Лекція 10 Управление межсетевыми экранами d-Link NetDefend

OK

CLI Prompt. CLI Prompt – это имя устройства, которое отражается в меню Web-интерфейса межсетевого экрана NetDefend на домашней странице (Home).

По умолчанию CLI Prompt:

gw-world:/>

Если необходимо изменить имя устройства (например, на DFL-860E_centre), в командную строку нужно ввести:

gw-world:/> set device name="DFL-860E_centre"

Тогда после активации и сохранения изменений, CLI Prompt примет вид:

DFL-860E_centre:/>

А на домашней странице Web-интерфейса имя устройства отобразится, как показано на рисунке:

Рис. 10.1. Отображение имени межсетевого экрана NetDefend в Web-интерфейсе

Активация и применение изменений. Если в текущих настройках с помощью CLI выполнены какие-либо изменения, данные изменения не будут загружены в NetDefendOS, пока не будет выполнена команда:

gw-world:/> activate

Через 3-5 секунд после ввода команды activate должна быть выполнена команда commit для применения изменений:

gw-world:/> commit

Если в течение 30 секунд (время по умолчанию) не выполнена команда commit, сделанные изменения автоматически отменяются, и происходит восстановление прежней конфигурации.

gw-world:/> show -errors

Система NetDefendOS просканирует настройки на наличие активации и отобразит список проблем. Одна из возможных проблем, которая может быть обнаружена таким способом, - ссылка на IP-объект в Адресной книге, несуществующий в восстановленной резервной копии настроек.

Завершение работы в CLI. После завершения работы в интерфейсе командной строки CLI рекомендуется выйти из системы во избежание неавторизованного доступа к системе. Выход осуществляется с помощью команды exit или logout.

Использование команды sessionmanager. Интерфейс командной строки CLI предоставляет команду sessionmanager для самостоятельного управления сессиями. Команда используется для управления всеми типами сессий управления, включая:

• Сессии CLI по протоколу Secure Shell (SSH).

• Любая сессия CLI через интерфейс консоли.

• Сессии по протоколу Secure Copy (SCP).

• Сессии Web-интерфейса по протоколу HTTP или HTTPS.

Команда без ввода каких-либо опций предоставляет краткую информацию о текущих открытых сессиях:

gw-world:/> sessionmanager

Session Manager status

----------------------

Active connections : 3

Maximum allowed connections :64

Local idle session timeout : 900

Для просмотра списка всех сессий используется опция -list. Ниже отображены типичные выходные данные локальной сессии:

gw-world:/> sessionmanager -list

User Database IP Type Mode Access

-------- ---------------- --------- ------- ------- -------

local (none) 0.0.0.0 local console admin

Если пользователь обладает правами администратора, можно завершить любую сессию с помощью опции -disconnect команды sessionmanager .

Сценарии (скрипты) CLI. Для хранения загрузочных файлов и выполнения команд CLI администратором, NetDefendOS поддерживает функцию CLI scripting . CLI script – это предварительно определенная последовательность команд CLI, которые можно выполнить после их сохранения в файл и последующей загрузки файла на межсетевой экран NetDefend.

Для создания CLI script нужно выполнить следующие шаги:

1. Создайте текстовый файл в текстовом редакторе, содержащим последовательный список команд, по одной на строку. Для этих файлов D-Link рекомендует использовать расширение .sgs (Security Gateway Script). Имя файла, включая расширение, не должно содержать более 16 символов.

2. Загрузите файл на межсетевой экран NetDefend, используя Secure Copy (SCP). Файлы-сценарии должны храниться в папке script. Загрузка SCP подробно описана ниже.

3. Используйте команду CLI script -execute для запуска файла.

ВНИМАНИЕ: В файлах скриптов используются только четыре команды:

• add

• set

• delete

• cc

С помощью команды script –execute запускается именованный файл сценария (скрипта), предварительно загруженный на межсетевой экран. Например, для выполнения файла сценария my_script.sgs, который был предварительно загружен, используется следующая команда CLI:

gw-world:/> script -execute -name=my_script.sgs

Переменные скриптов. Файлы скриптов могут содержать любое количество переменных сценария, которые выглядят следующим образом:

$1, $2, $3, $4…. $n

Значения, используемые как имена переменных, определены в списке в конце командной строки script –execute. Числa 1…n в имени переменной указывают на положение значения переменной в списке. Первым идет значение $1, затем $2 и т.д. Переменная $0 является зарезервированной и перед выполнением всегда заменяется именем файла скрипта.

Например, выполняется скрипт с IP-адресом 126.12.11.1 и комментарием If1 Address , везде заменяя имеющуюся в скрипте переменную $1 на 126.12.11.1, и, соответственно, переменную $2 на строку If1 address.

Файл my_script.sgs содержит одну командную строку CLI:

add IP4Address If1_ip Address=$1 Comments=$2

Для запуска файла скрипта после загрузки, используется команда CLI:

> script -execute -name=my_script.sgs 126.12.11.01 "If1 address"

После запуска файла скрипта и замены переменных файл будет содержать:

add IP4Address If1_ip Address=126.12.11.01 Comments="If1 address"

По умолчанию, скрипты CLI не подтверждены. Это означает, что написание порядка скриптов не будет иметь значения. В начале скрипта может быть ссылка на объект конфигурации, которая создается только в конце (для улучшения читаемости скриптов). Для того, чтобы подобные действия не приводили к запутанному и бессвязному файлу, в файлах скриптов с большим объемом предпочтительнее группировать аналогичные команды CLI.

Если в существующем файле скрипта встречается ошибка, по умолчанию сценарий будет завершен. Завершение может быть прервано с помощью опции -force . Для запуска файла с именем my_script2.sgs таким способом используется команда CLI:

gw-world:/> script -execute -name=my_script2.sgs -force

Все выходные данные выполненного скрипта появятся в консоли CLI. Обычно эти данные состоят из любых сообщений об ошибках, которые произошли во время выполнения. Для просмотра подтверждения выполнения каждой команды, используется опция –verbose:

gw-world:/> script -execute -name=my_script2.sgs -verbose

Сохранение скриптов. При загрузке файла скрипта на межсетевой экран NetDefend, первоначально он хранится только во временной памяти RAM. При перезапуске NetDefendOS все загруженные скрипты будут потеряны из этой энергозависимой памяти, и для их запуска потребуется повторная загрузка. Для хранения скриптов между перезапусками следует переместить их на диск NetDefendOS с энергонезависимой памятью Disk с помощью команды script –store.

Для перемещения файла с именем my_script.sgs в энергонезависимую память используется команда:

gw-world:/> script -store -name=my_script.sgs

В качестве альтернативного варианта, все скрипты могут быть перемещены в энергонезависимую память с помощью команды:

gw-world:/> script -store -all

Команда script без каких-либо параметров отображает список всех скриптов, доступных в настоящее время с указанием размера каждого скрипта и типа памяти.

gw-world:/> script

Name Storage Size (bytes)

-------------- ------------ --------------

my_script.sgs RAM 8

my_script2.sgs Disk 10

Загрузка файлов через SCP. Для загрузки файлов (Upload) на межсетевой экран NetDefend или с него (Download), может использоваться протокол Secure Copy (SCP). Протокол SCP основан на протоколе SSH и поддерживается множеством свободно доступных SCP-клиентов, существующих практически для всех платформ (например, для OC Windows можно воспользоваться свободным приложением – консольной утилитой PSCP).

Для того чтобы использовать SSH-подключение, необходимо разрешить управление межсетевого экрана NetDefend через SSH-протокол. Данную функцию можно задать через меню Web-интерфейса в папке System → Remote Management → Add → SSH Management с указанием интерфейса, через который будет осуществляться SSH-управление.

Синтаксис команд SCP является простым для большинства клиентов на оadmin@192.168.10.1:config.bak . снове консоли. Основная используемая здесь команда – scp, за которой следует источник (source) и назначение (destination) для передачи файлов.

Загрузка с локального ресурса – компьютера – на межсетевой экран NetDefend (Upload) выполняется с помощью команды:

> scp <local_filename> <destination_firewall>

Загрузка с межсетевого экрана NetDefend на компьютер (Download) выполняется с помощью команды:

> scp <source_firewall> <local_filename>

Где local_filename – это имя файла, а source_firewall и destination_firewall – источник и назначение устройств – вводится в форме:

<user_name (имя пользователя, назначенное в NetDefendOS)>@<firewall_ip_address (IP-адрес устройства) >:<filepath (тип файла)>.

Например, admin@192.168.10.1:config.bak .

После ввода команды будет предложено ввести пароль, назначенный в NetDefendOS.

Типы файлов, которые можно загружать Upload-Download между SCP-клиентом и NetDefendOS:

Как и все изменения настроек, загруженные файлы с использованием SCP активируются только после выполнения команд CLI activate, а затем – commit для применения изменений.

Загруженные файлы обновленного программного обеспечения (в формате файлов .upg) или полная резервная копия системы (full.bak) являются исключениями. Оба из этих типов файлов приводят к автоматической перезагрузке системы.

Примеры использования скриптов

Приведем пример № 1 использования скрипта общей конфигурации для импорта конфигурации во все модели серии NetDefend. Решение должно поддерживать следующие условия:

• статическое подключение к Интернет-провайдеру;

• DHCP-подключение компьютеров пользователей ко внутренней сети.

Для выполнения поставленной задачи необходимо выполнить шаги:

1. Изменить адресную книгу – назначить IP-адресацию для WAN-интерфейса (IP-адрес интерфейса, адрес сети, IP-адрес шлюза по умолчанию, IP-адреса DNS-серверов) – в нашем примере интерфейс назовем ISP1.

