9.2. Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси

Для публикации серверов HTTP/HTTPS рекомендуется использовать публикацию с помощью правил reverse-прокси.

В отличие от публикации с помощью правил DNAT, публикация с использованием reverse-прокси предоставляет следующие преимущества:

  • Публикация по HTTPS серверов, работающих по HTTP и наоборот.

  • Балансировка запросов на ферму веб-серверов.

  • Возможность ограничения доступа к публикуемым серверам с определенных Useragent.

  • Возможность подмены доменов и путей публикуемых серверов.

Чтобы опубликовать сервер, используя reverse-прокси, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать сервер reverse-прокси

В разделе Глобальный портал --> Серверы reverse-прокси нажать на кнопку Добавить и создать один или более публикуемых веб-серверов.

Шаг 2. Создать правило балансировки на серверы reverse-прокси (опционально)

В случае, если требуется балансировка на ферму публикуемых серверов, создать в разделе Политики сети --> Балансировка нагрузки балансировщик reverse-прокси. В качестве серверов используются серверы reverse-прокси, созданные на предыдущем шаге.

Шаг 3. Создать правило reverse-прокси

В разделе Глобальный портал --> Правила reverse-прокси создать правило, которое будет задавать условия публикации серверов или фермы серверов.

Важно! Правила публикации применяются сверху вниз в списке правил. Срабатывает только первое правило публикации, для которого совпали все условия, указанные в настройках правила.

Шаг 4. Разрешить сервис Reverse-прокси на зоне, с которой необходимо разрешить доступ к внутренним ресурсам

В разделе Сеть --> Зоны разрешите сервис Reverse-прокси для зоны, с которой необходимо разрешить доступ к внутренним ресурсам (обычно зона Untrusted).

Для создания сервера reverse-прокси разделе Глобальный портал --> Серверы reverse-прокси необходимо нажать на кнопку Добавить и заполнить следующие поля:

Наименование

Описание

Название

Название публикуемого сервера.

Описание

Описание публикуемого сервера.

Адрес сервера

IP-адрес публикуемого сервера.

Порт

TCP-порт публикуемого сервера.

HTTPS до сервера

Определяет, требуется ли использовать протокол HTTPS до публикуемого сервера.

Проверять SSL-сертификат

Включает/отключает проверку валидности SSL-сертификата, установленного на публикуемом сервере.

Не изменять IP-адрес источника

Оставляет оригинальный IP-адрес источника в пакетах, пересылаемых на публикуемый сервер. Если отключено, то IP-адрес источника заменяется на IP-адрес UserGate.

Для создания правила балансировки на серверы reverse-прокси в разделе Политики сети --> Балансировка нагрузки необходимо выбрать Добавить --> Балансировщик reverse-прокси и заполнить следующие поля:

Наименование

Описание

Вкл/Выкл

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Серверы reverse-прокси

Созданный на предыдущем шаге список серверов reverse-прокси, на которые будет распределяться нагрузка.

Для создания правила reverse-прокси необходимо нажать на кнопку Добавить в разделе Глобальный портал --> Правила reverse-прокси и заполнить необходимые поля.

Примечание

Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз для изменения порядка применения правил.

Примечание

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.

Наименование

Описание

Вкл/Выкл

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Сервер reverse-прокси

Сервер reverse-прокси или балансировщик reverse-прокси, куда UserGate будет пересылать запросы.

Порт

Порт, на котором UserGate будет слушать входящие запросы.

Использовать HTTPS

Включает поддержку HTTPS.

Сертификат

Сертификат, используемый для поддержки HTTPS-соединения.

Авторизовать по сертификату

Если выбрано, то требует предъявления пользовательского сертификата браузером. Для этого пользовательский сертификат должен быть добавлен в список сертификатов UserGate, ему должна быть назначена роль Пользовательский сертификат и назначен соответствующий пользователь UserGate. Более подробно о пользовательских сертификатах читайте в разделе Управление сертификатами.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Пользователи

Список пользователей и групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей.

Данная вкладка доступна только при использовании HTTPS и авторизации пользователя по сертификату.

Назначение

Один из внешних IP-адресов сервера UserGate, доступный из сети интернет, куда адресован трафик внешних клиентов.

Useragent

UserAgent пользовательских браузеров, для которых будет применено данное правило.

Подмена путей

Подмена домена и/или пути в URL в запросе пользователя. Например, позволяет преобразовать запросы, приходящие на http://www.example.com/path1 в http://www.example.loc/path2

Изменить с - домен и/или путь URL, которые требуется изменить.

Изменить на - домен и/или путь URL, на которые требуется заменить старые.

Если указан домен в поле Изменить с, то правило публикации будет применено только для запросов, которые пришли именно на этот домен. То есть в данном случае это будет являться условием срабатывания правила.