Подробный гайд: Настройка межсетевого экрана для «Ассистента»
Важно:
«Ассистент» — российская система удалённого мониторинга и управления, разработанная ГК «САФИБ». Ниже приведены рекомендации по настройке МСЭ для клиентской и серверной частей.
Общие принципы работы с сетевыми экранами
Система «Ассистент» спроектирована для работы в сложных сетевых условиях:
- Работает через межсетевые экраны, NAT без необходимости сложной настройки на стороне клиента
- Поддерживает подключение в любых сетевых топологиях, включая закрытые корпоративные сети
- Автоматически подстраивается под тип канала связи (проводной, мобильный, спутниковый)
Для клиентского приложения (пользовательский ПК)
Минимальные требования к фаерволу:
| Направление | Протокол | Порт | Назначение |
|---|---|---|---|
| Исходящий | TCP | 443 (HTTPS) | Основное шифрованное соединение с сервером |
| Исходящий | TCP | 80 (HTTP) | Резервный канал / обновления |
| Исходящий | TCP | 5432 (опционально) | При использовании локального PostgreSQL-сервера |
Рекомендации:
1. Разрешите исходящий трафик на домены:
*.мойассистент.рф
*.safib.ru
- Не требуется открывать входящие порты — соединение инициируется изнутри сети
Проверка подключения:
# Тест доступности сервера
curl -I https://лк.мойассистент.рф
# Проверка порта 443
telnet лк.мойассистент.рф 443
Для серверной части (on-premise развёртывание)
Если вы разворачиваете собственный сервер «Ассистент», настройте фаервол следующим образом:
Обязательные правила (Linux/firewalld пример):
# Веб-интерфейс и API
sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp
# База данных (если используется локально)
sudo firewall-cmd --permanent --add-port=5432/tcp
# Применить изменения
sudo firewall-cmd --reload
Дополнительные настройки:
| Компонент | Порт | Протокол | Примечание |
|---|---|---|---|
| Nginx (веб-сервер) | 80, 443 | TCP | Обязательны для веб-интерфейса |
| PostgreSQL | 5432 | TCP | Только для локального доступа или с ограничением по IP |
| Синхронизация реплик | 5432 | TCP | При кластерной настройке БД |
Важно:
Ограничьте доступ к порту 5432 только доверенными IP-адресами. Не открывайте его в публичный интернет без дополнительной аутентификации.
Настройка правил доступа внутри приложения
После настройки МСЭ, дополнительно настройте политики внутри «Ассистента»:
- Перейдите в: Настройки → Безопасность → Правила доступа
2. Выберите режим:
- С ID-сервера — управление через облачный кабинет
- Пользовательские — ручная настройка прав для каждой функции:
- Управление рабочим столом: Авто / Запрос / Запрет / Просмотр
- Обмен файлами: Авто / Запрос / Запрет
- Командная строка: рекомендуется Запрос или Запрет
3. Включите двухфакторную аутентификацию и журналирование сеансов для аудита
Диагностика проблем подключения
Если «Ассистент» не подключается:
- Проверьте, разрешён ли исходящий трафик на порты 80/443
- Убедитесь, что антивирус/МЭ не блокирует процесс assistant.exe
- Проверьте DNS-разрешение доменов *.мойассистент.рф
- Включите расширенное логирование: Настройки → Журналы → Вести учёт событий
Дополнительные меры безопасности
- Используйте сертификаты ЭЦП для аутентификации (настраивается в Безопасность → Сертификаты)
- Включите видеофиксацию сеансов для соответствия требованиям регуляторов
- Настройте интеграцию с SIEM через syslog для централизованного мониторинга событий
- Регулярно обновляйте клиент и сервер — проверка обновлений: Настройки → Основные → Проверка обновлений
Система «Ассистент» сертифицирована ФСТЭК России и может использоваться в ГИС, ИСПДн и на объектах КИИ при соблюдении требований по защите информации.
Гайд актуален на май 2026 г. Перед внедрением рекомендуется протестировать конфигурацию в изолированной среде.