2. Добавить DHCP-сервер для автоматического получения IP-адресов компьютерами пользователей внутренней локальной сети – в нашем примере сервер назовем Lan_DHCPServer.

В любом текстовом редакторе (например, Блокноте) создаем текстовый файл с расширением .sgs , в котором прописываем команды, которые будут выполняться в соответствии с заданными шагами; сохраняем как, например, conf_b.sgs .

ВНИМАНИЕ: Имя скрипта должно содержать не более 16 символов!

Рис. 10.2. Скрипт без использования переменных

Ethernet 1 – это интерфейс WAN/WAN1 (в зависимости от модели DFL) по умолчанию, как показано на рисунке:

Рис. 10.3. Нумерация Ethernet-интерфейсов в межсетевых экранах NetDefend

Далее, загружаем созданный скрипт (например, через PSCP-клиента):

ВНИМАНИЕ: Файл скрипта должен находиться в той же папке, что и файл pscp.exe .

Рис. 10.4. Загрузка скрипта в межсетевых экранах NetDefend

Проверяем, загрузился ли скрипт в папку script межсетевого экрана. Можно использовать подключение через консоль:

Рис. 10.5. Отображение доступного скрипта в устройстве через консольное подключение

или через Ethernet-интерфейс с использованием SSH-протокола:

Рис. 10.6. Отображение доступного скрипта в устройстве через SSH-подключение

Далее, через консоль или SSH-клиента запускаем файл с именем conf_b.sgs .

Рис. 10.7. Запуск скрипта в межсетевых экранах NetDefend

Файл загружен успешно, проверяем результат либо с помощью CLI-команд,

Рис. 10.8. Отображение изменений Ethernet-интерфейса в устройстве через консольное подключение

либо через Web-интерфейс:

Рис. 10.9. Отображение изменений Ethernet-интерфейса в устройстве через Web-интерфейс

Рис. 10.10. Отображение изменений интерфейсов в адресной книге через Web-интерфейс

В первом примере использована конкретная IP-адресация и конкретный интерфейс для DHCP-сервиса. В случае если указанные значения меняются, можно использовать переменные (пример № 2):

Рис. 10.11. Скрипт с использованием переменных

Выполняем аналогичные шаги, что и в первом примере. Только при запуске файла (например, с именем conf_v.sgs) через консоль или SSH-клиента указываем значения переменных ($1=5.5.5.2 $2=5.5.5.0/24 $3=5.5.5.1 $4=1.1.1.1 $5=2.2.2.2 $6=lan):

Рис. 10.12. Запуск скрипта через SSH-клиента

Меню загрузки (Boot menu) через консоль. Загрузчик NetDefendOS – это основное программное обеспечение для управления системой NetDefendOS. Меню загрузки доступно только через консоль устройства, подключенного непосредственно к консольному порту межсетевого экрана NetDefend. Доступ осуществляется через консоль после включения межсетевого экрана NetDefend и запуска системы NetDefendOS.

После включения межсетевого экрана NetDefend запуск системы NetDefendOS произойдет через 3 секунды, в то же время появится сообщение Press any key to abort and load boot menu (Нажмите любую кнопку для прерывания или загрузки меню загрузки), отображенное ниже:

Рис. 10.13. Запуск системы NetDefendOS

При нажатии любой консольной клавиши в течение 3 секунд, происходит остановка запуска системы NetDefendOS и отображается меню загрузки.

При первоначальном запуске системы NetDefendOS без установки пароля для доступа к консоли, отображается полный набор опций загрузки меню, как показано ниже:

Рис. 10.14. Запуск системы NetDefendOS

1. Start firewall.Обеспечивает запуск программного обеспечения NetDefendOS на межсетевом экране NetDefend.

2. Reset unit to factory defaults. Обеспечивает сброс устройства к заводским настройкам по умолчанию. При выборе данной опции выполняются следующие операции:

• удаляется пароль на доступ к консоли;

• восстанавливаются параметры по умолчанию системы NetDefendOS в соответствии с конфигурацией по умолчанию.

Revert to default configuration. В данном случае выполняется восстановление только конфигурации по умолчанию, что не влияет на остальные опции, например, безопасность консоли.

Set console password. Установка пароля для доступа к консоли. Пока пароль не установлен, любой может использовать консоль, поэтому рекомендуется устанавливать пароль. После установки пароля, консоль выполнит запрос пароля прежде, чем будет разрешен доступ к меню загрузки или интерфейсу командной строки (CLI). Удалить консольный пароль можно, если при выборе данной опции оставить поле пароля незаполненным и нажать клавишу Enter.

Установка пароля для консоли не связана с именем пользователя/пароля, используемым для доступа администратора через Web-браузер.