8.3. Инспектирование туннелей

Раздел позволяет администратору настроить инспекцию данных, передающихся с использованием следующих протоколов туннелирования:

  • GRE (Generic Routing Encapsulation) -- протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Основное назначение - инкапсуляция пакетов сетевого уровня в IP-пакеты.

  • GTP-U (General Packet Radio Service (GPRS) Tunneling Protocol for User Data) -- протокол, используемый для переноса пользовательских данных в базовой сети GPRS и между сетью радиодоступа и базовой сетью.

  • Нешифрованный IPsec (IPsec Null Encryption) -- протокол туннелирования для передачи по IPsec-туннелю нешифрованного трафика.

UserGate позволяет производить инспектирование туннелей. При включении данной настройки, все туннели, попадающие под правила инспектирования, будут раскрываться; трафик, передаваемый внутри этих туннелей, будет обрабатываться с помощью правил МЭ, СОВ, L7. После фильтрации трафик будет завернут обратно в туннель и передан по оригинальному адресу назначения.

По умолчанию, в UserGate создана зона для инспектирования туннелей - Tunnel inspection zone. Данной зоне будут принадлежать все адресы источников и назначения инкапсулированных в туннель пакетов.

Примечание

Все адреса источников и назначений инкапсулированных в туннель пакетов могут принадлежать только одной зоне.

Включить инспектирование и назначить другую зону для инспектируемых туннелей можно в разделе UserGate --> Настройки модуль Зона для инспектируемых туннелей.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Чтобы создать правило инспектирования туннелей, необходимо нажать на кнопку Добавить в разделе Политики безопасности --> Инспектирование туннелей и указать необходимые параметры; будут проверяться все туннели, подходящие под заданные условия.

Наименование

Описание

Включено

Включение/отключение правила инспектирования туннелей.

Название

Название правила инспектирования.

Описание

Описание правила инспектирования.

Действие

Действия правила инспектирования:

  • Инспектировать.

  • Не расшифровывать.

Инспектирование туннелей

Выбор типа туннеля, который необходимо инспектировать:

  • GRE.

  • GTP-U.

  • Нешифрованный IPsec.

Вставить

Место вставки создаваемого правила в списке правил -- наверх, вниз или выше выбранного существующего правила.

Источник

Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика.

Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса.

Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

Назначение

Зона, списки IP-адресов, списки гео IP-адресов, списки URL назначения трафика.

Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса.

Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).