Переход на пятое поколение ViPNet Coordinator HW — это не просто обновление программного обеспечения, а полноценная миграция инфраструктуры на новую архитектуру управления, лицензирования и взаимодействия с защищенной сетью.
Ключевым элементом этой архитектуры становится ViPNet Prime, через который осуществляется управление устройствами HW5, политиками безопасности, защищенной сетью и транспортной инфраструктурой.
Архитектура пятого поколения: переход на управление через Prime
Главное изменение пятого поколения заключается в отказе от управления через ViPNet Administrator. Координаторы HW5 работают исключительно под управлением ViPNet Prime.
Для миграции требуется Prime версии 1.9.11, поскольку именно этот релиз поддерживает обновление с сохранением существующих настроек узла.
Обновление поддерживается для координаторов, начиная с версии HW 4.5.2.
Что необходимо для миграции
Для перехода на HW5 требуется несколько обязательных компонентов:
-
ViPNet Prime 1.9.11;
-
лицензия на продукт пятого поколения;
-
лицензии на дополнительные функции HW5;
-
файл обновления соответствующей версии;
-
новый дистрибутив ключей формата DS5.
Перед обновлением необходимо заранее запросить лицензии для пятого поколения, включая лицензии на дополнительные функции NGFW.
Поддерживаемые платформы
Обновление на HW5 поддерживается для следующих платформ:
-
HW50;
-
HW100;
-
HW1000;
-
HW2000;
-
HW5000.
При этом часть платформ имеет ограничения по производительности. Например, HW10, HW50 и HW1000Q4 поддерживают только VPN-функциональность без возможностей NGFW.
Общий сценарий миграции
Процедура обновления строится поэтапно.
Изменение типа узла в Prime
На первом этапе в Prime изменяется тип узла на версию с постфиксом V5. Одновременно назначается лицензия нового поколения.
После этого формируется новый дистрибутив ключей DS5.
Выпуск и передача ключевой информации
Prime генерирует новый ключевой набор и PIN-конверт с паролем от ключевой информации.
Дистрибутив и пароль должны быть переданы администратору доверенным способом.
Установка обновления на устройстве
Далее обновление устанавливается локально на координатор HW. Используется стандартный пакет обновления с расширением LZH.
Во время установки система:
-
проверяет целостность обновления;
-
останавливает и запускает системные службы;
-
перезапускает устройство;
-
заменяет программное обеспечение четвертого поколения на HW5.
После установки выполняется загрузка нового дистрибутива ключей.
Важный нюанс: откат невозможен
После перехода на HW5 возврат на четвертое поколение невозможен.
Поэтому перед обновлением обязательно требуется резервное копирование конфигурации.
Система дополнительно предупреждает администратора о необходимости создания резервной копии до начала установки.
Сертифицированные версии HW5
На данный момент актуальными являются два релиза:
-
HW 5.3.2;
-
HW 5.4.
ViPNet HW 5.3.2
Версия 5.3.2 уже имеет сертификаты ФСБ и ФСТЭК.
Особенности релиза:
-
после обновления требуется вручную указать доступ к транспортному серверу;
-
локальная VPN-конфигурация сбрасывается;
-
остальные настройки сохраняются.
ViPNet HW 5.4
В версии 5.4 эти ограничения устранены.
После обновления:
-
доступ к транспортному серверу определяется автоматически;
-
VPN-конфигурация сохраняется полностью;
-
дополнительная настройка не требуется.
На момент обсуждения версия находится в процессе сертификации.
Особенности перехода на новый транспорт
После изменения типа узла Prime начинает воспринимать устройство как HW5 и ожидает работу через новый транспорт.
До завершения обновления узел теряет связность только с Prime. При этом связь с другими координаторами сохраняется, если временно отключена автоматическая отправка справочников и ключей.
Этот режим рекомендуется использовать только на время обновления, чтобы сеть оставалась в актуальном состоянии.
Работа с лицензиями и кластеризацией
В HW5 изменился подход к лицензированию.
