox, Chrome и браузеров, основанных на Chromium.
Запустите на любом компьютере в сети Control Plane интерфейса поддерживаемый интернет-браузер.
Введите в адресной строке IP-адрес, указанный при настройке Control Plane интерфейса, и порт 8443.
Пример: 192.168.100.25:8443
Браузер выдаст предупреждение о том, что сертификат безопасности не был выпущен доверенным центром сертификации. Продолжите соединение, нажав на соответствующую кнопку в нижней части окна:
Введите логин и пароль от учетной записи, созданной при установке NGFW VPP.
Перед настройкой Data Plane интерфейсов проверьте соответствие сетевых карт системным требованиям.
Для выхода NGFW VPP в Интернет нужно настроить Data Plane интерфейс, выполнив действия:
Перейдите в раздел Сервисы-> Cетевые интерфейсы.
Нажмите Добавить и выберите Внешний Ethernet:
Выберите сетевую карту для Data Plane интерфейса и укажите название интерфейса:
VPP interface - сетевая карта, подходящая для Data Plane интерфейса.
Производитель сетевой карты - сетевая карта, подходящая для Control Plane интерфейса.
Воспользуйтесь опцией Автоматическая конфигурация через DHCP, если провайдер поддерживает автоматическое конфигурирование, или укажите IP-адрес сервера и шлюз.
Проверьте правильность введенных данных и нажмите Сохранить.
Если ни один из Data Plane интерфейсов не имеет выхода в Интернет, то пользователи шлюза Ideco NGFW VPP не смогут получить доступ в Интернет.
Для организации пользовательской локальной сети нужно настроить Data Plane интерфейс, выполнив действия:
Перейдите в раздел Сервисы-> Сетевые интерфейсы.
Нажмите Добавить и выберите Локальный Ethernet:
Выберите сетевую карту для Data Plane интерфейса и укажите название интерфейса:
VPP interface - сетевая карта, подходящая для Data Plane интерфейса.
Производитель сетевой карты - сетевая карта, подходящая для Control Plane интерфейса.
Воспользуйтесь опцией Автоматическая конфигурация через DHCP, если используется сторонний DHCP-cервер в пользовательской сети, или укажите IP-адрес сервера.
Проверьте правильность введенных данных и нажмите Сохранить.
Для корректной работы NGFW VPP не указывайте шлюз при настройке пользовательских DataPlane интерфейсов.
Для привязки лицензии сервер должен иметь выход в интернет через Control Plane интерфейс.
Шаги онлайн регистрации сервера и привязки лицензии:
1. Перейдите в веб-интерфейс Ideco NGFW VPP в раздел Управление сервером -> Лицензия и нажмите Зарегистрировать:
2. В открывшемся окне перейдите по ссылке Зарегистрировать новый сервер, выберите компанию и нажмите Добавить. После добавления нажмите Обновить информацию о лицензии для проверки состояния лицензии:
Шаги офлайн-регистрации сервера и привязки лицензии:
1. Привяжите сервер к личному кабинету в my.ideco:
Перейдите в веб-интерфейс Ideco NGFW VPP в раздел Управление сервером -> Терминал;
Выполните команду cat /usr/share/ideco/license-backend/hwid
;
Скопируйте hwid сервера. Пример: t7m7H137w-pQXYjXuHmYbLnJw3YyxJAg5wl9FfARlh
;
2. Обратитесь к вашему менеджеру для предоставления лицензии.
3. Перейдите в личный кабинет my.ideco в раздел NGFW -> Офлайн и заполните поле HWID скопированными на шаге 1 данными.
4. Перейдите в раздел NGFW -> Лицензирование и нажмите Привязать лицензию рядом с нужным сервером. Пример наименования сервера для офлайн-регистрации: UTM (UTM Unknown)
.
Если была выбрана лицензия не подходящая для офлайн-регистрации сервера, то появится ошибка:
5. Перейдите в раздел NGFW -> Офлайн и введите в соответствующие поля цифрами мажорный номер версии и номер лицензии:
6. Нажмите Получить ссылки и сохраните файлы конфигураций, нажав на появившиеся ссылки:
license.json
- информация о лицензии;
geoip-<timestamp>.mmdb
- база для работы модуля Предотвращение вторжений;
iplist-<timestamp>.tar.gz
- база соответствия подсетей и стран, в которые они входят;
simple.tgz
- правила фильтрации для модуля Предотвращение вторжений;
sky-from-0-to-<timestamp>.sst
- база для работы модуля Контент-фильтр.
7. Добавьте конфигурационный файл c информацией о лицензии в Ideco NGFW VPP:
Перейдите в раздел Управление сервером -> Терминал;
Загрузите полученный файл license.json
на сервер Ideco NGFW VPP в директорию /var/cache/ideco/license-backend/
;
Перезапустите сервис лицензий командой systemctl restart ideco-license-backend.service
;
Перейдите в раздел Управление сервером - Лицензия и убедитесь, что лицензия установлена.
8. Сохраните скрипты запуска обновления баз модулей безопасности в папку с файлами, скачанными на шаге 6:
9. Обновите базы модулей безопасности:
Перейдите в директорию scp -r <путь до папки со скачанными файлами> administrator@<IP-адрес NGFW>:~/
;
Подключитесь к серверу по SSH ssh administrator@<IP-адрес NGFW VPP>
;
Перед обновлением модулей перейдите в директорию cd ~/<название папки со скаченными файлами>
;
Обновите базы модулей безопасности выполнив команды:
Базы модуля Предотвращения вторжений - python3 geoip.py <geoip-<timestamp>.mmdb>
;
Базы соответствия подсетей и стран - python3 iplist.py <iplist-<timestamp>.tar.gz>
;
Правила фильтрации модуля Предотвращение вторжений - python3 suricata.py simple.tgz
;
базы модуля Контент-фильтр - python3 content_filter.py <sky-from-0-to-<timestamp>.sst>
.
Для устранения предупреждения в браузере при входе в веб-интерфейс нужно импортировать корневой сертификат NGFW VPP или добавить сертификат в доверенные корневые центры сертификации устройства. В разделе Сервисы->Сертификаты нажмите на кнопку Скачать: