Установка

В настоящем разделе представлено описание установки и первоначальной настройки системы ARMA Стена.

Установка ПО ARMA Стена в ПАК

Для установки ARMA Стена в программно-аппаратный комплекс (ПАК) используется ISO-образ, который представляет собой файл, содержащий все необходимые данные для установки операционной системы в режиме реального времени. Установка ARMA Стена производится с USB-накопителя.

Для записи установочного образа «ARMA Стена» на USB-накопитель необходимо использовать специализированное программное обеспечение для записи образов на внешние накопители, такое как «Rufus» (https://rufus-usb.ru.uptodown.com/windows). Запись образа производится в соответствии с инструкцией по использованию данного программного обеспечения.

Для установки ARMA Стена необходимо выполнить следующие шаги:

  1. Загрузить ARMA Стена в режиме «live».

  2. Выполнить установку образа.

Примечание

Для инсталляции системы необходимо использовать устройство хранения данных с минимальным объёмом 16 Гбайт. Носители с меньшим объёмом памяти не отображаются в перечне доступных дисков при выборе целевого носителя для установки.

Примечание

После установки системы ARMA Стена весь транзитный трафик будет блокироваться.

Загрузка в режиме «live»

Для загрузки ARMA Стена в режиме «live» необходимо выполнить следующие действия:

  1. Подключить подготовленный USB-накопитель с установочным образом в один из доступных USB-портов на аппаратной платформе. Аппаратная платформа во время подключения установочного USB-накопитель должна быть выключена.

  2. Включить аппаратную платформу.

  3. Выбрать в течение 10 секунд с помощью клавиш клавиатуры со стрелками вверх и вниз, в открывшемся меню варианты загрузки (см. Рисунок – Варианты загрузки ОС):

  • «Live system (amd64–ngfwos)» – стандартная загрузка, выполняется по умолчанию;

  • «Live system (amd64–ngfwos fail–safe mode)» – загрузка в безопасном режиме (Initramfs).

../../../../../_images/ngfw.r.cli.preparation.install_1.1.1.png

Рисунок – Варианты загрузки ОС

  1. Нажать клавишу «ENTER» для подтверждения выбранного способа и начала загрузки.

Примечание

Загрузка ARMA Стена в режиме «live» по умолчанию автоматически выполняется при следующих условиях:

  • в случае бездействия пользователя в меню загрузки в течение 10 секунд;

  • в случае неподтверждённого выбора способа загрузки и последующего бездействия пользователя в течение 5 минут.

  1. При появлении приглашения на вход в консольном интерфейсе, указать следующие учётные данные, нажимая клавишу «ENTER» после каждого ввода:

  • «ngfwos login:» – «admin»;

  • «Password:» – «admin».

Примечание

Пароль пользователя не отображается при наборе.

После успешной аутентификации будет отображён интерфейс командной строки в эксплуатационном режиме (см. Рисунок – Интерфейс командной строки).

../../../../../_images/ngfw.r.cli.preparation.install_1.1.2.png

Рисунок – Интерфейс командной строки

Установка образа

В качестве примера приведено описание установки образа ARMA Стена на один жёсткий диск, без деления на несколько разделов. Вводимые команды могут отличаться для каждой конкретной ситуации.

Для запуска процесса установки образа ARMA Стена необходимо выполнить следующие действия:

  1. Ввести команду «install image»:

admin@ngfwos:~$ install image

и нажать клавишу «ENTER».

В процессе установки системой будут выводиться запросы, в некоторых случаях содержащие предлагаемый ответ по умолчанию, заключённый в скобки.

При необходимости отмены выполнения команды, следует нажать комбинацию клавиш «CTRL» + «C».

  1. Подтвердить запуск процесса установки ARMA Стена. Ввести «y» и нажать клавишу «ENTER»:

This command will install NGFWOS to your permanent storage.
Would you like to continue? [y/N]

  1. Ввести имя образа и нажать клавишу «ENTER»:

What would you like to name this image? (Default: номер_релизной_версии_ПО)

  1. Ввести новый пароль для УЗ «admin» и нажать клавишу «ENTER»:

Please enter a password for the "admin" user:

  1. Ввести повторно пароль для УЗ «admin» и нажать клавишу «ENTER»:

Please confirm password for the "admin" user:

  1. Если требуется создать API-ключ для доступа к веб-интерфейсу системы, следует ввести «Y» и нажать «ENTER»:

Would you like to set API key? [Y/n]

6.1. Ввести дополнительный новый пароль, который будет использоваться в качестве API-ключа для УЗ «admin», и нажать клавишу «ENTER»:

Please enter API key for the "admin" user:

6.2. Повторно ввести дополнительный пароль для УЗ «admin» и нажать клавишу «ENTER»:

Please confirm API key for the "admin" user:

Примечание

В системе ARMA Стена пароли хранятся в зашифрованном виде.