Функция работы в кластере теперь лицензируется отдельно. Перед сменой типа узла ее необходимо отключить, а после назначения лицензии — включить повторно.
В настройках Prime сразу отображаются доступные функции:
-
VPN;
-
NGFW;
-
кластеризация;
-
дополнительные сервисы.
Функции, для которых отсутствует лицензия, блокируются.
Новый формат ключевой системы
Пятое поколение использует новую ключевую систему.
Во время установки могут появляться предупреждения о том, что не найден резервный набор персональных ключей. Это не ошибка — соответствующий параметр отсутствует в новой архитектуре ключевой информации.
Настройка транспортного сервера в HW5
В версии 5.3.2 после обновления требуется вручную настроить доступ к транспортному серверу.
В HW5 взаимодействие с транспортом строится по DNS-именам. Если DNS-инфраструктура отсутствует, допускается настройка через виртуальный IP-адрес центра управления.
В версии 5.4 этот процесс полностью автоматизирован.
Управление HW5 через Prime
После обновления управление координатором полностью переносится в Prime.
Через Prime выполняются:
-
отправка справочников и ключей;
-
настройка VPN-сети;
-
управление политиками безопасности;
-
настройка туннелей;
-
доставка конфигурации;
-
работа с транспортными конвертами.
Для HW5 журнал транспортных конвертов вынесен в ядро Prime и ведется отдельно.
Web UI и управление политиками
В пятом поколении появляется интеграция с web-интерфейсом устройства.
Администратор может перейти из Prime непосредственно в web-консоль HW и:
-
просматривать VPN-конфигурацию;
-
проверять туннели;
-
контролировать применение политик;
-
анализировать правила безопасности.
Политики безопасности отправляются из Prime через отдельный механизм инспекции и доставки.
Совместимость HW4 и HW5
Сети HW4 и HW5 могут работать совместно.
HW5 поддерживает новый формат ключей, но использует старые алгоритмы ГОСТ 28147 для обеспечения совместимости с четвертым поколением.
Это позволяет постепенно обновлять инфраструктуру без необходимости одномоментной миграции всех узлов.
При этом ядро сети может работать как на HW4, так и на HW5.
Межсетевое взаимодействие с ViPNet Administrator
HW5 сохраняет поддержку межсетевого взаимодействия с инфраструктурой, управляемой через ViPNet Administrator.
Ключевым условием остается корректная настройка шлюзового координатора: он должен быть доступен напрямую, а не через сервер соединений.
Развитие Prime и дальнейшие планы
Некоторые функции, доступные в четвертом поколении, постепенно переносятся в Prime.
Например, смена роли координатора уже реализована в актуальной рыночной версии Prime 1.9.12 и войдет в следующий сертифицированный релиз 1.10.
Также развивается функциональность резервного копирования:
-
автоматическое создание резервных копий;
-
хранение нескольких версий конфигурации;
-
настройка глубины хранения.
Практические особенности миграции
На практике обновление HW4 до HW5 занимает относительно небольшое время, однако требует внимательной подготовки.
Наиболее важные моменты:
-
заранее подготовить лицензии HW5;
-
выполнить резервное копирование;
-
временно отключить автоматическую отправку справочников;
-
подготовить новый дистрибутив DS5;
-
проверить совместимость платформы с NGFW-функциями.
Отдельное внимание следует уделять сетям с кластеризацией и распределенной инфраструктурой.
Вывод
Пятое поколение ViPNet Coordinator HW переводит инфраструктуру на новую модель управления через ViPNet Prime и формирует основу для дальнейшего развития NGFW-функциональности, web-управления и централизованной политики безопасности.
Ключевые изменения затрагивают:
-
архитектуру управления;
-
лицензирование;
-
транспортную инфраструктуру;
-
ключевую систему;
-
механизмы доставки политик и конфигурации.
При этом обеспечивается совместимость с существующими сетями HW4, что позволяет выполнять постепенную миграцию на ViPNet Prime без остановки защищенной инфраструктуры.
