Управление конфигурацией

ARMA Стена использует единый конфигурационный файл для всей системы — /config/config.boot, который содержит полную конфигурацию устройства. Данный подход обеспечивает удобство создания шаблонов, резервного копирования и тиражирования настроек между устройствами. Поддерживается возможность сохранения конфигурации на удалённый сервер для архивации или резервного копирования.

В системе ARMA Стена реализовано три типа конфигурации:

  1. Активная конфигурация – конфигурация системы, которая в данный момент загружена и используется. Любое изменение конфигурации должно быть зафиксировано, чтобы оно стало принадлежать активной конфигурации.

  2. Рабочая конфигурация – конфигурация, которая в данный момент изменяется в конфигурационном режиме. Изменения, внесённые в рабочую конфигурацию, не влияют на работу системы до выполнения команды «commit». После фиксации рабочая конфигурация становится активной конфигурацией.

  3. Сохранённая конфигурация – конфигурация, которая была сохранена в файл (/config/config.boot) с помощью команды «save». Сохранённая конфигурация используется при последующей загрузке системы. Допускается хранение нескольких версий конфигурации.

Для просмотра параметров активной конфигурации используется команда:

admin@ngfwos:~$ show configuration

Просмотр осуществляется постранично. Навигация при просмотре выведенной информации, осуществляется с помощью клавиш клавиатуры со стрелками вверх и вниз. Для завершения просмотра параметров конфигурации следует нажать клавишу «q».

Примечание

При увеличении размера конфигурационного файла процесс применения новых настроек может замедлиться, а также может увеличиться время загрузки системы, поскольку для обработки объёмного конфигурационного файла при загрузке может потребоваться больше времени.

Настройки архива конфигурации

Для задания максимального количества хранимых локальных версий конфигурации необходимо ввести следующую команду:

set system config-management commit-revisions <N>

где <N> – целочисленное значение максимально возможного количества хранящихся активных конфигураций. Возможно указание значения в диапазоне от «1» до «65535». По умолчанию используется значение «100».

При достижении указанного лимита самая старая версия конфигурации автоматически удаляется для освобождения места под новую.

Для отображения списка всех доступных локальных резервных копий конфигурации (см. Рисунок – Список резервных копий конфигурации) необходимо в эксплуатационном режиме ввести следующую команду:

admin@ngfwos:~$ show system commit
../../../../../_images/ngfw.r.cli.system.configuration_1.1.png

Рисунок – Список резервных копий конфигурации

Сравнение конфигураций

Для выполнения сравнения различных версий конфигурации следует использовать команду «compare».

Возможны следующие варианты сравнения конфигураций:

  1. Для сравнения версии активной конфигурации <N> с версией <M> необходимо ввести следующую команду:

compare <N> <M> [commands]

где <N> и <M> – номера версий активной конфигурации.

Выведенный список будет содержать информацию о добавленных и удалённых параметрах версии активной конфигурации <N> относительно версии <M> в виде строк, отмеченных знаками «+» и «-» соответственно.

Дополнительный параметр «commands» выводит различие конфигураций в виде команд.

  1. Для сравнения рабочей и активной конфигурации необходимо ввести следующую команду:

compare

  1. Для сравнения рабочей и активной конфигурации и вывода списка команд «set», выполненных в рабочей конфигурации, необходимо ввести следующую команду:

compare commands

  1. Для сравнения рабочей конфигурации с сохранённой необходимо ввести следующую команду:

compare saved

  1. Для сравнения рабочей конфигурации с выбранной версией <N> активной конфигурации необходимо ввести следующую команду:

compare <N> [commands]

где <N> – номер версии активной конфигурации.

  1. В эксплуатационном режиме для сравнения рабочей и активной конфигурации необходимо ввести следующую команду:

~$ show system commit diff <N>

Примечание

Для текущего пользователя команда compare позволяет просматривать изменения только в тех разделах конфигурации, которые были указаны в его пользовательском классе в параметре «configure-command show [раздел_конфигурации]». Если изменения, внесённые с помощью команд set или delete, не затрагивают разрешённые для отображения разделы, то на экране появится сообщение «No changes between working and active configurations» или, в случае использования команды compare commands, пустая строка.

