Права доступа к разделам веб-интерфейса определяются набором CLI-команд, разрешённых для класса пользователя. Доступ реализуется на основе проверки наличия необходимых привилегий на выполнение соответствующих команд в конфигурационном или эксплуатационном режиме. Подробная информация о классах пользователей и назначении прав доступа в CLI приведена в руководстве по настройке ARMA Стена в CLI, раздел «Назначение прав доступа пользовательским учётным записям».
Основные тезисы предоставления доступа:
Просмотр раздела возможен при наличии у пользователя прав на выполнение всех команд, требуемых для отображения информации в данном разделе.
Редактирование (добавление, изменение, удаление конфигураций раздела) допускается только при условии:
наличия прав на просмотр всего раздела;
наличия прав на модификацию параметров (команды set, delete);
наличия прав на доступ к смежным зависимым разделам.
Каждый раздел веб-интерфейса связан с определённым минимальным набором CLI-команд, необходимых для реализации функций просмотра и редактирования. Перечень этих команд приведён в таблице «Соответствие прав доступа в веб-интерфейсе CLI-командам».
Примечание
Для получения доступа к веб-интерфейсу система требует, чтобы учётная запись пользователя имела права на чтение лицензии и лицензионного соглашения. Указанные права являются обязательными и проверяются на этапе аутентификации при попытке входа в веб-интерфейс.
Доступ к веб-интерфейсу предоставляется только в случае, если в классе привилегий пользователя предусмотрено разрешение на выполнение следующих команд эксплуатационного режима:
show version — команда, отображающая информацию о версии программного обеспечения;
show license — команда, выводящая текст лицензионного соглашения.
Отсутствие хотя бы одной из указанных команд в списке разрешённых для класса пользователя приводит к блокировке доступа к веб-интерфейсу.
Таблица «Соответствие прав доступа в веб-интерфейсе CLI-командам»
Раздел
Права на просмотр
Права на редактирование
1. Межсетевой экран
1.1 Глобальные настройки
Команды конфигурационного
режима:
show firewall global-options
Команды конфигурационного
режима:
set firewall global-options
delete firewall global-options
show firewall global-options
1.2 Группы
Команды конфигурационного
режима:
show firewall group
Команды конфигурационного
режима:
set firewall group
delete firewall group
show firewall group
show interfaces
1.3 Правила межсетевого
экрана
Команды конфигурационного
режима:
show firewall zone
show firewall group
show firewall ipv4
show firewall ipv6
show firewall bridge
show interfaces
Команды конфигурационного
режима:
show interfaces
show firewall group
show firewall zone
show firewall ipv4
show firewall ipv6
show firewall bridge
set firewall ipv4
set firewall ipv6
set firewall bridge
delete firewall ipv4
delete firewall ipv6
delete firewall bridge
1.4 Зоны сети
Команды конфигурационного
режима:
show firewall zone
show interfaces
Команды конфигурационного
режима:
set firewall zone
delete firewall zone
show firewall zone
show interfaces
1.5 Назначения на
направления трафика
между зонами сети
Команды конфигурационного
режима:
show firewall zone
show firewall group
show firewall ipv4
show firewall ipv6
show firewall bridge
show interfaces
Команды конфигурационного
режима:
show firewall group
show interfaces
show firewall zone
show firewall ipv4
show firewall ipv6
show firewall bridge
set firewall zone
set firewall ipv4
set firewall ipv6
set firewall bridge
delete firewall zone
delete firewall ipv4
delete firewall ipv6
delete firewall bridge
1.6 Логи межсетевого
экрана
Команды эксплуатационного
режима:
show logging firewall
или
show logging all
-
1.7 NAT
Команды конфигурационного
режима:
show nat
show firewall group
show interfaces
Команды конфигурационного
режима:
set nat
delete nat
show nat
show firewall group
show interfaces
2. Контроль приложений
Команды конфигурационного
режима:
show app-control
Команды эксплуатационного
режима:
show app-control
Команды конфигурационного
режима:
set app-control
delete app-control
show app-control
Команды эксплуатационного
режима:
show app-control
3. Интерфейсы
3.1 Настройки интерфейсов
Команды конфигурационного
режима:
show interfaces
Команды эксплуатационного
режима:
show interfaces
Команды конфигурационного
режима:
set interfaces
delete interfaces
show interfaces
Команды эксплуатационного
режима:
show interfaces
3.2 Балансировка нагрузки
на WAN-интерфейсах
Команды конфигурационного
режима:
show load-balancing wan
show interfaces
