NGFW Континент 4

Обеспечение отказоустойчивости. Мониторинг и аудит

Обеспечение отказоустойчивости комплекса

Система мониторинга

  • позволяет осуществлять мониторинг узлов безопасности;
  • функции системы мониторинга: регистрация и аудит событиями, централизованный мониторинг состояния узлов безопасности;
  • типы журналов: системный, сетевой безопасности, управления (администрирования);
  • объекты мониторинга: кластер безопасности, узел безопасности, группы узлов безопасности;
  • для отображения сведений о состоянии объекта необходимо сформировать правила мониторинга;
  • правила мониторинга срабатывают в порядке от наиболее конкрентного к наименее конкретному;
  • статусы объектов: критический, предупреждение, информация;

Настройка подсистемы мониторинга

Резервное копирование и восстановление

  • УБ позволяет создавать резервную копию своей БД и осуществлять восстановление из неё;
  • при переинициализации УБ восстановление из резервной копии нужно произвести сразу после инициализации, до создания запроса на сертификат;
  • управление резервными копиями возможно как при локальном управлении, так и через Менеджер конфигурации;
  • создание резервной копии в Менеджере конфигурации:
    • ″Администрирование″ ‐> ″Резервные копии″ ‐> ″Резервная копия″;

  • создание резервной копии в меню локального управления:
    • ″Инструменты″ ‐> ″Резервное копирование и восстановление″ ‐> ″Создание резервной копии″;
    • резервная копия записывается на USB‐накопитель;
    • имя файла резервной копии ‐ backup_ID_YYYYMMDD_HHMMSS.c4b;

Восстановление из резервной копии:

  • после восстановления из резервной копии необходимо заново установить актуальные обновления ПО и вендорские правила;
  • восстановление из резервной копии БД ЦУС в Менеджере конфигурации:
    • ″Администрирование″ ‐> ″Резервные копии″;
    • выбрать нужную копию ‐> ″Восстановить″
  • восстановление из резервной копии в меню локального управления:
    • ″Инструменты″ ‐> ″Резервное копирование и восстановление″ ‐> ″Восстановление из резервной копии″;
    • восстановление производится из копии, записанной на USB‐накопитель;

    • если с момента создания резервной копии изменился адрес интерфейса управления, необходимо добавить новый адрес в качестве альтернативного и, при необходимости, изменить таблицу маршрутизации;
    • если при восстановлении межсетевой экран меняет режим работы ‐ необходимо перезагрузить ПО;
    • затем в Менеджере конфигурации, в свойствах УБ, настоить интерфейс управление; сохранить изменения и установить политику;

Восстановление конфигурации УБ из резервной копии ЦУС:

  • в случае недоступности УБ в текущей конфигурации ЦУС восстановить рабочую конфигурацию ЦУС из его резервной копии;
  • в Менеджере конфигурации создать сертификат УБ, создать и экспортировать конфигурацию проблемного УБ на USB;
  • провести повторную инициализацию и подключение УБ к ЦУС, по схеме ″от цента″;
  • в Менеджере конфигурации удалить прежний сертификат УБ, применить полученную конфигурацию;
  • установить политику на все УБ;
<< >>

Резервирование ЦУС. Основные сведения

  • основной и резервный ЦУС должны быть настроены на платформах, поддерживающих одинаковое количество подчинённых узлов безопасности;
  • может использоваться один или несколько резервных ЦУС;
  • каждый из резервных ЦУС должен иметь соответствующую лицензию;
  • активный ЦУС и все резервные ЦУС должны иметь одинаковую версию ПО;
  • рекомендуется экспортировать корневые сертификаты с закрытыми ключами, т.е. создать резервную копию этих сертификатов;
  • операции по установке и редактированию политик, изменения пользователей и добавление объектов ЦУС осуществляются только на активном ЦУС;
  • варианты задействования РЦУС:
    • РЦУС постоянно включен - синхронизаци базы данных происходит передачей изменений;
    • РЦУС постоянно выключен - РЦУС включается периодически, для синхронизации базы данных
  • синхронизация может быть:
    • полной;
    • синхронизация изменений
  • синхронизация выполняется:
    • по команде администратора;
    • автоматически, при изменении в базе данных

Статусы активного и резервного ЦУС

  • статусы активного ЦУС:
    • синхронизированный - база данных активного ЦУС синхронизирована с базой данных резервного ЦУС;
    • БД обновлена - база данных активного ЦУС имеет данные свежее, база данных резервного ЦУС;
    • БД синхронизируется - выполняется синхронизация базы данных резервного ЦУС с базой данных активного ЦУС;
    • конфликт - версия базы данных активного ЦУС старше базы данных резервного

  • статусы резервного ЦУС:
    • синхронизированный - база данных резервного ЦУС имеет ту же информацию, что и база данных активного ЦУС;
    • несинхронизированный - база данных резервного ЦУС несинхронизирована;
    • конфликт - версия базы данных резервного ЦУС младше версии базы активного ЦУС

