UserGate позволяет передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для проверки передаваемых пользователями данных DLP-системами. В данном случае UserGate будет выступать в роли ICAP-клиента.
UserGate поддерживает гибкие настройки при работе с ICAP-серверами, например, администратор может задать правила, согласно которым на ICAP-серверы будет направляться только выборочный трафик, или настроить работу с фермой ICAP-серверов.
Для того, чтобы настроить работу UserGate c внешними серверами ICAP, необходимо выполнить следующие шаги:
|
Наименование |
Описание |
|
Шаг 1. Создать ICAP-сервер |
В разделе Политики безопасности-->ICAP-серверы нажать на кнопку Добавить и создать один или более ICAP-серверов. |
|
Шаг 2. Создать правило балансировки на ICAP-серверы (опционально) |
В случае, если требуется балансировка на ферму ICAP-серверов, создать в разделе Политики сети-->Балансировка нагрузки балансировщик ICAP-серверов. В качестве серверов используются ICAP-серверы, созданные на предыдущем шаге. |
|
Шаг 3. Создать правило ICAP |
В разделе Политики безопасности-->Правила ICAP создать правило, которое будет задавать условия пересылки трафика на ICAP-серверы или фермы серверов. Важно! Правила ICAP применяются сверху вниз в списке правил. Срабатывает только первое правило публикации, для которого совпали все условия, указанные в настройках правила. |
Для создания ICAP-сервера в разделе Политики безопасности-->ICAP-серверы необходимо нажать на кнопку Добавить и заполнить следующие поля:
|
Наименование |
Описание |
|
Название |
Название ICAP-сервера. |
|
Описание |
Описание ICAP-сервера. |
|
Адрес сервера |
IP-адрес ICAP-сервера. |
|
Порт |
TCP-порт ICAP-сервера, значение по умолчанию 1344. |
|
Максимальный размер сообщения |
Определяет максимальный размер сообщения, передаваемого на ICAP-сервер в мегабайтах. По умолчанию 0 (отключено). |
|
Период проверки доступности сервера ICAP |
Устанавливает время в секундах, через которое UserGate посылает OPTIONS-запрос на ICAP-сервер, чтобы убедиться, что сервер доступен. |
|
Пропускать при ошибках |
Если эта опция включена, то UserGate не будет посылать данные на сервер ICAP в случаях, когда ICAP-сервер недоступен (не отвечает на запрос OPTIONS). |
|
Reqmod путь |
* Вкл - включает использование режима Reqmod. * Путь на сервере ICAP для работы в режиме Reqmod. Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах: |
|
Respmod путь |
* Вкл - включает использование режима Reqmod. * Путь на сервере ICAP для работы в режиме Respmod. Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах: |
|
Посылать имя пользователя |
* Вкл - включает отсылку имени пользователя на ICAP-сервер. * Кодировать в base64 - кодировать имя пользователя в base64, это может потребоваться, если имена пользователей содержат символы национальных алфавитов. * Название заголовка, которое будет использоваться для отправки имени пользователя на ICAP-сервер. Значение по умолчанию - |
|
Посылать IP-адрес |
* Вкл - включает отсылку IP-адреса пользователя на ICAP-сервер. * Название заголовка, которое будет использоваться для отправки IP-адреса пользователя на ICAP-сервер. Значение по умолчанию - X-Client-Ip. |
|
Посылать MAC-адрес |
* Вкл - включает отсылку MAC-адреса пользователя на ICAP-сервер. * Название заголовка, которое будет использоваться для отправки MAC-адреса пользователя на ICAP-сервер. Значение по умолчанию - X-Client-Mac. |
Для создания правила балансировки на серверы reverse-прокси в разделе Политики сети-->Балансировка нагрузки необходимо выбрать Добавить-->Балансировщик ICAP и заполнить следующие поля:
|
Наименование |
Описание |
|
Вкл/Выкл |
Включает или отключает правило. |
|
Название |
Название правила. |
|
Описание |
Описание правила. |
|
ICAP-серверы |
Список серверов ICAP, на которые будет распределяться нагрузка, созданный на предыдущем шаге. |
Для создания ICAP-правила необходимо нажать Добавить в разделе Политики безопасности-->ICAP-правила и заполнить необходимые поля.
Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.
Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.
|
Наименование |
Описание |
|
Вкл/Выкл |
Включает или отключает правило. |
|
Название |
Название правила. |
|
Описание |
Описание правила. |
|
Действие |
Возможны следующие варианты: * Пропустить - не посылать данные на ICAP-сервер. Создав правило с таким действием, администратор может явно исключить определенный трафик из пересылки на серверы ICAP. * Переслать - переслать данные на ICAP-сервер и ожидать ответа ICAP-сервера. Это стандартный режим работы большинства ICAP-серверов. * Переслать и игнорировать - переслать данные на ICAP-сервер и игнорировать ответ от ICAP-сервера. В этом случае, вне зависимости от ответа ICAP-сервера, данные к пользователю уходят без модификации, но сервер ICAP получает полную копию пользовательского трафика. |
|
ICAP-серверы |
ICAP-сервер или балансировщик серверов ICAP, куда UserGate будет пересылать запросы. |
|
Источник |
Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
|
Пользователи |
Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. |
|
Назначение |
Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
|
MIME-типы контента |
Списки MIME-типов. Предусмотрена возможность управления видеоконтентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы MIME-типов. Более подробно о работе с MIME-типами читайте в главе Типы контента. |
|
Категории |
Списки категорий UserGate URL filtering. |
|
URL |
Списки URL. |
|
HTTP метод |
Метод, используемый в HTTP-запросах, как правило, это POST или GET. |
|
Сервис |
Возможны варианты: * HTTP - веб-трафик. * SMTP - почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа. * POP3 - почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа. |