Первоначальная настройка
Описание настройки в веб-интерфейсе
Last updated
Описание настройки в веб-интерфейсе
Last updated
Поддержка браузеров для администрирования сервера в веб-интерфейсе: Поддерживаются современные версии браузеров Firefox, Chrome и браузеров, основанных на Chromium.
1. Запустите на любом компьютере в сети Control Plane интерфейса поддерживаемый интернет-браузер.
2. Введите в адресной строке IP-адрес, указанный при настройке Control Plane интерфейса, и порт 8443.
Пример: 192.168.100.25:8443
3. Браузер выдаст предупреждение о том, что сертификат безопасности не был выпущен доверенным центром сертификации. Продолжите соединение, нажав на соответствующую кнопку в нижней части окна:
4. Введите логин и пароль от учетной записи, созданной при установке NGFW VPP.
Перед настройкой Data Plane интерфейсов проверьте соответствие сетевых карт системным требованиям.
Для выхода NGFW VPP в интернет настройте Data Plane интерфейс, выполнив действия:
1. Перейдите в раздел Сервисы -> Cетевые интерфейсы.
Если в столбце Информация о сетевой карте указан VPP interface, то карта подходит для Data Plane интерфейса. Если указан производитель сетевой карты - для Control Plane.
3. Для корректной работы интерфейса обязательно перезагрузите сервер после смены принадлежности.
4. Для настройки сетевого интерфейса перейдите в раздел Сервисы -> Cетевые интерфейсы, нажмите Добавить и выберите Ethernet:
5. Выберите сетевую карту для Data Plane интерфейса и укажите название интерфейса:
6. Воспользуйтесь опцией Автоматическая конфигурация через DHCP, если провайдер поддерживает автоматическое конфигурирование, или укажите IP-адрес сервера и шлюз:
7. Проверьте правильность введенных данных и нажмите Добавить.
Если ни один из Data Plane интерфейсов не имеет выхода в интернет, то пользователи шлюза Ideco NGFW VPP не смогут получить доступ в интернет.
Для организации пользовательской локальной сети настройте Data Plane интерфейс, выполнив действия:
1. Перейдите в раздел Сервисы-> Сетевые интерфейсы.
Если в столбце Информация о сетевой карте указан VPP interface, то карта подходит для Data Plane интерфейса. Если указан производитель сетевой карты - для Control Plane.
3. Для корректной работы интерфейса обязательно перезагрузите сервер после смены принадлежности.
4. Для настройки сетевого интерфейса перейдите в раздел Сервисы -> Cетевые интерфейсы, нажмите Добавить и выберите Ethernet:
5. Выберите сетевую карту для Data Plane интерфейса и укажите название интерфейса:
6. Воспользуйтесь опцией Автоматическая конфигурация через DHCP, если используется сторонний DHCP-cервер в пользовательской сети, или укажите IP-адрес сервера:
7. Проверьте правильность введенных данных и нажмите Добавить.
Для корректной работы NGFW VPP не указывайте шлюз при настройке пользовательских DataPlane интерфейсов.
Для привязки лицензии сервер должен иметь выход в интернет через Control Plane интерфейс.
Шаги онлайн регистрации сервера и привязки лицензии:
1. Перейдите в веб-интерфейс Ideco NGFW VPP в раздел Управление сервером -> Лицензия и нажмите Зарегистрировать:
2. В открывшемся окне перейдите по ссылке Зарегистрировать новый сервер, выберите компанию и нажмите Добавить. После добавления нажмите Обновить информацию о лицензии для проверки состояния лицензии:
Шаги офлайн-регистрации сервера и привязки лицензии:
1. Привяжите сервер к личному кабинету в my.ideco:
Перейдите в веб-интерфейс Ideco NGFW VPP в раздел Управление сервером -> Терминал;
Выполните команду cat /usr/share/ideco/license-backend/hwid;
Скопируйте hwid сервера. Пример: t7m7H137w-pQXYjXuHmYbLnJw3YyxJAg5wl9FfARlh;
2. Обратитесь к вашему менеджеру для предоставления лицензии.
3. Перейдите в личный кабинет my.ideco в раздел NGFW -> Офлайн и заполните поле HWID скопированными на шаге 1 данными.
4. Перейдите в раздел NGFW -> Лицензирование и нажмите Привязать лицензию рядом с нужным сервером. Пример наименования сервера для офлайн-регистрации: UTM (UTM Unknown).
Если была выбрана лицензия не подходящая для офлайн-регистрации сервера, то появится ошибка:
5. Перейдите в раздел NGFW -> Офлайн и введите в соответствующие поля цифрами мажорный номер версии и номер лицензии:
6. Нажмите Получить ссылки и сохраните файлы конфигураций, нажав на появившиеся ссылки:
license.json - информация о лицензии;
geoip-<timestamp>.mmdb - база для работы модуля Предотвращение вторжений;
iplist-<timestamp>.tar.gz - база соответствия подсетей и стран, в которые они входят;
simple.tgz - правила фильтрации для модуля Предотвращение вторжений;
sky-from-0-to-<timestamp>.sst - база для работы модуля Контент-фильтр.
7. Добавьте конфигурационный файл c информацией о лицензии в Ideco NGFW VPP:
Перейдите в раздел Управление сервером -> Терминал;
Загрузите полученный файл license.json на сервер Ideco NGFW VPP в директорию /var/cache/ideco/license-backend/;
Перезапустите сервис лицензий командой systemctl restart ideco-license-backend.service;
Перейдите в раздел Управление сервером - Лицензия и убедитесь, что лицензия установлена.
8. Сохраните скрипты запуска обновления баз модулей безопасности в папку с файлами, скачанными на шаге 6:
9. Обновите базы модулей безопасности:
Перейдите в директорию scp -r <путь до папки со скачанными файлами> administrator@<IP-адрес NGFW>:~/;
Подключитесь к серверу по SSH ssh administrator@<IP-адрес NGFW VPP>;
Перед обновлением модулей перейдите в директорию cd ~/<название папки со скаченными файлами>;
Обновите базы модулей безопасности выполнив команды:
Базы модуля Предотвращения вторжений - python3 geoip.py <geoip-<timestamp>.mmdb>;
Базы соответствия подсетей и стран - python3 iplist.py <iplist-<timestamp>.tar.gz>;
Правила фильтрации модуля Предотвращение вторжений - python3 suricata.py simple.tgz;
базы модуля Контент-фильтр - python3 content_filter.py <sky-from-0-to-<timestamp>.sst>.
Для устранения предупреждения в браузере при входе в веб-интерфейс нужно импортировать корневой сертификат NGFW VPP или добавить сертификат в доверенные корневые центры сертификации устройства. В разделе Сервисы -> Сертификаты нажмите на кнопку Скачать:
2. По умолчанию все сетевые карты используются как Control Plane. Нажмите на кнопку Сетевые карты и отредактируйте принадлежность сетевой карты для Data Plane интерфейса, нажав на в столбце Управление:
2. По умолчанию все сетевые карты используются как Control Plane. Нажмите на кнопку Сетевые карты и отредактируйте принадлежность сетевой карты для Data Plane интерфейса, нажав на в столбце Управление:
