Обслуживание

В разделе «Конфигурация» реализована возможность выполнять следующие действия:

  • создавать локальные резервные копии конфигурации;

  • экспортировать по расписанию текущую конфигурацию системы на удалённый FTP/SFTP/SMB-сервер;

  • восстанавливать конфигурацию;

  • сбрасывать настройки системы до начальных;

  • просматривать историю изменений с возможностью отмены действий.

Резервное копирование и восстановление

Резервное копирование конфигурации выполняется сохранением файла с расширением «xml». В дальнейшем данный файл возможно использовать для восстановления конфигурации при её повреждении, отката изменений конфигурации или переноса конфигурации на новое устройство.

Для создания локальной резервной копии конфигурации необходимо выполнить следующие действия:

  1. Перейти в подраздел резервного копирования («Система» - «Конфигурация» - «Резервные копии») (см. Рисунок – Сохранение текущей конфигурации).

  2. Для отключения создания резервной копии БД установить флажок для параметра «Не делать резервную копию базу данных RRD».

  3. Задать пароль для резервной копии в полях параметров «Пароль» и «Подтверждение», а затем нажать кнопку «Сохранить конфигурацию».

../../../_images/fw.ra.maintenance.1.1.png

Рисунок – Сохранение текущей конфигурации

  1. Следовать указаниям веб-браузера для сохранения конфигурационного файла.

История изменений

ARMA FW хранит историю вносимых изменений в конфигурацию для возможности просмотра изменений и отката к предыдущей версии.

Управление историей изменений осуществляется в одноимённом подразделе конфигурации («Система» - «Конфигурация» - «История изменений»).

Указание количества хранимых резервных копий

Для указания количества хранимых резервных копий конфигурации необходимо в блоке настроек «Количество резервных копий» задать требуемое значение (см. Рисунок – Настройка количества резервных копий) и нажать кнопку «Сохранить».

На каждое изменение конфигурации создаётся отдельная резервная копия. По истечении заданного количества резервных копий последняя копия будет удалена и создана новая.

../../../_images/fw.ra.maintenance.2.1.1.png

Рисунок – Настройка количества резервных копий

Просмотр истории изменений

Для просмотра истории изменений необходимо выполнить следующие действия:

  1. В блоке настроек «История изменений» (см. Рисунок – Выбор версий конфигурации для сравнения) установить флажки:

  • в левом столбце чек-боксов напротив ранней версии конфигурации;

  • в правом столбце чек-боксов напротив поздней версии.

../../../_images/fw.ra.maintenance.2.2.1.png

Рисунок – Выбор версий конфигурации для сравнения

  1. Нажать кнопку «Просмотреть отличия».

Отличия между выбранными версиями будут отображены в блоке «Отличия конфигурации» в универсальном формате diff-файла:

  • строки, начинающиеся со знака «-», показывают, что было удалено из конфигурации;

  • строки, начинающиеся со знака «+», показывают, что было добавлено в конфигурацию;

  • строки без вышеуказанных знаков показывают, что осталось без изменений (см. Рисунок – Просмотр изменений между конфигурациями).

../../../_images/fw.ra.maintenance.2.2.2.png

Рисунок – Просмотр изменений между конфигурациями

Возврат к предыдущей сохранённой конфигурации

Для возврата к предыдущей сохранённой конфигурации выполнить следующие действия:

  1. В строке выбранной конфигурации нажать кнопку «bttn.rstr» и, в открывшейся форме (см. Рисунок – Всплывающее окно о подтверждении действия), подтвердить действие, нажав кнопку «Да».

../../../_images/fw.ra.maintenance.2.3.1.png

Рисунок – Всплывающее окно о подтверждении действия

  1. В случае успешного возврата к предыдущей версии конфигурации появится соответствующее сообщение (см. Рисунок – Сообщение об успешном возврате к предыдущей версии конфигурации).

../../../_images/fw.ra.maintenance.2.3.2.png

Рисунок – Сообщение об успешном возврате к предыдущей версии конфигурации

Локальное сохранение конфигурации

Для локального сохранения конфигурации необходимо в строке выбранной конфигурации нажать кнопку «bttn.save» и следовать указаниям веб-браузера для скачивания файла.

