Для подключения к вашему домену пользователям необходимо ввести свои имя пользователя и пароль.
Если для блокировки исходящего трафика для определенных пользователей или групп пользователей вы используете Active Directory, то этим пользователям для того чтобы получить доступ к сети Интернет, после того, как они подключились к своим компьютерам, необходимо снова выполнить процедуру аутентификации на устройстве Firebox.
Вы можете использовать Single Sign-On (SSO) для автоматической аутентификации пользователей Trusted или Optional сетей на устройстве Firebox после того, как они подключились к своим компьютерам.
Решение SSO от компании WatchGuard состоит из SSO–агент и сервисов SSO клиента. Для работы SSO вам необходимо установить ПО SSO-агента на компьютер в вашем домене. ПО SSO-клиента является дополнительным и устанавливается на компьютере каждого пользователя.
Включить и настроить SSO вы можете при помощи Policy Manager или Web интерфейс Fireware XTM
Для более подробной информации см:
Для того чтобы ограничить передачу трафика только в одном направлении вы можете использовать Динамическую NAT в BOVPN-туннелях. При этом создается впечатление, что весь трафик идет с одного IP адреса
Например, предположим, вы хотите создать BOVPN-туннель на сайт ваших бизнес-партнеров, чтобы у вас с одной стороны был доступ к их серверу базы данных, с другой – вы не хотите, чтобы они имели доступ к ресурсам вашей сети. Ваши партнеры предоставляют вам для доступа только один IP адрес, за подключениями с которого они могут следить.
Для этого вам необходим внешний IP-адрес и адрес trusted-сети каждой конечной точки VPN. Если вы используете динамическую NAT в BOVPN-туннеле, вы не можете использовать функцию переключения VPN для этого туннеля.
Для того чтобы настроить однонаправленный BOVPN туннель при помощи Policy Manager выполните следующее:
1. В Policy Manager на вашем сайте выберите VPN > Branch Office Tunnels.
2. Нажмите Add для того чтобы добавить новый BOVPN туннеля.
3. Введите имя для BOVPN-туннеля.
4. Нажмите на иконку NewGateway справа от поля Gateway.
5. создайте новый шлюз.
6. Нажмите OK для возврата к диалоговому окну NewTunnel.
7. В закладке Addresses нажмите Add.
8. используйте процедуру добавления маршрутов для туннеля для того чтобы добавить новый маршрут туннеля. Выполните пункт 2, From the Local drop-down list.
9. Включите опцию DNAT.
10. нажмите OK.
11. сохраните эти изменения в Firebox.
12. в Policy Manager удаленного сайта выберите VPN > Branch Office Tunnels.
13. Нажмите Add для добавления нового BOVPN-туннеля.
14. выполните пункты 2 – 10 на удаленном сайте. Только не включайте опцию DNAT.
Ваш Firebox будет использовать динамическую NAT для всего трафика trusted-сети удаленного сайта. Для удаленного сайта весь трафик с вашей сети будет передаваться с одного IP адреса.
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/bovpn/manual/bovpn_set_outgoing_nat_c.html.
Hyper Text Transfer Protocol (HTTP) – протокол, работающий по механизму «запрос/ответ», и который используете для передачи данных между сервером и клиентом. В качестве HTTP-клиента обычно выступает web-браузер.
HTTP-сервер – удаленный ресурс, на котором хранятся HTML-файлы, изображения и другие типы содержимого.
При отправке запроса HTTP-клиентом устанавливается TCP-соединение через порт 80. HTTP-сервер слушает этот порт и обрабатывает все запросы, поступающие на этот порт. HTTP-прокси представляет собой высокоскоростной фильтр содержимого. Он проверяет HTTP трафик на наличие подозрительного содержимого, которое может быть вирусом или попыткой проникновения в вашу сеть. Он также защищает ваш web сервер от внешних атак.
С помощью фильтра HTTP-прокси вы можете выполнять следующее:
· Устанавливать величину таймаута и ограничения на длину HTTP запросов и ответов
· Настроить текст deny сообщение, которое будет отправлено пользователю в случае, если он пытается подключиться к сайту, заблокированному прокси.
· Фильтровать MIME типы содержимого.
· Блокировать определенные шаблоны путей и URL.
· Запрещать cookies с определенных сайтов.
Для более подробной информации см.:
В web-интерфейсе Fireware XTM вы можете использовать страницу Dashboard и System Status для мониторинга состояния и активности устройства Firebox.
Для подключения к web-интерфейсу Fireware XTM введите https:// в адресную строку вашего браузера и введите IP-адрес trusted-интерфейса устройства WatchGuard и порт 8080.
На странице Dashboard вы можете посмотреть состояние вашего Firebox. Эта страница открывается сразу после того, как подключитесь к устройству. Для того чтобы вернуться на эту страницу в панели навигации нажмите Dashboard .
Если в панели навигации вы нажмете SystemStatus, то вы увидите список категорий для мониторинга. При помощи этих страниц вы можете следить за состоянием всех компонентов устройства WatchGuard.
Для более подробной информации см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/overview/edge/monitor_edge_about_web.html.
Вы можете установить Сервер Журнала на вашу станцию управления или на другой компьютер. Также для обеспечения резервирования вы можете установить еще один Сервер Журналов.
1. Запустите программу установки WatchGuard System Manager и для установки выберите только Сервер Журналов
2. Выполните необходимые настройки Сервера Журналов в соответствии с требованиями вашей организации.
Для более подробной информации о настройке Сервера Журналов см. Для более подробной информации о параметрах конфигурации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/logging/ls_configure_wsm.html.
Для того чтобы посмотреть конфигурацию устройства или проверить его работу вам необходимо к нему подключиться. Для подключения к устройству используйте read-only пароль.
Для подключения к устройству WatchGuard из WatchGuard System Manager (WSM) используйте один из методов:
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/installation/firebox_connect_wsm.html.
Сервис Gateway AntiVirus/Intrusion Prevention Service (Gateway AV/IPS) позволяет устройству Firebox защитить вашу сеть от проникновений и вирусов. Для активации этого сервиса вам необходим новый ключ функций.
WatchGuard Gateway AntiVirus (Gateway AV) защищает вашу сеть от вирусов. Gateway AV работает с WatchGuard SMTP, POP3, HTTP и FTP прокси. После того, как вы включите сервис Gateway AV, SMTP, POP3, HTTP и FTP прокси будут проверять различные типы трафика и выполнять указанные вами действия.
Сервис IPS (Intrusion Prevention Service) включает набор сигнатур, которые соответствуют определенным командам, или тексту команд, которые могут нанести вред вашей сети. Сервис IPS работает с SMTP, POP3, HTTP и FTP прокси. Если у нас нет настроенных прокси, они автоматически будут настроены после того, как вы включите Gateway AV и IPS для этого протокола.
Перед тем, как включить сервисы Gateway AV или IPS, выполните следующее:
Вы можете использовать Policy Manager или web-интерфейс Fireware XTM для настройки Gateway AV и IPS.
Для более подробной информации о настройке Gateway AV и IPS в Policy Manager см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/services/gateway_av/gateway_av_about_wsm.html
Для более подробной информации о настройке Gateway AV и IPS в web-интерфейсе Fireware XTM см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/services/gateway_av/gav_configure_web.html.
Skype – программа, которая позволяет пользователям совершать голосовые звонки через Internet. К сожалению, благодаря использованию динамического метода, который используется для подключения пользователей, заблокировать Skype, используя сервисы на базе сигнатур, представляет собой очень непростую задачу.
Для того чтобы заблокировать исходящие звонки Skype, вам необходимо заблокировать порты, номера которых превышают 1024. Ниже приводится описание самого простого способа блокировки Skype трафика.
1. Проверьте, нет ли у вас политик, которые разрешают передачу данных через порты, номер которых превышают 1024.
2. В Policy Manager выберите Edit > Add Policy.
3. Нажмите на значок плюс (+) слева от каталога Proxies
4. Нажмите TCP-UDP-proxy. Затем нажмите Add.
5. В полях To и From введите необходимые значения, которые будут использоваться вашей политикой (например, From Any-Trusted, To Any-External)
6. Выберите закладку Properties. В закладке Properties нажмите на кнопку View/EditProxy, расположенную рядом с выпадающим списком Proxyaction.
7. В диалоговом окне TCP-UDPProxyActionConfiguration в выпадающем списке OtherProtocols выберите [Deny].
8. Рядом с выпадающим списком HTTPS нажмите View/EditHTTPSProxy.
9. Включите опцию Enable deep inspection of HTTPS content.
10. Нажмите OK для того чтобы сохранить изменения в действиях прокси. Затем сохраните эту конфигурацию на вашем Firebox.
Важно заметить, что после сохранения изменений эта политика заблокирует ВЕСЬ исходящий TCP/UDP трафик, кроме HTTP, HTTPS, SIP, и FTP. Если вы хотите разрешить исходящий трафик для других протоколов, вам необходимо создать дополнительные политики, которые будут разрешать этот тип трафика.
Отчеты клиента – один из нескольких типов отчетов, доступных на вашем Сервере Отчетов в качестве On-DemandReports.
Они содержат информацию об аутентифицированных пользователях, имени хоста и IP адресе выбранного устройства или группы. Существует два типа отчетов клиента:TopClient и PerClient.
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/reports/reports_view_client_report_wsm.html в WatchGuard System Manager Help.
WatchGuard Reports – это обобщенные данные, которые вы будете собирать из файлов журналов Firebox.
Report Manager объединяет все данные журнала в набор предопределенных отчетов для каждого типа отчета. Тем самым вы можете быстро и просто искать необходимые вам данные.
Ниже приведен список доступных отчетов:
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/reports/reports_predefined_list_wsm.html.
Для того чтобы вручную создать BOVPN туннель вам необходимо корректно настроить конечные точки VPN туннеля и проверить, что параметры Phase 1 и Phase 2 одинаковы на обоих устройствах. В противном случае туннель не будет создан.
Для более подробной информации о процедуре создания BOVPN туннеля вручную между устройствами с установленным Fireware XTM см:
Для Policy Manager - http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/bovpn/manual/manual_bovpn_fireware-xtm_fireware-xtm_wsm.html.
Для web-интерфейса Fireware XTM - http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/bovpn/manual/manual_bovpn_fireware-xtm_fireware-xtm_web.html.
Для того чтобы вручную создать BOVPN туннель вам необходимо корректно настроить конечные точки VPN туннеля и проверить, что параметры Phase 1 и Phase 2 одинаковы на обоих устройствах. В противном случае туннель не будет создан.
Для более подробной информации о процедуре создания BOVPN туннеля вручную между устройством WatchGuard с установленным Fireware XTM и устройством Firebox X Edge с установленным Edge v10.x см:
Для Policy Manager - http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/bovpn/manual/manual_bovpn_fireware-xtm_edge_wsm.html.
Для Web интерфейса Fireware XTM - http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/bovpn/manual/manual_bovpn_fireware-xtm_edge_web.html
Для того чтобы создать туннель без конфликта обе сети должны использовать 1-to-1 NAT.
1-to-1 NAT преобразует реальные IP-адреса ваших компьютеров в другие IP адреса при передаче трафика по VPN туннелю. 1-to-1 NAT используется для преобразования IP адресов из одного диапазона в адреса другого диапазона. Каждый IP-адрес первого диапазона соответствует уникальному IP-адресу другого диапазона.
В процедуре, описанной ниже, первый диапазон адресов будут реальными IP-адресами, а второй диапазон – маскированные IP-адреса.
Настройка BOVPN
1. Выберите диапазон IP-адресов, которые ваши пользователи будут использовать в качестве IP адресов источника для трафика, который будет передаваться из вашей сети в другую сеть по BOVPN туннелю.
Проконсультируйтесь с сетевым администратором другой сети и выберите диапазон неиспользуемых IP-адресов.
Не используйте какие-либо IP-адреса из:
2. Настройте шлюзы для локального и удаленного Firebox.
3. Создайте туннель между конечными точками туннеля.
В диалоговом окне TunnelRouteSettings для каждого Firebox выберите опцию 1:1 NAT и в текстовом поле рядом введите диапазон маскированных IP-адресов. Количество IP адресов в этом поле должен быть равным количеству IP адресов, указанному в поле Local.
Например, если для записи маски подсети вы используете slash-нотацию, то номер маски должен для обоих диапазонов совпадать.
Вы можете настроить параметры шлюзов и туннелей в Policy Manager или web-интерфейсе Fireware XTM.
Если на компьютере клиента установлены Windows Vista или Windows XP, необходимо войти в систему под учетной записью администратора для установки ПО клиента Mobile VPN with SSL.
Права администратора не потребуются для подключения после того, как программа-клиент SSL будет установлена и настроена.
В ОС Windows XP Professional пользователю требуется быть членом группы NetworkConfigurationOperators для запуска клиента SSL.
Если на компьютере клиента установлена ОС Mac OS X, администраторские права для установки или использования клиента SSL не требуются.
Для более подробной информации см.:
Для того чтобы разрешить доступ к серверу BlackBerry Enterprise Server, который находится за устройством Firebox, вам необходимо создать исходящие и входящие политики пакетного фильтра и настроить NAT с вашего публичного интерфейса на сервер BlackBerry Enterprise Server.
Для того чтобы настроить доступ к серверу BlackBerry® Enterprise Server выполните следующее:
1. В Policy Manager создайте шаблон политики пакетного фильтра для входящего трафика BlackBerry, который использует следующие порты:
2. Добавьте политику, использующую шаблон, созданный вами в п.1, для того чтобы разрешить подключения с Any-External на публичный IP адрес вашего сервера BlackBerry Enterprise Server. Для преобразования публичного IP адреса сервера BlackBerry Enterprise Server в его внутренний IP-адрес используйте статическую NAT.
Примечание: если вы используете входящий SMTP на вашем брандмауэре, то сервера SMTP и Blackberry должны иметь различные внешние IP-адреса для избежания конфликтов портов.
3. Создайте шаблон политики пакетного фильтра для исходящего трафика BlackBerry, который использует следующие порты:
4. Добавьте политику, созданную в пункте 3, для того чтобы разрешить подключения с внутреннего IP адреса вашего сервера BlackBerry Enterprise Server на адреса сети, перечисленные ниже.