  1. Нажать клавишу «ENTER» на следующий запрос:

What console should be used by default? (K: KVM, S: Serial)? (Default: K)

  1. Ввести имя раздела для установки и нажать клавишу «ENTER»:

Which one should be used for installation? (Default: /dev/sda)

Примечание

В случае, если все накопительные устройства, доступные в системе, имеют объём памяти менее 16 Гбайт, процесс установки будет прекращен, и будет выведено следующее сообщение: «No suitable disk was found. There must be at least one disk of 16 GB or greater size. Exiting from NGFWOS installation».

Примечание

В случае, если в ПАК установлено два диска, система предложит настроить конфигурацию RAID-1. Для отказа от настройки RAID-1 необходимо ввести «n» и нажать клавишу «ENTER»:

Probing disks
2 disk(s) found
Would you like to configure RAID-1 mirroring? [Y/n]

При подтверждении конфигурации RAID-1 система выведет запрос на добавление перечисленных дисков в массив. Для объединения дисков в RAID-1 необходимо ввести «Y» и нажать клавишу «ENTER»:

The following disks were found:
    /dev/sda (469.0 GB)
    /dev/sda (469.0 GB)
Would you like to configure RAID-1 mirroring on them? [Y/n]

Примечание

В случае выполнения установки с USB-накопителя, система определит его как второй жёсткий диск и предложит настроить конфигурацию RAID-1. Для корректного продолжения установки следует отказаться от настройки RAID. Для этого необходимо ввести «n» и подтвердить действие нажатием клавиши «ENTER».

  1. Ввести «y» и нажать клавишу «ENTER» для подтверждения удаления всех данных с устройства:

Installation will delete all data on the drive. Continue? [y/N]

Примечание

Все данные на диске будут безвозвратно удалены.

  1. Нажать клавишу «ENTER» на следующий запрос:

Would you like to use all the free space on the drive? [Y/n]

  1. Программа предложит выбрать следующие доступные конфигурационные файлы для загрузки:

Creating partition table...
The following config files are available for boot:
        1: Default live boot config
        2: DHCP client on eth0, SSH
        3: DHCP client on eth0, SSH, 192.168.1.1 on eth1, IPS minimal
Which file would you like as boot config? (Default: 2)

Система ARMA Стена автоматически устанавливает определённый набор настроек в зависимости от выбранного конфигурационного файла:

  • 1 конфигурационный файл – установка конфигурационного файла с заводскими настройками.

  • 2 конфигурационный файл (используется по умолчанию) – установка конфигурационного файла с заводскими настройками, включающие в себя следующие дополнительные настройки:

    • доступа к системе по протоколу SSH (порт 22);

    • автоматическое получение IP-адреса на сетевом интерфейсе «eth0» по протоколу DHCP.

  • 3 конфигурационный файл – установка конфигурационного файла с заводскими настройками, включающие в себя следующие дополнительные настройки:

    • доступа к системе через протокол SSH (порт 22);

    • автоматическое получение IP-адреса на сетевом интерфейсе «eth0» по протоколу DHCP;

    • статический IP-адрес 192.168.1.1 на сетевом интерфейсе «eth1»;

    • настроен DHCP-сервер c диапазоном IP-адресов от 192.168.1.100 до 192.168.1.254;

    • включение правил Suricata в режиме захвата «IDS» на сетевом интерфейсе «eth0».

Ввести номер конфигурационного файла и нажать клавишу «ENTER».

