Для перезагрузки ARMA Стена необходимо в эксплуатационном режиме ввести команду «reboot», а затем ввести «y» и нажать клавишу «ENTER» на запрос «Are you sure you want to reboot this system? [y/N]».
admin@ngfwos:~$ reboot
Are you sure you want to reboot this system? [y/N] y
Для выключения ARMA Стена необходимо в эксплуатационном режиме ввести команду «poweroff», а затем ввести «y» и нажать клавишу «ENTER» на запрос «Are you sure you want to poweroff this system? [y/N]».
admin@ngfwos:~$ poweroff
Are you sure you want to poweroff this system? [y/N] y
ARMA Стена использует единый конфигурационный файл для всей системы — /config/config.boot. Это позволяет легко создавать шаблоны, делать резервные копии и тиражировать конфигурацию системы. Также есть возможность сохранения конфигурации на удалённый сервер для архивации или резервного копирования.
В системе ARMA Стена предусмотрены три основных типа конфигурации:
Активная конфигурация – это конфигурация системы, которая в данный момент загружена и используется. Любое изменение конфигурации должно быть зафиксировано, чтобы оно стало принадлежать активной конфигурации.
Рабочая конфигурация – это конфигурация, которая в данный момент изменяется в конфигурационном режиме. Изменения, внесённые в рабочую конфигурацию, не вступают в силу до тех пор, пока они не будут зафиксированы командой «commit». В этот момент рабочая конфигурация становится активной конфигурацией.
Сохранённая конфигурация – это конфигурация, которая была сохранена в файл с помощью команды «save». Это позволяет сохранить конфигурацию для последующего использования. Файлов конфигурации может быть несколько. Конфигурация по умолчанию или «загрузочная» сохраняется и загружается из файла /config/config.boot.
Для просмотра параметров активной конфигурации необходимо ввести команду «show configuration».
admin@ngfwos:~$ show configuration
Навигация при просмотре выведенной информации, осуществляется с помощью клавиш клавиатуры со стрелками вверх и вниз. Для завершения просмотра параметров конфигурации следует нажать клавишу «q».
Для просмотра нумерованного списка всех существующих локальных версий конфигурации (см. Рисунок – Список резервных версий конфигурации) необходимо в эксплуатационном режиме ввести следующую команду:
Для указания максимально возможного количества локально хранящихся версий конфигурации необходимо ввести следующую команду:
set system config-management commit-revisions <N>
где <N> – максимально возможное количество хранящихся активных конфигураций. Возможно указание значения в диапазоне от «1» до «65535». По умолчанию используется значение «100».
В случае достижения установленного количества хранящихся версий, будет перезаписываться самая ранняя сохранённая версия.
Примечание
При увеличении размера конфигурационного файла процесс применения новых настроек может замедлиться, а также может увеличиться время загрузки системы, поскольку для обработки объёмного конфигурационного файла при загрузке может потребоваться больше времени.
Для выполнения сравнения различных версий конфигурации следует использовать команду «compare».
Возможны следующие варианты сравнения конфигураций:
Для сравнения версии активной конфигурации <N> с версией <M> необходимо ввести следующую команду:
compare <N> <M> [commands]
где <N> и <M> – номера версий активной конфигурации.
Выведенный список будет содержать информацию о добавленных и удалённых параметрах версии активной конфигурации <N> относительно версии <M> в виде строк, отмеченных знаками «+» и «-» соответственно.
Дополнительный параметр «commands» выводит различие конфигураций в виде команд.
Для сравнения рабочей и активной конфигурации необходимо ввести следующую команду:
compare
Для сравнения рабочей и активной конфигурации и вывода списка команд «set», выполненных в рабочей конфигурации, необходимо ввести следующую команду:
compare commands
Для сравнения рабочей конфигурации с сохранённой необходимо ввести следующую команду:
compare saved
Для сравнения рабочей конфигурации с выбранной версией <N> активной конфигурации необходимо ввести следующую команду:
compare <N> [commands]
где <N> – номер версии активной конфигурации.