Сетевые IP-адреса
206.51.26.0/24
193.109.81.0/24
204.187.87.0/24
216.9.240.0/20
93.186.16.0/20
206.53.144.0/20
67.223.64.0/19
Примечание: эти IP-адреса взяты из пункта KB03735 в Research In Motion Knowledge Base и могут быть изменены Research In Motion.
Для более подробной информации см.:
Для более подробной информации о настройке статической NAT см:
Более подробную информацию о настройке сервера BlackBerry Enterprise Server, который находится за брандмауэром, см. пункт KB16378 и KB03735 в Research In Motion Knowledge Base.
WatchGuard предоставляет своим клиентам инструкции для настройки продуктов WatchGuard для работы с продуктами других компаний. Для более подробной информации см. документацию и информацию по технической поддержке продукта.
BlackBerry® - торговая марка Research In Motion Ltd., зарегистрированная в США и других странах.
Процедура установки состоит из двух частей: установка ПО клиента на удаленный компьютер и импорт профиля конечного пользователя в программу клиента.
До начала установки убедитесь в наличии следующих компонентов установки, которые вам следует получить от вашего сетевого администратора:
Для того чтобы установить программу клиента выполните следующее:
1. скопировать файл Mobile VPN .zip на удаленный компьютер и распаковать его содержимое.
2. скопировать профиль конечного пользователя (файл .wgx) в корневой каталог удаленного (клиентского или пользовательского) компьютера.
3. Запустить исполняемый файл Mobile VPN двойным нажатием мыши на файл .exe, который вы распаковали в п.1. Запустится мастер WatchGuard Mobile VPN Installation. Вам необходимо перезагрузить ваш компьютер после того, как мастер завершит работу.
Для того чтобы импортировать профиль конечного пользователя в программе клиента выполните следующее:
1. На рабочем столе Windows удаленного компьютера выберите Start > AllPrograms > WatchGuardMobileVPN > MobileVPNMonitor.
2. В WatchGuard Mobile VPN Connection Monitor выберите Configuration > Profile Import.
3. следуйте инструкциям Profile Import Wizard для импорта профиля конечного пользователя (файл .wgx).
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/mvpn/client/mvpn-ipsec_client-install-instructions_c.html
До того, как вы сможете использовать Web Setup Wizard, необходимо настроить параметры сети на вашем компьютере для подключения к устройству WatchGuard. Вы можете настроить интерфейс сетевой карты для использования статического IP-адреса или использовать DHCP для автоматического получения IP-адреса.
Для настройки компьютера с ОС Windows XP при использовании DHCP или статического IP-адреса см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/installation/connect_dhcp_web.html или http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/installation/connect_static_web.html.
Если вы используете статический IP-адрес, необходимо выбрать IP-адрес, который находится в диапазоне адресов Trusted сети.
После настройки параметров сети на вашем компьютере подключитесь к web интерфейсу Fireware XTM, используя IP адрес, который вы настроили для Trusted-интерфейса.
Вы можете использовать Report Manager для просмотра данных, собранных с Серверов Журналов, для всех ваших устройств Firebox.
В Report Manager вы можете просматривать доступные отчеты WatchGuard для одного или нескольких устройств Firebox.
Отчеты WatchGuard представляют собой краткие данные журнала, которые выбраны для сбора из файлов журнала Firebox.
Report Manager объединяет данные журнала в различные предопределенные отчеты так, чтобы вы могли быстро и легко найти и просмотреть необходимые действия и события Firebox.
Для более подробной информации о предопределенных отчетах см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/reports/reports_set_report_options_wsm.html.
При помощи дополнительный функций Report Manager вы можете:
Примечание: для того чтобы использовать Отчеты WatchGuard вам необходимо установить установить Internet Explorer 6.0 и выше или Firefox.
В режиме drop-in Firebox настраивается с одинаковыми IP-адресами для всех интерфейсов. Конфигурация drop-in распределяет диапазон логических адресов между всеми интерфейсами устройства Firebox.
Вы можете поместить Firebox между маршрутизатором и LAN и при этом не менять конфигурацию какого-либо локального компьютера. Эта конфигурация известна как drop-in, так как Firebox «подключается» в сеть.
В режиме drop-in:
Публичные серверы, которые находятся за устройством Firebox, могут продолжать использовать публичные IP-адреса. Firebox не использует NAT для маршрутизации трафика от внешней сети к вашим публичным серверам.
Для использования конфигурации drop-in:
Для более подробной информации о режиме “drop-in” и схеме подключения см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/installation/dropin_config_c.html.
Если вы хотите использовать Quick Setup Wizard для настройки режима «drop-in» см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/installation/qsw_noweb_about_wsm.html.
Если вы нажмете на ссылку в разделе Knowledge Base и получите сообщение OperationFailedIllegalparameter, то ваш браузер, возможно, поместил в кэш данные, которые могут вызывать ошибку.
Для того чтобы исправить эту ошибку вам необходимо очистить кэш браузера.
Если вы используете Internet Explorer в Microsoft, то выполните следующее:
1. Выберите Tools > Delete Browsing History.
2. В разделе Temporary Internet Files нажмите Delete files.
3. Закройте и снова откройте браузер.
Ваш кэш очищен. Страница должна отображаться корректно.
Если вы используете Mozilla Firefox:
1. Выберите Tools > Clear Private Data.
2. Включите только опцию Cache.
3. Нажмите Clear Private Data Now.
4. закройте и повторно откройте ваш браузер.
Ваш кэш очищен. Страница должна отображаться корректно.
HTTPS (Hypertext Transfer Protocol over Secure Socket Layer, или HTTP over SSL) – протокол, работающий по механизму «запрос/ответ», и который используется для безопасной передачи данных между клиентами и серверами
Вы можете использовать HTTPS-прокси для обеспечения безопасности web-сервера, защищаемого вашим Firebox, или проверять HTTPS трафик, передаваемый пользователями вашей сети. По умолчанию при HTTPS запросе устанавливается ТСР (Transmission Control Protocol) соединение через порт 443. Большинство HTTPS-серверов для HTTPS запросов слушают порт 443.
HTTPS является более защищенным протоколом, чем HTTP, потому что HTTS использует цифровые сертификаты для шифрования и расшифрования HTTP трафика, передаваемого с клиента на сервер, а также с сервера на клиент. Так как трафик передается в зашифрованном виде, то для его проверки Firebox должен сначала этот трафик расшифровать
После проверки содержимого Firebox зашифровывает трафик при помощи сертификата и отправляет его в место назначения.
Вы можете экспортировать сертификат по умолчанию, созданный Firebox для этой функции, или импортировать другой сертификат
Если вы используете HTTPS-прокси для проверки Web-трафика, мы рекомендуем экспортировать сертификат по умолчанию и разослать его своим пользователям, для того чтобы они не получали предупреждения браузера об использовании сертификата, которому нельзя доверять.
Если вы используете HTTPS-прокси для защиты web-сервера, который принимает запросы из внешней сети, мы рекомендуем импортировать текущий сертификат web-сервера по той же причине. Для более подробной информации см.:
Для того чтобы использовать сервер аутентификации с устройством Firebox, вам необходимо настроить Firebox таким образом, чтобы он отправлял запросы аутентификации на этот сервер Active Directory. Перед тем, как начать процедуру настройки, убедитесь, что пользователи могут аутентифицироваться на сервере Active Directory, а также что у вас есть вся необходимая информация для настройки параметров Search Base (Базы поиска).
