7.1. Межсетевой экран

С помощью правил межсетевого экрана администратор может разрешить или запретить любой тип транзитного сетевого трафика, проходящего через UserGate. В качестве условий правила могут выступать зоны и IP-адреса источника/назначения, пользователи и группы, сервисы и приложения.

События срабатывания правил межсетевого экрана отображаются в журнале трафика (Журналы и отчёты --> Журнал трафика) при включении опции Журналирование в параметрах правил.

Примечание

Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.

Примечание

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.

Примечание

Если не создано ни одного правила, то любой транзитный трафик через UserGate запрещен.

Чтобы создать правило межсетевого экрана, необходимо нажать на кнопку Добавить в разделе Политики сети-->Межсетевой экран и указать необходимые параметры.

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Наименование

Описание

Вкл/Выкл

Включает или отключает правило

Название

Название правила

Описание

Описание правила

Действие

Запретить - блокирует трафик

Разрешить - разрешает трафик

Сценарий

Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии.

Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает

Журналирование

Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика.

Пользователи

Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика.

Сервис

Тип сервиса, например, HTTP или HTTPS.

Приложение

Список приложений, для которых применяется данное правило.

Время

Интервалы времени, когда правило активно.