Команды эксплуатационного
режима:
show wan-load-balance
Команды конфигурационного
режима:
show load-balancing wan
show interfaces
set load-balancing wan
delete load-balancing wan
Команды эксплуатационного
режима:
show wan-load-balance
3.3 Обратный прокси
Команды конфигурационного
режима:
show load-balancing reverse-proxy
Команды конфигурационного
режима:
show load-balancing reverse-proxy
set load-balancing reverse-proxy
delete load-balancing reverse-proxy
4. Системные настройки
4.1 Системный DNS
Команды конфигурационного
режима:
show system domain-search
show system name-server
show interfaces
Команды конфигурационного
режима:
show system domain-search
show system name-server
show interfaces
set system domain-search
set system name-server
delete system domain-search
delete system name-server
4.2 Системный Прокси
Команды конфигурационного
режима:
show system proxy
Команды конфигурационного
режима:
show system proxy
set system proxy
delete system proxy
4.3 Логирование
Команды конфигурационного
режима:
show system logging global
show system logging file
show system logging host
Команды конфигурационного
режима:
show system logging global
show system logging file
show system logging host
set system logging global
set system logging file
set system logging host
delete system logging global
delete system logging file
delete system logging host
4.4 Шлюз по умолчанию
Команды конфигурационного
режима:
show protocols static route
Команды конфигурационного
режима:
show protocols static route
set protocols static route
delete protocols static route
4.5 Управление
конфигурацией
Команды конфигурационного
режима:
show system config-management
compare
Команды эксплуатационного
режима:
show configuration
show system commit
Команды конфигурационного
режима:
show system config-management
set system config-management
delete system config-management
load
delete commit
Команды эксплуатационного
режима:
show configuration
delete commit
show system commit
4.6 Мониторинг аппаратной
платформы
Команды эксплуатационного
режима:
show health psu
show health all
-
4.7 Мониторинг процессов
Команды эксплуатационного
режима:
show system processes
-
4.8 Отказоустойчивая
маршрутизация
Команды конфигурационного
режима:
show protocols failover
show interfaces
Команды конфигурационного
режима:
show protocols failover
show interfaces
set protocols failover
delete protocols failover
5. СОВ
Команды конфигурационного
режима:
show suricata
show interfaces
Команды эксплуатационного
режима:
suricata
show idps
Команды конфигурационного
режима:
show suricata
show interfaces
set suricata
delete suricata
Команды эксплуатационного
режима:
suricata
show idps
6. Сервисы
6.1 Ретрансляция DHCPv4
Команды конфигурационного
режима:
show service dhcp-relay
show interfaces
Команды конфигурационного
режима:
show service dhcp-relay
show interfaces
set service dhcp-relay
delete service dhcp-relay
6.2 Ретрансляция DHCPv6
Команды конфигурационного
режима:
show service dhcpv6-relay
show interfaces
Команды конфигурационного
режима:
show service dhcpv6-relay
show interfaces
set service dhcpv6-relay
delete service dhcpv6-relay
6.3 Веб-прокси
Команды конфигурационного
режима:
show service webproxy
Команды конфигурационного
режима:
show service webproxy
set service webproxy
delete service webproxy
7. DrWEB
Команды конфигурационного
режима:
show third-party service drweb gss
Команды эксплуатационного
режима:
show third-party drweb gss
show logging third-party service drweb
Команды конфигурационного
режима:
show third-party service drweb gss
set third-party service drweb gss
delete third-party service drweb gss
Команды эксплуатационного
режима:
show third-party drweb gss
show logging third-party service drweb
third-party drweb gss update
8. Пользователи
Команды конфигурационного
режима:
show system login
Команды эксплуатационного
режима:
show users recent
show users sessions
show system login users
Команды конфигурационного
режима:
show system login
set system login users
delete system login users
Команды эксплуатационного
режима:
reset sessions
show users recent
show users sessions
Примечание
Наличие у пользователя прав на выполнение команд более высокого уровня иерархии автоматически предоставляет доступ к соответствующему разделу веб-интерфейса. Например, если пользователь имеет право на выполнение команды show firewall, ему предоставляется доступ ко всем подразделам группы «Межсетевой экран», включая, например, «Зоны сети», даже если права на show firewall zone не указаны явно.
