UserGate 6

Руководство администратора

1. Введение

UserGate представляет собой универсальный интернет-шлюз класса Unified Threat Management (единая защита от угроз), объединяющий в себе межсетевой экран, маршрутизацию, шлюзовой антивирус, систему обнаружения и предотвращения вторжений (СОВ), VPN-сервер, систему контентной фильтрации, модуль мониторинга и статистики и многие другие функции. Продукт позволяет управлять сетью компании, оптимизировать используемый ею трафик и эффективно предотвращать интернет-угрозы.

1.1. Безопасность сети и защита от сетевых угроз

1.1.1. Межсетевое экранирование

Встроенный в UserGate межсетевой экран нового поколения (NGFW - Next Generation Firewall) фильтрует трафик, проходящий через определенные протоколы (например, TCP, UDP, IP), тем самым обеспечивая защиту сети от хакерских атак и разнообразных типов вторжений, основанных на использовании данных протоколов.

1.1.2. Обнаружение и предотвращение вторжений

Система обнаружения и предотвращения вторжений (СОВ) позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз в режиме реального времени, а также предоставление отчетов.

Администратор может создавать различные СОВ-профили (наборы сигнатур, релевантных для защиты определенных сервисов) и задавать правила СОВ, определяющие действия для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями.

1.1.3. Защита от DOS-атак и сетевого флуда

UserGate позволяет задать параметры защиты каждой зоны сети от сетевого флуда (для протоколов TCP (SYN-flood), UDP, ICMP), указав порог уведомления - количество запросов с одного IP-адреса, после которого происходит запись в журнал - и порог отбрасывания пакетов - количество запросов, после которого пакеты отбрасываются с соответствующей записью в журнале.

Возможно настроить исключения, например, для зон, использующих IP-телефонию и поэтому отправляющих большое количество UDP-пакетов.

1.1.4. Антивирусная проверка трафика

Потоковый антивирус UserGate позволяет обеспечить антивирусную проверку трафика без ущерба для производительности и быстродействия сети. Модуль использует обширную базу сигнатур.

В качестве дополнительной защиты можно подключить модуль эвристического анализа.

1.1.5. Проверка почтового трафика

UserGate способен обрабатывать транзитный почтовый трафик (SMTP(S), POP3(S)), анализируя его источник, а также содержание письма и вложений, что гарантирует надежную защиту от спама, вирусов, pharming- и phishing- атак. UserGate также предоставляет возможность гибкой настройки фильтрации почтового трафика по группам пользователей.

1.1.6. Работа с внешними системами безопасности

Имеется возможность передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для проверки передаваемых пользователями данных DLP-системами. Администратор может указать, какой трафик требуется передавать на ICAP, а также настроить работу с фермами серверов.

1.1.7. Управление АСУ ТП

В новой версии платформы появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП) и управления ей. Администратор может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий. Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля и вмешательства человека при необходимости.

1.1.8. Настройка политик безопасности при помощи сценариев

UserGate позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря автоматизации безопасности при помощи механизма сценариев (SOAR - Security Orchestration, Automation and Response).

Эта концепция находится на пике популярности и позволяет администратору создавать сценарии (запускаемые по плану или при обнаружении атаки), где прописываются автоматические действия в ответ на те или иные события. Такой подход обеспечивает гибкую настройку политик безопасности, сокращает участие человека благодаря автоматизации повторяющихся задач, а также дает возможность приоритезировать сценарии для скорейшей реакции на критичные угрозы.

1.2. Улучшение производительности и надежности интернета

1.2.1. Поддержка кластеризации и отказоустойчивости

UserGate поддерживает 2 типа кластеров: кластер конфигурации, позволяющий задать единые настройки узлам в рамках кластера, и кластер отказоустойчивости, призванный обеспечить бесперебойную работу сети. Кластер отказоустойчивости может работать в двух режимах: Актив-Актив и Актив-Пассив. Оба режима поддерживают синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другие.

1.2.2. FTP поверх HTTP

Модуль FTP поверх HTTP позволяет обращаться к содержимому FTP-сервера из браузера пользователя.

1.2.3. Поддержка нескольких провайдеров

При подключении системы к нескольким провайдерам UserGate позволяет настроить для каждого из них свой шлюз для обеспечения доступа к интернету. Администратор также может настроить балансировку трафика между провайдерами, указав вес каждого шлюза, или указать один из шлюзов как основной с переключением на других провайдеров в случае недоступности основного шлюза.

1.2.4. Управление пропускной способностью

Правила управления пропускной способностью служат для ограничения канала для определенных пользователей, хостов, сервисов или приложений.

1.2.5. Поддержка WCCP

Поддержка протокола WCCP позволяет использовать UserGate в инфраструктуре с WCCP-северами, например, маршрутизаторами Cisco.

1.3. Управление трафиком и контроль доступа в интернет

1.3.1. Маршрутизация трафика и публикация ресурсов

UserGate позволяет использовать как статическую, так и динамическую маршрутизацию. Динамическая маршрутизация осуществляется по протоколам OSPF и BGP, что позволяет использовать UserGate в сложной маршрутизируемой сети предприятия.

Администратор может создавать в системе правила NAT (для предоставления пользователям доступа в интернет), а также правила безопасной публикации внутренних ресурсов в интернет с использованием reverse-прокси для HTTP/HTTPS и DNAT для других протоколов.

1.3.2. Авторизация пользователей

Платформа поддерживает различные механизмы авторизации пользователей: Captive-портал, Kerberos, NTLM, при этом учетные записи могут поступать из различных источников - LDAP, Active directory, FreeIPA, TACACS+, Radius, SAML IDP. Авторизация SAML IDP, Kerberos или NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory.

Администратор может настроить правила безопасности, ширину канала, правила межсетевого экранирования, контентной фильтрации и контроля приложений для отдельных пользователей, групп пользователей, а также всех известных или неизвестных пользователей. Дополнительно к этому продукт поддерживает применение правил безопасности к пользователям терминальных служб с помощью специальных агентов (Terminal Services Agents), а также использование агента авторизации для Windows-платформ.

Для обеспечения большей безопасности учетных записей рекомендуется использовать мультифакторную аутентификацию с помощью токенов TOTP (Time-based One Time Password Algorithm), SMS или электронной почты.

1.3.3. Поддержка гостевого портала

UserGate позволяет предоставлять пользователям временный доступ к сети, что актуально, например, для публичных Wi-Fi сетей. Профили могут быть как созданы администратором, так и зарегистрированы самими пользователями с подтверждением через e-email или SMS. Платформа позволяет указывать отдельные настройки безопасности для временных пользователей.

1.3.4. Проксирование приложений

Для пользователей, работающих с ОС Windows, можно настроить прокси-агент, позволяющий использовать возможности прокси приложениям, не умеющим работать с прокси-серверами. Прокси-агент также может быть использован для предоставления таким приложениям доступа в интернет в случаях, когда UserGate не является шлюзом по умолчанию.

1.3.5. Поддержка политики BYOD

Концепция BYOD (Bring Your Own Device) продолжает набирать популярность, ставя перед системами безопасности новые задачи. UserGate позволяет настроить гибкие политики доступа в сеть для различных групп пользователей и типов устройств, а также ограничить количество устройств, используемых одним пользователем.

1.4. Контент-фильтрация и контроль приложений

1.4.1. Интернет-фильтрация

Использование модуля интернет-фильтрации обеспечивает административный контроль за использованием интернета, загружаемыми данными. Модуль обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой.

Для анализа безопасности сайтов, запрашиваемых пользователями, используются репутационные сервисы, MIME-типы контента (фото, видео, тексты и др.), специальные морфологические словари, предоставляемые UserGate, а также черные и белые списки URL и Useragent, с помощью которых администратор может запретить или разрешить работу с определенным типом браузеров. UserGate предоставляет возможность создавать собственные черные и белые списки, словари, MIME-типы, морфологические словари и Useragent, применяя их как правила к пользователям и группам пользователей.

1.4.2. Выборочная блокировка рекламы

Даже безопасные сайты могут содержать нежелательные изображения на баннерах, содержимое которых не зависит от владельца ресурса. UserGate решает эту проблему, блокируя баннеры и защищая пользователей от негативного контента.

1.4.3. Активация безопасного поиска

UserGate позволяет принудительно активировать функцию безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. Такая защита позволяет добиться высокой эффективности, например, при фильтрации откликов на запросы по графическому или видеоконтенту. Также можно заблокировать поисковые системы, в которых не реализована функция безопасного поиска.

1.4.4. Блокировка приложений социальных сетей

UserGate дает возможность блокировки игр и других приложений для наиболее популярных социальных сетей, таких, как Facebook, VK, Одноклассники. Администраторы могут разрешать использование социальных сетей в целом, при этом контролируя и ограничивая непродуктивные действия.

1.4.5. Инжектирование кода на веб-страницы

Функция «Инжектировать скрипт» позволяет вставить необходимый̆ код во все веб-страницы, просматриваемые пользователями. Эта возможность может быть использована для получения различных метрик, сокрытия некоторых элементов веб-страниц, а также показа рекламы или другой информации.

1.4.6. Инспектирование SSL-трафика

Платформа UserGate позволяет фильтровать не только обычный, но и зашифрованный трафик (протоколы HTTPS, SMTPS, POP3S), дешифруя их при помощи технологии MITM (Man In The Middle) и подписывая доверенным корневым сертификатом с последующим шифрованием после анализа. Система позволяет настроить выборочную проверку трафика, например, не расшифровывать ресурсы категории «Финансы».

1.4.7. VPN и веб-портал

VPN (Virtual Private Network) служит для того, чтобы настраивать виртуальные логические сети поверх других сетей, например, интернет. UserGate поддерживает два типа VPN-сетей: Remote Access VPN (модель клиент-сервер) и Site-to-Site VPN (модель сервер-сервер).

Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных - протокол IPSec. UserGate поддерживает работу со стандартными клиентами большинства популярных операционных систем: Windows, Linux, Mac OS X, iOS, Android и других.

Веб-портал (SSL VPN) позволяет предоставить безопасный доступ сотрудникам компании к внутренним веб-ресурсам, серверам SSH и серверам терминальных служб без необходимости установки специального клиента VPN, используя только протокол HTTPS.

1.5. Журналы и отчеты

Платформа позволяет осуществлять мониторинг работы системы в режиме реального времени при помощи журналов событий, веб-доступа, СОВ и трафика. Для удобства анализа администратор может настроить автоматический экспорт журналов на сервера SSH, FTP и Syslog. С помощью отчетов администратор может предоставить различные срезы данных о событиях безопасности, конфигурирования или действиях пользователей. Отчеты могут создаваться по созданным ранее правилам и шаблонам в автоматическом режиме и отправляться адресатам по электронной почте.

1.6. Другие функции

1.6.1. Ролевой доступ администраторов к элементам управления UserGate

По умолчанию в системе существует один суперадминистратор, который может создавать учетные записи других администраторов и выдавать им права на просмотр и изменение различных разделов.

Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.

1.6.2. Использование оповещений

UserGate поддерживает мониторинг с помощью протоколов SNMP v2c и SNMP v3. Поддерживается как управление с помощью запросов (SNMP queries), так и с помощью отсылки оповещений (SNMP traps).

Помимо этого, система позволяет создавать профили оповещений, уведомляющие пользователей об определенных событиях по протоколам SMTP (e-email) и SMPP (SMS).

1.6.3. Типы интерфейсов

UserGate позволяет добавлять и настраивать тегированные VLAN-интерфейсы, а также объединять ряд физических интерфейсов в один логический агрегированный интерфейс (бонд) c использованием протокола LACP (link aggregation control protocol) для повышения пропускной способности или для отказоустойчивости канала. Помимо этого, существует возможность объединения интерфейсов в мост (bridge) для осуществления фильтрации трафика на уровне L2 без внесения изменений в сетевую инфраструктуру компании.

1.6.4. DNS-фильтрация

UserGate позволяет осуществлять настройку работы с DNS-серверами, а также настраивать сервис DNS-прокси, позволяющий перехватывать DNS-запросы от пользователей и изменять их в зависимости от нужд администратора. Платформа также позволяет подключить фильтрацию DNS-запросов пользователей.

1.6.5. Функция балансировщика нагрузки

UserGate позволяет осуществлять балансировку нагрузки на различные сервисы, находящиеся внутри локальной сети. Балансировка может быть предоставлена для внутренних серверов, публикуемых в интернет (DNAT или reverse-прокси), внутренних серверов без публикации, а также для балансировки трафика, пересылаемого на внешние серверы или ферму ICAP-серверов.

