UserGate позволяет передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для проверки передаваемых пользователями данных DLP-системами. В данном случае UserGate будет выступать в роли ICAP-клиента.
UserGate поддерживает гибкие настройки при работе с ICAP-серверами, например, администратор может задать правила, согласно которым на ICAP-серверы будет направляться только выборочный трафик, или настроить работу с фермой ICAP-серверов.
Для того, чтобы настроить работу UserGate c внешними серверами ICAP, необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Создать ICAP-сервер. |
В разделе Политики безопасности --> ICAP-серверы нажать на кнопку Добавить и создать один или более ICAP-серверов. |
Шаг 2. Создать правило балансировки на ICAP-серверы (опционально). |
В случае, если требуется балансировка на ферму ICAP-серверов, создать в разделе Политики сети --> Балансировка нагрузки балансировщик ICAP-серверов. В качестве серверов используются ICAP-серверы, созданные на предыдущем шаге. |
Шаг 3. Создать правило ICAP. |
В разделе Политики безопасности --> Правила ICAP создать правило, которое будет задавать условия пересылки трафика на ICAP-серверы или фермы серверов. Важно! Правила ICAP применяются сверху вниз в списке правил. Срабатывает только первое правило, для которого совпали все условия, указанные в настройках правила. |
Для создания ICAP-сервера в разделе Политики безопасности --> ICAP-серверы необходимо нажать на кнопку Добавить и заполнить следующие поля:
Наименование |
Описание |
---|---|
Название |
Название ICAP-сервера. |
Описание |
Описание ICAP-сервера. |
Адрес сервера |
IP-адрес ICAP-сервера. |
Порт |
TCP-порт ICAP-сервера, значение по умолчанию 1344. |
Максимальный размер сообщения |
Определяет максимальный размер сообщения, передаваемого на ICAP-сервер в килобайтах. По умолчанию 0 (отключено). |
Период проверки доступности сервера ICAP |
Устанавливает время в секундах, через которое UserGate посылает OPTIONS-запрос на ICAP-сервер, чтобы убедиться, что сервер доступен. |
Пропускать при ошибках |
Если эта опция включена, то UserGate не будет посылать данные на сервер ICAP в случаях, когда ICAP-сервер недоступен (не отвечает на запрос OPTIONS). |
Reqmod путь |
|
Respmod путь |
|
Посылать имя пользователя |
|
Посылать IP-адрес |
|
Посылать MAC-адрес |
|
Для создания правила балансировки на серверы ICAP в разделе Политики сети --> Балансировка нагрузки необходимо выбрать Добавить --> Балансировщик ICAP и заполнить следующие поля:
Наименование |
Описание |
---|---|
Включено |
Включает или отключает правило. |
Название |
Название правила. |
Описание |
Описание правила. |
ICAP-серверы |
Список серверов ICAP, на которые будет распределяться нагрузка, созданный на предыдущем шаге. |
Для создания ICAP-правила необходимо нажать Добавить в разделе Политики безопасности --> ICAP-правила и заполнить необходимые поля.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Наименование |
Описание |
---|---|
Включено |
Включает или отключает правило. |
Название |
Название правила. |
Описание |
Описание правила. |
Действие |
Возможны следующие варианты:
|
ICAP-серверы |
ICAP-сервер или балансировщик серверов ICAP, куда UserGate будет пересылать запросы. |
Источник |
Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика. Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса. Важно! Обработка трафика происходит по следующей логике:
|
Пользователи |
Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. |
Адрес назначения |
IP-адреса, GeoIP или списки URL (хостов) назначения трафика. Важно! Обработка трафика происходит по следующей логике:
|
Типы контента |
Списки типов контента. Предусмотрена возможность управления видеоконтентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы типов контента. Более подробно о работе с типами контента читайте в главе Типы контента. |
Категории |
Списки категорий UserGate URL filtering. |
URL |
Списки URL. |
HTTP метод |
Метод, используемый в HTTP-запросах, как правило, это POST или GET. |
Сервис |
Возможны варианты:
Важно! Перед использованием сервисов SMTP и POP3 в правилах ICAP необходимо создать правило защиты почтового трафика для данных сервисов. Подробнее о защите почтового трафика смотрите в разделе Защита почтового трафика. |