Просмотр прав доступа
Для просмотра прав доступа текущей учётной записи в веб-интерфейсе необходимо в карточке источника событий NGFW выбрать ссылку «Права доступа» (см. Рисунок – Ссылка на просмотр прав доступа).
После перехода по указанной ссылке открывается окно «Права доступа <имя_текущей_УЗ>». Окно содержит две основные секции: таблицу разрешений на доступ к разделам веб-интерфейса и список доступных CLI-команд.
Рисунок – Список доступных команд командной строки (CLI)
Пример назначения прав доступа для учётной записи
Рассмотрим сценарий настройки класса привилегий для учётной записи с именем test, предназначенной исключительно для просмотра конфигурационных данных межсетевого экрана в веб-интерфейсе. Учётная запись наделяется правами только на чтение; редактирование конфигурации во всех разделах системы запрещено. Доступ к подразделу «NAT» в составе раздела «Межсетевой экран» не предоставляется.
Учётная запись test ассоциирована с пользовательским классом привилегий, которому разрешено выполнение следующих CLI-команд:
Команды конфигурационного режима:
show firewall global-options
show firewall zone
show firewall group
show firewall ipv4
show firewall ipv6
show firewall bridge
show interfaces
Команды эксплуатационного режима:
show version
show license
show logging firewall
В результате пользователь test имеет возможность:
просматривать текущую конфигурацию межсетевого экрана, включая глобальные параметры, зоны безопасности, группы объектов, правила фильтрации;
получать информацию о версии системы, лицензировании и состоянии журналов событий межсетевого экрана.
Доступ к разделу «NAT» и ко всем остальным разделам веб-интерфейса блокируется на уровне прав доступа.
Для проверки корректности назначенных прав необходимо выполнить следующие действия:
В карточке источника событий NGFW указать учётные данные пользователя test в поле авторизации и сохранить изменения.
Повторно открыть данную карточку и перейти по ссылке «Права доступа».
В открывшемся окне убедиться, что список доступных разделов веб-интерфейса и разрешённых CLI-команд соответствует заданной политике (см. Рисунок – Права доступа для УЗ test).
В блоке отображения доступных модулей веб-интерфейса карточки источника должен присутствовать только модуль «Межсетевой экран» (см. Рисунок – Доступные модули для УЗ test).
В системе ARMA Стена реализовано централизованное администрирование пользовательских учётных записей. Функционал включает контроль доступа, управление состоянием учётных записей, а также оперативное принудительное завершение активных сессий.
Поддерживаются следующие типы сессий:
SSH-сессии;
терминальные сессии;
Администратор имеет возможность:
просматривать список активных сессий;
блокировать и разблокировать учётные записи;
инициировать принудительное завершение одной или нескольких сессий.
Раздел меню позволяет просматривать сессии пользователей в формате таблицы, состоящей из следующих столбцов:
Пользователь - логин учётной записи;
Полное имя - полное имя пользовательской учётной;
Статус - текущее состояние учётной записи:
Активен;
Заблокирован;
Временно заблокирован (по причине превышения допустимого количества неудачных попыток авторизации).
Данные обновляются раз в 30 секунд.
Время блокировки - отображает дату и время временного промежутка на который заблокирована УЗ пользователя.
Терминал - отображает количество активных сессий пользователя.
Класс - наименование класса, к которому относится учётная запись.
Для пользователей, имеющих активные сессии, в соответствующей строке таблицы отображается кнопка , раскрывающая детализированный список активных сессий.
Примечание
Сессии, для которых значение поля «Терминал» не указано, являются фоновыми. Как правило, такие сессии создаются системными процессами и не связаны с интерактивным входом пользователя в систему.
В системе ARMA Стена реализована функция управления доступом пользователей, включающая возможность блокировки и разблокировки учётных записей с гибкими параметрами по времени и сессиям.
Примечание
Блокировка встроенной учётной записи «admin» запрещена на уровне системы. Допускается исключительно принудительное завершение активных сессий данной учётной записи.
Блокировка учётной записи
Блокировка одной или нескольких пользовательских учётных записей может быть выполнена двумя способами.
