Управление межсетевыми экранами D-Link NetDefend
Сохранение скриптов. При загрузке файла скрипта на межсетевой экран NetDefend, первоначально он хранится только во временной памяти RAM. При перезапуске NetDefendOS все загруженные скрипты будут потеряны из этой энергозависимой памяти, и для их запуска потребуется повторная загрузка. Для хранения скриптов между перезапусками следует переместить их на диск NetDefendOS с энергонезависимой памятью Disk с помощью команды script –store.
Для перемещения файла с именем my_script.sgs в энергонезависимую память используется команда:
gw-world:/> script -store -name=my_script.sgs
В качестве альтернативного варианта, все скрипты могут быть перемещены в энергонезависимую память с помощью команды:
gw-world:/> script -store -all
Команда script без каких-либо параметров отображает список всех скриптов, доступных в настоящее время с указанием размера каждого скрипта и типа памяти.
gw-world:/> script Name Storage Size (bytes) -------------- ------------ -------------- my_script.sgs RAM 8 my_script2.sgs Disk 10
Загрузка файлов через SCP. Для загрузки файлов (Upload) на межсетевой экран NetDefend или с него (Download), может использоваться протокол Secure Copy (SCP). Протокол SCP основан на протоколе SSH и поддерживается множеством свободно доступных SCP-клиентов, существующих практически для всех платформ (например, для OC Windows можно воспользоваться свободным приложением – консольной утилитой PSCP).
Для того чтобы использовать SSH-подключение, необходимо разрешить управление межсетевого экрана NetDefend через SSH-протокол. Данную функцию можно задать через меню Web-интерфейса в папке System → Remote Management → Add → SSH Management с указанием интерфейса, через который будет осуществляться SSH-управление.
Синтаксис команд SCP является простым для большинства клиентов на основе консоли. Основная используемая здесь команда – scp, за которой следует источник (source) и назначение (destination) для передачи файлов.
Загрузка с локального ресурса – компьютера – на межсетевой экран NetDefend (Upload) выполняется с помощью команды:
> scp <local_filename> <destination_firewall>
Загрузка с межсетевого экрана NetDefend на компьютер (Download) выполняется с помощью команды:
> scp <source_firewall> <local_filename>
Где local_filename – это имя файла, а source_firewall и destination_firewall – источник и назначение устройств – вводится в форме:
<user_name (имя пользователя, назначенное в NetDefendOS)>@<firewall_ip_address (IP-адрес устройства) >:<filepath (тип файла)>.
Например, admin@192.168.10.1:config.bak .
После ввода команды будет предложено ввести пароль, назначенный в NetDefendOS.
Типы файлов, которые можно загружать Upload-Download между SCP-клиентом и NetDefendOS:
Как и все изменения настроек, загруженные файлы с использованием SCP активируются только после выполнения команд CLI activate, а затем – commit для применения изменений.
Загруженные файлы обновленного программного обеспечения (в формате файлов .upg) или полная резервная копия системы (full.bak) являются исключениями. Оба из этих типов файлов приводят к автоматической перезагрузке системы.
Примеры использования скриптов
Приведем пример № 1 использования скрипта общей конфигурации для импорта конфигурации во все модели серии NetDefend. Решение должно поддерживать следующие условия:
- статическое подключение к Интернет-провайдеру;
- DHCP-подключение компьютеров пользователей ко внутренней сети.
Для выполнения поставленной задачи необходимо выполнить шаги:
- Изменить адресную книгу – назначить IP-адресацию для WAN-интерфейса (IP-адрес интерфейса, адрес сети, IP-адрес шлюза по умолчанию, IP-адреса DNS-серверов) – в нашем примере интерфейс назовем ISP1.
- Добавить DHCP-сервер для автоматического получения IP-адресов компьютерами пользователей внутренней локальной сети – в нашем примере сервер назовем Lan_DHCPServer.
В любом текстовом редакторе (например, Блокноте) создаем текстовый файл с расширением .sgs , в котором прописываем команды, которые будут выполняться в соответствии с заданными шагами; сохраняем как, например, conf_b.sgs .
ВНИМАНИЕ: Имя скрипта должно содержать не более 16 символов!
Ethernet 1 – это интерфейс WAN/WAN1 (в зависимости от модели DFL) по умолчанию, как показано на рисунке:
Далее, загружаем созданный скрипт (например, через PSCP-клиента):
ВНИМАНИЕ: Файл скрипта должен находиться в той же папке, что и файл pscp.exe .
Проверяем, загрузился ли скрипт в папку script межсетевого экрана. Можно использовать подключение через консоль:
или через Ethernet-интерфейс с использованием SSH-протокола:
Далее, через консоль или SSH-клиента запускаем файл с именем conf_b.sgs .
Файл загружен успешно, проверяем результат либо с помощью CLI-команд,
либо через Web-интерфейс:
увеличить изображение
Рис. 10.9. Отображение изменений Ethernet-интерфейса в устройстве через Web-интерфейс
В первом примере использована конкретная IP-адресация и конкретный интерфейс для DHCP-сервиса. В случае если указанные значения меняются, можно использовать переменные (пример № 2):
Выполняем аналогичные шаги, что и в первом примере. Только при запуске файла (например, с именем conf_v.sgs) через консоль или SSH-клиента указываем значения переменных ($1=5.5.5.2 $2=5.5.5.0/24 $3=5.5.5.1 $4=1.1.1.1 $5=2.2.2.2 $6=lan):
Меню загрузки (Boot menu) через консоль. Загрузчик NetDefendOS – это основное программное обеспечение для управления системой NetDefendOS. Меню загрузки доступно только через консоль устройства, подключенного непосредственно к консольному порту межсетевого экрана NetDefend. Доступ осуществляется через консоль после включения межсетевого экрана NetDefend и запуска системы NetDefendOS.
После включения межсетевого экрана NetDefend запуск системы NetDefendOS произойдет через 3 секунды, в то же время появится сообщение Press any key to abort and load boot menu (Нажмите любую кнопку для прерывания или загрузки меню загрузки), отображенное ниже:
При нажатии любой консольной клавиши в течение 3 секунд, происходит остановка запуска системы NetDefendOS и отображается меню загрузки.
При первоначальном запуске системы NetDefendOS без установки пароля для доступа к консоли, отображается полный набор опций загрузки меню, как показано ниже:
- Start firewall. Обеспечивает запуск программного обеспечения NetDefendOS на межсетевом экране NetDefend.
- Reset unit to factory defaults. Обеспечивает сброс устройства к заводским настройкам по умолчанию. При выборе данной опции выполняются следующие операции:
- удаляется пароль на доступ к консоли;
- восстанавливаются параметры по умолчанию системы NetDefendOS в соответствии с конфигурацией по умолчанию.
- Revert to default configuration. В данном случае выполняется восстановление только конфигурации по умолчанию, что не влияет на остальные опции, например, безопасность консоли.
- Set console password. Установка пароля для доступа к консоли. Пока пароль не установлен, любой может использовать консоль, поэтому рекомендуется устанавливать пароль. После установки пароля, консоль выполнит запрос пароля прежде, чем будет разрешен доступ к меню загрузки или интерфейсу командной строки (CLI). Удалить консольный пароль можно, если при выборе данной опции оставить поле пароля незаполненным и нажать клавишу Enter.
Установка пароля для консоли не связана с именем пользователя/пароля, используемым для доступа администратора через Web-браузер.