2. Первоначальная настройка

UserGate поставляется в виде программно-аппаратного комплекса (ПАК, appliance) либо в виде образа виртуальной машины (virtual appliance), предназначенного для развертывания в виртуальной среде. В случае виртуальной машины UserGate поставляется с четырьмя Ethernet-интерфейсами. В случае поставки в виде ПАК UserGate может содержать от 2 до 64 Ethernet-портов.

2.1. Развертывание виртуального образа

UserGate Virtual Appliance позволяет быстро развернуть виртуальную машину, с уже настроенными компонентами. Образ предоставляется в формате OVF (Open Virtualization Format), который поддерживают такие вендоры как VMWare, Oracle VirtualBox. Для Microsoft Hyper-v поставляется образ диска виртуальной машины.

Примечание

Для корректной работы виртуальной машины рекомендуется использовать минимум 8 Гб оперативной памяти и 2-ядерный виртуальный процессор. Гипервизор должен поддерживать работу 64-битных операционных систем.

Для начала работы с виртуальным образом, выполните следующие шаги:

Наименование

Описание

Шаг 1. Скачайте образ и распакуйте

Скачайте последнюю версию виртуального образа с официального сайта https://www.usergate.com/ru.

Шаг 2. Импортируйте образ в свою систему виртуализации

Инструкцию по импорту образа вы можете посмотреть на сайтах VirtualBox и VMWare. Для Microsoft Hyper-v необходимо создать виртуальную машину и указать в качестве диска скачанный образ, после чего отключить службы интеграции в настройках созданной виртуальной машины.

Шаг 3. Настройте параметры виртуальной машины

Увеличьте размер оперативной памяти виртуальной машины. Используя свойства виртуальной машины, установите минимум 8Gb и добавьте по 1Gb на каждые 100 пользователей.

Шаг 4. Важно! Увеличьте размер диска виртуальной машины

Размер диска по умолчанию составляет 100Gb, что обычно недостаточно для хранения всех журналов и настроек. Используя свойства виртуальной машины, установите размер диска в 200Gb или более. Рекомендованный размер - 300Gb или более.

Шаг 5. Настройте виртуальные сети

UserGate поставляется с четырьмя интерфейсами, назначенными в зоны:

  • Management - первый интерфейс виртуальной машины

  • Trusted - второй интерфейс виртуальной машины

  • Untrusted - третий интерфейс виртуальной машины

  • DMZ - четвертый интерфейс виртуальной машины.

Шаг 6. Выполните сброс к заводским настройкам

Запустите виртуальную машину UserGate.

Во время загрузки выберите Support Tools и выполните Factory reset USERGATE. Этот шаг крайне важен. Во время этого шага USERGATE настраивает сетевые адаптеры и увеличивает размер раздела на жестком диске до полного размера диска, увеличенного в 4-м пункте.

2.2. Подключение к UserGate

Интерфейс port0 настроен на получение IP-адреса в автоматическом режиме (DHCP) и назначен в зону Management. Первоначальная настройка осуществляется через подключение администратора к веб-консоли через интерфейс port0.

Если нет возможности назначить адрес для Management-интерфейса в автоматическом режиме с помощью DHCP, то его можно явно задать, используя CLI (Command Line Interface). Более подробно об использовании CLI смотрите в главе Интерфейс командной строки (CLI).

Остальные интерфейсы отключены и требуют последующей настройки.

Первоначальная настройка требует выполнения следующих шагов:

Наименование

Описание

Шаг 1. Подключиться к интерфейсу управления

При наличии DHCP-сервера
Подключить интерфейс port0 в сеть предприятия с работающим DHCP-сервером. Включить UserGate. После загрузки UserGate укажет IP-адрес, на который необходимо подключиться для дальнейшей активации продукта.
Статический IP-адрес
Включить UserGate. Используя CLI (Command Line Interface), назначить необходимый IP-адрес на интерфейс port0. Детали использования CLI смотрите в главе Интерфейс командной строки (CLI). Подключиться к веб-консоли UserGate по указанному адресу, он должен выглядеть примерно следующим образом: https://UserGate_IP_address:8001 .

Шаг 2. Выбрать язык

Выбрать язык, на котором будет продолжена первоначальная настройка.

Шаг 3. Задать пароль

Задать логин и пароль для входа в веб-интерфейс управления.

Шаг 4. Зарегистрировать систему

Ввести ПИН-код для активации продукта и заполнить регистрационную форму. Для активации системы необходим доступ UserGate в интернет. Если на данном этапе выполнить регистрацию не удается, то ее следует повторить после настройки сетевых интерфейсов на шаге 10.

Шаг 5. Настроить зоны, IP-адреса интерфейсов, подключить UserGate в сеть предприятия

В разделе Интерфейсы включить необходимые интерфейсы, установить корректные IP-адреса, соответствующие вашим сетям, и назначить интерфейсы соответствующим зонам. Подробно об управлении интерфейсами читайте в главе Настройка интерфейсов. Система поставляется с предопределенными зонами:

  • Зона Management (сеть управления), интерфейс port0

  • Зона Trusted (LAN)

  • Зона Untrusted (Internet)

  • Зона DMZ

  • Зона Cluster

  • Зона VPN for remote access

  • Зона VPN for Site-to-Site.

Шаг 6. Настроить шлюз в интернет

В разделе Шлюзы указать IP-адрес шлюза в интернет на интерфейсе, подключенном в интернет, зона Untrusted. Подробно о настройке шлюзов в интернет читайте в в главе Настройка шлюзов.

Шаг 7. Указать системные DNS-серверы

В разделе DNS укажите IP-адреса серверов DNS, вашего провайдера или серверов, используемых в вашей организации. Подробно об управлении DNS читайте в главе Настройка DNS.

Шаг 8. Создать правила NAT

В разделе NAT и Маршрутизация создать необходимые правила NAT. Для доступа в интернет пользователей сети Trusted правило NAT уже создано - «Trusted-->Untrusted». Подробно о правилах NAT читайте в главе NAT и маршрутизация.

Шаг 9. Создать правила межсетевого экрана

В разделе Межсетевой экран создать необходимые правила межсетевого экрана. Для неограниченного доступа в интернет пользователей сети Trusted правило межсетевого экрана уже создано - «Internet for Trusted», необходимо только включить его. Подробно о правилах межсетевого экрана читайте в главе Межсетевой экран.

Шаг 10. Зарегистрировать продукт (если не был зарегистрирован на шаге 4)

Зарегистрировать продукт с помощью ПИН-кода. Для успешной регистрации необходимо подключение к интернету и выполнение предыдущих шагов. Более подробно о лицензировании продукта читайте в главе Лицензирование UserGate.

Шаг 11. Создать дополнительных администраторов (опционально)

В разделе Администраторы UserGate создать дополнительных администраторов системы, наделить их необходимыми полномочиями (ролями).

Шаг 12. Настроить авторизацию пользователей (опционально)

В разделе Пользователи и устройства создать необходимые методы авторизации пользователей. Самый простой вариант - это создать локальных пользователей UserGate с заданными IP-адресами или использовать систему без идентификации пользователей (использовать пользователя Any во всех правилах). Для других вариантов авторизации пользователей смотрите главу Пользователи и устройства.

Шаг 13. Создать правила контентной фильтрации (опционально)

В разделе Фильтрация контента создать правила фильтрации HTTP(S). Более подробно о фильтрации контента читайте в главе Фильтрация контента.

Шаг 14. Создать правила веб-безопасности (опционально)

В разделе Веб-безопасность создать дополнительные правила защиты веб. Более подробно о веб-безопасности читайте в главе Веб-безопасность.

Шаг 15. Создать правила инспектирования SSL (опционально)

В разделе инспектирование SSL создать правила для перехвата и расшифровывания HTTPS-трафика. Более подробно о дешифровании HTTPS читайте в главе Инспектирование SSL.

После выполнения вышеперечисленных действий UserGate готов к работе. Для более детальной настройки обратитесь к необходимым главам справочного руководства.

3. Лицензирование UserGate

UserGate лицензируется по количеству одновременно подключенных устройств, включая пользователей терминальных серверов. Например, 100-пользовательская лицензия разрешает подключение к сети одновременно 100 устройствам с уникальными IP-адресами. 101 и следующие устройства не смогут получить доступ к сети. Количество учетных записей пользователей в системе не ограничивается. Лицензия на UserGate дает право бессрочного пользования продуктом.

Дополнительно лицензируются следующие модули:

Наименование

Описание

Модуль Security Update (SU)

Модуль SU дает право на получение:

  • обновлений ПО UserGate

  • обновлений сигнатур системы обнаружения вторжений

  • обновлений сигнатур приложений L7

  • технической поддержки

Модуль выписывается на 1 год, по истечении данного срока для получения обновлений ПО и технической поддержки необходимо приобрести продление лицензии.

Модуль Advanced Threat Protection (ATP)

Модуль ATP включает в себя следующие опции:

  • годовая подписка на базу категорий сайтов UserGate URL filtering

  • годовая подписка на обновляемые списки запрещенных сайтов Роскомнадзора, список phishing-сайтов, Белый список UserGate, Черный список UserGate

  • годовая подписка на морфологические базы, предоставляемые компанией UserGate

  • годовая подписка на потоковый антивирус UserGate

  • годовая подписка на модуль блокировки рекламы.

Модуль выписывается на 1 год, по истечении данного срока:

  • UserGate URL filtering перестает работать

  • фильтрация с помощью морфологии перестает работать

  • списки запрещенных сайтов Роскомнадзора, список phishing-сайтов, Белый список UserGate, Черный список UserGate продолжает работать, но обновления недоступны

  • антивирус UserGate перестает работать

  • модуль блокировки рекламы перестает работать

Модуль эвристического анализа

Модуль эвристического анализа трафика включает в себя годовую подписку на антивирус.

Модуль Mail security

Mail security включает в себя годовую подписку на проверку почтового трафика с помощью модуля антиспама UserGate.

Для регистрации продукта необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Перейти в Дашборд

Нажать на пиктограмму Дашборд в правом верхнем углу

Шаг 2. В разделе Информация о лицензии зарегистрировать продукт

В разделе Информация о лицензии нажать на ссылку Зарегистрированная версия, ввести ПИН-код и заполнить регистрационную форму

4. Настройка устройства

4.1. Общие настройки

Раздел Общие настройки определяет базовые установки UserGate:

Наименование

Описание

Часовой пояс

Часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п.

Язык интерфейса по умолчанию

Язык, который будет использоваться по умолчанию в консоли.

Режим авторизации веб-консоли

Способ аутентификации пользователя (администратора) при входе в веб-консоль управления. Возможны следующие варианты:

  • По имени и паролю. Администратор должен ввести имя и пароль для получения доступа к веб-консоли.

  • По X.509-сертификату. Для авторизации по сертификату необходимо иметь сертификат пользователя, подписанный сертификатом удостоверяющего центра веб-консоли и установленный в браузер. При включении этого режима авторизации режим авторизации по имени и паролю отключается. Вернуть режим авторизации по имени и паролю можно с помощью команд CLI.

Профиль SSL для веб-консоли

Выбор профиля SSL для построения защищенного канала доступа к веб-консоли. Подробно о профилях SSL смотрите в главе Профили SSL.

Профиль SSL для страниц блокировки/авторизации

Выбор профиля SSL для построения защищенного канала для отображения страниц блокировки доступа к веб-ресурсам и страницы авторизации Captive-портала. Подробно о профилях SSL смотрите в главе Профили SSL.

Настройка времени сервера

Настройка параметров установки точного времени.

Использовать NTP – использовать сервера NTP из указанного списка для синхронизации времени.

Основной сервер NTP – адрес основного сервера точного времени. Значение по умолчанию - pool.ntp.org.

Запасной сервер NTP – адрес запасного сервера точного времени.

Время на сервере – позволяет установить время на сервере. Время должно быть указано в часовом поясе UTC.

Модули

Позволяет настроить модули UserGate:

  • HTTP(S)-прокси порт - позволяет указать нестандартный номер порта, который будет использоваться для подключения к встроенному прокси-серверу. По умолчанию используется порт TCP 8090.
    Важно! Нельзя использовать следующие порты, поскольку они используются внутренними сервисами UserGate: 2200, 8001, 4369, 9000-9100.
  • Домен auth captive-портала - служебный домен, который используется UserGate при авторизации пользователей через Captive-портал. Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса UserGate, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то разрешение адресов (resolving) настроено автоматически. По умолчанию используется имя auth. Captive, которое может быть изменено на другое доменное имя, принятое в организации.

  • Домен logout captive-портала - служебный домен, который используется пользователями UserGate для окончания сессии (logout). Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса UserGate, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то разрешение адресов (resolving) настроено автоматически. По умолчанию используется имя logout.captive, которое может быть изменено на другое доменное имя, принятое в организации.

