8.7. Работа с внешними ICAP-серверами

UserGate позволяет передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для проверки передаваемых пользователями данных DLP-системами. В данном случае UserGate будет выступать в роли ICAP-клиента.

UserGate поддерживает гибкие настройки при работе с ICAP-серверами, например, администратор может задать правила, согласно которым на ICAP-серверы будет направляться только выборочный трафик, или настроить работу с фермой ICAP-серверов.

Для того, чтобы настроить работу UserGate c внешними серверами ICAP, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать ICAP-сервер

В разделе Политики безопасности --> ICAP-серверы нажать на кнопку Добавить и создать один или более ICAP-серверов.

Шаг 2. Создать правило балансировки на ICAP-серверы (опционально)

В случае, если требуется балансировка на ферму ICAP-серверов, создать в разделе Политики сети --> Балансировка нагрузки балансировщик ICAP-серверов. В качестве серверов используются ICAP-серверы, созданные на предыдущем шаге.

Шаг 3. Создать правило ICAP

В разделе Политики безопасности --> Правила ICAP создать правило, которое будет задавать условия пересылки трафика на ICAP-серверы или фермы серверов.

Важно! Правила ICAP применяются сверху вниз в списке правил. Срабатывает только первое правило публикации, для которого совпали все условия, указанные в настройках правила.

Для создания ICAP-сервера в разделе Политики безопасности --> ICAP-серверы необходимо нажать на кнопку Добавить и заполнить следующие поля:

Наименование

Описание

Название

Название ICAP-сервера.

Описание

Описание ICAP-сервера.

Адрес сервера

IP-адрес ICAP-сервера.

Порт

TCP-порт ICAP-сервера, значение по умолчанию 1344.

Максимальный размер сообщения

Определяет максимальный размер сообщения, передаваемого на ICAP-сервер в килобайтах. По умолчанию 0 (отключено).

Период проверки доступности сервера ICAP

Устанавливает время в секундах, через которое UserGate посылает OPTIONS-запрос на ICAP-сервер, чтобы убедиться, что сервер доступен.

Пропускать при ошибках

Если эта опция включена, то UserGate не будет посылать данные на сервер ICAP в случаях, когда ICAP-сервер недоступен (не отвечает на запрос OPTIONS).

Reqmod путь

  • Вкл - включает использование режима Reqmod.

  • Путь на сервере ICAP для работы в режиме Reqmod. Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах:

  • /path -- путь на сервере ICAP;

  • icap://icap-server:port/path -- указание полного URI для режима reqmod.

Respmod путь

  • Вкл - включает использование режима Reqmod.

  • Путь на сервере ICAP для работы в режиме Respmod. Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах:

  • /path -- путь на сервере ICAP;

  • icap://icap-server:port/path -- указание полного URI для режима respmod.

Посылать имя пользователя

  • Вкл - включает отсылку имени пользователя на ICAP-сервер.

  • Кодировать в base64 - кодировать имя пользователя в base64, это может потребоваться, если имена пользователей содержат символы национальных алфавитов.

  • Название заголовка, которое будет использоваться для отправки имени пользователя на ICAP-сервер. Значение по умолчанию -

  • X-Authenticated-User.

Посылать IP-адрес

  • Вкл - включает отсылку IP-адреса пользователя на ICAP-сервер.

  • Название заголовка, которое будет использоваться для отправки IP-адреса пользователя на ICAP-сервер. Значение по умолчанию - X-Client-Ip.

Посылать MAC-адрес

  • Вкл - включает отсылку MAC-адреса пользователя на ICAP-сервер.

  • Название заголовка, которое будет использоваться для отправки MAC-адреса пользователя на ICAP-сервер. Значение по умолчанию - X-Client-Mac.

Для создания правила балансировки на серверы ICAP в разделе Политики сети --> Балансировка нагрузки необходимо выбрать Добавить --> Балансировщик ICAP и заполнить следующие поля:

Наименование

Описание

Вкл/Выкл

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

ICAP-серверы

Список серверов ICAP, на которые будет распределяться нагрузка, созданный на предыдущем шаге.

Для создания ICAP-правила необходимо нажать Добавить в разделе Политики безопасности --> ICAP-правила и заполнить необходимые поля.

Примечание

Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.

Примечание

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.

Наименование

Описание

Вкл/Выкл

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Возможны следующие варианты:

  • Пропустить - не посылать данные на ICAP-сервер. Создав правило с таким действием, администратор может явно исключить определенный трафик из пересылки на серверы ICAP.

  • Переслать - переслать данные на ICAP-сервер и ожидать ответа ICAP-сервера. Это стандартный режим работы большинства ICAP-серверов.

  • Переслать и игнорировать - переслать данные на ICAP-сервер и игнорировать ответ от ICAP-сервера. В этом случае, вне зависимости от ответа ICAP-сервера, данные к пользователю уходят без модификации, но сервер ICAP получает полную копию пользовательского трафика.

ICAP-серверы

ICAP-сервер или балансировщик серверов ICAP, куда UserGate будет пересылать запросы.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Пользователи

Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей.

Адрес назначения

IP-адреса, GeoIP или списки URL (хостов) назначения трафика.

Типы контента

Списки типов контента. Предусмотрена возможность управления видеоконтентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы типов контента. Более подробно о работе с типами контента читайте в главе Типы контента.

Категории

Списки категорий UserGate URL filtering.

URL

Списки URL.

HTTP метод

Метод, используемый в HTTP-запросах, как правило, это POST или GET.

Сервис

Возможны варианты:

  • HTTP - веб-трафик.

  • SMTP - почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа.

  • POP3 - почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа.

Важно! Перед использованием сервисов SMTP и POP3 в правилах ICAP необходимо создать правило защиты почтового трафика для данных сервисов. Подробнее о защите почтового трафика смотрите в разделе Защита почтового трафика.