Трафик DNAT и Port Forwarding

После поступления на интерфейс UserGate пакет попадает под правила зоны -- в блок DoS, Spoofing. На этом этапе производится базовая проверка трафика (например, на наличие атак). Уже на этом этапе может произойти отбрасывание пакета, например, по причине детектирования SYN-флуда, наличия аномалий трафика TCP, UDP или ICMP.

ПримечаниеЗона -- это логическая среда, объединяющая интерфейсы устройства под едиными для всех правилами.
ПримечаниеНастройка защиты от DoS-атак на зоне является «грубой», т.к. в свойствах зоны настраивается только параметры защиты зоны от сетевого флуда (порог уведомлений/отбрасывания пакетов, агрегирование) и защита от IP-спуфинга. «Гибкая» настройка -- с указанием сервисов и адресов, производится с помощью правил защиты DoS.

Если пакет не был отброшен на предыдущем этапе, то далее он проходит блок Fast Path, который позволяет пропустить через все проверки и блоки только первые пакеты сессии. В дальнейшем если пакеты по какой-то причине не требуют проверки и специальной обработки, модуль FastPath, формирует правило, которое перенаправляет пакет напрямую с входного интерфейса на выходной. При этом с такими пакетами выполняются все необходимые для доставки получаетелю преобразования(DNAT, PortForwarding и т.д.)

ПримечаниеФункция FastPath активирована по умолчанию. Сброс правил модуля осуществляется одновременно со сбросом сессий в межсетевом экране. Для этого на странице Политики сетиМежсетевой экран доступна кнопка Принудительно применить. Функция Fast Path выключается автоматически, при записи трафика или при включении журналирования правил межсетевого экрана. Под обработку модуля не попадают фрагментированные пакеты и пакеты предназначенные для L7/IDPS инспектирования.
ПримечаниеДля получения статуса модуля FastPath можно использовать команду CLI: device config -get fastpath
Отключить функцию можно командой device config -set fastpath false

Пакет не попавший под правила FastPath, следует дальше и попадает в блок Gateways, PBR, в котором помечается (маркируется) для дальнейшего использования в правилах маршрутизации.

Затем в блоке DNAT, Port Forwarding происходит обработка и подмена адреса назначения (источника в случае SNAT и порта в случае Port Forwarding), после которой пакет проходит далее, в блок с условным названием CHECK. Трафик DNAT и Port Forwarding подчиняется созданным правилам фильтрации межсетевого экрана.

Анализ трафика начинается на этапе установления TCP-соединения с портами назначения 80 и 443. UserGate анализирует весь TCP-трафик, но его перехват осуществляет на финальной стадии установления надёжного TCP-соединения, т.е. на последнем этапе «трёхстороннего рукопожатия» (three-way handshake). Таким образом, первые пакеты пройдут путь до блока Firewall и будут отброшены в случае наличия запрещающего правила, под условия которого подходят эти пакеты.

ПримечаниеПравила межсетевого экрана, созданные по умолчанию (Default Block), не применяются к трафику DNAT и Port Forwarding.

Обработка трафика DNAT и Port Forwarding проходит следующим образом:

  1. Проверка соответствия трафика условиям правил фильтрации контента происходит до проверки соответствия правилам межсетевого экрана. Если есть перекрёстные запрещающие правила по зонам, адресам источника/назначения и/или пользователям, то трафик будет заблокирован межсетевым экраном.

  2. Если есть правила контентной фильтрации по другим параметрам (URL, категория сайта, тип контента и т.д.) и настроено SSL инспектирование, то UserGate ожидает установки TLS-сессии, после чего производит проверку соответствия.

В случае соответствия условиям блокирующего правила контентной фильтрации трафик будет заблокирован, а пользователю вернётся страница блокировки. Случаи возврата пользователю страницы блокировки рассмотрены в разделе Отображение страницы блокировки.

ПримечаниеРезультатом блокирующих правил контентной фильтрации является отображение страницы блокировки на пользовательский запрос ресурса. Блокирующие правила межсетевого экрана не возвращают страницу блокировки.

В противном случае трафик будет перенаправлен в блок Routing.

В блоке Routing происходит проверка всех записей подключённых сетей, проверка доступности шлюзов, проверка записей (статических и динамических) виртуальных маршрутизаторов.

Далее пакет попадет в блок L7, IDPS, в котором проверяются используемые приложения, а также работает система обнаружения и предотвращения вторжений.

В блоке Firewall пакеты обрабатываются только в случае наличия правил, созданных администратором. Затем пакет проходит через блок Shaper (настройка пропускной способности), попадает в блок NAT (настройка правил NAT, DNAT, Policy-based routing, Port Forwarding и Network Mapping) и передаётся на выходной интерфейс.