В эксплуатационном режиме для сравнения рабочей и активной конфигурации необходимо ввести следующую команду:
~$ show system commit diff <N>
Примечание
Для текущего пользователя команда compare позволяет просматривать изменения только в тех разделах конфигурации, которые были указаны в его пользовательском классе в параметре «configure-command show [раздел_конфигурации]». Если изменения, внесённые с помощью команд set или delete, не затрагивают разрешённые для отображения разделы, то на экране появится сообщение «No changes between working and active configurations» или, в случае использования команды compare commands, пустая строка.
Если у пользовательского класса указана общая команда «configure-command show», то будут показаны все изменения во всех разделах конфигурации без каких-либо ограничений.
Если команда show не задана ни для конкретных разделов, ни в общем виде, то также появится сообщение «No changes between working and active configurations» (или пустая строка для команды compare commands), даже если были внесены изменения в конфигурацию.
Для выполнения восстановления конфигурации к какой-либо версии активной конфигурации необходимо использовать команду «rollback».
В процессе восстановления автоматически будет создана сохранённая конфигурация, аналогичная выбранной версии активной конфигурации, и выполнена перезагрузка ARMA Стена, для подтверждения которой необходимо ввести «y» и нажать клавишу «ENTER»:
Для экспорта конфигурационного файла в указанную директорию необходимо ввести следующую команду:
save <track>/<file>
где:
<track> – директория для сохранения;
<file> – имя файла конфигурации.
Возможны следующие варианты экспорта файла конфигурации:
<file> – экспорт файла конфигурации на локальный диск в файл с указанным именен:
[edit]
admin@ngfwos# save /config/test.boot
Если указано только имя файла, без каталога для сохранения, то файл будет сохранён в каталоге пользователя, от имени которого была выполнена команда. Например, для пользователя с именем admin это будет каталог /home/admin/.
scp://<user>:<passwd>@<host>:/<file> – экспорт файла на удалённый сервер SCP.
sftp://<user>:<passwd>@<host>/<file> – экспорт файла на удалённый сервер SFTP.
ftp://<user>:<passwd>@<host>/<file> – экспорт файла на удалённый сервер FTP.
tftp://<host>/<file> – экспорт файла на удалённый компьютер.
где:
<user> – имя УЗ;
<passwd> – пароль УЗ;
<host> – адрес компьютера.
В качестве примера приведены команды для выполнения:
экспорта конфигурационного файла под именем «ngfw1.config.boot» на удалённый компьютер «tftр://192.168.0.100»:
save tftp://192.168.0.100/ngfw1.config.boot
экспорта конфигурационного файла под именем «ngfw1.config.boot» в локальную директорию по умолчанию «/config/»:
ARMA Стена позволяет экспортировать конфигурацию на удалённый сервер после каждого выполнения команды «commit».
Поддерживается экспорт на удалённые серверы по следующим протоколам: TFTP, FTP, SCP, SFTP. В случае успешного выполнения команды «commit» копия файла «config.boot» экспортируется на указанный удалённый сервер. Файл будет сохранён с именем следующего вида:
«config.boot-hostname.ГГГГММДД_ЧЧММСС».
Для назначения ресурса для удалённого хранения копий конфигурационного файла:
set system config-management commit-archive location <URI>
где <URI> – идентификатор ресурса.
Для удалённого расположения архива конфигурации возможно использование следующих шаблонов <URI>:
http://<user>:<passwd>@<host>:/<dir>
https://<user>:<passwd>@<host>:/<dir>
ftp://<user>:<passwd>@<host>/<dir>
sftp://<user>:<passwd>@<host>/<dir>
scp://<user>:<passwd>@<host>/<dir>
tftp://<host>/<dir>
git+https://<user>:<passwd>@<host>/<path>
где:
<user> – имя УЗ;
<passwd> – пароль УЗ;
<host> – адрес компьютера;
<dir> – директория для сохранения файла конфигурации.
Обновление системы ARMA Стена поставляется в виде файла в формате «ISO».
Возможны следующие способы получения файла обновления ARMA Стена:
Загрузка файла с удалённого сервера InfoWatch ARMA;
USB-накопитель, предоставляемый InfoWatch ARMA.