  • Домен страницы блокировки - служебный домен, который используется для отображения страницы блокировки пользователям. Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса UserGate, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то резолвинг настроен автоматически. По умолчанию используется имя block.captive, которое может быть изменено на другое доменное имя, принятое в организации.

  • FTP поверх HTTP - включение или отключение модуля, позволяющего получать доступ к содержимым FTP-серверов из пользовательского браузера.
    Требуется явное указание прокси-сервера для протокола FTP в браузере пользователя.
    Администратор может ограничивать доступ к ресурсам FTP с помощь правил контентной фильтрации (только по условиям Пользователи и URL).
  • FTP поверх HTTP домен - служебный домен, который используется для предоставления пользователям сервиса FTP поверх HTTP. Необходимо, чтобы пользователи могли резолвить указанный здесь домен в IP-адрес интерфейса UserGate, к которому они подключены. Если в качестве DNS-сервера у пользователей указан IP-адрес сервера UserGate, то резолвинг настроен автоматически. По умолчанию используется имя ftpclient.captive, которое может быть изменено на другое доменное имя, принятое в организации.

Настройка кэширования HTTP

Настройка кэша прокси-сервера:

  • Включен/Выключен - включение или отключение кэширования.

  • Исключения кэширования - список URL, которые не будут кэшироваться.

  • Максимальный размер объекта, Мбайт - объекты с размером более, чем указано в данной настройке, не будут кэшироваться. Рекомендуется оставить значение по умолчанию - 1 Мбайт.

  • Размер RAM-кэша, Мбайт - размер оперативной памяти, отведенный под кэширование. Не рекомендуется ставить более 20% от объема оперативной памяти системы.

Log Analyzer

Настройки модуля Log Analyzer:

  • Локальный сервер/Внешний сервер. Выберите внешний сервер, если у вас есть внешний сервер Log Analyzer, в противном случае выберите локальный сервер.

  • Состояние - показывает текущее состояние сервиса статистики

Web-портал

Настройки для предоставления доступа к внутренним ресурсам компании с помощью веб-портала ( SSL VPN). Подробное описание данных настроек смотрите в главе Веб-портал.

Агент центральной консоли

Настройки для подключения устройства к центральной консоли управления, позволяющей управлять многочисленными устройствами UserGate из одной точки.

  • Включен/Выключен - включение или отключение управления с центральной консоли.

  • Адрес сервера центральной консоли – адрес сервера.

  • Токен – токен, требуемый для подключения к центральной консоли, выдаваемый центральной консолью.

4.2. Управление устройством

Раздел Управление устройством определяет следующие настройки UserGate:

  • Кластеризация

  • Настройки диагностики

  • Операции с сервером

  • Экспорт настроек.

Возможности кластеризации устройств UserGate описаны в разделе Кластеризация и отказоустойчивость.

4.2.1. Диагностика

В данном разделе задаются параметры диагностики сервера, необходимые службе технической поддержки UserGate при решении возможных проблем.

Наименование

Описание

Детализация диагностики

  • Off - ведение журналов диагностики отключено

  • Error - журналировать только ошибки работы сервера

  • Warning - журналировать только ошибки и предупреждения

  • Info - журналировать только ошибки, предупреждения и дополнительную информацию

  • Debug - максимум детализации

Рекомендуется установить значение параметра Детализация диагностики в Error (только ошибки) или Off (Отключено), если техническая поддержка UserGate не попросила вас установить иные значения. Любые значения, отличные от Error (только ошибки) или Off (Отключено), негативно влияют на производительность UserGate

Журналы диагностики

  • Скачать журналы - скачать диагностические журналы для передачи их в службу поддержки UserGate.

  • Очистить журналы - очистить содержимое журналов.

Удаленный помощник

  • Включено - включение/отключение режима удаленного помощника. Удаленный помощник позволяет инженеру технической поддержки UserGate, зная значения идентификатора и токена удаленного помощника, произвести безопасное подключение к серверу UserGate для диагностики и решения проблем. Для успешной активации удаленного помощника UserGate должен иметь доступ к серверу удаленного помощника по протоколу SSH.

  • Идентификатор удаленного помощника - полученное случайным образом значение. Уникально для каждого включения удаленного помощника

  • Токен удаленного помощника - полученное случайным образом значение токена. Уникально для каждого включения удаленного помощника

4.2.2. Операции с сервером

Данный раздел позволяет произвести следующие операции с сервером:

Наименование

Описание

Операции с сервером

  • Перезагрузить - перезагрузка сервера UserGate

  • Выключить - выключение сервера UserGate

Обновления

Выбор канала обновлений ПО UserGate

  • Стабильные - проверка наличия стабильных обновлений ПО

  • Бета - проверка наличия экспериментальных обновлений.

Команда UserGate постоянно работает над улучшением качества своего программного обеспечения и предлагает обновления продукта UserGate в рамках подписки на модуль лицензии Security Update (подробно о лицензировании смотрите в разделе Лицензирование UserGate). При наличии обновлений в разделе Управление продуктом отобразится соответствующее оповещение. Обновление продукта может занять довольно длительное время, рекомендуется планировать установку обновлений с учетом возможного времени простоя UserGate.

Для установки обновлений необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать файл резервного копирования

Создать резервную копию состояния UserGate, как это описано в разделе Системные утилиты. Данный шаг рекомендуется всегда выполнять перед применением обновлений, поскольку он позволит восстановить предыдущее состояние устройства в случае возникновения каких-либо проблем во время применения обновлений.

Шаг 2. Установить обновления

В разделе Управление устройством при наличии оповещения Доступны новые обновления нажать на ссылку Установить сейчас. Система установит скачанные обновления, по окончании установки UserGate будет перезагружен.

Примечание

Для обновления узлов кластера конфигурации необходимо, чтобы все узлы были включены и доступны на момент обновления первого узла. Узлы, недоступные на момент обновления первого узла, после обновления необходимо будет добавить в кластер заново.

4.2.3. Экспорт настроек

Администратор имеет возможность сохранить текущие настройки UserGate в файл и впоследствии восстановить эти настройки на этом же или другом сервере UserGate. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки.

Примечание

Экспорт/импорт настроек не восстанавливает состояние кластера, настройки интерфейсов и информацию о лицензии. После окончания процедуры импорта необходимо повторно зарегистрировать UserGate с помощью имеющегося ПИН-кода, настроить интерфейсы и заново создать кластер, если это необходимо.

Для экспорта настроек необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Экспорт настроек

В разделе Управление устройством нажать на ссылку Экспорт настроек-->Экспорт. Система сохранит текущие настройки сервера под именем database.bin

Для применения созданных ранее настроек необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Импорт настроек

В разделе Управление устройством нажать на ссылку Экспорт настроек-->Импорт и указать путь к ранее созданному файлу настроек. Указанные настройки применятся к серверу, после чего сервер будет перезагружен

Дополнительно администратор может настроить сохранение настроек на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать правило экспорта

В разделе Управление устройством-->Экспорт настроек нажать кнопку Добавить, указать имя и описание правила

Шаг 2. Указать параметры удаленного сервера

Во вкладке правила Удаленный сервер указать параметры удаленного сервера:

  • Тип сервера - FTP или SSH

  • Адрес сервера - IP-адрес сервера

  • Порт - порт сервера

  • Логин - учетная запись на удаленном сервере

  • Пароль/Подтверждение пароля - пароль учетной записи

  • Путь на сервере - путь на сервере, куда будут выгружены настройки

Шаг 3. Выбрать расписание выгрузки

Во вкладке правила Расписание указать необходимое время отправки настроек. В случае задания времени в CRONTAB-формате, задайте его в следующем виде:

(минуты:0-59) (часы:0-23) (дни месяца:0-31) (месяц:0-12) (день недели:0-6, 0-воскресенье)

Каждое из первых пяти полей может быть задано следующим образом:

  • Звездочка (*)- обозначает весь диапазон (от первого до последнего);

  • Дефис (-) - обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7;

  • Списки. Это числа (или диапазоны) разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23";

  • Звездочка и тире используются для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа.

4.3. Кластеризация и отказоустойчивость

UserGate поддерживает 2 типа кластеров:

  1. Кластер конфигурации. Узлы, объединенные в кластер конфигурации, поддерживают единые настройки в рамках кластера.

  1. Кластер отказоустойчивости. До 4-х узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив. Возможно собрать несколько кластеров отказоустойчивости.

4.3.1. Кластер конфигурации

Ряд настроек уникален для каждого из узлов кластера, например, настройка сетевых интерфейсов и IP-адресация. Список уникальных настроек:

Наименование

Описание

Настройки, уникальные для каждого узла

Настройки Log Analyzer Настройки диагностики Настройки интерфейсов Настройки шлюзов Настройки DHCP Маршруты Настройки OSPF Настройки BGP

Для создания кластера конфигурации необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Выполнить первоначальную настройку на первом узле кластера

Смотрите главу Первоначальная настройка.

Шаг 2. Настроить на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера

В разделе Зоны создать выделенную зону для репликации настроек кластера или использовать существующую (Cluster). В настройках зоны разрешить следующие сервисы:

  • Консоль администрирования

  • Кластер

Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к интернету.

Шаг 3. Указать IP-адрес, который будет использоваться для связи с другими узлами кластера

В разделе Управление устройством в окне Кластер конфигурации выбрать текущий узел кластера и нажать на кнопку Редактировать. Указать IP-адрес интерфейса, входящего в зону, настроенную на шаге 2.

Шаг 4. Сгенерировать Секретный код на первом узле кластера

В разделе Управление устройством нажать на кнопку Сгенерировать секретный код. Полученный код скопировать в буфер обмена. Данный секретный код необходим для одноразовой авторизации второго узла при добавлении его в кластер.

Шаг 5. Подключить второй узел в кластер

Подключиться к веб-консоли второго узла кластера, выбрать язык установки.

Указать интерфейс, который будет использован для подключения к первому узлу кластера и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети, например, интерфейсам eth2 обоих узлов назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера.

Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и все настройки первого кластера реплицируются на второй.

Шаг 6. Назначить зоны интерфейсам второго узла

В веб-консоли второго узла кластера в разделе Сеть --> Интерфейсы необходимо назначить каждому интерфейсу корректную зону. Зоны и их настройки получены в результате репликации данных с первого узла кластера.

Шаг 7. Настроить параметры, индивидуальные для каждого узла кластера (опционально)

Настроить шлюзы, маршруты, параметры OSPF, BGP, индивидуальные для каждого из узлов.

До четырех узлов кластера конфигурации можно объединить в отказоустойчивый кластер. Самих кластеров отказоустойчивости может быть несколько, например, в кластер конфигурации добавлены узлы A, B, C и D на основе которых создано 2 кластера отказоустойчивости - A-B и C-D.

Поддерживаются 2 режима кластера отказоустойчивости - Актив-Актив и Актив-Пассив.

4.3.2. Кластер отказоустойчивости Актив-Пассив

В режиме Актив-Пассив один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные - в качестве резервных. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

Примечание

Режим Актив-Пассив поддерживает синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой.

При переходе роли мастер на резервный сервер на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

  • Запасной сервер не получает подтверждения о том, что главный узел находится в сети, например, если он выключен или отсутствует сетевая доступность узлов.

  • На узле настроена проверка доступа в интернет (смотрите раздел Настройка шлюзов), и доступ в интернет отсутствует через все имеющиеся шлюзы.

  • Сбой в работе ПО UserGate.

Отключение одного или нескольких сетевых интерфейсов, на которых назначены виртуальные IP-адреса понижает приоритет узла, но не обязательно приведет к изменению роли сервера. Переход на запасной узел произойдет, если приоритет запасного узла окажется выше, чем мастер-узла. По умолчанию приоритет узла, назначенного мастер-узлом, равен 250, приоритет резервного узла равен 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, у которого отсутствует физическое подключение к сети. Соответственно, для кластера отказоустойчивости, состоящего из двух узлов, при пропадании физического подключения к сети одного интерфейса на мастер-узле, роль мастера переместится на запасной сервер, если на запасном сервере все кластерные интерфейсы подключены к сети (приоритет мастер-сервера будет равен 248, приоритет резервного - 249). При восстановлении физического подключения на первоначальном мастер-узле роль мастера вернется обратно на него, поскольку его приоритет вернется в значение 250.

Отключение одного или нескольких кластерных сетевых интерфейсов на запасном узле, понижает приоритет узла, тем не менее данный запасной узел может стать мастер-узлом при безусловном переходе роли, или в случае, когда приоритет мастер узла станет меньше, чем приоритет данного запасного узла.

Примечание

Если кластерные IP-адреса назначены VLAN-интерфейсам, то отсутствие подключения на физическом интерфейсе будет трактоваться кластером отказоустойчивости как потеря соединения на всех VLAN-интерфейсах, созданных на данном физическом интерфейсе.