Для настройки устройства Firebox вы можете использовать Policy Manager или Web интерфейс Fireware XTM.
Для того чтобы настроить серверы аутентификации в вашей конфигурации при помощи Policy Manager выполните следующее:
1. В диалоговом окне Authentication Servers утилиты Policy Manager выберите закладку Active Directory.
2. Включите сервер Active Directory и выполните необходимые настройки.
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/authentication/active_directory_about_c.html.
Для того чтобы настроить серверы аутентификации в вашей конфигурации при помощи web-интерфейса Fireware XTM выполните следующее:
1. Подключитесь к web-интерфейсу Fireware XTM и выберите Authentication > Servers.
2. Выберите закладку Active Directory.
3. Включите сервер Active Directory и выполните необходимые настройки.
Для более подробной информации см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/authentication/active_directory_about_c.html.
SMTP (Simple Mail Transport Protocol) – протокол, который используется для передачи сообщений между серверами электронной почты, а также между клиентами и серверами.
Обычно протокол использует порт 25. При помощи SMTP-прокси вы можете сканировать электронные сообщения, а также их содержимое. Прокси проверяет SMTP сообщения по определенным параметрам и сравнивает их с правилами в конфигурации прокси.
При помощи фильтра SMTP-прокси вы можете:
Для более подробной информации см.:
При работе 1-to-1 NAT Firebox изменяет IP адреса одного диапазона на адреса другого диапазона.
1-to-1 NAT часто используется когда у вас есть группа внутренних серверов с внутренними IP-адресами, которые необходимо сделать публичными. Вы можете использовать 1-to-1 NAT для отображения публичных IP-адресов на внутренние адреса. При этом вам не надо менять IP-адреса ваших внутренних серверов. Правило 1-to-1 NAT всегда имеет больший приоритет над правилом динамической NAT.
При настройке правила 1-to-1 NAT вам необходимо создать два диапазона IP адресов – “To” и “From”. NAT base – первый доступный IP-адрес в диапазоне адресов «To». Real Base – первый доступный IP-адрес в диапазоне IP-адресов «From». Это реальные IP-адреса, которые присваиваются интерфейсам устройств.
Для того чтобы настроить 1-to-1 NAT в Policy Manager выберите Network > NAT и выберите закладку 1-to-1 NAT. Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/nat/nat_1_to_1_config_c.html.
Для того чтобы настроить 1-to-1 NAT в Web интерфейсе Fireware XTM выберите Network > NAT. Для более подробной информации см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/nat/nat_1_to_1_config_c.html.
Для того чтобы использовать SSO необходимо установить SSO-агент WatchGuard, который представляет собой сервис, который обрабатывает запросы аутентификации и проверяет статус пользователей на сервере Active Directory.
Сервис SSO-агента должен быть запущен под учетной записью пользователя, а не администратора. Мы рекомендуем создать новую учетную запись пользователя для этой цели. Для корректной работы сервиса SSO-агента настройте учетную запись пользователя со следующими параметрами:
Для установки ПО агента SSO выполните следующее:
1. Загрузите ПО агента SSO с сайта http://www.watchguard.com/activate.
2. Установите сервис агента SSO.
3. Включите SSO на вашем Firebox.
Для более подробной информации см.:
Для более подробной информации о процедуре включения SSO в Policy Manager см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/authentication/sso_enable_c.html
Для более подробной информации о процедуре включения SSO в Web интерфейсе Fireware XTM см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/authentication/sso_enable_c.html.
ap_collector и wlcollector.exe – процессы (или демоны) для вашего Сервера Журналов WatchGuard. Эти два процесса запускаются/останавливаются при выполнении/остановке сервисов Севера Журнала или при постоянной работе Сервера в фоновом режиме.
Процесс wlcollector.exe представляет собой сервис Сбора Журналов (Log Collector) на WatchGuard. Этот сервис «слушает» подключения с устройств и серверов WatchGuard.
Если устройство или сервер подключается к Серверу Журналов, то wlcollector.exe получает сообщение журнала от устройства или сервера и записывает это сообщение в файл журнала. Процесс ap_collector является компонентом wlcollector.exe.
Если вы увидите сообщение журнала в Windows Event Viewer, которое содержит wlcollector или ap_collector, это свидетельствует о том, что ваш Сервер Журналов отправил сообщение журнала об одном из этих процессов. Некоторые сообщения журнала, которые могут появиться в Windows Event Viewer, содержат следующее:
Сообщения wlcollector
Information (8200), WatchGuard Log Collector shutting down.
Сервис Log Collector остановлен.
Information (8199), WatchGuard Log Collector starting up.
Сервер Log Collector запущен.
Warning (8213), unable to receive request from host 100.100.10.1 (failure).
Log Collector не получил сообщение от указанного устройства.
Information (8213), unable to receive request from host 100.100.10.1 (connection timed out).
Если Log Collector получил сообщение журнала от устройства, то это значит, что произошла одна из следующих ошибок: сетевая ошибка, устройство закрыло соединение или сервис Log Collector был остановлен. Если соединения разрывается, устройство автоматически пытается повторно подключиться к сервису Log Collector.
Warning (8226), unable to send reply to host 100.100.10.1 (failure).
Устройство отключено, сервис Log Collector остановлен или произошла какая-то ошибка в соединении между устройством или сервисом Log Collector
Warning (8212), unable to accept TCP/IP request from host 100.100.10.1 (protocol error).
Некорректный ключ шифрования или время на устройстве и Сервере Журналов не совпадает
Warning (8212), unable to accept TCP/IP request from host <ip unknown> (connection timed out).
Устройство подключено к сервису Log Collector, но еще до того, как сервис аутентифицировал устройство, был сгенерирован таймаут.
Сообщения ap_collector
Error (9220), authentication failed for fb11 at 100.100.10.1.
Некорректный ключ шифрования
Замечание
IP-адреса, приведенные в этих примерах, в действительности не существуют. Реальные IP-адреса в ваших сообщениях будут соответствовать IP-адресам ваших устройств или серверов.
Повторныйзапуск wlcollector.exe или ap_collector
При запуске Сервера Журналов процессы wlcollector.exe и ap_collector запускаются автоматически. Эти процессы продолжают работать до выключения Сервера Журналов, перезагрузки или выключения компьютера с вашим Сервером Журнала.
Если один из процессов (wlcollector.ex или ap_collector) внезапно остановится, то вы можете повторно запустить его.
Для повторного запуска процессов wlcollector.exe и ap_collector необходимо выполнить:
1. Откройте WatchGuard Server Center.
2. В меню Servers выберите Log Server.
3. Нажмите правой кнопкой на LogServer и выберите StopServer.
Появится предупреждение.
4. Нажмите Yes если вы действительно хотите остановить Сервера Журналов.
Сервис Сервера Журнала остановится и появится соответствующее сообщение в верхней части страницы Сервера Журнала. Процессы wlcollector.exe и ap_collector автоматическиостановятся.
5. Снова нажмите правой кнопкой мыши на LogServer и выберите StartServer.