Примечание
После обновления системы лицензия становится недействительной. Требуется повторная активация ARMA Стена с использованием нового лицензионного ключа.
Рекомендуется заранее обратиться в службу технической поддержки ООО «ИнфоВотч АРМА» для получения нового ключа активации.
Примечание
После обновления системы будет создан новый экземпляр глобального журнала событий. Все предыдущие записи событий останутся доступны в старой версии системы.
Примечание
Перед обновлением рекомендуется выполнить резервное копирование конфигурации ARMA Стена. Процесс создания резервной копии конфигурации описан в разделе «Экспорт конфигурации» настоящего руководства.
Примечание
Перед обновлением необходимо выполнить резервное копирование пользовательских правил СОВ. По умолчанию все правила СОВ хранятся в каталоге «/var/lib/suricata/rules/».
Для выполнения данной операции возможно использовать программное обеспечение, поддерживающее передачу файлов по протоколам SFTP или SCP (например, WinSCP для операционной системы Windows), либо воспользоваться командой «scp» через интерфейс командной строки. Возможны также альтернативные способы передачи данных.
Команда выполнит копирование файла пользовательских правил СОВ «user.rules» из каталога «/var/lib/suricata/rules/» в каталог «/config/» на системе ARMA Стена, доступной по IP-адресу 172.16.20.105.
После обновления системы требуется восстановить файл пользовательских правил СОВ в исходный каталог либо указать новое расположение файла в конфигурации Suricata. Для этого необходимо выполнить команду в конфигурационном режиме: «set suricata rule-files file-name /config/user.rules».
Примечание
Если в системе настроена аутентификация по протоколу Kerberos, перед выполнением обновления необходимо скопировать файл «*.keytab» из каталога «/home/admin/» (каталог указан по умолчанию и может отличаться от фактически используемого пользователем) в каталог «/config/».
В случае необходимости сохранения критически важных данных, таких как внешние сертификаты или пользовательские скрипты, которые расположены за пределами директории «/config/», требуется осуществить их предварительное копирование в указанную директорию перед выполнением обновления.
После завершения обновления системы следует вернуть перенесённые файлы обратно в их первоначальные директории.
Примечание
Для корректного выполнения обновления системы ARMA Стена в режиме отказоустойчивого кластера с настроенной синхронизацией конфигурации следует придерживаться следующего порядка действий:
Выполнить обновление программного обеспечения на резервной системе ARMA Стена.
После успешного завершения обновления резервной системы произвести обновление основной (мастер) системы ARMA Стена.
Во время обновления одного из узлов кластера ARMA Стена отключать второе устройство, которое не участвует в обновлении, не требуется.
В процессе обновления устройств не рекомендуется вносить изменения в конфигурационный файл на обоих устройствах ARMA Стена, чтобы избежать возможных конфликтов или некорректного применения настроек.
Примечание
В версии ARMA Стена 4.5 по умолчанию применяется блокировка всего транзитного трафика. При обновлении с версии 4.4 до 4.5 блокировка транзитного трафика не активируется, так как в версии 4.4 данное ограничение отсутствовало. Для активации блокировки транзитного трафика после обновления необходимо выполнить в конфигурационном режиме команду: «set firewall <ipv4 | ipv6 | bridge> forward filter default-action accept».
Примечание
Начиная с версии ARMA Стена4.5, в систему по умолчанию интегрированы стандартные классы пользователей, а также специальный класс для встроенной учётной записи «admin» - «NGFW_Super_Administrators».
При обновлении системы с версии 4.4 до 4.5 или выше, в случае, если для встроенной учётной записи «admin» был назначен пользовательский класс, после завершения обновления данной учётной записи будет автоматически присвоен предопределенный системный класс «NGFW_Super_Administrators».
Для установки обновления необходимо выполнить следующие действия:
Авторизоваться в системе ARMA Стена посредством встроенной учетной записи «admin» либо учетной записи, принадлежащей к классу с назначенными полномочиями на выполнение команды установки обновлений системы в эксплуатационном режиме - «add» (см. раздел «Назначение прав доступа пользовательским учётным записям»).