Способ 1: Групповая блокировка через контекстное меню:
В таблице раздела «Управление пользователями» выбрать требуемую УЗ, установив флажок в левом столбце напротив логина. Поддерживается множественный выбор для одновременной обработки нескольких учётных записей.
Нажать кнопку «Заблокировать». Откроется диалоговое окно «Блокировка пользователей», в котором доступны следующие режимы:
Заблокировать — немедленное применение постоянной блокировки учётной записи.
Заблокировать на время — возможность задать временные параметры блокировки:
Активация блокировки в заданное время — позволяет назначить дату и время начала блокировки без указания её окончания. Для этого следует выбрать тип «Заблокировать на время», в поле «С» указать требуемую дату и время начала действия блокировки, а поле «По» оставить пустым. Учётная запись будет заблокирована автоматически в указанное время.
Блокировка в указанный период — задание интервала действия блокировки. Необходимо заполнить оба поля: «С» (дата и время начала) и «По» (дата и время окончания). Блокировка будет активна только в пределах указанного периода.
При необходимости принудительного завершения активных сессий пользователя следует установить флажок в поле «Разорвать сессию». Это приведёт к немедленному завершению всех текущих сессий выбранного пользователя в момент активации блокировки.
Если при выполнении блокировки учётной записи не был выбран параметр «Разорвать сессию», и пользователь к моменту активации блокировки уже авторизован в системе, то его активные сессии не прерываются автоматически. Пользователь сохраняет возможность продолжать работу в рамках существующих сессий до их естественного завершения — в результате ручного выхода, истечения времени бездействия или принудительного завершения администратором. Для обеспечения немедленного прекращения доступа рекомендуется совмещать блокировку учётной записи с опцией принудительного разрыва активных сессий.
Примечание
При блокировке учётной записи доступ к веб-интерфейсу прекращается немедленно, независимо от того, был ли установлен флаг «Разорвать сессию».
Если на момент блокировки пользователь находился в веб-интерфейсе, текущая страница остаётся открытой, однако возможность вносить изменения в конфигурацию становится недоступной. Любая попытка сохранить изменения приведёт к выводу системной ошибки, после которой отображается сообщение о недостаточности прав.
Источник «NGFW» в ARMA MC, в настройках которого используются учётные данные заблокированной учётной записи, автоматически переходит в статус «Ошибка».
Разблокировка учётной записи
Для снятия блокировки с одной или нескольких пользовательских учётных записей предусмотрены два способа.
Способ 1: Групповая разблокировка через контекстное меню:
В таблице раздела «Управление пользователями» выбрать одну или несколько заблокированных УЗ, установив соответствующие флажки.
После успешного выполнения операции статус учётной записи изменяется на «Активен», и пользователь получает возможность авторизоваться в системе в соответствии с установленными политиками доступа.
Система ARMA Стена предоставляет функционал принудительного завершения активных сессий, реализованный по двум критериям: по идентификатору отдельной сессии или по имени пользователя (учётной записи).
Завершение сессии по идентификатору
Одна учётная запись может иметь несколько активных сессий одновременно. Для завершения конкретной сессии необходимо выполнить следующие действия:
В таблице «Управление пользователями» раскрыть список активных сессий требуемой учётной записи с помощью кнопки в соответствующей строке.
Выбрать нужную сессию, установив флажок рядом с её идентификатором.
После подтверждения выбранная сессия будет немедленно завершена. Пользователь теряет доступ в рамках данного сеанса.
Завершение всех сессий пользователя
Для завершения всех активных сессий выбранного пользователя необходимо выполнить следующие действия:
В таблице «Управление пользователями» выбрать учётную запись, установив флажок слева от логина. Поддерживается выбор нескольких пользователей для массового завершения сессий.
Все активные сессии выбранных пользователей будут немедленно завершены. Фоновые сессии (например, системные) также подлежат завершению.
Примечание
Сессии пользователей веб-интерфейса не отображаются в таблице «Управление пользователями» и не подлежат принудительному завершению через данный интерфейс. Для разрыва таких сессий требуется выполнить блокировку соответствующей учётной записи. Данная операция недоступна для встроенной учётной записи «admin».
— указывает на наличие разрешения;
— указывает на отсутствие соответствующего права.
, раскрывающая детализированный список активных сессий.