Если у пользовательского класса указана общая команда «configure-command show», то будут показаны все изменения во всех разделах конфигурации без каких-либо ограничений.

Если команда show не задана ни для конкретных разделов, ни в общем виде, то также появится сообщение «No changes between working and active configurations» (или пустая строка для команды compare commands), даже если были внесены изменения в конфигурацию.

Восстановление конфигурации

Для выполнения восстановления конфигурации к какой-либо версии активной конфигурации необходимо использовать команду «rollback».

В процессе восстановления автоматически будет создана сохранённая конфигурация, аналогичная выбранной версии активной конфигурации, и выполнена перезагрузка ARMA Стена, для подтверждения которой необходимо ввести «y» и нажать клавишу «ENTER»:

rollback <N>
Proceed with reboot? [Y/n] y

Примечание

Не рекомендуется восстанавливать конфигурацию с пометкой «init», так как это может привести к некорректной работе системы (см. Рисунок – Список резервных версий конфигурации).

../../../../../_images/ngfw.r.cli.system.configuration_3.1.png

Рисунок – Список резервных версий конфигурации

Удаление конфигурации

Для удаления локального архива конфигурации необходимо ввести следующую команду в эксплуатационном режиме:

admin@ngfwos:~$ delete commit <N>

где <N> - номер архива конфигурации в локальном хранилище.

После успешного удаления система выведет соответствующее уведомление:

Successfully deleted revision <N>.
admin@ngfwos:~$

Система предоставляет возможность одновременного удаления нескольких конфигурационных архивов. Для этого в эксплуатационном режиме необходимо ввести следующую команду:

admin@ngfwos:~$ delete commit <N1,N2,...,Nn>

где <N1,N2,…,Nn> - номера архивов конфигурации в локальном хранилище, указанные через запятую без пробелов.

После успешного удаления система выведет соответствующее уведомление:

Successfully deleted revision <N1, N2, ..., Nn>.
admin@ngfwos:~$

Примечание

Удалять конфигурацию с меткой «init» запрещено.

Экспорт конфигурации

Система ARMA Стена поддерживает два основных способа экспорта конфигурации: ручной экспорт, инициируемый администратором, и автоматический экспорт, выполняемый после каждой успешной фиксации конфигурации (команда commit).

Ручной экспорт конфигурации

Ручной экспорт предназначен для сохранения текущей активной конфигурации (config.boot) либо в виде файла на локальной файловой системе устройства, либо в виде архива при передаче на удалённый сервер.

Локальное сохранение

Конфигурация сохраняется в файл на локальной файловой системе устройства с использованием следующей команды в конфигурационном режиме:

save <track>/<file>

где:

  • <track> – путь к директории для сохранения;

  • <file> – имя файла конфигурации.

Если путь не указан, файл сохраняется в домашний каталог пользователя, от имени которого выполнена команда (например, для пользователя «admin» это будет каталог /home/admin/).

Примечание

При выполнении команды от учётной записи, отличной от «admin», сохранение конфигурации возможно только в домашний каталог данной учётной записи или в директорию /tmp/. Попытка указать иной путь приводит к отказу в выполнении операции.

Только учётная запись «admin» обладает правами на сохранение файла в системные каталоги, отличные от домашнего каталога пользователя и директории /tmp/.

Пример сохранения конфигурации под именем «test.boot» в локальный каталог «/config/»:

[edit]
admin@ngfwos# save /config/test.boot

Экспорт на удалённый сервер

Поддерживается передача архива конфигурации на удалённый сервер по протоколам TFTP, FTP, SCP, SFTP.

Примечание

Экспорт архива конфигурации на удалённый сервер доступен только для встроенной учётной записи «admin».