Восстановление конфигурации

Восстановление конфигурации применяется для:

  • восстановления конфигурации при её повреждении;

  • отката изменений конфигурации;

  • переноса конфигурации на новое устройство, в том числе при настройке большого количества устройств с однотипными параметрами.

Восстановление возможно, как всей конфигурации ARMA FW, так и отдельных групп настроек – зон.

Для восстановления конфигурации необходимо выполнить следующие действия:

  1. Перейти в подраздел резервного копирования («Система» - «Конфигурация» - «Резервные копии»).

  2. В выпадающем списке «Восстановить зону» (см. Рисунок – Восстановление конфигурации) выбрать:

  • одну зону для восстановления отдельной зоны конфигурации;

  • несколько зон для восстановления нескольких зон конфигурации;

  • значение «ВСЕ» для восстановления конфигурации в полном объёме.

и нажать кнопку «Выберите файл».

../../../_images/fw.ra.maintenance.3.1.png

Рисунок – Восстановление конфигурации

  1. В открывшемся окне проводника выбрать файл резервной копии конфигурации и нажать кнопку «Открыть».

  2. Указать пароль в поле параметра «Пароль» и нажать кнопку «Восстановить конфигурацию».

  3. Ознакомиться с предупреждением в открывшейся форме и нажать кнопку «Восстановить».

Примечание

При выборе значения «ВСЕ» в выпадающем списке «Восстановить зону» возможна потеря управления ARMA FW вследствие восстановления настроек УЗ, сетевых интерфейсов, правил МЭ и т.п.

В случае, когда требуется развернуть большое количество устройств с однотипными параметрами, необходимо повторить описанные действия на всех устройствах. Для автоматизированного применения конфигураций на большом количестве устройств целесообразно использовать ARMA MC.

Процесс подключения ARMA FW к ARMA MC представлен в разделе «Подключение к ARMA MC».

Экспорт конфигурации на удалённый FTP/SFTP/SMB-сервер

Экспорт конфигурации на удалённые FTP/SFTP/SMB-серверы необходим для автоматического выполнения резервного копирования настроек ARMA FW.

ARMA FW поддерживает передачу данных по протоколу SMB 3.1.1.

Примечание

Для корректной передачи данных на принимающем сервере должно быть настроено шифрование.

Экспорт конфигурации выполняется в виде архива с расширением «tar.gz», который имеет следующую структуру имени:

  • «config_armaif_[версия ARMA FW]_[дата экспорта]_[время экспорта]_[локация].tar.gz»

например,

config_armaif_3.14_20250430_125959_MSK.tar.gz

Для настройки экспорта на удалённый FTP/SFTP/SMB-сервер необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки экспорта конфигурации («Система» - «Конфигурация» - «Настройки экспорта»).

  2. Установить флажок в параметре «Включен» и указать настройки экспорта для требуемого протокола:

  • FTP|SFTP:

    • «Адрес» – адрес сервера: IP-адрес, хост, доменное имя;

    • «Имя пользователя» – учётные данные;

    • «Пароль» – учётные данные;

    • «Путь к папке» – абсолютный путь к корневой папке. Путь должен начинаться с символа «/». В случае указания только символа «/» экспорт будет выполнен в корневую директорию;

    • «Интервал ожидания» – интервал ожидания в случае неудачной попытки, задаётся в секундах;

    • «Шифрование» – включить шифрование конфигурационного файла. Файл правил СОВ передаётся в открытом виде;

    • «Пароль шифрования» – указать пароль для шифрования конфигурационного файла. Пароль должен содержать хотя бы один символ. Поле доступно при активации функции шифрования;

    • «Исключить правила СОВ» – позволяет исключить правила СОВ из процесса экспорта. По умолчанию параметр отключён;

    • «Исключить RRD» – по умолчанию параметр активен, что позволяет исключить базы данных RRD из процесса экспорта.

    При активации «расширенного режима» (см. Рисунок – Настройки экспорта конфигурации) становится доступным параметр «FTP|SFTP порт», который позволяет изменить порт для подключения к FTP|SFTP-серверу. По умолчанию для FTP-сервера установлен порт «21», а для SFTP-сервера используется порт «22».

