В этой статье я расскажу об опыте перехода с UserGate 6.x на 7.x — со всеми подводными камнями, неожиданными сюрпризами и спасительными лайфхаками.
Если вы еще не планировали миграцию — придется. Шестая версия скоро останется без поддержки вендора, а NGFW без актуальных обновлений — как антивирус с просроченной подпиской. Защищает только от того, что уже знает. А новые угрозы? Увы.
Под катом поделюсь инструкцией по переходу, расскажу о ключевых изменениях в архитектуре, разберу типичные ошибки и дам ссылку на GitHub со скриптом, который автоматизирует большую часть рутины.
Статья будет полезна специалистам по информационной безопасности и всем, кто интересуется обновлением NGFW от UserGate с минимальными потерями.
Что появилось в NGFW 7.x?
Если вкратце, вендор полностью перешел на новую операционную систему UGOS 7. Теперь миграция потребует полной переустановки, но результат того стоит: скорость обработки угроз выросла в 2 раза, а число ложных срабатываний заметно сократилось.
Наиболее значимые изменения:
Появилась поддержка протокола для безопасных туннелей с усиленной аутентификацией — теперь работают EAP-MSCHAPv2 и сертификаты.
Добавилась проверка устройств перед доступом в сеть. Система контролирует наличие антивируса, актуальность ОС и установленных патчей.
К корпоративным ресурсам теперь можно подключиться через зашифрованные туннели, а UserGate SIEM анализирует события безопасности в реальном времени и упрощает аудит.
Обновленный интерфейс CLI (Command Line Interface) стал удобнее для администраторов: появилась поддержка модульных команд, стала возможной детальная настройка всех функций межсетевого экрана.
Заработала поддержка не только приема, но и анонсирования маршрутов через протокол OSPF, включая аутентификацию MD5 и HMAC-SHA.
А что еще?
Обработка трафика FW L3/L4 на новой платформе FG достигает 150 Гбит/с (UDP) и 85 Гбит/с (EMIX), а IPS — до 25 Гбит/с.
Поддержка 100 Гбит/с сетевых карт (QSFP28) для платформ D200, E1010, E3010, F8000, F8010 и других.
Обработка Elephant Flows (видеонаблюдение, репликация данных).
Собственный движок IPSv3, который сокращает время проверки трафика в 2 раза за счет интеграции L7-анализа и сигнатурной проверки в одном модуле.
Редистрибуция протоколов BGP и RIP в OSPF (и наоборот) для крупных сетей и поддержка ECMP (Equal-Cost Multi-Path) и BFD (Bidirectional Forwarding Detection) для балансировки и мониторинга каналов.
Правила NAT теперь могут учитывать группы пользователей (например, из Active Directory), что упрощает распределение трафика между подразделениями.
Глубокая инспекция TLS включает MITM-прокси для дешифровки и анализа зашифрованного трафика, включая TLS 1.3.
Поддержка Wildcard-сертификатов и гибкая настройка SSL-инспекции для отдельных пользователей или доменов.
Возможность создания кастомных сигнатур и фильтрации по категориям угроз (ботнеты, шифровальщики).
Интеграция с Threat Feed для использования сторонних списков угроз.
Централизованное управление через MC: синхронизация кластеров Active-Active с поддержкой до 22 млн сессий и ускорение применения правил из Management Center в десятки раз.
Интеграция с RADIUS Accounting и Windows Event Collector (WEC) для точной идентификации пользователей и поддержка Multi-Factor Authentication (2FA) для VPN и веб-порталов.
В итоге: версия 7 привносит множество технических улучшений, включая новый движок IPSv3, который ускоряет анализ трафика и комбинирует сигнатурные и поведенческие методы обнаружения атак. Миграция потребует времени и усилий, но в итоге вы получите больше удобства, безопасности и контроля.
Подготовительный этап
Переход на NGFW 7 — это по сути полная переустановка операционной системы, только с возможностью сохранить ваши настройки. Это подтверждается на сайте вендора:
Обновление с более ранних версий (5, 6) не предусмотрено. Для обновления необходимо произвести экспорт настроек на внешний носитель, далее установить NGFW 7 штатными средствами, после чего импортировать ранее сохраненную конфигурацию.
