Журнал "Information Security/ Информационная безопасность" #5, 2020

ки, правила межсетевого экранирования, контентной фильтрации, системы обна- ружения вторжений и др. Группы шаблонов объединяют несколько шаблонов в единую конфигу- рацию, которая применяется к управ- ляемому устройству. Группы упрощают централизованное управление, посколь- ку позволяют задать базовую конфигу- рацию для всех МЭ с помощью одного или нескольких шаблонов, входящих в группу, оставив при этом возможность специфической настройки каждого МЭ, дополняя специфичные настройки тре- буемыми шаблонами. Результирующие настройки, приме- няемые к устройству, формируются в - результате слияния всех шаблонов, входящих в группу. Это позволяет опре- делить группы шаблонов на основе функции географического расположе- ния (например, Москва, Екатеринбург, Новосибирск и т.п.) или функциональ- ной принадлежности (например, офис продаж, офис разработки, производ- ство и т.п.). Централизованное управление меж- сетевыми экранами можно разделить на четыре этапа: 1. Создание управляемой области. 2. Создание одного или нескольких шаблонов, каждый из которых опишет свою часть настроек МЭ. 3. Объединение необходимых шабло- нов в группы в таком порядке, чтобы получить корректную результирующую настройку. 4. Добавление управляемого межсе- тевого экрана и применение к нему группы шаблонов. Типичные проблемы, решаемые централизованным управлением Построение централизованно управляемой политики фильтрации с возможностью локального управления После первоначальной настройки меж- сетевым экранам требуются регулярный мониторинг и обновление. По мере роста и изменения сети, в которой функциони- рует межсетевой экран, должны изме- няться и настройки. С каждым новым устройством, появляющимся в сети, и каж- дым новым пользователем стоит прове- рять конфигурацию межсетевого экрана и вносить соответствующие обновления. Не секрет, что большинство наруше- ний и атак происходит из-за неправиль- ной конфигурации межсетевого экрана, но централизованное управление может уменьшить количество ошибок в кон- фигурации. Еще одна распространенная ошибка конфигурации МЭ заключается в работе забытых устаревших служб. В качестве примера можно привести динамическую маршрутизацию, которую вообще реко- мендуется не включать на устройствах, обеспечивающих безопасность, а также забытые DHCP-серверы, которые про- воцируют конфликты в IP-адресации, приводя к проблемам с доступностью сетевых узлов. Чтобы избежать подобных проблем, UGMC позволяет систематизировать под- ход к составлению настроек через при- менение шаблонов, а также прозрачно применить эти настройки на выбранной части парка межсетевых экранов. Управление кластерами и применение к ним политик UGMC позволяет объединять несколь- ко межсетевых экранов в кластер. Поддерживаются два типа кластеров: 1. Кластер конфигурации. Узлы, объ- единенные в кластер конфигурации, поддерживают единые настройки в рам- ках кластера. 2. Кластер отказоустойчивости. До четырех узлов кластера конфигурации могут быть объединены в кластер отка- зоустойчивости, поддерживающий рабо- ту в режиме "актив-актив" или "актив- пассив". Самих кластеров отказоустой- чивости может быть несколько. В режиме "актив-пассив" один из МЭ выступает в роли мастер-узла, обраба- тывающего трафик, а остальные – в качестве резервных. Для кластера указывается один или более виртуаль- ных IP-адресов. Переключение вирту- альных адресов с главного на один из запасных узлов происходит, если: l запасной МЭ не получает подтвержде- ния о том, что главный МЭ находится в сети, например, если он выключен или отсутствует сетевая доступность узлов; l на главном МЭ настроена проверка доступа в Интернет; l происходит сбой в работе ПО UserGate. В режиме "актив-актив" один из МЭ выступает в роли мастер-узла, распре- деляющего трафик на все остальные узлы кластера. Мастер-узел обеспечи- вает равномерное распределение тра- фика на все узлы кластера, учитывая при этом необходимость неразрывности пользовательских сессий. Для кластера указывается один или более виртуаль- ных IP-адресов. Аналогичным образом и сами устрой- ства UGMC могут при необходимости быть объединены в кластеры для уве- личения производительности или для повышения отказоустойчивости. Советы по внедрению Развертывание UGMC на предприятии требует предварительного планирова- ния. От того, насколько качественно продумана архитектура шаблонов, зави- сит простота и гибкость применения политик управления на межсетевых экра- нах. UGMC позволяет эффективно применять общие политики, группи- руя их по географическо- му, функциональному или смешанному принципам. При планировании архитектуры реко- мендуется: 1. Избегать конфликта настроек при добавлении шаблонов. Наличие кон- фликтов всегда усложняет управление конечными устройствами. Это осново- полагающий принцип, из которого выте- кают все другие рекомендации. 2. Разделять различные группы настроек в разные шаблоны. Например, общие настройки устройств стоит хра- нить в одном шаблоне, политики кон- тентной фильтрации – в другом, полити- ки межсетевого экранирования – в третьем, политики СОВ – в четвертом и т.д. Разнесение блоков настроек по разным шаблонам позволит избежать конфликта настроек и сделает центра- лизованное управление проще. 3. Создавать глобальные настройки в одних шаблонах, а необходимые для некоторых устройств специфические настройки – в других. Например, создать шаблон с правилами контентной фильт- рации, применяемый для всех устройств, и еще один шаблон с правилами контент- ной фильтрации, применяемый только для группы устройств. Варьируя положение этих двух шаблонов в группах устройств, администратор может выстроить правиль- ный порядок результирующих правил на конечных устройствах. Данная рекомен- дация допускает контролируемое количе- ство конфликтных настроек. 4. Помнить про полномочия локальных администраторов. Если предполагается наличие локальных администраторов, то их полномочия будут ограничены настройками тех параметров, которые не заданы через шаблоны UGMC, а пра- вила, созданные локальными админи- страторами, всегда помещаются между пре- и пос-правилами, применяемыми из UGMC. При необходимости настройки, задан- ные в шаблонах, можно изменять, чтобы эти изменения применялись ко всем МЭ, к которым применимы данные шаблоны. Форматы исполнения UGMC поставляется в виде программ- но-аппаратного комплекса (ПАК, Appli- ance) либо в виде образа виртуальной машины (Virtual Appliance), предназна- ченного для развертывания в виртуаль- ной среде. UserGate Management Center Virtual Appliance позволяет быстро развернуть виртуальную машину, с уже настроенны- ми компонентами. Образ создан в фор- мате OVF (Open Virtualization Format), который поддерживают такие вендоры, как VMWare, Oracle VirtualBox. Для Micro- soft Hyper-V и Linux KVM поставляется образ диска виртуальной машины. l • 49 ЗАЩИТА СЕТЕЙ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ компании "UserGate" см. стр. 60 NM Реклама