Переход на пятое поколение ViPNet Coordinator HW сопровождается изменением архитектуры управления, лицензирования и взаимодействия с защищенной сетью.
В новой модели ключевым элементом инфраструктуры становится ViPNet Prime, через который осуществляется:
управление координаторами;
настройка политик безопасности;
работа с транспортной инфраструктурой;
централизованные обновления vipnet.
Миграция с HW4 на HW5 требует предварительной подготовки, обновления лицензий и перехода на новый формат ключевой системы.
Пятое поколение и переход на ViPNet Prime
Главная особенность HW5 заключается в том, что координаторы пятого поколения больше не управляются через ViPNet Administrator.
Для работы HW5 требуется ViPNet Prime версии 1.9.11.
Именно этот релиз поддерживает миграцию с сохранением существующих настроек узла.
Поддерживаемые версии
Поддерживается обновление vipnet coordinator начиная с версий HW 4.5.2.
Какие платформы поддерживают HW5
Переход и обновление vipnet coordinator hw1000 поддерживаются для платформ:
HW50;
HW100;
HW1000;
HW2000;
HW5000.
Ограничения отдельных платформ
Для HW10, HW50 и HW1000Q4 доступны только VPN-функции без поддержки возможностей NGFW.
Что требуется для миграции
Перед обновлением необходимо подготовить:
Prime 1.9.11;
лицензии HW5;
лицензии на дополнительные функции;
дистрибутив обновления;
новый дистрибутив ключей DS5.
Если лицензии пятого поколения отсутствуют, их необходимо запросить заранее.
Для обновление vipnet coordinator используется стандартный файл обновления с расширением LZH.
Алгоритм миграции на HW5
Процесс перехода состоит из нескольких этапов.
Изменение типа узла
В Prime меняется тип узла на версию с постфиксом V5.
Одновременно назначаются лицензии HW5.
После изменения типа узла Prime требует выпуска нового дистрибутива ключей.
Выпуск нового дистрибутива DS5
На следующем этапе создается новый дистрибутив ключей формата DS5.
пароль от ключевой информации;
PIN-конверт для администратора.
Пароль и дистрибутив должны передаваться доверенным способом.
Установка обновления на устройстве
После подготовки дистрибутива выполняется локальная установка обновления на координаторе.
проверку целостности обновления;
загрузку пакета;
остановку системных служб;
замену программного обеспечения;
перезагрузку устройства.
Во время установки перезапускаются:
IPLIR;
VPN-службы;
MFTP;
криптографические компоненты.
Важное ограничение: откат невозможен
После перехода на HW5 возврат на четвертое поколение невозможен.
Перед выполнением процедуры обновления vipnet обязательно рекомендуется:
создать резервную копию конфигурации;
сохранить экспорт параметров;
проверить лицензии;
подготовить резервный план.
Система дополнительно предупреждает администратора об этом до начала установки.
Сертифицированные версии HW5
На момент миграции доступны два релиза HW5:
5.3.2;
5.4.
ViPNet HW 5.3.2
Версия 5.3.2 уже сертифицирована ФСБ и ФСТЭК.
требуется ручная настройка доступа к транспортному серверу;
сбрасывается локальная VPN-конфигурация;
остальные настройки сохраняются.
ViPNet HW 5.4
В версии 5.4 ограничения сняты.
транспорт настраивается автоматически;
VPN-конфигурация сохраняется;
дополнительных действий администратора не требуется.
Версия находится в процессе сертификации.
Новый транспорт и особенности связности
После изменения типа узла Prime начинает воспринимать устройство как HW5 и ожидает работу через новый транспорт.
До завершения обновления узел теряет связность только с Prime.
связь с остальными узлами;
работа существующих VPN-туннелей;
маршрутизация защищенного трафика.
Для этого рекомендуется временно отключить автоматическую отправку справочников и ключей.
После завершения обновления автоматическую отправку рекомендуется вернуть.