И нет, это не прихоть разработчиков. Причина вполне серьезная — от версии к версии кардинально меняется архитектура системы.
Разработчики полностью переписали ключевые компоненты в версии 7.x. Фильтрация приложений, система обнаружения вторжений (СОВ) — все это теперь работает иначе. Ваши старые правила просто не подойдут — придется настраивать их с чистого листа, как при первой установке.
Если в компании отсутствует нормальная документация по сетевой инфраструктуре, переезд превратится в квест по реверс-инжинирингу: придется восстанавливать схему сети через журналы трафика и угадывать, какие правила критичны для бизнеса.
Простых бекапов в данном случае недостаточно. Нужен проработанный план отката на случай, если миграция пойдет не так, как задумано. И речь не о расплывчатом «если что-то пойдет не так — как-нибудь вернем обратно». Нужен конкретный сценарий действий: где хранятся образы системы, как пошагово восстановить доступ, кто за что отвечает.
Что следует сохранить:
Полный файл конфигурации через веб-интерфейс. Храните его не только на локальном диске, но и на внешнем носителе.
Экспорт журналов — поможет восстановить картину сетевой активности при возникновении проблем.
Список активных соединений. Он пригодится для отладки — позволит точно определить, какие соединения функционировали до обновления системы.
Скриншоты ключевых настроек. Если автоматический перенос конфигурации даст сбой (а такое случается), у вас будет возможность вручную задать все параметры.
Текущие схемы сети и документация. Если их нет или они устарели, — а такая ситуация встречается сплошь и рядом, — создайте или обновите их перед миграцией.
Кроме того, ошибкой будет недооценить аппетиты новой версии NGFW. Если ваше оборудование с трудом тянуло шестую версию, то после обновления ситуация усугубится. Системные требования UserGate NGFW 7 возросли вместе с функциональностью. Например, глубокая инспекция пакетов на слабом железе без аппаратной поддержки шифрования AES-NI наверняка будет тормозить. Я видел немало случаев, когда администраторы пропускали этот шаг, а уже через неделю лихорадочно искали бюджет на апгрейд железа.
К счастью, с виртуализацией дела обстоят намного лучше: UserGate прекрасно чувствует себя в средах KVM и VMware. Здесь вы можете точно контролировать выделенные ресурсы и гибко масштабировать систему, подкидывая дополнительные мощности при необходимости — именно такой подход я рекомендую для комфортной работы с новой версией.
Еще одна классическая ошибка — отсутствие тестовой среды. В идеале нужно сначала провести миграцию на тестовом стенде, выявить проблемы и только потом переходить на прод.
И еще один дельный совет: обязательно настройте внешний сбор логов и экспорт журналов в SIEM-систему или хотя бы в старый добрый syslog. Вы будете благодарны себе за эту предусмотрительность, особенно когда миграция растянется не на часы, а на долгие дни тестирования и отладки.
Наконец, постарайтесь заранее оценить трудозатраты на миграцию. Иногда администраторы считают, что справятся с переходом за пару часов между совещаниями. На практике обновление может растянуться на несколько дней, особенно если речь идет о сложной конфигурации с динамической маршрутизацией, кластерами высокой доступности и десятками замысловатых правил фильтрации.
Выделите под миграцию техническое окно — длинное, спокойное и гарантированно вне периода пиковых нагрузок. Поверьте моему опыту: лучше потратить одну бессонную ночь на методичное выполнение инструкций, чем ненароком сломать NGFW в рабочий день.
Нельзя забывать и про лицензирование. Запросите новую лицензию у вашего менеджера заранее, используя данные старой. Без нее UserGate NGFW 7 не будет работать.