../../../_images/fw.ra.maintenance.4.1.png

Рисунок – Настройки экспорта конфигурации

  • SMB:

    • «Адрес» – адрес сервера: IP-адрес, хост, доменное имя;

    • «Общедоступный ресурс Samba» – имя общедоступного ресурса Samba;

    • «Имя пользователя» – учётные данные;

    • «Пароль» – учётные данные;

    • «Путь к папке» – относительный путь к корневой папке. Путь должен начинаться с символа «/». В случае указания только символа «/» экспорт будет выполнен в корневую директорию;

    • «Интервал ожидания» – интервал ожидания в случае неудачной попытки, задаётся в секундах.

    • «Шифрование» – включить шифрование конфигурационного файла;

    • «Пароль шифрования» – указать пароль для шифрования конфигурационного файла. Пароль должен содержать хотя бы один символ. Поле доступно при активации функции шифрования;

    • «Исключить правила СОВ» – по умолчанию этот параметр неактивен и при его включении позволяет исключить правила СОВ из процесса экспорта;

    • «Исключить RRD» – по умолчанию параметр активен, что позволяет исключить базы данных RRD из процесса экспорта.

  1. Для сохранения настроек необходимо нажать кнопку «Сохранить», а для сохранения настроек и последующего экспорта нажать кнопку «Сохранить и экспортировать».

После настройки рекомендуется убедиться в наличии файла конфигурации на удалённом сервере для проверки корректности работы экспорта.

Для сохранения и проверки корректности настроек экспорта конфигурации необходимо нажать кнопку «Сохранить и экспортировать». Перейти на удалённый сервер и убедиться в наличии файла конфигурации, если его нет, то убедиться в корректности настроек сервера и его доступа по сети. При необходимости только сохранения настроек необходимо нажать кнопку «Сохранить».

Экспорт конфигурации по расписанию

После успешной настройки экспорта конфигурации на удалённый сервер возможно настроить расписание выполнения экспорта с помощью планировщика задач Cron. Подробная настройка расписания описана в разделе «Cron» Руководства пользователя ARMA FW. При создании задачи необходимо выбрать «Экспорт конфигурации» в параметре «Команда».

Сброс настроек

Сброс настроек до заводских значений используется, например, в случае некорректной настройки устройства и невозможности его дальнейшего использования.

Сброс настроек возможен двумя способами:

Сброс настроек через веб-интерфейс

Для сброса настроек системы необходимо перейти в подраздел настроек конфигурации («Система» - «Конфигурация» - «Значения по умолчанию») и нажать кнопку «Да» (см. Рисунок – Первоначальные настройки системы). ARMA FW будет сброшен к первоначальным настройкам и выполнена перезагрузка.

../../../_images/fw.ra.maintenance.5.1.1.png

Рисунок – Первоначальные настройки системы

Обновление программного обеспечения

Обновления ПО представляются разработчиком или технической поддержкой.

Обновление ARMA FW производится через веб-интерфейс и доступно для версий 3.7.2 или выше.

Перед обновлением рекомендуется выполнить создание резервной копии конфигурации ARMA FW. Процесс создания резервной копии конфигурации ARMA FW описан в разделе «Резервное копирование и восстановление».

Примечание

Если текущая версия ARMA FW является более ранней, чем предыдущая от устанавливаемой, то обновление до новейшей версии возможно выполнять только последовательно, не пропуская промежуточные версии.

Примечание

Для корректного обновления ПО ARMA FW, работающих в режиме отказоустойчивого кластера, необходимо выполнить следующие действия:

  • отключить синхронизацию состояния всех ARMA FW, входящих в состав кластера;

  • обновить ПО каждого ARMA FW;

  • включить синхронизацию.

В зависимости от производительности платформы функционирования и применённой конфигурации процесс обновления ПО ARMA FW может выполняться в течение продолжительного времени.

Для обновления ARMA FW необходимо выполнить следующие действия:

  1. Перейти в подраздел настройки обновлений («Система» - «Прошивка» - «Обновления») (см. Рисунок – Обновление системы) и нажать кнопку «Выберите файл».

../../../_images/fw.ra.maintenance.6.1.png

Рисунок – Обновление системы

  1. В открывшемся окне проводника выбрать файл обновления, нажать кнопку «Открыть», а затем кнопку «Обновить сейчас».

  2. В появившемся уведомлении нажать кнопку «OK» (см. Рисунок – Уведомление перед обновлением ПО).

В случае необходимости отмены запуска процесса обновления ПО ARMA FW следует нажать кнопку «Прервать».