Сервис LogServerзапустится, и Сервер Журнала появится в верхней части страницы. Процессы wlcollector.exeи ap_collectorавтоматически запустятся.
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/logging/logging_and_logfiles_about_c.html.
Вы можете использовать Firebox System Manager (FSM) для просмотра состояния вашего устройства Firebox. Для того чтобы использовать FSM вам необходимо запустить WatchGuard System Manager и подключиться к устройству Firebox.
1. Запустите WatchGuard System Manager и подключитесь к Firebox.
2. В WatchGuard System Manager выберите закладку Device Status.
3. Выберите Firebox для проверки Firebox System Manager.
4. Выберите Tools > Firebox System Manager. Откроется Firebox System Manager.
Для подключения к устройству Firebox может потребоваться некоторое время
Для более подробной информации см. следующие разделы:
Вы может также запустить эти приложения в Firebox System Manager:
Вы можете использовать Firebox System Manager для:
Если вы используете Voice-over-IP (VoIP) в вашей организации, то можете добавить H.323 или SIP (Session Initiation Protocol) ALG (Application Layer Gateway) для того чтобы открыть порты, необходимые для работы VoIP через ваше устройство WatchGuard. ALG создается так же, как и политика прокси, и предлагает похожие опции. Эти ALG были созданы для работы в NAT сетях для обеспечения безопасности вашего оборудования для видеоконференций.
Протокол H.323 обычно использовался в более ранних версиях оборудования для видеоконференций и передачи голоса.
SIP – более новый стандарт, который используется в сетях, в котором конечные точки, например телефоны, расположены в вашей компании, а провайдер VoIP сервисов управляет всеми подключениями.
При необходимости вы можете использовать H.323 и SIP ALG одновременно. Для того чтобы понять, какой ALG необходимо добавить, посмотрите документацию для вашего VoIP устройств или приложений.
Для более подробной информации см.:
Да, но вам необходимо создать базовую конфигурацию для нового Firebox и затем сохранить существующую конфигурацию на новый Firebox. Некоторые изменения необходимо выполнить в текущей конфигурации до ее сохранения на новый Firebox.
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/basicadmin/config_file_use_new_model_wsm.html.
Программа установки WatchGuard System Manager (WSM) устанавливает ПО управления, а также серверное ПО на станцию управления. Серверное ПО WatchGuard System Manager включает Сервер Отчетов, Управления, Журнала, Карантина и WebBlocker.
Вы можете установить несколько версий WatchGuard System Manager на один компьютер, но вы не сможете установить несколько версий серверного ПО. Для того чтобы установить новую версию серверного ПО вам необходимо при помощи утилиты Add/Remove programs в ОС удалить старую версию.
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/installation/install_WSM_keep_old_wsm.html.
При помощи мастера Quick Setup Wizard вы можете создать базовую конфигурацию для вашего устройства WatchGuard. Устройство использует базовый конфигурационный файл при первом запуске. Это позволяет ему начальном этапе выполнять простого брандмауэра. Вы можете использовать эту процедуру каждый после перезагрузки устройства с новой конфигурацией.
При настройке устройства WatchGuard с помощью Quick Setup Wizard вы можете настроить только основные политики (исходящие TCP и UDP, пакетный фильтр FTP, ping и WatchGuard) и IP-адреса интерфейсов. Если вы хотите установить дополнительное ПО или настроить процедуру проверки другого типа трафика, то выполните следующее:
Мастер Quick Setup Wizard запускается, как web приложение или как обычное Windows приложение. Для того чтобы запустить мастер Quick Setup, как Windows приложение, вам необходимо установить WatchGuard System Manager.
Перед подключением устройства к сети, убедитесь, что у вас есть следующее:
Перед тем, как подключать устройство WatchGuard к сети мы рекомендуем сделать следующее:
· Записать сетевые адреса: составьте две таблицы для настройки вашего устройства WatchGuard. Одну таблицу – для записи сетевых IP-адресов до подключения устройства, другую – для адресов после подключения устройства WatchGuard.
· Выбрать режим конфигурации брандмауэра: выберите режим конфигурации брандмауэра, который соответствует потребностям вашей сети. Существует два наиболее используемых режима: mixed routing mode (режим смешанной маршрутизации) и drop-in mode (режим drop-in). Если вы хотите настроить ваш Firebox в режиме drop-in, то необходимо использовать WSM Quick Setup Wizard. Мастер web-установки (Web Setup Wizard) не используется при режиме drop-in.
· Определить каталог, в который будете устанавливать серверное ПО: вы можете установить ПО управления и серверное ПО на один компьютер. Или вы можете установить серверные компоненты (Сервер Отчетов, Сервер Карантина, Сервер Журналов и др.) на разные компьютеры.
Для более подробной информации см.:
WatchGuard spamBlocker – сервис безопасности, который используется для сканирования электронной почты и защиты вашей сети от спама.
Сервис spamBlocker использует передовую технологию идентификации шаблонов, разработанную компанией Commtouch, для защиты от спама.
Вы можете включить spamBlocker для политик POP3 и SMTP-прокси. Если вы используете SMTP для электронной почты и установили локальный Сервер Карантина, то вы можете настроить spamblocker таким образом, чтобы он вместо блокировки электронных сообщений, помещал их на Сервер Карантина.
Для того чтобы активировать сервис spamBlocker вам необходимо следующее:
Перед тем, как включить сервис spamBlocker, вам необходимо импортировать ключ функций spamBlocker.
Вы можете настроить spamBlocker при помощи Policy Manager или Web-интерфейса Fireware XTM.Настройка spamBlocker при помощи Policy Manager
В Policy Manager при помощи мастера настройки вы можете включить spamblocker в настройках в SMTP и POP3 прокси, или в обоих одновременно. Также при помощи мастера вы можете создать новый SMTP или POP3 прокси с включенным spamBlocker.
Для того чтобы включить spamBlocker в Policy Manager выберите Subscription Services > spamBlocker > Activate.
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/services/spamblocker/spam_activate_wsm.html.
Настройка spamBlockerпри помощи Web-интерфейса FirewareXTM
Перед тем, как настроить spamBlocker, вам необходимо создать SMTP или POP3 прокси. Для того чтобы настроить spamBlocker при помощи Web интерфейса Fireware XTM выберите SubscriptionServices > spamBlocker.
Для более подробной информации см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/services/spamblocker/spam_configure_c.html.
mBlocker при помощи Policy Manager или Web-интерфейса Fireware XTM.
Статическая NAT, так же известная как переадресация портов, является преобразованием NAT «порт-хост». NAT доступна для политик, которые используют определенные порты (ТСР или UDP). При использовании статической NAT реальный IP адрес пакета и номер порта меняется на установленные вами значения
При использовании статической NAT вы используете внешний IP-адрес вашего Firebox вместо IP-адреса публичного сервера.
Вы можете использовать это по выбору либо если у вашего публичного сервера нет публичного IP адреса. Например, вы можете поместить ваш почтовый SMTP-сервер за Firebox, присвоить ему внутренний IP адрес и настроить статическую NAT в вашей политике SMTP.
Устройство Firebox весь трафик, полученный на порт 25, будет переадресовывать на этот SMTP сервер.