Глобальное обновление 6.x на 7.x
Исходные условия
Наша отправная точка — работающая нода UserGate 6 со следующей конфигурацией:
Межсетевой экран и NAT;
Фильтрация контента, SSL-инспекция и потоковый антивирус;
Система обнаружения и предотвращения вторжений (СОВ/IPS);
Динамическая маршрутизация (OSPF, BGP);
IP-адреса, подсети, доменные имена и так далее;
Интеграция с Active Directory и прозрачная авторизация.
Важный момент: наша миграция будет отличаться от стандартной. Поскольку мы работаем с виртуальными машинами, то вместо стандартной процедуры обновления от UserGate мы пойдем другим путем: развернем свежую виртуальную машину с UG7 и перенесем на нее конфигурацию со старой UG6. По сути, это полная переустановка операционной системы с последующим восстановлением всех настроек.
Основным инструментом станет разработанный UserGate скрипт с GitHub, который автоматизирует перенос конфигурации. Он сэкономит примерно 70% вашего времени, однако такие вещи, как протоколы динамической маршрутизации (OSPF/BGP), настройка SSL-инспекции, интеграция с Active Directory — придется настраивать руками.
Хотя конфигурацию можно перенести и через родной файл экспорта из 6 версии, мы не рекомендуем использовать этот метод: часть настроек могут импортироваться некорректно или вовсе потеряться, что сводит на нет все удобство.
Алгоритм действий
Шаг 1. После создания всех необходимых резервных копий извлекаем настройки с действующего сервера UG6. Используем для этого скрипт с GitHub.
Главное меню утилиты экспорта/импорта конфигурации UserGate NGFW с основными функциями скрипта не требует особых пояснений.
На экране выбора разделов конфигурации для экспорта из UserGate 6.x представлено дерево настроек. Справа отображается процесс инициализации структур данных.
Шаг 2. Удаляем старую версию и устанавливаем UG7 с нуля.
Шаг 3. Импортируем конфигурацию — снова через скрипт.
Во процессе импорта конфигурации на UserGate NGFW 7.x отображается подробный лог импорта с цветовой индикацией: зеленым выделены успешно импортированные компоненты, синим — предупреждения.
После переноса конфигурации начинается вторая часть — ручная настройка. Засучите рукава: вам предстоит вручную настроить сетевые интерфейсы, прописать маршруты, воссоздать политики фильтрации приложений и заново поднять динамическую маршрутизацию по OSPF.
Когда базовая настройка завершена, переходите к комплексному тестированию всех ключевых функций. Методично проверьте доступ в интернет, работоспособность VPN-туннелей, корректность авторизации через Active Directory, функционирование фильтрации контента и ведение журналов. Не забудьте настроить мониторинг — либо через встроенный Management Center, либо через внешние системы вроде Zabbix или Prometheus.
Особое внимание уделите синхронизации кластера и сохранности пользовательских сессий, особенно если у вас схема Active-Active. Конечная цель предельно ясна: после миграции все должно работать как минимум на том же уровне, что и в версии 6, а в идеале — еще лучше. И конечно, нельзя забывать о важных нюансах:
OSPF почти всегда требует ручной настройки с нуля, BGP — зависит от конфигурации.
Политики безопасности — большая часть переносится, но блокировки приложений и СОВ придется перенастраивать. В 7-й версии они работают иначе, старые правила просто не применимы.
Объекты и адреса — мигрируют, но проверить стоит. Особенно если использовались сложные вложенные группы или нестандартные метки.
Интеграция с AD — переносится, но есть нюанс: если используется Kerberos, нужно заново создать keytab-файл и залить его в объект интеграции. Без этого авторизация может сломаться.
Самый серьезный риск при миграции — неполный перенос конфигураций. Даже если скрипт отработал безупречно, импортируемый JSON-файл может «сломаться» из-за некорректных названий объектов или устаревших параметров конфигурации.
Решение — ручное редактирование файла и точечная проверка правил. Чтобы минимизировать простой, используйте дашборды Management Center для мониторинга нагрузки (мы писали об этом в прошлой статье) и журналы трафика в реальном времени.