../../../_images/fw.ra.maintenance.6.2.png

Рисунок – Уведомление перед обновлением ПО

После запуска процесса обновления ПО будет выполнен переход на страницу с отображением журнала и прогресса выполнения обновления (см. Рисунок – Журнал обновления ПО).

../../../_images/fw.ra.maintenance.6.3.png

Рисунок – Журнал обновления ПО

  1. Дождаться окончания процесса обновления ПО ARMA FW.

Перед началом процесса обновления ПО автоматически будет выполнено резервное копирование текущей версии ПО ARMA FW. Архив с резервной копией «backup.tar.gz» будет расположен по пути – «/var/firmware/backup/backup.tar.gz». Вышеуказанный архив может быть использован для отката ARMA FW (см. «Откат ARMA FW»).

По окончании процесса обновления ПО будет инициирован перезапуск ARMA FW (см. Рисунок – Перезагрузка ARMA FW), после которого будет выполнен переход на страницу авторизации.

../../../_images/fw.ra.maintenance.6.4.png

Рисунок – Перезагрузка ARMA FW

Обновление базы решающих правил СОВ описано в разделе «Загрузка и включение наборов правил» Руководства пользователя ARMA FW.

Откат ARMA FW

ARMA FW поддерживает возможность отката к предыдущей версии ПО. Откат может выполняться для восстановления работоспособного состояния ARMA FW.

Перед выполнением отката следует предварительно удалить содержимое директорий ARMA FW «local», «boot», «conf», «etc», введя в интерфейсе командной строки следующие команды:

rm -rf /usr/local
rm -rf /boot
rm -rf /conf
rm -rf /etc

В случае завершения обновления ПО ARMA FW, приведшего к возникновению следующих недостатков, необходимо выполнить откат соответствующим способом:

  1. Некорректная работа каких-либо служб ARMA FW.

Для отката в случае некорректной работы каких-либо служб ARMA FW, следует перейти в интерфейс командной строки (см. «Доступ к командной строке»), ввести команду «tar -xzvf /var/firmware/backup/backup.tar.gz -C /». При необходимости выполнить перезагрузку ARMA FW (см. «Перезагрузка ARMA FW»).

  1. Невозможность запуска ARMA FW.

Для отката в случае невозможности запуска ARMA FW, следует обеспечить доступ к файловой системе ARMA FW и в корневую директорию распаковать архив с резервной копией – «backup.tar.gz», после чего выполнить запуск ARMA FW.

Контроль целостности

Контроль целостности необходим для отслеживания неизменности следующих программных частей ARMA FW (см. Рисунок – Контроль целостности программных частей системы):

  • «сonfiguration» – конфигурация системы;

  • «contrib» – сторонние вспомогательные библиотеки;

  • «firmware-product» – прошивка продукта;

  • «legacy-includes, mvc, www» – программный код, связанный с веб-сервером;

  • «scripts» – вспомогательные скрипты для различных задач;

  • «service» – программный код, связанный с серверным кодом и не связанный с веб-интерфейсом;

  • «site-python» – вспомогательные модули языка программирования Python, подключаемые в серверный код;

  • «version» – версионность продукта.

../../../_images/fw.ra.maintenance.7.1.png

Рисунок – Контроль целостности программных частей системы

Контрольные суммы автоматически пересчитываются при старте системы, но существуют дополнительные средства запуска проверки контрольных сумм:

  • вручную;

  • по расписанию.

При совпадении значений столбца «Ожидание» и «Вычисленное» значение столбца «Вычисленное» вычисленного значения контрольной суммы с эталонным столбец «Вычисленное» будет выделен зелёным цветом.

В случае, если какая-то из частей вышла из строя или была внештатно изменена, то значение столбца «Вычисленное» будет выделено красным цветом и появится уведомление о неуспешной проверке целостности вверху страницы (см. Рисунок – Неуспешная проверка целостности). Уведомление будет отображаться и при переходе в любой раздел веб-интерфейса.

../../../_images/fw.ra.maintenance.7.2.png

Рисунок – Неуспешная проверка целостности

Дополнительно существует возможность останавливать сервисы в случае нарушения целостности. Для этого необходимо установить флажок напротив поля «Остановить сервисы» и нажать кнопку «Сохранить». В случае нарушения целостности любой части ARMA FW, блокируется работа всех сервисов ARMA FW – дальнейшая эксплуатация невозможна, при этом появится соответствующее уведомление (см. Рисунок – Автоматическая блокировка межсетевого экрана).