Архив конфигурации содержит следующие файлы:

  • основной файл конфигурации (config.boot);

  • полное содержимое каталога /config/files/ (сертификаты, скрипты и прочие дополнительные файлы).

Структура архива:

config.boot - основной файл конфигурации
/files/ — копия содержимого каталога /config/files/
├─ suricata_db
└─  configuration
  ├─  — app-control
  ├─  — service
  ├─  — suricata
  └─  — third-party

Для экспорта используется следующая команда в конфигурациооном режиме:

save <URL>

где <URL> - URI удалённого ресурса. Поддерживаются следующие URL:

  • scp://<user>:<passwd>@<host>:/<file>;

  • sftp://<user>:<passwd>@<host>/<file>;

  • ftp://<user>:<passwd>@<host>/<file>;

  • tftp://<host>/<file>.

Параметры URI:

  • <user> – имя пользователя на удалённом сервере;

  • <passwd> – пароль пользователя;

  • <host> – сетевой адрес удалённого сервера (IP-адрес или доменное имя);

  • <file> – полный путь и имя файла на удалённом сервере.

Пример экспорта конфигурационного архива под именем «ngfw1.config» на TFTP-сервер: «tftр://192.168.0.100»:

save tftp://192.168.0.100/ngfw1.config

Экспорт зашифрованного архива

Для повышения уровня защиты конфигурационных данных поддерживается экспорт в виде зашифрованного архива.

Примечание

Экспорт зашифрованного архива конфигурации на удалённый сервер доступен исключительно для встроенной учётной записи «admin».

Команда для инициализации зашифрованного экспорта:

save <track>/<file> | <URL> <symbol>

где:

  • <track>/<file> — локальный путь и имя файла;

  • <URL> — URI удалённого сервера (при экспорте по сети);

  • <symbol> — произвольный символ (например, p), указывающий на необходимость шифрования. Символ не влияет на содержимое, но обязателен для активации режима шифрования. В качестве символа не допускается использование специальных символов: «'», «"», «`».

При локальном сохранении конфигурации с включённым шифрованием создаётся архив, аналогичный тому, который формируется при экспорте на удалённый сервер. В этом случае сохраняется не только основной файл конфигурации (config.boot), но и полное содержимое каталога /config/files/.

Пример команды:

save /config/backup.ngfw p

save scp://admin:pass@192.168.10.50 /backups/ngfw p

После выполнения команды система запросит ввод пароля для шифрования архива:

Please provide password to encrypt archive with configuration:

Необходимо ввести пароль и подтвердить его нажатием клавиши «Enter». Восстановление данных без пароля невозможно.

Автоматический экспорт конфигурации

После каждой успешной операции commit система ARMA Стена может автоматически создавать и передавать резервную копию конфигурации на удалённый ресурс.

Имя экспортируемого архива формируется по шаблону: «config.boot-hostname.ГГГГММДД_ЧЧММСС».

Поддерживается экспорт на удалённые серверы по следующим протоколам: TFTP, FTP, SCP, SFTP, а также в репозиторий Git. Экспорт может быть настроен как в открытом виде, так и с шифрованием архива.

Архив конфигурации содержит:

  • основной файл конфигурации (config.boot);

  • полное содержимое каталога /config/files/.

Автоматический экспорт в открытом виде

Для настройки автоматического экспорта без шифрования используются следующие команды в конфигурационном режиме:

set system config-management commit-archive location <URI>
set system config-management commit-archive source-addres <addres>

где:

  • <URI> – URI удалённого ресурса;

  • <addres> - IP-адрес интерфейса системы ARMA Стена, используемый как источник при передаче.