Готовьтесь к неожиданностям после импорта конфигурации. Самый частый сюрприз — слетевшие привязки сертификатов, особенно тех, что были связаны с конкретными сетевыми интерфейсами или точками доступа. На первый взгляд это не выглядит катастрофой, но если не заняться внимательной ручной корректировкой, последствия будут весьма ощутимыми: откажутся работать VPN-туннели, перестанет функционировать портал авторизации, а внутренний центр сертификации (CA) станет бесполезен.
Одновременно с проверкой функций NGFW стоит мониторить аппаратные ресурсы. Внимательно следите за загрузкой процессора, потреблением оперативной памяти и работой механизмов глубокой инспекции пакетов (DPI).
При оценке производительности смотрите шире обычного аптайма. Контролируйте задержки, скорость обработки трафика, распределение нагрузки по сессиям. Особое внимание уделите мониторингу кластеров — потеря синхронизации между нодами коварна тем, что не всегда заметна с первого взгляда, но почти гарантированно наносит серьезный удар по бизнес-процессам.
И наконец, самый недооцененный аспект любой миграции — человеческий фактор. После обновления вашей команде придется заново учиться работать с системой. Интерфейс претерпел изменения, часть политик функционирует совершенно иначе, а привычные шаблоны действий больше не работают. Недостаточно просто провести сухой инструктаж — обеспечьте команде полноценный доступ к тестовому стенду, наглядно продемонстрируйте новый интерфейс, научите диагностировать типичные проблемы, покажите, где теперь искать логи и как эффективно отслеживать системные события.
После возвращения пользователей в систему наступает решающий этап испытаний: наблюдайте за поведением всей инфраструктуры под реальной нагрузкой в часы пик. Если что-то ломается или начинает тормозить — корректируйте прямо на ходу.
Ну и финальный вопрос, который все задают себе после апгрейда: откатываемся или остаемся. К этому моменту у вас уже будет достаточно данных, чтобы принять решение.
На что обратить внимание в UserGate NGFW 7
Седьмая версия UserGate NGFW избавлена от многих раздражающих проблем шестой, но и она не идеальна. Взять, скажем, SIP ALG в версии 6.x. Он любил переписывать порты в SIP-заголовках, после чего RTP терялся, а звонки не проходили. В версии 7.x разработчики переработали этот модуль, и VoIP стал работать стабильнее.
Однако все равно стоит тщательно протестировать абсолютно все VoIP-сценарии вашей инфраструктуры. Особенно внимательно проверьте работу голосовых сервисов через NAT — здесь до сих пор могут таиться неожиданные сюрпризы.
Системы глубокого анализа пакетов (DPI) и предотвращения вторжений (IPS) в седьмой версии поумнели, но за это приходится платить. Чтобы новые сигнатуры заработали, нужно включить MITM-прокси. Без него NGFW останется слеп к содержимому TLS-сессий.
А некоторые вещи придется принять как неизбежную потерю: например, старый модуль антиспама в UG7 отсутствует как класс. О переносе его настроек можно даже не мечтать — всю фильтрацию нежелательной почты придется настраивать с нуля через новый механизм.
Надо отдать должное: новый интерфейс стал заметно гибче и богаче на фичи. Но админам, годами работавшим с прежней версией, придется много переучиваться и ломать «мышечную память». Заложите время на привыкание к новой версии.
В заключение
Что ж, мы прошли весь путь от подготовки до финальной настройки UserGate 7.x. Надеюсь, наш опыт поможет вам избежать бессонных ночей и экстренных откатов.
Главное, что понимаешь в процессе миграции — не стоит недооценивать масштаб изменений. Это не просто обновление, а практически полная переустановка системы с новой архитектурой. Зато после всех мучений вы получите действительно современный NGFW с улучшенной производительностью и новыми возможностями.
А какой у вас опыт перехода на новые версии критической инфраструктуры? Делитесь в комментариях — возможно, ваш случай поможет коллегам избежать проблем, о которых они даже не догадывались.
PURP — телеграм-канал, где кибербезопасность раскрывается с обеих сторон баррикад
t.me/purp_sec — инсайды и инсайты из мира этичного хакинга и бизнес-ориентированной защиты от специалистов Бастиона