../../../_images/fw.ra.maintenance.7.3.png

Рисунок – Автоматическая блокировка межсетевого экрана

Для продолжения эксплуатации ARMA FW необходимо произвести восстановление из установочного дистрибутива. Процесс восстановления идентичен повторной установке, но с последующим импортом конфигурации.

Запуск проверки контрольных сумм вручную

Для запуска проверки контрольных сумм вручную необходимо выполнить следующие действия:

  1. Перейти в подраздел контроля целостности системы («Система» - «Прошивка» - «Контроль целостности») (см. Рисунок – Контроль целостности программных частей системы).

  2. Нажать кнопку «bttn.refresh» напротив строки программной части, нуждающейся в проверке или нажать кнопку «Все» для запуска проверки всех программных частей ARMA FW.

Запуск проверки контрольных сумм по расписанию

Возможна настройка расписания выполнения проверки контрольных сумм ARMA FW с помощью планировщика задач Cron. Подробная настройка расписания представлена в разделе «Cron» Руководства пользователя ARMA FW. При создании задачи необходимо выбрать «Пересчитать все чек-суммы» в параметре «Команда».

Мониторинг аппаратной платформы

ARMA FW позволяет отслеживать информацию от датчиков аппаратной платформы, получаемую посредством утилиты «ipmitool».

Вышеуказанная информация может выводиться как в локальном консольном интерфейсе, так и в веб-интерфейсе ARMA FW.

Примечание

Не все аппаратные платформы поддерживают IPMI.

Для ознакомления с информацией от датчиков аппаратной платформы в локальном консольном интерфейсе необходимо перейти в интерфейс командной строки (см. «Доступ к командной строке») и ввести команду «ipmitool sdr» (см. Рисунок – Мониторинг аппаратной платформы).

../../../_images/fw.ra.maintenance.8.1.png

Рисунок – Мониторинг аппаратной платформы

Примечание

Не гарантируется абсолютная достоверность информации, получаемой посредством утилиты «ipmitool».

Поддерживается возможность вывода информации от какого-либо датчика аппаратной платформы.

В качестве примера приведена команда для ознакомления с информацией от датчика температуры процессора. Команду «ipmitool sensor get "CPU_TEMP"» необходимо ввести в интерфейсе командной строки (см. Рисунок – Информация от датчика температуры процессора).

../../../_images/fw.ra.maintenance.8.2.png

Рисунок – Информация от датчика температуры процессора

Для ознакомления с информацией от датчиков аппаратной платформы в веб-интерфейсе необходимо перейти в подраздел диагностики аппаратной платформы («Система» - «Диагностика» - «Аппаратная платформа») (см. раздел «Аппаратная платформа» Руководства пользователя ARMA FW).

Подключение к ARMA MC

ARMA FW позволяет отправлять системные события и события безопасности в единый центр управления ARMA MC.

Взаимодействие ARMA MC и ARMA FW осуществляется по протоколу HTTPS.

Для успешной обработки событий от ARMA FW в ARMA MC необходима точная синхронизация времени между устройствами. Перед началом настройки следует убедиться в доступности устройств и при необходимости добавить разрешающее правило МЭ.

Для подключения ARMA FW к ARMA MC необходимо выполнить следующие шаги:

  1. В ARMA FW создать УЗ с правами администратора и с ключом API. Процесс создания УЗ в ARMA FW описан в разделе «Учётные записи и права доступа» Руководства пользователя ARMA FW.

  2. В ARMA MC добавить источник событий. Процесс добавления источника событий описан в разделе «Источник «Industrial Firewall»» Руководства пользователя ARMA MC.

  3. В ARMA FW настроить экспорт событий в формате «CEF» («Система» - «Настройки» - «Экспорт событий»), указав следующие значения параметров:

  • «Транспортный протокол» – «UDP(4)»;

  • «Формат» – «CEF»;

  • «Имя хоста» – IP-адрес или доменное имя ARMA MC;

  • «Порт» – порт, указанный при добавлении источника событий.

Настройка экспорта событий syslog описана в разделе «Сервис Syslog» Руководства пользователя ARMA FW.