Для того чтобы настроить статическую NAT, вам необходимо в Policy Manager внести изменения в вашу политику и добавить запись статической NAT в поле "To" настроек политики. В записи статической NAT вам необходимо внутренний и внешний IP адреса.
Для более подробной информации о процедуре настройки в Policy Manager см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/nat/nat_static_config_about_c.html.
Для более подробной информации о процедуре настройки в web-интерфейсе Fireware XTM см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/nat/nat_static_config_about_c.html.
Регулярные выражения представляют собой группу букв, чисел и специальных символов, использующихся для поиска данных. Вы можете использовать Perl-совместимые регулярные выражения (PCRE) в вашей конфигурации Firebox для поиска определенных шаблонов трафика в действиях прокси
Например при помощи регулярных выражений вы можете заблокировать подключения к одним сайтам и разрешить подключения к другим сайтам.
Вы так же можете заблокировать SMTP трафик, если адрес получателя не входит в список адресов для вашей компании. Например, если вы хотите заблокировать раздел веб-сайта, который представляет угрозу вашей системе безопасности, то вы можете использовать регулярные выражения в категории URL Paths конфигурации HTTP-прокси.
Общие рекомендации
Как создать регулярные выражения
Самые простые регулярные выражения просто состоят из фрагментов текста, которые вы хотите найти. Т.е при использовании такого выражения вы сможете точно такие же текстовые фрагменты, в котором буквы, цифры и специальные символы идут точно в таком же порядке, в каком они идут в регулярном выражении.
Например, fat совпадает с fat, fatuous и infatuated и другими последовательностями.
Замечание: Fireware находит любую последовательность, которая соответствует регулярному выражению. Регулярные выражения часто совпадают с несколькими последовательностями. Поэтому если вы будете использовать регулярные выражения в правила «Deny», вы можете случайно заблокировать другой трафик. Перед тем, как сохранять конфигурацию устройства Firebox, мы рекомендуем очень тщательно проверить работу регулярных выражений.
Для того чтобы найти различные последовательности символов, вам необходимо использовать специальные символы. Наиболее часто используемым символом является точка (.), который по функциям похож на групповые символы
Точка в регулярном выражении соответствует любому символу, пробелу или табуляции. Точка не используется для поиска символов переносов строк (\r\n или \n).
Например, f..t совпадает с foot, feet, f&#t, f -t и f\t3t. Для того чтобы искать специальные символы, вам необходимо в регулярном выражении перед ним поставить обратную косую черту (\). В противном случае регулярное выражение будет работать некорректно. Для поиска символов, которые уже имеют обратную косую черту, вторую косую черту ставить необязательно. Пример: символ табуляции \t.
Например, \$9\.99 совпадет с $9.99.
Обратную косую черту необходимо добавлять для поиска следующих символов: ? . * | + $ \ ^ ( ) [
Шестнадцатеричные символы
Для поиска шестнадцатеричных символов используются \x или %0x%.
Шестнадцатеричные символы не зависят от регистра.
Например, \x66 или %0x66% совпадает с f, но не F.
Повторения
Для того чтобы искать переменное количество символов вам необходимо использовать специальные модификаторы - повторения. Применять модификаторы вы можете, как к одному, так и к группе символов. Существует 4 вида модификаторов повторения:
· цифры внутри фигурных скобок (например, {2,4}) используются для указания диапазона поиска повторяющихся символов – первое число указывает наименьшее количество символов, второе – наибольшее. Например, для выражения 3{2,4} будут найдены 33, 333, или 3333, но не 3 или 33333.
· Знак вопроса (?) соответствует нулевому или одному появлению предыдущего символа, класса или группы. Например, me?et совпадает с met или meet.
· Знак плюс (+) соответствует одному или более появлению предыдущего символа, класса или группы. Например, me+t совпадает с met, meet и meeeeeeeeet.
· Знак астериск (*) соответствует нулевому или более появлению предыдущего символа, класса или группы. Например, me*t совпадает с mt, met, meet, and meeeeeeeeet.
Для применения модификаторов к нескольким символам за раз необходимо создать группу. Для группировки последовательности символов заключите последовательность в круглые скобки.
Например, ba(na)* совпадает с ba, bana, banana и banananananana.
Классы символов
Для поиска совпадений одного символа из группы используйте квадратные скобки вместо круглых для создания класса символа. Вы можете применить модификаторы-повторители для класса символов. Порядок символов внутри класса не важен.
Только специальные символы внутри группы символов заключаются в скобки (]), обратную косую черту (\), знак вставки (^) и дефис (-). Для использования знака вставки в группе символов не применяйте его в качестве первого символа.
Чтобы использовать дефис в группе символов, сделайте его первым символом.
Например, gr[ae]y совпадает с gray и grey.
Отрицательный класс символов используется для поиска всех символов, за исключением указанных после него. Для того чтобы из обычного класса сделать отрицательный, поставьте перед ним знак вставки (^)
Например, [Qq][^u] совпадает с Qatar, но не question или Iraq.
Диапазоны
Классы символов часто используются с диапазоном символов для выбора букв или цифр.
Диапазон – это две буквы или цифры, разделенные дефисом (-), которые обозначают начало или конец группы символов.
Любой символ в диапазоне может использоваться для поиска совпадений. Если вы добавите модификатор-повторитель к группе символов, то предыдущий класс отделится.
Например, [1-3][0-9]{2} совпадает с 100 и 399, а так же с любым числом между ними.
Некоторые часто используемые диапазоны имеют сокращенные обозначения. Вы можете использовать классы символов сокращений внутри или снаружи других классов символов.
Вы можете использовать сокращенные классы символов внутри или снаружи других классов символов.
Таблица ниже содержит некоторые общие классы сокращенных символов и их отрицательные значения.
Общие классы |
|
---|---|
Класс эквивалентен | Обратное значение
|
\w любая буква или цифра (A-Za-z0-9)
| \W не буква или цифра
|
\s любой символ пробела (\t\r\n)
| \S не является символом пробела
|
\d любая цифра (0-9)
| \D не является цифрой
|
|
Якори
Для поиска начала или конца строки необходимо использовать якорь. Знак вставки (^) используется для поиска совпадений начала строки, символ доллара $ - для конца строки.
Например, ^am.*$ совпадает с «ampere», если слово «ampere» единственное слово в строке ( не совпадает с «dame».)
Вы можете использовать \b для поиска совпадений границы слов или \В для поиска любой позиции, которая не является границей слова.
Три типа границы слов:
До первого символа в последовательности символов, если первый символ – любая буква/цифра (\w).
После последнего символа в последовательности символов, если последний символ – любая буква/цифра (\w)
Между символом любой буквы/цифры (\w) и символом (\W)
Чередование
Вы можете использовать чередования для поиска совпадений при соответствии одного из нескольких возможных регулярных выражений.
Оператор чередования в регулярном выражении – прямая черта (|), похожий на булевский оператор «or».
Например: m(oo|a|e)n совпадает с первыми попавшими «moon», «man» или «men».
Общие регулярные выражения
Соответствуют типу содержания «PDF» (тип MIME)
^%PDF-
Соответствует любому разрешенному IP-адресу
(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9] [0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]? [0-9][0-9]?)