  1. После завершения процесса установки образа, системой будет выведено сообщение о необходимости выполнить перезагрузку ARMA Стена. Извлечь USB-носитель с установочным образом и в командной строке ввести команду «reboot»:

The image installed successfully; please reboot now.
admin@ngfwos:~$ reboot

Подтвердить перезагрузку системы введя «y» и нажав клавишу «ENTER»:

Are you sure you want to reboot this system? [y/N] y

После перезагрузки ARMA Стена будет отображено приглашение авторизации в локальном консольном интерфейсе:

Welcome to NGFWOS – ngfwos tty1

ngfwos login:

Для входа в локальный консольный интерфейс необходимо указать учётные данные, нажимая клавишу «ENTER» после каждого ввода:

  • «ngfwos login:» – «admin»;

  • «Password:» – пароль, заданный на этапе установки образа ARMA Стена (пункт 4).

При первоначальной загрузке необходимо произвести активацию лицензии ARMA Стена. Процесс активации лицензии подробно описан в разделе «Управление лицензией» настоящего руководства.

Настройка системы производится в режиме конфигурирования. Подробное описание работы в режиме конфигурирования представлено в разделе «Конфигурационный режим» настоящего руководства.

Настройка интерфейсов

Примечание

По умолчанию в системе ARMA Стена разрешён весь входящий и исходящий трафик. Транзитный трафик по умолчанию блокируется.

Рекомендуется установить строгую политику фильтрации трафика путём явного запрета всего входящего и исходящего трафика на уровне межсетевого экрана (см. раздел «Межсетевой экран»).

Просмотреть конфигурацию сетевых интерфейсов возможно с помощью команды «show interfaces»:

  • результат выполнения команды «show interfaces» в эксплуатационном режиме:

admin@ngfwos:~$ show interfaces

Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address        MAC                VRF        MTU  S/L    Description
-----------  ----------------  -----------------  -------  -----  -----  -------------
eth0         192.168.10.35/24  00:45:56:bd:0d:ec  default   1500  u/u
eth1         -                 00:45:56:bd:7a:57  default   1500  u/u
lo           127.0.0.1/8       00:00:00:00:00:00  default  65536  u/u
             ::1/128

  • результат выполнения команды «show interfaces» в конфигурационном режиме:

admin@ngfwos:~$ configure
[edit]
admin@ngfwos# show interfaces
Must specify config path
 ethernet eth0 {
     address dhcp
     hw-id 00:45:56:bd:0d:ec
 }
 ethernet eth1 {
     hw-id 00:45:56:bd:7a:57
 }
 loopback lo {
 }
[edit]
admin@ngfwos#

Физическим интерфейсам по умолчанию назначается имя «ethN», где «N» – идентификатор, присвоенный интерфейсу системой.

Для назначения статического IP-адреса на сетевой интерфейс необходимо ввести следующую команду в конфигурационном режиме:

# Перейти в конфигурационный режим командой configure | conf:
admin@ngfwos:~$ configure

# Назначить статический IP-адрес интерфейсу ethN:
admin@ngfwos# set interfaces ethernet <ethN> address <адрес>

# Применить настройки к текущей конфигурации:
admin@ngfwos# commit

# Сохранить новую конфигурацию:
admin@ngfwos# save

# Выйти из конфигурационного режима:
admin@ngfwos# exit
exit
admin@ngfwos:~$

где:

  • <ethN> – имя интерфейса, например eth0;

  • <адрес> – IP-адрес в формате x.x.x.x/x (IPv4) или h:h:h:h:h:h:h:h/x (IPv6).

Для настройки получения IP-адреса по протоколу «DHCP» необходимо ввести следующую команду в конфигурационном режиме:

admin@ngfwos# set interfaces ethernet ethN address dhcp
admin@ngfwos# commit
admin@ngfwos# save

На одном сетевом интерфейсе допускается настройка нескольких IP-адресов. Для этого необходимо последовательно выполнить команду «set interfaces ethernet <ethN> address <адрес>» для каждого требуемого адреса.

Для добавления текстового описания к интерфейсу используется команда:

admin@ngfwos# set interfaces ethernet ethN description <описание>
admin@ngfwos# commit
admin@ngfwos# save

где <описание> – краткое текстовое описание. Допускается использование символов кириллического и латинского алфавитов. Описание не должно начинаться c последовательности «//». Запрещено использование символов «"», «'» и перенос строки. Максимальная длина значения — «127» символов. При наличии пробелов значение поля должно быть заключено в двойные кавычки.

Полный перечень параметров и синтаксис команд для настройки сетевых интерфейсов приведён в разделе «Интерфейсы» настоящего руководства.