Примечание

Для уменьшения времени, требуемого сетевому оборудованию для перевода трафика на запасной узел при переключении, сервера UserGate посылают служебное оповещение GARP (Gratuitous ARP), извещающий сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. Пакет GARP отсылается сервером UserGate каждую минуту и при переезде роли мастера на запасной сервер.

Ниже представлена пример сетевой диаграммы отказоустойчивого кластера в режиме Актив-Пассив. Интерфейсы настроены следующим образом:

  • Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).

  • Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).

  • Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации настроек.

Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий сервер, который станет мастер сервером, например, UG2.

image0

Отказоустойчивый кластер в режиме Актив-Пассив

4.3.3. Кластер отказоустойчивости Актив-Актив

В режиме Актив-Актив один из серверов выступает в роли Мастер-узла, распределяющего трафик на все остальные узлы кластера. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.

Виртуальные IP-адреса всегда находятся на интерфейсах Мастер-узла, поэтому Мастер-узел получает ARP-запросы клиентов и отвечает на них, последовательно отдавая MAC-адреса всех узлов отказоустойчивого кластера, обеспечивая равномерное распределение трафика на все узлы кластера, учитывая при этом необходимость неразрывности пользовательских сессий.

Примечание

Режим Актив-Актив в отличии от режима Актив-Пассив не поддерживает синхронизацию пользовательских сессий.

При переходе роли мастер на резервный сервер на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:

  • Запасной сервер не получает подтверждения о том, что главный узел находится в сети, например, если он выключен или отсутствует сетевая доступность узлов.

  • На узле настроена проверка доступа в интернет (смотрите раздел Настройка шлюзов), и доступ в интернет отсутствует через все имеющиеся шлюзы.

  • Сбой в работе ПО UserGate.

Отключение одного или нескольких сетевых интерфейсов мастер-узла, на которых назначены виртуальные IP-адреса, понижает приоритет узла, но не обязательно приведет к изменению роли сервера. Переход на запасной узел произойдет, если приоритет запасного узла окажется выше, чем мастер-узла. По умолчанию приоритет узла, назначенного мастер-узлом, равен 250, приоритет резервного узла равен 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, у которого отсутствует физическое подключение к сети. Соответственно, для кластера отказоустойчивости, состоящего из двух узлов, при пропадании физического подключения к сети одного интерфейса на мастер-узле, роль мастера переместится на запасной сервер, если на запасном сервере все кластерные интерфейсы подключены к сети (приоритет мастер-сервера будет равен 248, приоритет резервного - 249). При восстановлении физического подключения на первоначальном мастер-узле роль мастера вернется обратно на него, поскольку его приоритет вернется в значение 250.

Отключение одного или нескольких кластерных сетевых интерфейсов на запасном узле, понижает приоритет узла, а также исключает данный узел из балансировки трафика. Тем не менее данный запасной узел может стать мастер-узлом при безусловном переходе роли, или в случае, когда приоритет мастер узла станет меньше, чем приоритет данного запасного узла.

Примечание

Если кластерные IP-адреса назначены VLAN-интерфейсам, то отсутствие подключения на физическом интерфейсе будет трактоваться кластером отказоустойчивости как потеря соединения на всех VLAN-интерфейсах, созданных на данном физическом интерфейсе.

Примечание

Для уменьшения времени, требуемого сетевому оборудованию для перевода трафика на запасной узел при переключении, сервера UserGate посылают служебное оповещение GARP (Gratuitous ARP), извещающий сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. В режиме Актив-Актив пакет GARP отсылается сервером UserGate только при переходе роли мастера на запасной сервер.

Ниже представлен пример сетевой диаграммы отказоустойчивого кластера в режиме Актив-Актив. Интерфейсы настроены следующим образом:

  • Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).

  • Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).

  • Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации настроек.

Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий сервер, который станет мастер сервером, например, UG2.

image1

Отказоустойчивый кластер в режиме Актив-Актив

Примечание

Для корректной обработки трафика необходимо, что бы обратный трафик от сервера к клиенту вернулся через тот же узел UserGate, через который он был инициирован от клиента, то есть, что бы сессия пользователя всегда проходила через один и тот же узел кластера. Самое простое решение данной задачи – это использование NAT из сети клиента в сеть сервера (NAT из Trusted в Untrusted).

Для создания отказоустойчивого кластера необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать кластер конфигурации

Создать кластер конфигурации, как это описано на предыдущем шаге

Шаг 2. Настроить зоны, интерфейсы которых будут участвовать в отказоустойчивом кластере

В разделе Зоны следует разрешить сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес (зоны Trusted и Untrusted на диаграммах выше).

Шаг 3. Создать кластер отказоустойчивости

В разделе Управление устройством --> Кластер отказоустойчивости нажать на кнопку Добавить и указать параметры кластера отказоустойчивости

Шаг 4. Указать виртуальный IP-адрес для хостов auth.captive, logout.captive, block.captive, ftpclient.captive

Если предполагается использовать авторизацию с помощью Captive-портала, то необходимо, чтобы системные имена хостов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, резолвились в IP-адрес, назначенный в качестве кластерного виртуального адреса. Более детально эти параметры описаны в разделе Общие настройки.

Параметры отказоустойчивого кластера:

Наименование

Описание

Вкл

Включение/отключение отказоустойчивого кластера

Название

Название отказоустойчивого кластера

Описание

Описание отказоустойчивого кластера

Режим кластера

Режим отказоустойчивого кластера:

  • Актив-Актив - нагрузка распределяется на все узлы кластера

  • Актив-Пассив - нагрузка идет на Мастер-узел и переключается на запасной узел в случае недоступности Мастер-узла

Синхронизировать сессии

Включает режим синхронизации пользовательских сессий между всеми узлами, входящими в кластер отказоустойчивости. Включение данной опции делает переключение пользователей с одного устройства на другое прозрачным для пользователей, но добавляет существенную нагрузку на платформу UserGate. Имеет смысл только для режима кластера Актив-Пассив

Мультикаст идентификатор кластера

В одном кластере конфигурации может быть создано несколько кластеров отказоустойчивости. Для синхронизации сессий используется определенный мультикастовый адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор

Идентификатор виртуального роутера (VRID)

Идентификатор виртуального роутера должен быть уникален для каждого VRRP-кластера в локальной сети. Если в сети не присутствуют сторонние кластеры VRRP, то рекомендуется оставить значение по умолчанию

Узлы

Выбираются узлы кластера конфигурации для объединения их в кластер отказоустойчивости. Здесь же можно назначить роль Мастер-сервера одному из выбранных узлов

Виртуальные IP-адреса

Назначаются виртуальные IP-адреса и их соответствие интерфейсам узлов кластера

4.4. Управление доступом к консоли UserGate

Доступ к веб-консоли UserGate регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.

Примечание

При первоначальной настройке UserGate создается локальный суперпользователь Admin.

Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать профиль доступа администратора

В разделе Администраторы -->Профили администраторов нажать кнопку Добавить и указать необходимые настройки

Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора

В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:

  • Добавить локального администратора - создать локального пользователя, задать ему пароль доступа и назначить созданный ранее профиль доступа.

  • Добавить пользователя LDAP - добавить пользователя из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.

  • Добавить группу LDAP - добавить группу пользователей из существующего домена. Для этого должен быть корректно настроен LDAP-коннектор в разделе Серверы авторизации. При входе в консоль администрирования необходимо указывать имя пользователя в формате user@domain. Назначить созданный ранее профиль.

При создании профиля доступа администратора необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля

Описание

Описание профиля

Разрешения для API

Список объектов, доступных для делегирования доступа при работе через программный интерфейс (API). Объекты описаны документации API. В качестве доступа можно указать:

  • Нет доступа

  • Чтение

  • Чтение и запись

Разрешения для веб-консоли

Список объектов дерева веб-консоли, доступных для делегирования. В качестве доступа можно указать:

  • Нет доступа

  • Чтение

  • Чтение и запись

Разрешения для CLI

Позволяет разрешить доступ к CLI. В качестве доступа можно указать:

  • Нет доступа

  • Чтение

  • Чтение и запись

Администратор UserGate может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.

Для настройки этих параметров необходимо:

Наименование

Описание

Шаг 1. Настроить политику паролей

В разделе Администраторы -->Администраторы нажать кнопку Настроить

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

  • Сложный пароль - включает дополнительные параметры сложности пароля, задаваемые ниже, такие как - минимальная длина, минимальное число символов в верхнем регистре, минимальное число символов в нижнем регистре, минимальное число цифр, минимальное число специальных символов, максимальная длина блока из одного и того же символа

  • Число неверных попыток аутентификации - количество неудачных попыток аутентификации администратора, после которых учетная запись заблокируется на Время блокировки

  • Время блокировки - время, на которое блокируется учетная запись

Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8001).

Примечание

Не рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети интернет.

Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.

Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.

Для включения данного режима необходимо выполнить следующие действия (в качестве примера используется утилита openssl):

Наименование

Описание

Шаг 1. Создать учетные записи дополнительных администраторов

Произвести настройку, как это описано ранее в этой главе, например, создать учетную запись администратора с именем Administrator54

Шаг 2. Создать или импортировать существующий сертификат типа УЦ авторизации веб-консоли

Создать или импортировать существующий сертификат удостоверяющего центра (достаточно только публичного ключа) в соответствии с главой Управление сертификатами.

Например, для создания УЦ с помощью утилиты openssl требуется выполнить команды:
openssl req -x509 -subj '/C=RU/ST=Moscow/O= MyCompany /CN=ca.mycompany.com' -newkey rsa:2048 -keyout ca-key.pem -out ca.pem -nodes
openssl rsa -in ca-key.pem -out ca-key.pem

В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem - публичный ключ. Импортировать публичный ключ в UserGate.

Шаг 3. Создать сертификаты для учетных записей администраторов

С помощью средств сторонних утилит (например, openssl) создать сертификаты для каждого из администраторов. Необходимо, чтобы поле сертификата Common name в точности совпадало с именем учетной записи администратора, как она была создана в UserGate.

Для openssl и пользователя Administrator54 команды будут следующими:
openssl req -subj '/C=RU/ST=Moscow/O= MyCompany /CN=Administrator54' -out admin.csr -newkey rsa:2048 -keyout admin-key.pem -nodes

Шаг 4. Подписать сертификаты администраторов, созданным на шаге 2 сертификатом удостоверяющего центра

С помощью средств сторонних утилит (например, openssl) подписать сертификаты администраторов сертификатом удостоверяющего центра веб-консоли

Для openssl команды будут следующими:
openssl x509 -req -days 9999 -CA ca.pem -CAkey ca-key.pem -set_serial 1 -in admin.csr -out admin.pem
openssl pkcs12 -export -in admin.pem -inkey admin-key.pem -out admin.p12 -name 'Administrator54 client certificate'

Файл admin.p12 содержит подписанный сертификат администратора

Шаг 5. Добавить подписанные сертификаты в ОС, с которой администраторы будут авторизоваться в веб-консоль

Добавить подписанные сертификаты администраторов (admin.p12 в нашем примере) в ОС (или в браузер Firefox, если он используется для доступа к консоли), с которой администраторы будут авторизоваться в веб-консоль. Более подробно смотрите руководство по используемой вами ОС

Шаг 6. Переключите режим авторизации веб-консоли в авторизацию по сертификатам x.509

В разделе Настройки поменяйте Режим авторизации веб-консоли на По X.509 сертификату.

Примечание

Переключить режим авторизации веб-консоли можно с помощью команд CLI.

В разделе Администраторы --> Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования UserGate. При необходимости любую из сессий администраторов можно сбросить (закрыть).

4.5. Управление сертификатами

UserGate использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.

Для выполнения данных функций UserGate использует различные типы сертификатов:

Наименование

Описание

SSL веб-консоли

Используется для создания безопасного HTTPS-подключения администратора к веб-консоли UserGate

SSL Captive-портала

Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации Captive-портала, для отображения страницы блокировки, для отображения страницы Logout Captive-портала и для работы ftp-прокси. Этот сертификат должен быть выпущен со следующими параметрами:

  • Subject name - значение установленное для домена Домен Auth captive-портала, определенного на странице Настройки

  • Alternative names - необходимо указать все домены, для которых используется данный сертификат, как они заданы на странице Настройки:
    - домен Auth сaptive-портала
    - домен Logout сaptive-портала
    - домен страницы блокировки
    - домен FTP поверх HTTP
    - домен для веб-портала указанный в настройках веб-портала
По умолчанию используется подписанный с помощью сертификата инспектирование SSL сертификат, выпущенный для домена auth.captive, со следующими параметрами:
- Subject name = auth.captive
-Alternative names = auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive

Если администратор не загрузил свой собственный сертификат для обслуживания этой роли, то UserGate самостоятельно в автоматическом режиме перевыпускает данный сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive)

SSL инспектирование

Сертификат класса удостоверяющего центра. Он используется для генерации SSL-сертификатов для интернет-хостов, для которых производится перехват HTTPS, SMTPS, POP3S трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный
Subject name = yahoo.com
Issuer name = VeriSign Class 3 Secure Server CA - G3,
подменяется на
Subject name = yahoo.com
Issuer name = компания, как она указана в сертификате центра сертификации, заведенного в UserGate.