Соответствует большинству адресов электронной почты
[A-Za-z0-9._-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,4}
Сервис WebBlocker используется для ограничения доступа пользователей к определенным сайтам. Для того чтобы использовать сервис WebBlocker, вам необходимо следующее:
Установка сервера WebBlocker
1. Запустите программу установки WatchGuard System Manager и выберите компонент WebBlocker Server.
2. Для того чтобы загрузить полную базу данных WebBlocker, в панели задач Windows нажмите правой кнопкой мыши на иконку WebBlocker Server в панели инструментов WatchGuard (крайняя правая).
Для более подробной информации о процедуре установки сервера WebBlocker см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/services/webblocker/wb_server_manage_wsm.html.
После того, как вы установите сервер WebBlocker, вам необходимо его настроить:
Настройка WebBlocker в Policy Manager
1. В Policy Manager выберите Subscription Services > WebBlocker > Activate.
Откроется мастерActivate WebBlocker Wizard.
2. При помощи мастера Activate WebBlocker вы можете выполнить следующее:
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/services/webblocker/webblocker_get_started_wsm.html.
Настройка WebBlocker в web интерфейсе Fireware XTM
1. Для того чтобы настроить WebBlocker в Web интерфейсе выберите Subscription Services > WebBlocker. Откроется страница конфигурации WebBlocker.
2. нажмите New для создания нового профиля WebBlocker.
3. Выполните необходимые настройки сервера WebBlocker и выберите категории содержимого, которые вы хотите заблокировать. Сохраните профиль.
4. На странице WebBlocker выберите профиль WebBlocker для использования в HTTP или HTTPS прокси.
Для более подробной информации см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/services/webblocker/webblocker_get_started_web.html.
FireCluster позволяет объединить два устройства в кластер. Эти два устройства Firebox постоянно обмениваются данными о своем состоянии. Эти два устройства кластера вместе обрабатывают трафик и для внешних устройств выступают в качестве одного устройства.
FireCluster поддерживает два режима работы.
Кластер «Активный/пассивный»
В этом режиме одно устройство активно (передает трафик), а другое - пассивно. Активное устройство обрабатывает весь сетевой трафик до тех пор, пока не будет запущена процедура переключения. Пассивное устройство постоянно следит за состоянием активного устройства. Если активное устройство выходит из строя, то пассивное устройство становится активным и начинает обрабатывать весь трафик.
Кластер «Активный/активный»
В этом режиме устройства кластера распределяют трафик между собой. Если одно устройство в кластере выходит из строя, то весь трафик автоматически перенаправляется на второе устройство.
Для распределения трафика между активными устройствами кластера вы можете использовать алгоритмы «round-robin» или «least connections».
Перед тем, как настраивать кластер, убедитесь, что вы понимаете нижеуказанные требования и ограничения, связанные с работой кластера:
· Устройства WatchGuard в кластере должны быть одинаковой модели. Поддерживаемые модели устройств: Firebox X Core e-Series, Firebox Peak e-Series или WatchGuard XTM.
· Каждое устройство в кластере должно использовать ту же версию Fireware XTM Pro.
· Для создания кластера из двух устройств Firebox X Core необходимо приобрести и активировать обновление Fireware XTM Pro для каждого устройства в кластере.
· Каждое устройство в кластере должно иметь активную подписку LiveSecurity.
· Мы рекомендуем, чтобы на всех устройствах были установлены одинаковые лицензии для сервисов безопасности.
· Для каждого активного интерфейса вам необходим коммутатор.
· Для кластера «активный/активный» все коммутаторы и маршрутизаторы в broadcast домене должны поддерживать multicast трафик. Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/ha/cluster_aa_multicast_wsm.html.
Если вы настраиваете FireCluster первый раз, то мы рекомендуем сначала в документации прочитать раздел http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/ha/cluster_about_wsm.html, посвященный FireCluster,.
Для того чтобы создать кластер FireCluster из двух устройств выполните следующее:
1. Подключите устройства FireCluster к сети и друг к другу. Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/ha/cluster_hardware_setup_wsm.html.
2. Выполните настройку FireCluster в Policy Manager.
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/ha/cluster_config_wizard_wsm.html.
Если изначально вы для НА кластера обновили ПО с Fireware v10.x до Fireware XTM v11 и настроили эти устройства, как FireCluster, то перед тем, как вернуться к HA кластеру, вам необходимо понизить ПО до версии Fireware v10.x.
Загрузка файла для понижения версии
1. Зайдите на страницу http://www.watchguard.com/activate.
2. Введите имя пользователя и пароль вашей учетной записи LiveSecurity Service.
3. Нажмите на ссылку SoftwareDownloads.
4. выберите тип вашего устройства и номер модели.
5. Загрузите FirewareDowngradeImage 11.0 to 10.2.8 (.zip) и сохраните файл на локальный компьютер.
6. Распакуйте архив и извлеките файл utm_core_peakdown2fw.sysa-dl.
Понижение версии ПО на устройствах FireCluster
1. Откройте WSM v11., подключитесь к FireCluster и запустите Policy Manager.
2. В Policy Manager выберите File > Upgrade.
3. Когда система вас попросит найдите и выберите файл utm_core_peakdown2fw.sysa-dl.
4. Выберите No на вопрос о создании резервной копии образа. Появитсясписокустройствкластера.
5. Отметьте флаги для обоих устройств. После обновления каждого устройства появится сообщение о завершении процедуры обновления
Во время процедуры понижения версии светодиод Storage на передней панели каждого Firebox будет часто мигать. После завершения процедуры для каждого устройства, Firebox запустит специальную версию Fireware v10.2.8 с конфигурационными файлами, которые использовались на каждом устройстве до обновления до Fireware XTM v11.
После завершения процедуры понижения номер версии в WSM и FSM будет отображаться как “10.2.8dwn”. Это значит, что была произведена процедура понижения версии.
Fireware v10.2.8dwn – специальная версия ОС, которая используется для понижения версии. После того, как процедура понижения версии будет закончена, вам необходимо восстановить образ v10.2.x для каждого Firebox, для того чтобы устройства использовали стандартную версию v10.2.x Fireware.
Возврат вашего HA кластера к первоначальной конфигурации
После того, как вы понизите версию ваших устройств FireCluster до v10.2.8, то могут возникнуть проблемы с настройками режимов работы устройств. Очень важно, чтобы активным устройством кластера был соответствующий Firebox, особенно если этот Firebox содержит больше функциональных возможностей, активированных в его ключ функций. Для того чтобы восстановить исходную конфигурацию HA кластера см. нижеприведенную процедуру.
Выполните синхронизацию, а затем временно приостановите работу НА кластера:
1. В Firebox System Manager выберите Tools > High Availability > Synchronize the configuration. Конфигурация синхронизируется, и НА кластер станет активным.
2. В Policy Manager выберите Network > High Availability.
3. Отключите опцию Enable High Availability.
4. Сохраните конфигурацию на Firebox.
Восстановите сохраненный резервный образ Fireware v10.x на основном Firebox.
1. Запустите Policy Manager для основного Firebox.
2. В Policy Manager выберите File > Restore.
3. Найдите сохраненные файлы.
4. Введите пароль конфигурации.
5. Введите зашифрованный ключ, который вы использовали для создания резервного образа.
Firebox восстановит резервный образ и перезагрузится с резервным образом.Подождите 2 минуты до повторного подключения к Firebox.