Примечание

Некорректная конфигурация сетевых интерфейсов может привести к потере сетевого доступа к устройству ARMA Стена.

Настройка часового пояса

Настройка часового пояса обязательна, поскольку все временные метки в глобальном журнале формируются с учётом указанной временной зоны. Отсутствие корректной конфигурации затрудняет сопоставление логов между различными системами.

Команда установки часового пояса в системе ARMA Стена:

# Перейти в конфигурационный режим:
admin@ngfwos:~$ configure
[edit]

# Установить необходимый часовой пояс:
admin@ngfwos# set system time-zone <timezone>

# Применить настройки к текущей конфигурации:
admin@ngfwos# commit

# Сохранить новую конфигурацию:
admin@ngfwos# save

# Выйти из конфигурационного режима:
admin@ngfwos# exit
exit
admin@ngfwos:~$

где <timezone> - значение часового пояса. Задаётся в формате Region/Location, соответствующем географическому положению устройства. Пример: «set system time-zone Europe/Moscow» - устанавливает московский часовой пояс (UTC+3).

Примечание

По умолчанию используется UTC.

Список значений часовых поясов России:

  • Europe/Kaliningrad — Калининградское время (UTC+2);

  • Europe/Moscow — Московское время (UTC+3);

  • Europe/Volgograd — Волгоградское время (UTC+3);

  • Europe/Kirov — Время Кирова (UTC+3);

  • Europe/Volgograd — Волгоградское время (UTC+3);

  • Europe/Simferopol — Крым (Симферополь) — (UTC+3);

  • Europe/Astrakhan — Астраханское время (UTC+4);

  • Europe/Ulyanovsk — Ульяновское время (UTC+4);

  • Europe/Samara — Самарское время (UTC+4);

  • Europe/Saratov — Саратовское время (UTC+4);

  • Asia/Yekaterinburg — Екатеринбургское время (UTC+5);

  • Asia/Omsk — Омское время (UTC+6);

  • Asia/Novosibirsk — Новосибирское время (UTC+7);

  • Asia/Barnaul — Барнаульское время (UTC+7);

  • Asia/Tomsk — Томское время (UTC+7);

  • Asia/Novokuznetsk — Новокузнецкое время (UTC+7);

  • Asia/Krasnoyarsk — Красноярское время (UTC+7);

  • Asia/Irkutsk — Иркутское время (UTC+8);

  • Asia/Chita — Забайкальский край (Чита) (UTC+9);

  • Asia/Yakutsk — Якутское время (UTC+9);

  • Asia/Vladivostok — Владивостокское время (UTC+10);

  • Asia/Magadan — Магаданское время (UTC+11);

  • Asia/Sakhalin — Сахалин (UTC+11);

  • Asia/Srednekolymsk — Среднеколымское время (UTC+11);

  • Asia/Kamchatka — Камчатское время (UTC+12);

  • Asia/Anadyr — Анадырское время (UTC+12).

Для получения списка поддерживаемых временных зон использовать автодополнение командной строки после ввода «set system time-zone» + TAB. Учёт перехода на летнее время выполняется автоматически на основе календарных правил для выбранной зоны.

Ручная настройка даты и времени

Для ручной установки текущих даты и времени в эксплуатационном режиме следует выполнить команду:

admin@ngfwos:~$ set date <time_and_date>

где <time_and_date> - значение даты и времени, подлежащее установке. Поддерживаются следующие форматы:

  • <MMDDhhmm> - где <MM> - месяц (01-12), <DD> - день месяца (01-31), <hh> - часы (00–23), <mm> - минуты (00–59);

  • <MMDDhhmmYY> - дополнительно указывается двузначный год (например, «25» для 2025 года);

  • <MMDDhhmmCCYY> - дополнительно указывается полный год, где «CC» обозначает век, а «YY» — год в столетии (например, «2025»);

  • <MMDDhhmmYY.ss> - дополнительно указываются секунды «ss» (00–59).

Для обеспечения точности и согласованности временных параметров в распределённых системах рекомендуется осуществлять синхронизацию времени с использованием протокола NTP (Network Time Protocol). Дополнительная информация о настройке и конфигурации NTP представлена в разделе «Служба NTP».

Для отображения текущих значений даты и времени в эксплуатационном режиме используется команда:

admin@ngfwos:~$ show date