Управление резервированием ЦУС

  • синхронизация активного и резервного ЦУС:
  • в Менеджере конфигурации: «Структура» ⟶ в контекстном меню РЦУС: «Резервирование» ⟶ «Синхронизация»;

  • перевод активного ЦУС в статус «Резервный»:
  • в Менеджере конфигурации: «Структура» ⟶ в контекстном меню РЦУС: «Резервирование» ⟶ «Сделать активным»;
  • затем, спустя приблизительно 15 минут, переподключиться к активному ЦУС

Резервный ЦУС. Обработка нештатных ситуаций

  1. Сбой в канале синхронизации:
    1. при подключении к активному ЦУС статус резерного «Несинхронизированный»:
      • после восстановления сети синхронизировать вручную активный и резервный ЦУС
    2. при подключении к резервному ЦУС, без перевода его статуса в активный, статус активного ЦУС – «БД обновлена»:
      • после восстановления сети привести базу резервного ЦУС к состояния идентичному базе активного ЦУС
    3. при подключении к резервному ЦУС c переводом его статуса в «Активный», текущий активный ЦУС переводится в резервный:
      • это случай, когда на старом активном ЦУС версия базы данных свежее, чем на новом активном ЦУС. В итоге база данных резервного ЦУС принимает состояние – «Конфликт».
      • администратор должен самостоятельно выбрать актуальную версию базы данных и выполнить полную синхронизацию
  1. Неисправность активного ЦУС:
    • подключиться к одному из резервных ЦУС и перевести его в состояние «Активный»;
    • выполнить диагностику базы данных на остальных резервных ЦУС и, при необходимости, выполнить полную синхронизацию;
    • после восстановления неисправного ЦУС, подключить его к сети как резервный; при необходимости, выполнить полную синхронизацию
  2. Восстановление БД активного ЦУС из резервной копии:
    • после восстановления версия БД активного ЦУС может стать старше версии БД резервного
<< >>

Условия работы кластера

  • возможность аппаратного резервирования отсутствует у УБ в режиме ДА;
  • виртуальный адрес кластера (внутренний или внешний) должен принадлежать той же сети, что и соответствующие адреса элементов кластера;
  • элементы кластера могут иметь статус «Активный» или «В ожидании»;
  • в ARP-кэше виртуальному адресу сопоставляется MAC-адрес активного узла кластера;
  • узлы кластера должны иметь:
    • одинаковые лицензии;
    • одинаковые аппаратные платформы;
    • одинаковые ПО, одной и той же версии;
    • синхронизированное системное время
  • для подключения интерфейсов резервирования должна использоваться отдельная сеть;
  • при работе кластера в режиме Web‐/FTP‐фильтра на узлах кластера должны быть установлены сертификаты SSL/TLS-инспекции;
  • в кластере с компонентами «Идентификация пользователей» и «Сервер доступа» не происходит синхронизация пользовательских сессий;
  • при отказе всех каналов синхронизации узел безопасности, в статусе «В ожидании», переходит в состояние «Остановлен»
  • Работоспособность кластера определяется:
    1. работоспособностью элемента;
    2. принудительно администратором;
    3. по позиции элемента в списков элементов кластера
  • Состояния узла безопасности:
    • исправный (исправный обновлённый – в случае обновления ПО на одном из компонентов кластера);
    • исправный с предупреждением – активный узел может обрабатывать трафик, но существуют ограничения или события, о которых нужно информировать администратора;
    • исправный, но не готов к работу – работоспособный узел безопасности не может обрабатывать трафик ввиду неправильных настроек или недоступности интерфейсов;
    • неисправный;
    • остановленный – логически "выключенный" работоспособный узел кластера, через который не проходит трафик, но который доступен для управления;
    • недоступный – физически "выключенный" узел безопасности или отключенный от среды передачи данных
  • Состояния кластера:
    • исправный;
    • исправный с предупреждениями;
    • критический – только один узел безопасности может обрабатывать трафик;
    • неисправный – ни один узел не может обрабатывать трафик;
    • выключенный – оба узла в состоние "остановленный" или "недоступный"
<< >>

Порядок настройки кластера

  1. Установка и настройка узлов кластера;

    2. На добавляемом узле не должно быть:

    • правил фильтрации,
    • правил трансляции,
    • политики L3VPN,
    • правил удалённого доступа
  2. Регистрация кластера;
  3. Настройка интерфейсов кластера;
  4. Настройка параметров синхронизации узлов кластера;
  5. Дополнительная настройка;
  6. При необходимости, создание и привязка сертификата SSL‐/TLS‐инспекции;
  7. Установка политики на кластер

Настройка кластера

Регистрация кластера

Настройка осуществляется в Менеджере конфигурации!