Поддерживаются следующие форматы URI:

  • http://<user>:<passwd>@<host>:/<dir>

  • https://<user>:<passwd>@<host>:/<dir>

  • ftp://<user>:<passwd>@<host>/<dir>

  • sftp://<user>:<passwd>@<host>/<dir>

  • scp://<user>:<passwd>@<host>/<dir>

  • tftp://<host>/<dir>

  • git+https://<user>:<passwd>@<host>/<path>

Параметры:

  • <user> – имя пользователя для аутентификации на удалённом сервере;

  • <passwd> – пароль пользователя;

  • <host> – сетевой адрес удалённого сервера (IP-адрес или доменное имя);

  • <dir> – каталог на удалённом сервере для сохранения файла;

  • <path> – путь к Git-репозиторию.

Автоматический экспорт в шифрованном виде

Для обеспечения конфиденциальности конфигурационных данных при автоматическом экспорте поддерживается шифрование архива.

Для включения шифрования необходимо добавить параметр password:

set system config-management commit-archive location <URI>
set system config-management commit-archive source-addres <addres>
set system config-management commit-archive password <password>

где <password> - пароль, используемый для шифрования архива конфигурации.

Импорт конфигурации

Система ARMA Стена поддерживает два метода импорта конфигурации:

  • Полная замена (load) — замещение текущей конфигурации загружаемой.

  • Объединение (merge) — интеграция параметров из внешнего файла конфигурации в текущую конфигурацию без удаления существующих настроек.

Полная замена конфигурации (load)

Для импорта новой конфигурации с заменой текущей необходимо ввести следующую команду:

load <source>

# Применить и сохранить новую конфигурацию:
commit
save

где <source> – путь или URI к файлу конфигурации.

Поддерживаются следующие источники:

  • <file> - локальный файл в файловой системе устройства;

  • scp://<user>:<passwd>@<host>:/<file> - файл на удалённом сервере по протоколу SCP;

  • sftp://<user>:<passwd>@<host>/<file> - файл по протоколу SFTP;

  • ftp://<user>:<passwd>@<host>/<file> - файл по протоколу FTP;

  • http://<host>/<file> - файл по протоколу HTTP;

  • https://<host>/<file> - файл по протоколу HTTPS;

  • tftp://<host>/<file> - файл по протоколу TFTP.

Параметры URI:

  • <user> – имя пользователя на удалённом сервере;

  • <passwd> – пароль пользователя;

  • <host> – сетевой адрес удалённого сервера (IP-адрес или доменное имя);

  • <file> – путь и имя файла конфигурации на удалённой или локальной системе.

В качестве примера приведены команды для выполнения:

  • импорта конфигурационного файла «ngfw1.config.boot» из локальной директории «/config/»:

    load /config/ngfw1.config.boot

  • импорта конфигурационного файла «050424.config.boot» c FTP-сервера «ftр://46.24.16.27»:

    load ftp:\//ngfw:Fgw43!dweP@46.24.16.27/050424.config.boot

Объединение конфигурации (merge)

Команда merge добавляет параметры из указанного файла конфигурации в текущую конфигурацию без удаления существующих настроек. Если в загружаемом файле содержатся параметры, уже присутствующие в текущей конфигурации, они будут перезаписаны.

Формат команды в конфигурационном режиме для объединения конфигураций:

admin@ngfwos# merge <source>

Merge complete. Use 'commit' to make changes effective.
[edit]
admin@ngfwos# commit
[edit]
admin@ngfwos# save

Поддерживаются следующие источники:

  • <file> - локальный файл в файловой системе устройства;

  • scp://<user>:<passwd>@<host>:/<file> - файл на удалённом сервере по протоколу SCP;

  • sftp://<user>:<passwd>@<host>/<file> - файл по протоколу SFTP;

  • ftp://<user>:<passwd>@<host>/<file> - файл по протоколу FTP;

  • http://<host>/<file> - файл по протоколу HTTP;

  • https://<host>/<file> - файл по протоколу HTTPS;

  • tftp://<host>/<file> - файл по протоколу TFTP.

Примечание

Файл конфигурации, используемый в команде merge, обязательно должен содержать корневой раздел interfaces, даже если он пустой. Отсутствие данного раздела приведёт к ошибке выполнения команды, и операция объединения будет отменена.