Синхронизация конфигурации НА
1. Запустите второе устройство в безопасном режиме (Safe Mode).
2. В Firebox System Manager выберите Tools > High Availability > Synchronize the configuration. Конфигурация HA синхронизируется, второе устройство НА начнет работать в режиме Standby.
Если у вас нет резервной копии образа
Если вы не можете восстановить образ из резервной копии, то вам необходимо установить стандартную версию v10.2.x Fireware на каждое устройство. Затем вам необходимо вручную настроить High Availability для этих устройств. Для более подробной информации см. http://www.watchguard.com/help/docs/fireware/10/en-US/Content/en-US/ha/ha_config_f.html.
Для того чтобы подключиться к web интерфейсу Fireware XTM в адресной строке браузера введите https:// и IP-адрес Trusted интерфейса устройства WatchGuard.
Для более подробной информации см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/overview/edge/connecting_about_web.html.
Компания WatchGuard периодически выпускает новые версии Fireware XTM, которые могут загрузить пользователи с активной подпиской LiveSecurity. Вы можете загрузить ПО с веб-сайта WatchGuard, затем запустить файл для установки образа ПО на вашу станцию управления. После этого вы при помощи Policy Manager или Web интерфейса Fireware XTM можете обновить версию ПО.
Если у вас возникли проблемы с конфигурацией, которые вы решить не можете, то вы можете восстановить заводские настройки по умолчанию и создать новый конфигурационный файл.
Например, если вы не знаете пароль администратора или в результате сбоя питания было повреждено программно-аппаратное ПО, то вы сможете восстановить заводские настройки Firebox и создать вашу конфигурацию снова.
Для того чтобы восстановить заводские настройки устройства Firebox X Core или Peak e-Series выполните следующее:
1. Выключите устройство WatchGuard.
2. Нажмите кнопку вниз на передней панели устройства для включения питания.
3. Удерживайте кнопку нажатой до тех пор, пока на LCD дисплее не появится надпись "WatchGuard Technologies".
4. Если устройство работает в безопасном режиме, то на LCD дисплее появится номер модели, после которого будет идти слово "safe".
После того, как вы перезагрузили устройство Firebox с заводскими настройками, вы можете при помощи мастер Quick Setup создать базовую конфигурацию или восстановить резервную копию образа Firebox.
Для более подробной информации см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/backup_upgrade_recovery/recovery_procedures_c.html.
Если у вас возникли проблемы с конфигурацией, которые вы решить не можете, то вы можете восстановить заводские настройки по умолчанию и создать новый конфигурационный файл.
Например, если вы не знаете пароль администратора или в результате сбоя питания было повреждено программно-аппаратное ПО, то вы сможете восстановить заводские настройки Firebox и создать вашу конфигурацию снова.
Для того чтобы восстановить заводские настройки устройства Firebox Edge e-Series выполните следующее:
1. Отключите источник питания.
2. Удерживайте кнопку Reset на задней панели Edge.
3. Продолжайте удерживать кнопку Reset и подключите источник питания.
4. Удерживайте кнопку Reset. Если индикатор Attn загорится желтым цветом, то это значит заводские настройки были восстановлены. Этот процесс может занять 45 с и более.
5. отпустите кнопку Reset.
Не пытайтесь подключиться к Edge в это время. До подключения к Edge вам необходимо запустить его еще раз.
Если вы не сделаете этого, то при попытке подключения к Edge откроется страница с сообщением: YourWatchGuardFireboxXEdgeisrunningfromabackupcopyoffirmware.
Вы можете так же увидеть это сообщение, если кнопка Resetнаходится в нажатом состоянии. Если вы все еще видите эту страницу, проверьте кнопку Resetи запустите Edge снова.
6. Отключите источник питания.
7. подключите источник питания снова.
Индикаторы питания загорятся, и Edgeперезагрузится.
После того, как вы перезагрузили устройство Firebox с заводскими настройками, вы можете при помощи мастер Quick Setup создать базовую конфигурацию или восстановить резервную копию образа Firebox.
Для более подробной информации см. http://www.watchguard.com/help/docs/webui/11/en-US/Content/en-US/backup_upgrade_recovery/recovery_procedures_c.html.
Программа клиента SSL VPN использует TСР порт 4100 для подключения к Firebox c целью загрузки обновлений программного обеспечения клиента и его конфигурационного файла.
Если пользователь не может подключиться через ТСР порт 4100, но при наличии конфигурационного файла он может создать VPN-соединение, но при этом не cможет загрузить обновленный конфигурационный файл.
Пользователь увидит диалоговое окно с ошибкой «Could not download the configuration from the server. Do you want to try to connect using the most recent configuration?». Затем пользователю следует нажать Yesи создать VPN-соединение, только если он не изменил параметры Mobile VPN with SSL в конфигурации Firebox.
Если пользователь не может подключиться к устройству Firebox через порт 4100, так как он заблокирован брандмауэром или ISP, то вы можете пользователю отправить программу клиента и конфигурационный файл. Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/mvpn/ssl/mvpn_ssl_manual-distribution_c.htmlВам необходимо вернуть только дефектное оборудование. Остальные материалы, включая документацию, кабели, шнуры и диски, оставьте у себя.
Для того чтобы посмотреть список авторизованных пользователей на устройстве Firebox в Firebox System Manager выберите закладкуAuthenticationList
Для более подробной информации см. раздел http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/fsm/authentic_users_wsm.html.
Если вы скопируете ваш ключ функций из браузера, то вы можете скопировать лишние пробелы. После того, как вы вставите его в текстовое поле, проверьте, нет ли в нем лишних пробелов.
Вам также необходимо убедиться, что вы скопировали весь ключ функций, включая любые пробелы и дефисы
Если у вас есть дополнительные вопросы, то вы можете обратиться в наш Customer Care через web или по телефону.
Номер вашего RMA будет доступен после 3 часов дня (3:00 PM PST) Понедельника-Пятницы для RMA, которые были обработаны до часа дня (1:00 PM PST). Вы можете запросить номер вашего RMA у специалистов Customer Care через https://www.watchguard.com/support/contactsupport.asp или по телефону https://www.watchguard.com/support/contactsupport.asp?area=support.
По истечении 15 и 30 дней, начиная с даты обработки вашего RMA, вы получите уведомление. Если по какой-то причине вы не смогли отправить дефектное оборудование в течение 15 дней, то свяжитесь, пожалуйста, с нашим Центром Customer Care через https://www.watchguard.com/support/contactsupport.asp или по телефону и сообщите примерную дату доставки.
Microsoft Exchange Server имеет определенные требования по аутентификации, которые необходимо учитывать при настройке Сервера Карантина. Если вы используете Microsoft Exchange Server 2003 или 2007 в качестве вашего SMTP сервера и вы хотите включить уведомление пользователей на вашем Сервере Карантина, то вам скорее всего понадобятся дополнительные настройки вашего Сервера Карантина и Microsoft Exchange Server. Эти настройки зависят от того, используется ли аутентификации на вашем сервер Microsoft Exchange Server.
Для более подробной информации см. http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/quarantineserver/qs_user_notif_msexchange_wsm.html.
Для регистрации заполните, пожалуйста, Форму: