Для установки ARMA Стена используется ISO-образ, который представляет собой файл, содержащий все необходимые данные для установки операционной системы в режиме реального времени. Установка ARMA Стена производится с USB-накопителя.
Для записи установочного образа «ARMA Стена» на USB-накопитель необходимо использовать специализированное программное обеспечение для записи образов на внешние накопители, такое как «Rufus» (https://rufus-usb.ru.uptodown.com/windows). Запись образа производится в соответствии с инструкцией по использованию данного программного обеспечения.
Для установки ARMA Стена необходимо выполнить следующие шаги:
Загрузить ARMA Стена в режиме «live».
Выполнить установку образа.
Примечание
После установки системы ARMA Стена весь транзитный трафик будет блокироваться.
Для загрузки ARMA Стена в режиме «live» необходимо выполнить следующие действия:
Подключить подготовленный USB-накопитель с установочным образом в один из доступных USB-портов на аппаратной платформе. Аппаратная платформа во время подключения установочного USB-накопитель должна быть выключена.
Включить аппаратную платформу.
Выбрать в течение 10 секунд с помощью клавиш клавиатуры со стрелками вверх и вниз, в открывшемся меню варианты загрузки (см. Рисунок – Варианты загрузки ОС):
«Live system (amd64–ngfwos)» – стандартная загрузка, выполняется по умолчанию;
«Live system (amd64–ngfwos fail–safe mode)» – загрузка в безопасном режиме (Initramfs).
В качестве примера приведено описание установки образа ARMA Стена на один жёсткий диск, без деления на несколько разделов. Вводимые команды могут отличаться для каждой конкретной ситуации.
Для запуска процесса установки образа ARMA Стена необходимо выполнить следующие действия:
Ввести команду «install image»:
admin@ngfwos:~$ install image
и нажать клавишу «ENTER».
В процессе установки системой будут выводиться запросы, в некоторых случаях содержащие предлагаемый ответ по умолчанию, заключённый в скобки.
При необходимости отмены выполнения команды, следует нажать комбинацию клавиш «CTRL» + «C».
Подтвердить запуск процесса установки ARMA Стена. Ввести «y» и нажать клавишу «ENTER»:
This command will install NGFWOS to your permanent storage.
Would you like to continue? [y/N]
Ввести имя образа и нажать клавишу «ENTER»:
What would you like to name this image? (Default: номер_релизной_версии_ПО)
Ввести новый пароль для УЗ «admin» и нажать клавишу «ENTER»:
Please enter a password for the "admin" user:
Ввести повторно пароль для УЗ «admin» и нажать клавишу «ENTER»:
Please confirm password for the "admin" user:
Если требуется создать API-ключ для доступа к веб-интерфейсу системы, следует ввести «Y» и нажать «ENTER»:
Would you like to set API key? [Y/n]
6.1. Ввести дополнительный новый пароль, который будет использоваться в качестве API-ключа для УЗ «admin», и нажать клавишу «ENTER»:
Please enter API key for the "admin" user:
6.2. Повторно ввести дополнительный пароль для УЗ «admin» и нажать клавишу «ENTER»:
Please confirm API key for the "admin" user:
Примечание
В системе ARMA Стена пароли хранятся в зашифрованном виде.
Нажать клавишу «ENTER» на следующий запрос:
What console should be used by default? (K: KVM, S: Serial)? (Default: K)
Ввести имя раздела для установки и нажать клавишу «ENTER»:
Which one should be used for installation? (Default: /dev/sda)
Примечание
В случае, если в ПАК установлено два диска, система предложит настроить конфигурацию RAID-1. Для отказа от настройки RAID-1 необходимо ввести «n» и нажать клавишу «ENTER»:
Probing disks
2 disk(s) found
Would you like to configure RAID-1 mirroring? [Y/n]
При подтверждении конфигурации RAID-1 система выведет запрос на добавление перечисленных дисков в массив. Для объединения дисков в RAID-1 необходимо ввести «Y» и нажать клавишу «ENTER»:
The following disks were found:
/dev/sda (469.0 GB)
/dev/sda (469.0 GB)
Would you like to configure RAID-1 mirroring on them? [Y/n]
Примечание
В случае выполнения установки с USB-накопителя, система определит его как второй жёсткий диск и предложит настроить конфигурацию RAID-1. Для корректного продолжения установки следует отказаться от настройки RAID. Для этого необходимо ввести «n» и подтвердить действие нажатием клавиши «ENTER».