Скопировать полученный ISO-образ обновления в локальную директорию файловой системы ARMA Стена.
Для выполнения данной операции возможно использовать программное обеспечение, поддерживающее передачу файлов по протоколам SFTP или SCP (например, WinSCP для операционной системы Windows), либо воспользоваться командой «scp» через интерфейс командной строки. Возможны также альтернативные способы передачи данных.
В эксплуатационном режиме ввести следующую команду:
admin@ngfwos:~$ add system image </config/ngfw-4.5.iso>
где:
</config/ngfw-4.5.iso> – путь к файлу обновления, приведён в качестве примера;
В случае успешной проверки установщиком контрольной суммы ISO-образа, указать имя сборки и нажать клавишу «ENTER»:
Validating image checksums
What would you like to name this image? (Default: номер_релизной_версии_ПО)
Ввести «y» и нажать клавишу «ENTER» для назначения новой конфигурации в качестве используемой для загрузки по умолчанию:
Would you like to set the new image as the default one for boot? [Y/n]
Для сохранения текущей конфигурации ввести «y» и нажать клавишу «ENTER»:
An active configuration was found. Would you like to copy it to the new image? [Y/n]
Для сохранения SSH-ключей текущей конфигурации ввести «y» и нажать клавишу «ENTER» :
Copying configuration directory
Would you like to copy SSH host keys? [Y/n]
Примечание
В случае отсутствия свободного места на диске установка будет отменена.
При успешном завершении обновления перезагрузить ARMA Стена:
Copying SSH host keys
Copying system image files
Cleaning up
Unmounting target filesystems
Removing temporary files
# Команда перезагрузки системы:
admin@ngfwos:~$ reboot
# Ввести «y» для подтвержения перезагрузки системы:
Are you sure you want to reboot this system? [y/N] y
Примечание
В случае недоступности системы ARMA Стена по сети после выполнения процедуры перезагрузки, требуется инициировать повторную перезагрузку устройства через локальный интерфейс CLI. Данное действие обеспечит восстановление сетевого доступа к системе.
Переназначить используемый для загрузки по умолчанию образ ARMA Стена возможно следующими способами:
с помощью ввода команды «set system image default-boot» в эксплуатационном режиме;
с помощью меню GRUB.
Для переназначения используемого для загрузки по умолчанию образа ARMA Стена необходимо в командной строке выполнить следующие действия:
В эксплуатационном режиме ввести команду «set system image default-boot»:
admin@ngfwos:~$ set system image default-boot
Определить в выведенном списке образ для загрузки по умолчанию, ввести номер соответствующей строки и нажать клавишу «ENTER»:
The following images are available:
1: 4.5 (running) (default boot)
2: 4.4
Select an image to set as default:
Перезагрузить ARMA Стена:
Select the default boot image: 2
The image "4.4" is now default boot image
admin@ngfwos:~$ reboot
Для установки образа ARMA Стена, используемого для загрузки, через меню GRUB, необходимо выполнить перезагрузку системы. В течение 5 секунд после старта процесса загрузки следует выбрать требуемый образ из списка, представленного в меню GRUB (см. Рисунок – Выбор образа для загрузки).
Для удаления архивного образа ARMA Стена с целью освобождения места на диске следует выполнить следующие действия:
В эксплуатационном режиме ввести команду «delete system image»:
admin@ngfwos:~$ delete system image
Определить в выведенном списке образ, подлежащий удалению, ввести номер соответствующей строки, например «2», и нажать клавишу «ENTER»:
The following image(s) can be deleted:
1: 4.5 (running) (default boot)
2: 4.4
Select an image to delete: 2
Примечание
Если образ системы, предназначенный для удаления, назначен в качестве загрузочного по умолчанию, система выведет предупреждение о невозможности его удаления. Для выполнения операции необходимо сначала переназначить загрузочный образ по умолчанию на другой, а затем повторно выполнить команду удаления.
Ввести «y» и нажать клавишу «ENTER» для подтверждения удаления:
Do you really want to delete the image 4.4? [y/N] y
По завершении процесса будет выведено сообщение об успешном удалении образа: «The image "4.4" was successfully deleted».