  • в разделе «Структура» нажать «Кластер безопасности»;
  • заполнить поля "Название" и "Описание";
  • перейти в подраздел «Кластер безопасности» ⟶ «Кластер» ⟶ «Состав»;
  • добавить узлы безопасности в состав кластера, настроить их приоритет

Настройка интерфейсов

Сетевые параметры интерфейсов доступны для изменения только в свойствах кластера!

  • роль В кластере – использование в кластере для взаимодействия с защищаемой или внешней сетью;
  • роль Синхронизация в кластере – интерфейс синхронизации узлов кластера, необходимо использовать только физические интерфейсы;
  • роль Резервирование сети синхронизация – интерфейс синхронизации узлов кластера, необходимо использовать только физические интерфейсы;

    • Интерфейсы синхронизации не должны участвовать в правилах фильтрации и трансляции!


  • роль Не в кластере – используется для подключения к внутренней или внешней сети, резервирование этого интерфейса не используется

Настройка параметров синхронизации узлов кластера

  • Режим синхронизации:
    • FTFW – протокол с отслеживанием последовательности;
    • ALARM – протокол с периодической отсылкой сообщений о состоянии

  • Транспортный протокол синхронизации:
    • Unicast UDP;
    • Multicast UDP – многоадресная рассылка пакетов синхронизации

  • Автоматическое переключение при восстановление основного узла:
    • если отметка установлена – действует автоматическое обратное переключение на основной узел

  • Проверка доступности ЦУС:
    • если отметка установлена – при определении работоспособности узла также учитывается доступность ЦУС

Дополнительная настройка

  • Осуществляется через Менеджер конфигурации;
  • Назначение сертификатов – настраивается отдельно для каждого узла кластера;
  • Настройка DHCP – настраивается для кластера;
  • Настройка DNS – настраивается для кластера;
  • Настройка NTP – настраивается отдельно для каждого узла кластера;
  • Настройка аудита – настраивается для кластера;
  • Настройка доступа по SNMP – настраивается отдельно для каждого узла кластера;
  • Настройка канала синхронизации – настраивается для кластера;
  • Настройка маршрутизации – настраивается отдельно для каждого узла кластера;
  • Управление интерфейсами – настраивается отдельно для каждого узла кластера либо для кластера в целом;
  • Настройка сервера доступа – настраивается для кластера;
  • Настройка идентификации пользователей – настраивается для кластера
<< >>

Мониторинг и резервирование кластера

  • Сведения о работоспособности отображаются:
    1. в Менеджере конфигурации;
    2. в Системе мониторинга
  • Система мониторинга позволяет контролировать:
    1. состояние кластера;
    2. сеть синхронизации;
    3. целостность и идентичность, версию ПО;
    4. сетевые интерфейсы;
    5. параметры межсетевого экрана;
    6. параметры подсистемы управления;
    7. проверку доступности защищаемого ресурса;
    8. проверку доступности внешнего маршрутизатора
  • Настройка контроля доступности внешней/внутренней контрольной точки:
    • в Менеджере конфигурации: свойства кластера ⟶ Кластер безопасности ⟶ Кластер ⟶ Диагностика;
    • включить доступность внешней/внутренней котрольной точки;
    • выбрать интерфейс, через который будет проверяться доступность контрольной точки;
    • настроить адрес и маску контрольной точки, установить дополнительные параметры;
  • Резервирование кластера
    1. При локальном управлении: резервные копии узлов безопасности кластера создаются независимо друг от друга;
    2. Восстановление конфигурации УБ при локальном управлении: конфигурация узлов безопасности кластера восстанавливается независимо друг от друга;
    3. Восстановление кластера из конфигурации ЦУС:
      1. через Менеджер конфигурации, для узла безопасности, создать новый сертификат управления;
      2. экспортировать сертификат и конфигурацию;
      3. повторно инициализировать узел и провести его настройку;
      4. повторить восстановление конфигурации для резервного узла безопасности, удалить старые сертификаты узла безопасности
  • Резервирование кластера (продолжение)
    1. Замена узла безопасности (с тем же ID) в кластере:
      1. в меню локального управления: создать резервную копию заменяемого узла безопасности;
      2. остановить заменяемый узел безопасности, исключить его из кластера и завершить работу этого узла;
      3. заменить узел безопасности, восстановить его конфигурацию;
      4. установить политику на заменённый узел, добавить этот узел в кластер;
      5. установить политику на кластер;
<< >>

Настройка системы мониторинга

  • при использовании алгоритма ГОСТ Р 34.11‐2012:
    • экспоритировать корневой и персональный сертификаты;
    • установить корневой и персональный сертификат в свойствах узла безопасности;
    • установить политику, установить CRL-файл в хранилище Windows;
    • установить TLS‐клиент;
  • при использовании алгоритма RSA:
    • создать корневой и персональный сертификаты web‐мониторинга;
    • добавить сертификаты в свойства узла безопасности;
    • установить политику на ЦУС