Ввести «y» и нажать клавишу «ENTER» для подтверждения удаления всех данных с устройства:
Installation will delete all data on the drive. Continue? [y/N]
Примечание
Все данные на диске будут безвозвратно удалены.
Нажать клавишу «ENTER» на следующий запрос:
Would you like to use all the free space on the drive? [Y/n]
Программа предложит выбрать следующие доступные конфигурационные файлы для загрузки:
Creating partition table...
The following config files are available for boot:
1: Default live boot config
2: DHCP client on eth0, SSH
3: DHCP client on eth0, SSH, 192.168.1.1 on eth1, IPS minimal
Which file would you like as boot config? (Default: 2)
Система ARMA Стена автоматически устанавливает определённый набор настроек в зависимости от выбранного конфигурационного файла:
1 конфигурационный файл – установка конфигурационного файла с заводскими настройками.
2 конфигурационный файл(используется по умолчанию) – установка конфигурационного файла с заводскими настройками, включающие в себя следующие дополнительные настройки:
доступа к системе по протоколу SSH (порт 22);
автоматическое получение IP-адреса на сетевом интерфейсе «eth0» по протоколу DHCP.
3 конфигурационный файл – установка конфигурационного файла с заводскими настройками, включающие в себя следующие дополнительные настройки:
доступа к системе через протокол SSH (порт 22);
автоматическое получение IP-адреса на сетевом интерфейсе «eth0» по протоколу DHCP;
статический IP-адрес 192.168.1.1 на сетевом интерфейсе «eth1»;
настроен DHCP-сервер c диапазоном IP-адресов от 192.168.1.100 до 192.168.1.254;
включение правил Suricata в режиме захвата «IDS» на сетевом интерфейсе «eth0».
Ввести номер конфигурационного файла и нажать клавишу «ENTER».
После завершения процесса установки образа, системой будет выведено сообщение о необходимости выполнить перезагрузку ARMA Стена. Извлечь USB-носитель с установочным образом и в командной строке ввести команду «reboot»:
The image installed successfully; please reboot now.
admin@ngfwos:~$ reboot
Подтвердить перезагрузку системы введя «y» и нажав клавишу «ENTER»:
Are you sure you want to reboot this system? [y/N] y
После перезагрузки ARMA Стена будет отображено приглашение авторизации в локальном консольном интерфейсе:
Welcome to NGFWOS – ngfwos tty1
ngfwos login:
Для входа в локальный консольный интерфейс необходимо указать учётные данные, нажимая клавишу «ENTER» после каждого ввода:
«ngfwos login:» – «admin»;
«Password:» – пароль, заданный на этапе установки образа ARMA Стена (пункт 4).
При первоначальной загрузке необходимо произвести активацию лицензии ARMA Стена. Процесс активации лицензии подробно описан в разделе «Управление лицензией» настоящего руководства.
Настройка системы производится в режиме конфигурирования. Подробное описание работы в режиме конфигурирования представлено в разделе «Конфигурационный режим» настоящего руководства.
Просмотр конфигурации интерфейсов возможен с помощью команды «show interfaces». В случае выполнения вышеуказанной команды в режиме конфигурирования дополнительно будет отображена информация о MAC-адресах.
Интерфейсам по умолчанию назначается имя «ethN», где «N» – идентификатор, присвоенный интерфейсу системой.
Используемые далее имена интерфейсов и IP-адреса приведены в качестве примера и могут отличаться для каждой конкретной ситуации.
Для назначения IP-адреса на интерфейсе необходимо ввести команду «set interfaces ethernet eth1 address 192.168.22.1/24»:
[edit]
admin@ngfwos# set interfaces ethernet eth1 address 192.168.22.1/24
где:
«eth1» – имя интерфейса;
«192.168.22.1/24» – IP-адрес в формате CIDR.
При необходимости получения IP-адреса на интерфейсе «eth0» по протоколу «DHCP» необходимо ввести команду «set interfaces ethernet eth0 address dhcp»:
[edit]
admin@ngfwos# set interfaces ethernet eth0 address dhcp
Возможно добавление описания интерфейса с помощью команды «set interfaces ethernet eth1 description LAN»:
[edit]
admin@ngfwos# set interfaces ethernet eth1 description 'LAN'
где «LAN» – описание для интерфейса.
Пример вывода информации о настроенных интерфейсах:
[edit]
admin@ngfwos# show interfaces
ethernet eth0 {
address dhcp
description WAN
hw-id 00:50:56:bd:ca:9e
}
ethernet eth1 {
address 192.168.22.1/24
description LAN
hw-id 00:50:56:bd:f5:cd
}
loopback lo {
}
Процесс настройки сетевых интерфейсов подробно описан в разделе «Сетевые интерфейсы» Руководства пользователя ARMA Стена.
Примечание
В случае ошибки в конфигурации сетевых интерфейсов существует возможность потери сетевого доступа к системе ARMA Стена.
ARMA Стена версии 4.5 поставляется с базовым интерфейсом командной строки (CLI) для управления. Для удобства настройки и контроля работы системы ARMA Стена предусмотрена интеграция с ПО ARMA Management Console (МС) начиная с версии 1.8 и выше, которая предоставляет полноценный графический интерфейс пользователя (GUI) системы.
Для обеспечения доступа МС к системе ARMA Стена необходимо выполнить процедуру активации системы (см. Активация системы ARMA Стена) и установить API ключ для HTTP-запросов.
Для создания и установки API ключа необходимо ввести следующую команду в конфигурационном режиме:
set service https api keys user <УЗ> key <key>
где:
<УЗ> - имя локальной учётной записи в системе ARMA Стена;
<key> - пользовательский пароль (API-ключ) для локальной учётной записи <УЗ>. Данные параметры будут использоваться для взаимодействия с МС.
Примечание
При использовании API-ключа, созданного для учётной записи с ограниченными привилегиями в системе ARMA Стена (см. раздел «Назначение прав доступа пользовательским учётным записям» руководства администратора ARMA Стена), доступ к функциональным возможностям веб-интерфейса ARMA Стена в МС будет предоставлен в соответствии с уровнем прав, назначенных данной учётной записи. В случаях, когда доступ к определённому разделу отсутствует, в нижнем левом углу экрана будет отображаться сообщение об ошибке: «Request failed with status code 500».
Примечание
Рекомендуется создать API-ключ для учётной записи, относящейся к классу «NGFW_Administrators», либо использовать встроенную учётную запись «admin». В случае если при инсталляции системы ARMA Стена для учётной записи «admin» был создан API-ключ, и данная учётная запись будет использоваться для подключения к МС, выполнять команду «set service https api keys …» не требуется. В этом случае будет использоваться ключ, указанный в процессе инсталляции.
Применить настройки командой commit:
admin@ngfwos# commit
WARNING: No certificate specified, using build-in self-signed
certificates. Do not use them in a production environment!
[ service https ]
WARNING: No certificate specified, using build-in self-signed
certificates. Do not use them in a production environment!
Сохранить конфигурацию командой save:
admin@ngfwos# save
Для подключения ARMA Стена к МС необходимо выполнить следующие шаги:
Авторизоваться в веб-интерфейсе МС.
Выбрать раздел меню «Администрирование», затем – подраздел «Источники» (см. Рисунок – Источники).
«Наименование» – отображаемое в МС имя устройства. Параметр может содержать только латинские и кириллические буквы, пробел, спецсимволы («.», «_», «-») и не может превышать 128 символов;
«IP-адрес» – IP-адрес подключаемой ARMA Стена;
«Логин пользователя» – ввести имя учётной записи (<УЗ>), используемой для создания API-ключа в системе ARMA Стена;
«API-Ключ» – ввести пароль (<key>), указанный при создании API-ключа для учётной записи (<УЗ>) в ARMA Стена;
«Порт» – значение порта входящих логов. Указываются порты в диапазоне от «1500» до «65535». Значение должно быть уникальным, не заданным ранее в источниках МС.
При необходимости заполнить поле «Описание» дополнительной информацией об устройстве. Поле может содержать не более 250 символов.
Рисунок – Добавление нового источника событий «NGFW»
После сохранения настроек в столбе «Статус» таблицы «Источники» отобразится значение «Подключено». При указании неверных учётных данных МС отобразит статус «Не авторизован». Статус «Ошибка» отображается, если произошла ошибка, которая может быть связана с аппаратным или программным обеспечением источника «NGFW», а также при использовании данных несуществующей локальной учётной записи в ARMA Стена.
Порядок работы в веб-интерфейсе системы ARMA Стена описан в Приложение А «Веб-интерфейс» руководства пользователя ARMA Стена.