Для просмотра информации о текущей версии конфигурации необходимо в эксплуатационном режиме ввести команду «show version».
Для просмотра информации о сохранённых образах необходимо в эксплуатационном режиме ввести команду «show system image».
Служба NTP позволяет устанавливать и поддерживать системное время, синхронизированное с серверами точного времени.
В ARMA Стена используется протокол NTPv4, соответствующий международному стандарту «RFC-5905». Обмен с серверами информацией о временных метках выполняется по протоколу UDP через порт «123».
ARMA Стена использует следующие адреса NTP-серверов первого уровня:
«ntp1.vniiftri.ru»;
«ntp2.vniiftri.ru»;
«ntp3.vniiftri.ru»;
«ntp4.vniiftri.ru»;
«ntp1.niiftri.irkutsk.ru»;
«ntp2.niiftri.irkutsk.ru»;
«vniiftri.khv.ru»;
«vniiftri2.khv.ru»;
«ntp.sstf.nsk.ru».
Для добавления NTP-сервера необходимо ввести следующую команду:
set service ntp server <address>
где <address> – адрес NTP-сервера, указываемый в формате IPv4/IPv6-адреса или FQDN.
Для удаления NTP-сервера необходимо ввести следующую команду:
delete service ntp server <address>
Для просмотра списка используемых NTP-серверов необходимо в режиме конфигурирования ввести следующую команду:
Планировщик задач Cron позволяет выполнять различные задачи согласно заданному расписанию.
Для установки времени запуска задачи необходимо ввести следующую команду:
set system task-scheduler task <task> crontab-spec <spec>
где:
<task> – имя задачи;
<spec> – время запуска задачи.
Для настройки параметра <spec> используется стандартный синтаксис сервиса Cron в виде пяти атрибутов «* * * * *», воспринимаемых как:
«минуты» – возможно использование значений в диапазоне от «0» до «59»;
«часы» – возможно использование значений в диапазоне от «0» до «23»;
«число» – возможно использование значений в диапазоне от «1» до «31»;
«месяц» – возможно использование значений в диапазоне от «1» до «12»;
«дни недели» – возможно использование значений в диапазоне от «0» до «7». Значения от «1» до «6» принимаются как дни недели с «понедельника» до «субботы» соответственно. Значения «0» или «7» принимаются как «воскресенье».
Поля могут содержать одно или несколько значений, разделенных запятыми, или диапазон значений, разделённых дефисом. Существует возможность указать шаг, используя символ «/». Например, при указании атрибутов следующим образом: «* */2 * * *» – задача будет выполняться каждые два часа.
В качестве примера приведена команда для настройки выполнения задачи «Task1» ежедневно в 07:00 и 18:00:
set system task-scheduler task Task1 crontab-spec 00 07,18 * * *
Для настройки интервала запуска задачи возможно применение параметра «interval»:
set system task-scheduler task <task> interval <interval>
где <interval> – интервал времени, в течение которого задача должна быть выполнена. Задается в виде числа с одним из следующих суффиксов: «m» – минуты, «h» – часы, «d» – дни. В случае ввода значения без суффикса, интервал воспринимается в минутах.
Для указания скрипта, запускаемого по расписанию, необходимо ввести следующую команду c параметром «executable path»:
set system task-scheduler task <task> executable path <path>
где <path> – путь к скрипту.
Для установки параметров скрипта необходимо ввести следующую команду:
set system task-scheduler task <task> executable arguments <args>
где <args> – параметр скрипта.
Создание и редактирование скриптов возможно выполнять с помощью какого-либо текстового редактора, например «nano».
Zabbix предназначен для мониторинга состояния IT-инфраструктуры, включая серверы, сетевые устройства и приложения. Система позволяет собирать метрики, анализировать данные и оповещать об инцидентах. В системе ARMA Стена интегрирован zabbix-агент версии 7.0.10 для обеспечения взаимодействия и передачи данных о состоянии системы.
Команды настройки zabbix-агента:
Установить имя хоста, используемое Zabbix-агентом для идентификации устройства в интерфейсе Zabbix-сервера:
set service monitoring zabbix-agent host-name <name>
где <name> – имя хоста Zabbix-агента.