Лицензирование функций HW5
В пятом поколении ряд функций лицензируется отдельно.
VPN-шлюз;
NGFW;
FileOver;
дополнительные сервисы.
Перед сменой типа узла функция FileOver должна быть отключена, а после назначения лицензии может быть включена повторно.
Новая ключевая система
ViPNet Coordinator HW 5 использует новую архитектуру ключевой информации.
Во время установки могут появляться сообщения об отсутствии резервного набора персональных ключей.
Это не ошибка — соответствующий механизм отсутствует в новой ключевой системе.
Настройка транспортного сервера
В HW5 транспортное взаимодействие осуществляется через DNS-имена.
Допускается использование виртуального IP-адреса транспортного сервера.
в версии 5.3.2 параметр указывается вручную;
в версии 5.4 настройка выполняется автоматически.
Управление HW5 через Prime
После обновления координатор полностью переходит под управление Prime.
Через Prime выполняются:
отправка справочников;
доставка ключей;
настройка VPN-сети;
управление туннелями;
работа с политиками безопасности;
контроль транспортных конвертов;
централизованные обновления vipnet.
Для HW5 журнал транспортных конвертов вынесен в ядро Prime и ведется отдельно.
Управление защищенной сетью
После обновления администратор может создавать и изменять VPN-конфигурацию через Prime.
добавлять новые туннели;
назначать туннелируемые ресурсы;
управлять связностью узлов.
Изменения отправляются на устройства централизованно через транспортную инфраструктуру Prime.
Web UI и управление устройством
В vipnet coordinator hw 5 появилась возможность перехода из Prime непосредственно в web-консоль устройства.
Через web-интерфейс доступны
управление VPN-сетью;
просмотр правил;
контроль политик безопасности;
проверка примененных настроек.
Policy Management Module и политики безопасности
HW5 интегрируется с модулем Policy Management Module.
Через PMM можно
изменять правила фильтрации;
управлять SSH-доступом;
централизованно обновлять политики безопасности.
Перед отправкой политика проходит процедуру инспекции, после чего доставляется на устройство через Prime.
Совместимость HW4 и HW5
HW5 поддерживает совместную работу с HW4.
Для обеспечения совместимости используются
новый формат ключей;
старые алгоритмы ГОСТ 28147.
Это позволяет постепенно выполнять обновление vipnet coordinator без необходимости одномоментной миграции всей сети.
Ядро сети при этом может работать как на HW4, так и на HW5.
Межсетевое взаимодействие
HW5 поддерживает межсетевое взаимодействие с инфраструктурой, управляемой через ViPNet Administrator.
Главное условие
Шлюзовый координатор должен быть доступен напрямую, а не через сервер соединений.
Развитие Prime и дальнейшие планы
Часть функций, доступных ранее в ViPNet Administrator, постепенно переносится в Prime.
смена роли координатора;
расширенные механизмы резервного копирования;
удаленное обновление устройств.
Поддержка удаленного обновления HW5 планируется в последующих версиях продуктов.
Практические особенности миграции
При миграции важно учитывать несколько критичных моментов.
Перед обновлением необходимо
заранее подготовить лицензии HW5;
создать резервную копию;
отключить автоматическую отправку справочников;
подготовить DS5;
проверить поддержку платформы;
учитывать особенности кластеризации и лицензирования FileOver.
Отдельное внимание требуется сетям с большим количеством связанных узлов и распределенной инфраструктурой.
Вывод
Переход на HW5 — это не просто обновление версии координатора, а переход на новую модель управления защищенной сетью через ViPNet Prime.
Изменения затрагивают:
архитектуру управления;
транспортную инфраструктуру;
ключевую систему;
лицензирование;
механизмы доставки политик и конфигурации.
При этом обеспечивается совместимость с инфраструктурой HW4, что позволяет выполнять поэтапную миграцию без остановки защищенной сети и без необходимости одномоментного обновления всех узлов.