Установить IP-адрес или DNS-имя Zabbix-сервера, который будет подключаться к Zabbix-агенту в пассивном режиме работы:
set service monitoring zabbix-agent server <server>
где <server> – адрес Zabbix-сервера в формате <x.x.x.x>, <h:h:h:h:h:h:h:h> или <hostname>.
Установить порт подключения к Zabbix-агенту в пассивном режиме, через который Zabbix-сервер опрашивает клиентов:
set service monitoring zabbix-agent port <1-65535>
где <1-65535> – номер порта. Возможно указать значение в диапазоне от «1» до «65535». По умолчанию используется порт «10050».
Установить IP-адрес или DNS-имя Zabbix-сервера, который будет подключаться к Zabbix-агенту в активном режиме работы:
set service monitoring zabbix-agent server-active <server> port <1-65535>
где:
<server> – адрес Zabbix-сервера в формате <x.x.x.x>, <h:h:h:h:h:h:h:h> или <hostname>;
<1-65535> – номер порта, который будет использоваться для подключения к Zabbix-серверу в активном режиме. Возможно указать значение в диапазоне от «1» до «65535».
Определить на каких IP-адресах агент должен прослушивать входящие соединения:
set service monitoring zabbix-agent listen-address <address>
где <address> – IP-адрес в формате <x.x.x.x> и/или <h:h:h:h:h:h:h:h>. Возможно указать как один, так и несколько IP-адресов. По умолчанию используется значение «0.0.0.0» - агент прослушивает все интерфейсы.
Установить максимальное время ожидания ответа при обмене информацией с Zabbix-сервером:
set service monitoring zabbix-agent timeout <1-30>
где <1-30> – целочисленное значение времени ожидания в секундах. Возможно указать значение в диапазоне от «1» до «30». По умолчанию используется значение «3».
Определить максимальный размер данных в буфере памяти:
set service monitoring zabbix-agent limits buffer-size <2-65535>
где <2-65535> – размер буфера. Возможно указать значение в диапазоне от «2» до «65535». По умолчанию используется значение «1000». Агент отправит все собранные данные на Zabbix-сервер, если буфер будет заполнен.
Определить частоту отправки значений из буфера на Zabbix-сервер:
set service monitoring zabbix-agent limits buffer-flush-interval <1-3600>
где <1-3600> – значение частоты отправки данных из буфера. Возможно указать значение в диапазоне от «1» до «3600». По умолчанию используется значение «5». Агент отправит все собранные данные на Zabbix-сервер раньше установленного времени, если буфер будет заполнен.
Определить путь к директории, содержащей отдельные конфигурационные файлы для Zabbix-agent:
set service monitoring zabbix-agent directory <text>
где <text> – путь к директории.
Включить логирование выполняемых команд через Zabbix-agent:
set service monitoring zabbix-agent log remote-commands
Настройки уровня логирования Zabbix-agent:
set service monitoring zabbix-agent log debug-level <level>
где <level> – уровень детализации журнала. Возможно указать следующие значения:
basic - базовый уровень логирования. Включает только самую важную информацию о работе Zabbix-agent.
critical - логируются только критически важные события, которые могут привести к сбою работы Zabbix-agent.
error - логируются ошибки, возникающие в процессе работы Zabbix-agent. Это более детальный уровень по сравнению с «critical».
warning - логируются предупреждения, которые указывают на потенциальные проблемы, но не являются критическими. Используется по умолчанию.
debug - логируется отладочная информация, включая технические детали работы Zabbix-agent.
extended-debug - расширенный уровень отладочной информации. Включает максимально подробные данные о работе Zabbix-agent.
Установить максимальный размер файла журнала:
set service monitoring zabbix-agent log size <0-1024>
где <0-1024> – максимальный размер файла журнала в мегабайтах. Возможно указать значение в диапазоне от «1» до «1024». По умолчанию используется значение «0» - ротация файла отключена. Если предельный размер файла журнала достигнут и ротация файлов по какой-либо причине не удалась, существующий файл журнала затирается и начинается заново.