Данный сертификат также используется для создания сертификата по умолчанию для роли SSL Captive-портала

SSL инспектирование (промежуточный)

Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата

SSL инспектирование (корневой)

Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата

Пользовательский сертификат

Сертификат, который назначается пользователю UserGate. Пользователь может быть, как заведен локально, так и получен из LDAP. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси

УЦ авторизации веб-консоли

Удостоверяющий центр авторизации администраторов для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа

SAML server

Используется для работы UserGate с сервером SSO SAML IDP. Подробно о настройке работы UserGate с сервером авторизации SAML IDP смотрите в соответствующем разделе руководства

Веб-портал

Сертификат, используемый для веб-портала. Если данный сертификат не указан явно, то UserGate использует сертификат SSL Captive-портала, выпущенный сертификатом для инспектирования SSL. Подробно о настройке веб-портала смотрите в соответствующем разделе руководства

Сертификатов для SSL веб-консоли, SSL Captive-портала и сертификатов SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ авторизации веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.

Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать сертификат

Нажать на кнопку Создать в разделе Сертификаты

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

  • Название - название сертификата, под которым он будет отображен в списке сертификатов

  • Описание - описание сертификата

  • Страна - страна, в которой выписывается сертификат

  • Область или штат - область или штат, в котором выписывается сертификат

  • Город - город, в котором выписывается сертификат

  • Название организации - название организации, для которой выписывается сертификат

  • Common name - имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров

  • E-email - e-email вашей компании

Шаг 3. Указать, для чего будет использован данный сертификат

После создания сертификата необходимо указать его роль в UserGate. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, инспектирование SSL, УЦ авторизации веб-консоли). В случае, если вы выбрали SSL веб-консоли, UserGate перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат инспектирования SSL начинает работать немедленно после того, как его выбрали. Более детально о инспектировании HTTPS смотрите в главе Инспектирование SSL.

UserGate позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.

Для экспорта сертификата необходимо:

Наименование

Описание

Шаг 1. Выбрать сертификат для экспорта

Выделить необходимый сертификат в списке сертификатов .

Шаг 2. Экспортировать сертификат

Выбрать тип экспорта:

  • Экспорт сертификата - экспортирует данные сертификата в der-формате без экспортирования приватного ключа сертификата. Используйте файл, полученный в результате экспорта сертификата для инспектирования SSL, для установки его в качестве локального удостоверяющего центра на компьютеры пользователей. Подробнее об этом читайте в приложении №1 Приложение 1. Установка сертификата локального удостоверяющего центра.

  • Экспорт CSR - экспортирует CSR сертификата, например, для подписи его удостоверяющим центром.

Примечание

Рекомендуется сохранять сертификат для возможности его последующего восстановления.

Примечание

В целях безопасности UserGate не разрешает экспорт приватных ключей сертификатов.

Примечание

Пользователи могут скачать себе для установки сертификат инспектирования SSL с UserGate по прямой ссылке: http:// UserGate_IP:8002/cps/ca

Для импорта сертификата необходимо иметь файлы сертификата и - опционально - приватного ключа сертификата и выполнить следующие действия:

Наименование

Описание

Шаг 1. Начать импорт

Нажать на кнопку Импорт

Шаг 2. Заполнить необходимые поля

Указать значения следующих полей:

  • Название - название сертификата, под которым он будет отображен в списке сертификатов.

  • Описание - описание сертификата.

  • Загрузите файл, содержащий данные сертификата.

  • Загрузите файл, содержащий приватный ключ сертификата.

  • Пароль для приватного ключа, если таковой требуется.

  • Цепочка сертификатов – файл, содержащий сертификаты вышестоящих центров сертификации, которые участвовали в создании сертификата. Необязательное поле.

4.5.1. Использование корпоративного УЦ для создания сертификата инспектирования SSL

Если в компании уже существует внутренний УЦ или цепочка удостоверяющих центров, то можно указать в качестве сертификата для инспектирования SSL сертификат, созданный внутренним УЦ. В случае, если внутренний УЦ является доверяемым для всех пользователей компании, то перехват SSL будет происходить незаметно, пользователи не будут получать предупреждение о подмене сертификата.

Рассмотрим более подробно процедуру настройки UserGate. Допустим, что в организации используется внутренний УЦ на базе Microsoft Enterprise CA, интегрированный в Active Directory. Структура УЦ следующая:

image2

Рисунок 3 Пример структуры корпоративного УЦ

Необходимо выписать с помощью Sub CA2 сертификат для UserGate и настроить его в качестве сертификата для инспектирования SSL. Необходимо выписать сертификат UserGate SSL decrypt в качестве удостоверяющего центра.

Примечание

UserGate не поддерживает алгоритм подписи rsassaPss. Необходимо, чтобы вся цепочка сертификатов, которая используется для выписывания сертификата для инспектирования SSL, не содержала данного алгоритма подписи.

Для выполнения этой задачи следует выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать CSR-запрос на создание сертификата в UserGate

Нажать на кнопку Создать-->Новый CSR. Заполнить необходимые поля и создать CSR. Будет создан приватный ключ и файл запроса. С помощью кнопки Экспорт скачать файл запроса

Шаг 2. Создать сертификат на основе подготовленного CSR

В Microsoft CA создать сертификат на основе полученного на предыдущем шаге CSR-файла с помощью утилиты certreq: certreq.exe -submit -attrib "CertificateTemplate:SubCA" HTTPS_csr.pem или с помощью веб-консоли Microsoft CA, указав в качестве шаблона «Подчиненный центр сертификации». Обратитесь к документации Microsoft за более подробной информацией. По окончании процедуры вы получите сертификат (публичный ключ), подписанный УЦ Sub CA2

Шаг 3. Скачать полученный сертификат

Из веб-консоли Microsoft CA скачать созданный сертификат (публичный ключ)

Шаг 4. Загрузить сертификат в созданный ранее CSR

В UserGate выбрать созданный ранее CSR и нажать кнопку Редактировать. Загрузить файл сертификата и нажать Сохранить

Шаг 5. Указать тип сертификата – инспектирование SSL

В UserGate выбрать созданный ранее CSR и нажать кнопку Редактировать. Указать в поле Используется - SSL инспектирование

Шаг 6. Скачать сертификаты для промежуточных УЦ (Sub CA1 и Sub CA2)

В веб-консоли Microsoft CA выбрать и скачать сертификаты (публичные ключи) для УЦ Sub CA1 и Sub CA2

Шаг 7. Загрузить сертификаты Sub CA1 и Sub CA2 в UserGate

С помощью кнопки Импорт загрузить скачанные на предыдущем шаге сертификаты для Sub CA1 и Sub CA2

Шаг 8. Установить тип - инспектирование SSL (промежуточный) для сертификатов Sub CA1 и Sub CA2

В UserGate выбрать загруженные сертификаты и нажать кнопку Редактировать. Указать в поле Используется - Инспектирование SSL (промежуточный) для обоих сертификатов

Шаг 9. Загрузить сертификат Root CA в UserGate (опционально)

С помощью кнопки Импорт загрузить корневой сертификат организации в UserGate. С помощью кнопки Редактировать указать в поле Используется - Инспектирование SSL (корневой)

4.6. Интерфейс командной строки (CLI)

UserGate позволяет создавать базовые настройки устройства с помощью интерфейса командной строки, или CLI (command line interface). С помощью CLI администратор может выполнить ряд диагностирующих команд, таких, как ping, nslookup, traceroute, осуществить настройку сетевых интерфейсов и зон, а также перезагрузить или выключить устройство.

CLI полезно использовать для диагностики сетевых проблем или в случае, когда доступ к веб-консоли утерян, например, некорректно указан IP-адрес интерфейса или ошибочно установлены параметры контроля доступа для зоны, запрещающие подключение к веб-интерфейсу.

Подключение к CLI можно выполнить через стандартные порты VGA/клавиатуры (при наличии таких портов на оборудовании UserGate), через последовательный порт или с помощью SSH по сети.

Для подключения к CLI с использованием монитора и клавиатуры необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Подключить монитор и клавиатуру к UserGate

Подключить монитор к разъему VGA(HDMI), клавиатуру к разъему USB

Шаг 2. Войти в CLI

Войти в CLI, используя имя и пароль пользователя с правами Full administrator (по умолчанию Admin). Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm

Для подключения к CLI с использованием последовательного порта необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Подключиться к UserGate

Используя специальный кабель для последовательного порта или переходник USB-Serial, подключить свой компьютер к UserGate

Шаг 2. Запустить терминал

Запустить терминал, позволяющий подключение через последовательный порт, например, Putty для Windows или minicom для Linux. Установить подключение через последовательный порт, указав параметры подключения 115200 8n1

Шаг 3. Войти в CLI

Войти в CLI, используя имя и пароль пользователя с правами Full administrator (по умолчанию Admin). Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm

Для подключения к CLI по сети с использованием протокола SSH необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Разрешить доступ к CLI (SSH) для выбранной зоны

Разрешить доступ для протокола CLI по SSH в настройках зоны, к которой вы собираетесь подключаться для управления с помощью CLI. Будет открыт порт TCP 2200

Шаг 2. Запустить SSH-терминал

Запустить у себя на компьютере SSH-терминал, например, SSH для Linux или Putty для Windows. Указать в качестве адреса адрес UserGate, в качестве порта подключения - 2200, в качестве имени пользователя - имя пользователя с правами Full administrator (по умолчанию Admin). Для Linux команда на подключение должна выглядеть так:

ssh Admin@IP UserGate -p 2200

Шаг 3. Войти в CLI

Войти в CLI, используя пароль пользователя, указанного на предыдущем шаге. Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm

После успешного входа в CLI можно посмотреть список возможных команд с помощью команды help. Для подробного описания любой команды необходимо использовать синтаксис
**help command **Например, для получения подробной справки по использованию команды настройки сетевого интерфейса iface необходимо выполнить
help Iface

Полный список команд:

Наименование

Описание

help

Показывает список доступных команд.

exit quit Ctrl+D

Выйти из CLI.

cache ldap-clear

Очистка кэша LDAP-записей.

code-change-control

Набор команд для просмотра и настройки параметров защиты исполняемого кода продукта от потенциального несанкционированного изменения. Проверка целостности исполняемого кода происходит каждый раз после загрузки UserGate.

code-change-control show - показывает текущий режим работы. По умолчанию отслеживание несанкционированных изменений исполняемого кода отключено.

code-change-control set log - активирует режим отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.

code-change-control set block - активирует режим отслеживания несанкционированных изменений исполняемого кода. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate. Для возможности отключения созданного правила межсетевого экрана необходимо отключить отслеживание несанкционированных изменений.

code-change-control set off - отключает режим отслеживания несанкционированных изменений исполняемого кода. Требует указания пароля, который был задан при активации режима отслеживания исполняемого кода.

config-change-control

Набор команд для просмотра и настройки параметров защиты конфигурации (настроек) продукта от изменения. Перед активацией защиты конфигурации администратор производит настройку продукта в соответствии с требованиями организации, после чего "замораживает" настройки (режим log или block). Любое изменение настроек через веб-интерфейс, CLI или другими способами будет приводить к журналированию и/или блокировке транзитного трафика, в зависимости от выбранного режима.

Проверка целостности конфигурации происходит каждые несколько минут после загрузки UserGate.

config-change-control show - показывает текущий режим работы. По умолчанию отслеживание изменений конфигурации отключено.

config-change-control set log - активирует режим отслеживания изменений конфигурации. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания.

config-change-control set block - активирует режим отслеживания изменений конфигурации. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate. Для отключения созданного правила межсетевого экрана необходимо сбросить состояние блокировки с помощью следующей команды:

config-change-control set off - отключает режим отслеживания изменений конфигурации. Требует указания пароля, который был задан при активации режима отслеживания конфигурации.

date

Посмотреть текущее время на сервере.

device

Набор команд для изменения параметров устройства.

device config -list - показывает список доступных опций для настройки.

device config -get - посмотреть текущее значение параметра.
device config -set - изменить значение параметра.

Список доступных параметров:

module_l7_enabled - включение/отключение загрузки модуля L7. По умолчанию модуль загружен.
module_idps_enabled - включение/отключение загрузки модуля idps. По умолчанию модуль загружен.
module_h323_enabled - включение/отключение загрузки модуля h323. По умолчанию модуль выгружен.
module_sip_enabled - включение/отключение загрузки модуля sip. По умолчанию модуль выгружен.

module_sunrpc_enabled - включение/отключение загрузки модуля sunrpc. По умолчанию модуль выгружен.

module_ftp_alg_enabled - включение/отключение загрузки модуля ftp. По умолчанию модуль выгружен.

ha_checker_ping - включение дополнительной проверки состояния кластера отказоустойчивости. Узел будет переведен в состояние Slave если ping до указанного в команде хоста будет не успешен. Для включения проверки необходимо использовать синтаксис:
device config -set ha_checker_ping true;ip
для отключения проверки
device config -set ha_checker_ping false
ha_checker_master - включение дополнительной проверки состояния кластера отказоустойчивости. Узел будет переведен в состояние Slave, если запрос XMLRPC до указанного в команде сервера UserGate будет не успешен. Запрос успешен только в том случае, если сервер UserGate доступен и является Master-сервером кластере. Как правило такая проверка необходима для синхронизации состояний серверов в двух различных кластерах.
Для включения проверки необходимо использовать синтаксис:

device config - set ha_ checker_ master true; i p

для отключения проверки

device config -set ha_checker_master false

На сервере UserGate, куда посылается проверочный запрос, должен быть разрешен сервис XMLRPC на зоне, на интерфейсы которой приходит данный запрос.

ha_auth_type - включение подписи IPsec Authentication Header для служебных пакетов VRRP в кластере отказоустойчивости. Для включения подписи необходимо использовать команду:
device config -set ha_auth_type ah
для отключения проверки
device config -set ha_auth_type pass

gateway

Посмотреть или задать значения шлюза. Смотрите gateway help для детальной информации.

iface

Набор команд для просмотра и настройки параметров сетевого интерфейса. Смотрите iface help для детальной информации.

license

Посмотреть информацию о лицензии.

netcheck

Проверить доступность стороннего HTTP/HTTPS-сервера.

netcheck [-t TIMEOUT] [-d] URL

Опции:

-t – максимальный таймаут ожидания ответа от веб-сервера

-d – запросить содержание сайта. По умолчанию запрашиваются только заголовки.

node

Набор команд для просмотра и настройки узлов кластера. Смотрите node help для детальной информации.

nslookup

Выполнить определение IP-адреса по имени хоста.

ping

Выполнить ping определенного хоста.

proxy

Набор команд для просмотра и настройки параметров прокси-сервера. Позволяет настроить такие параметры, как добавление заголовков HTTP - via и forwarded, а также настройки таймаутов на подключение к сайтам и на загрузку контента:

  • add_via_enabled – добавлять http заголовок via. По умолчанию отключено.

  • add_forwarded_enabled – добавлять http заголовок forwarded. По умолчанию отключено.

  • http_connection_timeout – время ожидания, выделяемое на подключение http. По умолчанию - 20 секунд.

  • http_loading_timeout – время ожидания, выделяемое на загрузку контента http. По умолчанию - 60 секунд.

  • proxy_host_rfc - разрешить использование протокола HTTP PROXY 1.1 без указания параметра host. Данный режим противоречит RFC, но необходим для совместимости с некоторыми программами. По умолчанию установлено значение strict (соблюдать RFC).

  • fmode_enabled (boolean) - включает режим ускорения загрузки контента. Может быть несовместим с работой некоторых сайтов. По умолчанию отключен.

  • icap_wait_timeout - время в секундах, которое сервер UserGate ждет ответа от ICAP-сервера. Если ответ сервера не был получен в заданный промежуток времени, то в случае, если действие правила Переслать и игнорировать, UserGate отправит данные пользователю без модификации, если же действие правила Переслать, UserGate не отдаст данные пользователю. Значение по умолчанию - 10 секунд.

  • smode_enabled (boolean) – включает режим SYN Proxy. По умолчанию отключен.

  • legacy_ssl_enabled (boolean) – отключает поддержку дешифрования протокола SSL TLSv1.3. При включении данного режима UserGate поддерживает работу протоколов TLSv1.0-TLSv1.2. Если режим отключен, то поддерживается работа только TLSv1.0-TLSv1.3. По умолчанию отключен.

Рекомендуется не изменять значения по умолчанию. Смотрите proxy help для детальной информации.

radmin

Включить или отключить удаленный доступ к серверу для технической поддержки UserGate.

radmin_e

Включить или отключить удаленный доступ к серверу для технической поддержки UserGate, в случаях, когда сервер UserGate завис.

В случаях, когда произошла проблема с ядром UserGate, может пропасть возможность авторизации в CLI. Для активации удаленного помощника в таких случаях администратор может зайти в CLI под учетной записью корневого администратора, которая была создана при инициализации UserGate. Обычно это учетная запись Admin, хотя может быть и другой. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля - пароль корневого администратора.

reboot

Перезагрузить сервер UserGate.

route

Создать, изменить, удалить маршрут.

shutdown

Выключить сервер UserGate.

telemetry

Набор команд для просмотра и настройки режима работы телеметрии. Телеметрия позволяет отправлять разработчику анонимную статистику, такую как, популярность веб-сайтов, веб-сайты с неизвестной категорией, вирусные атаки, события СОВ, активность малваре. Данные телеметрии имеют вид обезличенных данных и не содержат персональную информацию. Отправка телеметрии активирована по умолчанию.

telemetry show – показать текущий режим

telemetry set -enabled true – активировать телеметрию

telemetry set -enabled false – отключить отсылку телеметрической информации.

traceroute

Выполнить трассировку соединения до определенного хоста.

usersession

Команда для сброса авторизации указанного пользователя.

usersession terminate -ipv4 IP_ADDRESS – сбрасывает авторизацию для указанного IP_ADDRESS.

webaccess

Набор команд для просмотра режима авторизации веб-консоли. Позволяет вернуть режим По имени и паролю при невозможности авторизоваться с помощью сертификатов.

zone

Набор команд для просмотра и настройки параметров зоны. Смотрите zone help для детальной информации.

4.7. Системные утилиты

Системные утилиты доступны администратору во время загрузки сервера UserGate через меню загрузки (boot menu). Для получения доступа к этому меню необходимо подключить монитор к разъему VGA(HDMI), клавиатуру к разъему USB (при наличии соответствующих разъемов на устройстве) или используя специальный кабель для последовательного порта или переходник USB-Serial, подключить свой компьютер к UserGate. Запустить терминал, позволяющий подключение через последовательный порт, например, Putty для Windows. Установить подключение через последовательный порт, указав параметры подключения 115200 8n1.

Во время загрузки администратор может выбрать один из нескольких пунктов загрузки в boot-меню:

Наименование

Описание

1. UserGate (serial console)

Загрузка UserGate с выводом диагностической информации о загрузке в последовательный порт.

2. UserGate (verbouse mode)

Загрузка UserGate с выводом диагностической информации о загрузке в консоль tty1 (монитор).

3. Support menu

Войти в раздел системных утилит с выводом информации в консоль tty1 (монитор).

4. Support menu (serial console)

Войти в раздел системных утилит с выводом информации в последовательный порт. При подключении через последовательный порт загрузочное меню не отображается. Для выбора раздела Support menu необходимо во время загрузки нажимать клавишу “4“. Для выбора одного из пунктов меню в разделе Support menu необходимо нажать клавишу, соответствующую первой букве названия пункта меню, например, для выбора Restore backup, необходимо нажать клавишу “R”, затем клавишу “Ввод”.

5. Memory test

Запуск проверки оперативной памяти устройства.

Раздел системных утилит (Support menu) позволяет выполнить следующие действия:

Наименование

Описание

Check filesystems

Запуск проверки файловой системы устройства на наличие ошибок и их автоматическое исправление.

Clear logs

Очистка диагностических журналов для освобождения пространства на системном разделе. Журналы UserGate не очищаются (журналы веб-доступа, трафика, событий, СОВ и т.п.).

Export logs

Выгрузка диагностических журналов на внешний USB носитель. Все данные на внешнем носителе будут удалены.

Expand log partition

Увеличение раздела для журналов на весь выделенный диск. Эта операция обычно используется после увеличения дискового пространства, выделенного гипервизором для виртуальной машины UserGate. Данные и настройки UserGate не сбрасываются.

Backup full

Создать полную копию диска UserGate на внешний USB носитель. Все данные на внешнем носителе будут удалены.

Backup system only

Создать копию системного раздела UserGate, исключая журналы (журналы веб-доступа, трафика, событий, СОВ и т.п.) на внешний USB носитель. Все данные на внешнем носителе будут удалены.

Restore from backup

Восстановление UserGate с внешнего USB носителя.

Update from USB

Установка обновления ПО UserGate c внешнего USB носителя. Обновление должно быть скопировано в корень съемного диска, диск должен иметь формат NTFS или FAT32.

Refresh NIC names

Упорядочивание имен сетевых портов в необходимом порядке. Упорядочивание производится в соответствии с номером порта на шине PCI. Эту операцию необходимо выполнять после добавления сетевых портов в настроенный аплаенс UserGate, например, после установки дополнительной сетевой карты в физический аплаенс или после добавления портов в виртуальный аплаенс. Данные и настройки UserGate не сбрасываются.

Factory reset

Сброс состояния UserGate к первоначальному состоянию системы. Все данные и настройки будут утеряны.

Exit

Выход и перезагрузка устройства.

5. Настройка сети

В данном разделе описаны основные сетевые настройки UserGate.

5.1. Настройка зон

Зона в UserGate - это логическое объединение сетевых интерфейсов. Политики безопасности UserGate используют зоны интерфейсов, а не непосредственно интерфейсы. Это дает необходимую гибкость политикам безопасности, а также существенно упрощает управление отказоустойчивым кластером. Зоны одинаковы на всех узлах кластера, то есть данная настройка является глобальной для кластера.

Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например, зона LAN-интерфейсов, зона интернет-интерфейсов, зона интерфейсов, подключенных к сети партнера и т.п.

По умолчанию UserGate поставляется со следующими зонами:

Наименование

Описание

Management

Зона для подключения доверенных сетей, из которых разрешено управление UserGate

Trusted

Зона для подключения доверенных сетей, например, LAN-сетей

Untrusted

Зона для интерфейсов, подключенных к недоверенным сетям, например, к интернету

DMZ

Зона для интерфейсов, подключенных к сети DMZ

Cluster

Зона для интерфейсов, используемых для работы кластера

VPN for Site-to-Site

Зона, в которую помещаются все клиенты типа Офис-Офис, подключаемые к UserGate по VPN

VPN for remote access

Зона, в которую помещаются все мобильные пользователи, подключаемые к UserGate по VPN

Администраторы UserGate могут изменять настройки зон, созданных по умолчанию, а также создавать дополнительные зоны.

Примечание

Можно создать не более 255 зон.

Для создания зоны необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать зону

Нажать на кнопку Добавить и дать название зоне

Шаг 2. Настроить параметры защиты зоны от DoS (опционально)

Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:

  • Агрегировать - если установлено, то считаются все пакеты, входящие в интерфейсы данной зоны. Если не установлено, то считаются пакеты отдельно для каждого IP-адреса.

  • Порог уведомления - при превышении количества запросов над указанным значением происходит запись события в системный журнал.

  • Порог отбрасывания пакетов - при превышении количества запросов над указанным значением UserGate начинает отбрасывать пакеты и записывает данное событие в системный журнал.

Рекомендованные значения для порога уведомления - 300 запросов в секунду, для порога отбрасывания пакетов - 600 запросов в секунду. Рекомендуется включать защиту от флуда на всех интерфейсах, за исключением интерфейсов зоны Cluster.

Необходимо увеличить пороговое значение отбрасывания пакетов для протокола UDP, если через интерфейсы зоны проходит трафик таких сервисов, как IP-телефония или L2TP VPN.

Исключения защиты от DoS - позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для сервиса IP-телефонии, так как он шлет большое количество UDP-пакетов.

Важно! UserGate позволят произвести более гранулированную защиту от DoS атак. Для получения дополнительной информации обратитесь в раздел Защита от DoS атак.

Шаг 3. Настроить параметры контроля доступа зоны (опционально)

Указать предоставляемые UserGate сервисы, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все сервисы.

Сервисы:

  • Ping - позволяет пинговать UserGate.

  • SNMP - доступ к UserGate по протоколу SNMP (UDP 161).

  • Captive-портал и страница блокировки - необходимы для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002).

  • XML-RPC для управления - позволяет управлять продуктом по API (TCP 4040).

  • Кластер - сервис, необходимый для объединения нескольких узлов UserGate в кластер (TCP 4369, TCP 9000-9100).

  • VRRP - сервис, необходимый для объединения нескольких узлов UserGate в отказоустойчивый кластер (IP протокол 112).

  • Консоль администрирования - доступ к веб-консоли управления (TCP 8001).

  • DNS - доступ к сервису DNS-прокси (TCP 53, UDP 53).

  • HTTP(S)-прокси - доступ к сервису HTTP(S)-прокси (TCP 8090).

  • Агент авторизации - доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).

  • SMTP(S)-прокси - сервис фильтрации SMTP-трафика от спама и вирусов. Необходим только при публикации почтового сервера в интернет. Более подробно смотрите раздел Защита почтового трафика.

  • POP3(S)-прокси - сервис фильтрации POP3-трафика от спама и вирусов. Необходим только при публикации почтового сервера в интернет. Более подробно смотрите раздел Защита почтового трафика.

  • CLI по SSH - доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.

  • VPN - доступ к серверу для подключения к нему клиентов L2TP VPN (UDP 500, 4500).

  • SCADA - сервис фильтрации АСУ ТП-трафика. Необходим только при контроле АСУ ТП-трафика. Более подробно смотрите раздел Правила АСУ ТП.

  • Reverse-прокси – сервис, необходимый для публикации внутренних ресурсов с помощью Reverse-прокси. Более подробно смотрите раздел Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси.

  • Web-портал– сервис, необходимый для публикации внутренних ресурсов с помощью SSL VPN. Более подробно смотрите раздел Веб-портал.

  • Log analyzer – сервис анализатора журналов Log analyzer. Необходимо включить его, если планируется использовать данный сервер UserGate в качестве Log analyzer.

  • OSPF – сервис динамической маршрутизации OSPF. Более подробно смотрите раздел OSPF.

  • BGP– сервис динамической маршрутизации BGP. Более подробно смотрите раздел BGP.

  • NTP service - разрешает доступ к сервису точного времени, запущенному на сервере UserGate.

Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально)

Атаки на основе IP-спуфинга позволяют передать пакет из внешней сети, например, из Untrusted, во внутреннюю, например, в Trusted. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес внутренней сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес.

Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников отличных от указанных будут отброшены.

С помощью галочки Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, для зоны Untrusted можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0./16 и включить опцию Инвертировать.

5.2. Настройка интерфейсов

Раздел Интерфейсы отображает все физические и виртуальные интерфейсы, имеющиеся в системе, позволяет менять их настройки и добавлять VLAN-интерфейсы. Раздел отображает все интерфейсы каждого узла кластера. Настройки интерфейсов специфичны для каждого из узлов, то есть не глобальны.

Кнопка Редактировать позволяет изменять параметры сетевого интерфейса:

  • Включить или отключить интерфейс.

  • Указать тип интерфейса - Layer 3 или Mirror. Интерфейсу, работающему в режиме Layer 3, можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса. Интерфейс, работающий в режиме Mirror, может получать трафик со SPAN-порта сетевого оборудования для его анализа.

  • Назначить зону интерфейсу.

  • Назначить профиль Netflow для отправки статистических данных на Netflow коллектор.

  • Изменить физические параметры интерфейса - MAC-адрес и размер MTU.

  • Выбрать тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.

  • Настроить работу DHCP-релея на выбранном интерфейсе. Для этого необходимо включить DHCP-релей, указать в поле Адрес UserGate IP-адрес интерфейса, на котором добавляется функция релея, и указать один или несколько серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов.

Кнопка Добавить позволяет добавить следующие типы логических интерфейсов:

  • VLAN.

  • Бонд.

  • Мост.

  • PPPoE.

  • VPN.

  • Tunnel.

5.2.1. Создание интерфейса VLAN

С помощью кнопки Добавить VLAN администратор может создавать сабинтерфейсы. При создании VLAN необходимо указать следующие параметры:

Наименование

Описание

Вкл

Включает VLAN

Название

Название VLAN. Название присваивается автоматически на основе имени физического порта и тега VLAN.

Описание

Опциональное описание интерфейса.

Тип интерфейса

Указать тип интерфейса - Layer 3 или Mirror. Интерфейсу, работающему в режиме Layer 3, можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса. Интерфейс, работающий в режиме Mirror, может получать трафик со SPAN-порта сетевого оборудования для его анализа.

Тег VLAN

Номер сабинтерфейса. Допускается создание до 4094 интерфейсов.

Имя узла

Имя узла в кластере, на котором создается данный VLAN.

Интерфейс

Физический интерфейсов, на котором создается VLAN.

Зона

Зона, к которой принадлежит VLAN.

Профиль Netflow

Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow.

Сеть

Способ присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP

DHCP-релей

Настройка работы DHCP-релея на бонд-интерфейсе. Необходимо включить DHCP-релей, указать в поле Адрес UserGate IP-адрес интерфейса, на котором добавляется функция релея, и указать один или несколько серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов

5.2.2. Объединение интерфейсов в бонд

С помощью кнопки Добавить бонд-интерфейс администратор может объединить несколько физических интерфейсов в один логический агрегированный интерфейс для повышения пропускной способности или для отказоустойчивости канала. При создании бонда необходимо указать следующие параметры:

Наименование

Описание

Вкл

Включает бонд

Название

Название бонда

Имя узла

Узел кластера UserGate, на котором будет создан бонд

Зона

Зона, к которой принадлежит бонд

Профиль Netflow

Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow.

Интерфейсы

Один или более интерфейсов, которые будут использованы для построения бонда

Режим

Режим работы бонда должен совпадать с режимом работы на том устройстве, куда подключается бонд. Может быть:

  • Round robin. Пакеты отправляются последовательно, начиная с первого доступного интерфейса и заканчивая последним. Эта политика применяется для балансировки нагрузки и отказоустойчивости

  • Active backup. Только один сетевой интерфейс из объединенных будет активным. Другой интерфейс может стать активным только в том случае, когда упадет текущий активный интерфейс. При такой политике MAC-адрес бонд-интерфейса виден снаружи только через один сетевой порт, во избежание появления проблем с коммутатором. Эта политика применяется для отказоустойчивости

  • XOR. Передача распределяется между сетевыми картами используя формулу: [(«MAC-адрес источника» XOR «MAC-адрес назначения») по модулю «число интерфейсов»]. Получается, одна и та же сетевая карта передает пакеты одним и тем же получателям. Опционально распределение передачи может быть основано и на политике «xmit_hash». Политика XOR применяется для балансировки нагрузки и отказоустойчивости

  • Broadcast. Передает все на все сетевые интерфейсы. Эта политика применяется для отказоустойчивости

  • IEEE 802.3ad - режим работы, установленный по умолчанию, поддерживается большинством сетевых коммутаторов. Создаются агрегированные группы сетевых карт с одинаковой скоростью и дуплексом. При таком объединении передача задействует все каналы в активной агрегации согласно стандарту IEEE 802.3ad. Выбор, через какой интерфейс отправлять пакет, определяется политикой; по умолчанию используется XOR-политика, можно также использовать «xmit_hash» политику

  • Adaptive transmit load balancing. Исходящий трафик распределяется в зависимости от загруженности каждой сетевой карты (определяется скоростью загрузки). Не требует дополнительной настройки на коммутаторе. Входящий трафик приходит на текущую сетевую карту. Если она выходит из строя, то другая сетевая карта берет себе MAC-адрес вышедшей из строя карты

  • Adaptive load balancing. Включает в себя предыдущую политику плюс осуществляет балансировку входящего трафика. Не требует дополнительной настройки на коммутаторе. Балансировка входящего трафика достигается путем ARP-переговоров. Драйвер перехватывает ARP-ответы, отправляемые с локальных сетевых карт наружу, и переписывает MAC-адрес источника на один из уникальных MAC-адресов сетевой карты, участвующей в объединении. Таким образом, различные пиры используют различные MAC-адреса сервера. Балансировка входящего трафика распределяется последовательно (round-robin) между интерфейсами

MII monitoring period (мсек)

Устанавливает периодичность MII-мониторинга в миллисекундах. Определяет, как часто будет проверяться состояние линии на наличие отказов. Значение по умолчанию - 0 - отключает MII-мониторинг

Down delay (мсек)

Определяет время (в миллисекундах) задержки перед отключением интерфейса, если произошел сбой соединения. Эта опция действительна только для мониторинга MII (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0

Up delay (мсек)

Задает время задержки в миллисекундах, перед тем как поднять канал при обнаружении его восстановления. Этот параметр возможен только при MII-мониторинге (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0

LACP rate

Определяет, с каким интервалом будут передаваться партнером LACPDU-пакеты в режиме 802.3ad. Возможные значения:

  • Slow - запрос партнера на передачу LACPDU-пакетов каждые 30 секунд

  • Fast - запрос партнера на передачу LACPDU-пакетов каждую 1 секунду

Failover MAC

Определяет, как будут прописываться MAC-адреса на объединенных интерфейсах в режиме active-backup при переключении интерфейсов. Обычным поведением является одинаковый MAC-адрес на всех интерфейсах. Возможные значения:

  • Отключено - устанавливает одинаковый MAC-адрес на всех интерфейсах во время переключения

  • Active - MAC-адрес на бонд-интерфейсе будет всегда таким же, как на текущем активном интерфейсе. MAC-адреса на резервных интерфейсах не изменяются. MAC-адрес на бонд-интерфейсе меняется во время обработки отказа

  • Follow - MAC-адрес на бонд-интерфейсе будет таким же, как на первом интерфейсе, добавленном в объединение. На втором и последующем интерфейсе этот MAC не устанавливается, пока они в резервном режиме. MAC-адрес прописывается во время обработки отказа, когда резервный интерфейс становится активным, он принимает новый MAC (тот, что на бонд-интерфейсе), а старому активному интерфейсу прописывается MAC, который был на текущем активном

Xmit hash policy

Определяет хэш-политику передачи пакетов через объединенные интерфейсы в режиме XOR или IEEE 802.3ad. Возможные значения:

  • Layer 2 - использует только MAC-адреса для генерации хэша. При этом алгоритме трафик для конкретного сетевого хоста будет отправляться всегда через один и тот же интерфейс. Алгоритм совместим с IEEE 802.3ad

  • Layer 2+3 - использует как MAC-адреса, так и IP-адреса для генерации хэша. Алгоритм совместим с IEEE 802.3ad

  • Layer 3+4 - используются IP-адреса и протоколы транспортного уровня (TCP или UDP) для генерации хэша. Алгоритм не всегда совместим с IEEE 802.3ad, так как в пределах одного и того же TCP- или UDP-взаимодействия могут передаваться как фрагментированные, так и нефрагментированные пакеты. Во фрагментированных пакетах порт источника и порт назначения отсутствуют. В результате в рамках одной сессии пакеты могут дойти до получателя не в том порядке, так как отправляются через разные интерфейсы

Сеть

Способ присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP

DHCP-релей

Настройка работы DHCP-релея на бонд-интерфейсе. Необходимо включить DHCP-релей, указать в поле Адрес UserGate IP-адрес интерфейса, на котором добавляется функция релея, и указать один или несколько серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов

5.2.3. Создание моста (bridge)

Сетевой мост работает на канальном уровне сетевой модели OSI (L2), при получении из сети кадра сверяет MAC-адрес последнего и, если он не принадлежит данной подсети, передает (транслирует) кадр дальше в тот сегмент, которому предназначался данный кадр; если кадр принадлежит данной подсети, мост ничего не делает.

Интерфейс мост можно использовать в UserGate аналогично обычному интерфейсу. Кроме этого, через мост можно настроить фильтрацию передаваемого контента уровне L2 без внесения изменений в сетевую инфраструктуру компании. Простейшая схема использования UserGate в качестве решения, обеспечивающего контентную фильтрацию на уровне L2, выглядит следующим образом:

image3

Рисунок 4 Использование моста

При создании моста можно указать режим его работы - Layer 2 или Layer 3.

При выборе режима Layer 2 создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В данном режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой. В этом случае невозможно использовать правила Контентной фильтрации и Mail security.

При выборе режима Layer 3 создаваемому мосту необходимо назначить IP-адрес и указать маршруты в сети, подключенные к интерфейсам моста. В данном режиме могут быть использованы все механизмы фильтрации, доступные в UserGate.

Если мост создается в ПАК UserGate, в котором используется сетевая карта, поддерживающая режим байпас, то можно объединить 2 интерфейса в байпас-мост. Байпас-мост автоматически переключает два выбранных интерфейса в режим байпас (закорачивает их, пропуская весь трафик мимо UserGate) в случаях если:

  • Электропитание ПАК UserGate отключено

  • Система внутренней диагностики обнаружила проблему в работе ПО UserGate.

Более подробно о сетевых интерфейсах, поддерживающих режим байпас смотрите в спецификации на оборудование ПАК UserGate.

С помощью кнопки Добавить мост администратор может объединить несколько физических интерфейсов в новый тип интерфейса - мост. Необходимо указать следующие параметры:

Наименование

Описание

Вкл

Включает интерфейс мост

Название

Название интерфейса

Имя узла

Узел кластера UserGate, на котором создать интерфейс мост

Тип интерфейса

Указать тип интерфейса - Layer 3 или Layer 2.

Зона

Зона, к которой принадлежит интерфейс мост

Профиль Netflow

Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow.

Интерфейсы моста

Два интерфейса, которые будут использованы для построения моста

Интерфейсы байпас моста

Пара интерфейсов, которые можно использовать для построения байпас моста. Требуется поддержка оборудования ПАК UserGate.

STP (Spanning Tree Protocol)

Включает использование STP для защиты сети от петель

Forward delay

Задержка перед переключением моста в активный режим (Forwarding), в случае, если включен STP

Maximum age

Время, по истечении которого STP-соединение считается потерянным

Сеть

Способ присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP

DHCP-релей

Настройка работы DHCP-релея на бонд-интерфейсе. Необходимо включить DHCP-релей, указать в поле Адрес UserGate IP-адрес интерфейса, на котором добавляется функция релея, и указать один или несколько серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов

5.2.4. Интерфейс PPPOE

PPPoE (Point-to-point protocol over Ethernet) — сетевой протокол канального уровня передачи кадров PPP через Ethernet. С помощью кнопки Добавить Интерфейс PPPoE администратор может создать PPPoE интерфейс. При создании необходимо указать следующие параметры:

Наименование

Описание

Вкл

Включает интерфейс PPPoE.

Имя узла

Узел кластера UserGate, на котором создать интерфейс PPPoE.

Интерфейс

Указать интерфейс, на котором будет создаваться интерфейс PPPoE.

Зона

Зона, к которой принадлежит интерфейс PPPoE.

Профиль Netflow

Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow.

MTU

Размер MTU. По умолчанию установлено значение 1492 байт, подходящее для стандартного размера кадра Ethernet.

Логин

Имя пользователя для соединения PPPoE.

Пароль

Пароль пользователя для соединения PPPoE.

Переподключаться автоматически

Включает переподключение соединения при обрыве связи.

Интервал между попытками подключения (сек.)

Интервал времени в секундах после разрыва соединения перед повторным запуском.

Маршрут по умолчанию

Устанавливает интерфейс PPPoE в качестве маршрута по умолчанию.

Интервал проверки соединения (сек.)

Интервал проверки соединения

Количество неуспешных проверок

Количество неуспешных проверок соединения, после которого UserGate считает, что соединение отсутствует и разрывает его.

Использовать DNS-сервер провайдера

Если опция включена, то UserGate использует DNS-сервера, выданные провайдером.

Количество попыток подключения

Количество неуспешных попыток подключения, после которых попытки автосоединения будут прекращены.

5.2.5. Интерфейс VPN

VPN-интерфейс – это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:

Наименование

Описание

Название

Название интерфейса, должно быть в виде tunnelN, где N – это порядковый номер VPN-интерфейса.

Описание

Описание интерфейса.

Зона

Зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону.

Профиль Netflow

Профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.

Профиль Netflow

Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow.

Режим

Тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN, то необходимо использовать статический IP-адрес. Для использования интерфейса, используемого в роли клиента, необходимо выбрать Динамический режим.

MTU

Размер MTU для выбранного интерфейса.

По умолчанию в системе уже созданы 3 VPN-интерфейса:

  • tunnel1, который рекомендовано использовать для Remote access VPN.

  • tunne2, который рекомендовано использовать для серверной части Site-to-Site VPN.

  • tunnel3, который рекомендовано использовать для клиентской части Site-to-Site VPN.

5.2.6. Интерфейс туннель

Интерфейс туннель – это виртуальный сетевой адаптер, который может использоваться для создания соединения точка-точка через IP-сеть. Поддерживаются следующие типы туннельных интерфейсов:

  • GRE - протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня в IP-пакеты. Номер протокола в IP - 47.

  • IPIP - это протокол IP-туннелирования, который инкапсулирует один IP-пакет в другой IP-пакет. Инкапсуляция одного IP пакета в другой IP пакет, это добавление внешнего заголовка с Source IP - точкой входа в туннель, и Destination - точкой выхода из туннеля.

  • VXLAN - это протокол туннелирования Layer 2 Ethernet кадров в UDP-пакеты, порт 4789.

Для создания туннельного интерфейса в разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить туннель. Задайте следующие параметры:

Наименование

Описание

Вкл

Включение или выключение данного интерфейса.

Название

Название интерфейса, должно быть в виде greN, где N – это порядковый номер туннельного интерфейса.

Описание

Описание интерфейса.

Зона

Зона, к которой будет относится данный интерфейс.

Режим

Режим работы туннеля - GRE, IPIP, VXLAN.

MTU

Размер MTU для выбранного интерфейса.

Локальный IP

Локальный адрес point-to-point интерфейса.

Удаленный IP

Удаленный адрес point-to-point интерфейса.

IP интерфейса

IP-адрес, назначенный туннельному интерфейсу.

VXLAN ID

Идентификатор VXLAN. Только для типа туннеля VXLAN.

5.2.7. Настройка Netflow

Netflow - сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems, поддерживаемый в настоящее время многими вендорами. Для сбора информации о трафике по протоколу Netflow требуются следующие компоненты:

  • Сенсор - собирает статистику по проходящему через него трафику и передает ее на коллектор.

  • Коллектор - получает от сенсора данные и помещает их в хранилище.

  • Анализатор - анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков).

Сервер UserGate может выступать в качестве сенсора. Для сбора и отправки статистики о трафике, проходящем через определенный сетевой интерфейс UserGate, необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать профиль Netflow

В разделе Библиотеки --> Профили Netflow нажать на кнопку Добавить и создать профиль Netflow. Подробнее о профиле Netflow смотрите раздел Настройка Netflow.

Шаг 2. Назначить созданный профиль Netflow сетевому интерфейсу, на котором необходимо собирать статистику

В разделе Сеть --> Интерфейсы в настройках конкретного сетевого интерфейса указать созданный профиль Netflow.

5.3. Настройка шлюзов

Для подключения UserGate к интернету необходимо указать IP-адрес одного или нескольких шлюзов. Шлюз настраивается для каждого из виртуальных маршрутизаторов, из которого должен быть выход в интернет. Более подробно об использовании виртуальных маршрутизаторов смотрите в разделе руководства Виртуальные маршрутизаторы.

Примечание

Настройка шлюза уникальна для каждого из узлов кластера.

Если для подключения к интернету используется несколько провайдеров, то необходимо указать несколько шлюзов. Пример настройки сети с двумя провайдерами:

  • Интерфейс port1 с IP-адресом 192.168.11.2 подключен к интернет-провайдеру 1. Для выхода в интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.11.1

  • Интерфейс port2 с IP-адресом 192.168.12.2 подключен к интернет-провайдеру 2. Для выхода в интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.12.1

При наличии двух или более шлюзов возможны 2 варианта работы:

Наименование

Описание

Балансировка трафика между шлюзами

Установить флажок Балансировка и указать Вес каждого шлюза. В этом случае весь трафик в интернет будет распределен между шлюзами в соответствии с указанными весами (чем больше вес, тем большая доля трафика идет через шлюз)

Основной шлюз с переключением на запасной

Выбрать один из шлюзов в качестве основного и настроить Проверку сети, нажав на одноименную кнопку в интерфейсе. Проверка сети проверяет доступность хоста в интернет с указанной в настройках периодичностью, и в случае, если хост перестает быть доступен, переводит весь трафик на запасные шлюзы в порядке их расположения в консоли.

По умолчанию проверка доступности сети настроена на работу с публичным DNS-сервером Google (8.8.8.8), но может быть изменена на любой другой хост по желанию администратора.

Состояние шлюза (доступен - зеленый, не доступен - красный) определяется следующим образом:

Наименование

Описание

Проверка сети отключена

Шлюз считается доступным, если UserGate может получить его MAC-адрес с помощью ARP-запроса. Проверка наличия доступа в интернет через этот шлюз не производится.

Если MAC-адрес шлюза не может быть определен, шлюз считается недоступным.

Проверка сети включена

Шлюз считается доступным, если:

  • UserGate может получить его MAC-адрес с помощью ARP-запроса.

  • Проверка наличия доступа в интернет через этот шлюз завершилась успешно.

В противном случае шлюз считается недоступным.

5.4. Настройка DHCP

Служба DHCP (Dynamic Host Configuration Protocol) позволяет автоматизировать процесс выдачи сетевых настроек клиентам в локальной сети. В сети с DHCP-сервером каждому сетевому устройству можно динамически назначать IP-адрес, адрес шлюза, DNS.

UserGate может также выступать в качестве DHCP-релея, обеспечивая передачу DHCP-запросов от клиентов, находящихся в различных сетях, на центральный DHCP-сервер. Более подробно о настройке DHCP-релея можно посмотреть в разделе Настройка интерфейсов.

В UserGate можно создать несколько диапазонов адресов для выдачи по DHCP. DHCP работает на каждом узле отказоустойчивого кластера независимо. Для обеспечения отказоустойчивости сервиса DHCP в кластере необходимо настроить DHCP на обоих узлах, указав непересекающиеся диапазоны IP-адресов.

Для создания диапазона DHCP необходимо нажать на кнопку Добавить и указать следующие параметры:

Наименование

Описание

Включен

Включает или отключает использование данного диапазона DHCP

Узел

Узел кластера, на котором создается данный диапазон

Интерфейс

Интерфейс сервера, на котором будут раздаваться IP-адреса из создаваемого диапазона

Диапазон IP

Диапазон IP-адресов, выдаваемый клиентам DHCP

Маска

Маска подсети, выдаваемая клиентам DHCP

Время аренды

Время в секундах, на которое выдаются IP-адреса

Домен

Название домена, выдаваемое клиентам DHCP

Шлюз

IP-адрес шлюза, выдаваемый клиентам DHCP

Серверы имен

IP-адрес DNS-серверов, выдаваемых клиентам DHCP.

Зарезервированные адреса

MAC-адреса и сопоставленные с ними IP-адреса

Игнорируемые MAC

Список MAC-адресов, игнорируемых DHCP-сервером

DHCP PXE boot

Адрес сервера и имя загрузочного файла, передаваемого на запрос PXE boot

DHCP опции

Номер опции и ее значение.

Выданные IP-адреса отображаются в панели Арендованные адреса. Администратор может освободить любой выданный адрес, выделив адрес и нажав на кнопку Освободить.

5.5. Настройка DNS

Данный раздел содержит настройки сервисов DNS и DNS-прокси.

Для корректной работы продукта необходимо, чтобы UserGate мог разрешать доменные имена в IP-адреса. Укажите корректные IP-адреса серверов DNS в настройке Системные DNS-серверы.

Сервис DNS-прокси позволяет перехватывать DNS-запросы от пользователей и изменять их в зависимости от нужд администратора.

Настройки DNS-прокси:

Наименование

Описание

Кэширование DNS

Включает или отключает кэширование ответов DNS. Рекомендуется оставить включенным для ускорения обслуживания клиентов

DNS-фильтрация

Включает или отключает фильтрацию DNS-запросов. Для работы фильтрации необходимо приобрести лицензию на модуль ATP

Рекурсивные DNS-запросы

Разрешает или запрещает серверу осуществлять рекурсивные DNS-запросы. Рекомендуется оставить эту опцию включенной

Максимальный TTL для DNS-записей

Устанавливает максимально возможное время жизни для записей DNS

Лимит количества DNS-запросов в секунду на пользователя

Устанавливает ограничение на количество DNS-запросов в секунду для каждого пользователя. Запросы, превышающие данный параметр, будут отброшены. Значение по умолчанию - 100 запросов в секунду. Не рекомендуется ставить большие значения для данного параметра, поскольку DNS-флуд (DNS DoS attacks) является довольно частой причиной отказа обслуживания DNS-серверов

Только A и AAAA DNS-записи для не идентифицированных пользователей (защита от VPN поверх DNS)

Если защита включена, то UserGate отвечает только на запросы на записи A и AAAA от неизвестных пользователей. Это позволяет эффективно блокировать попытки организации VPN поверх протокола DNS

С помощью правил DNS-прокси можно указать серверы DNS, на которые пересылаются запросы на определенные домены. Данная опция может быть полезна в случае, если внутри компании используется локальный домен, не имеющий связи с интернетом и использующийся для внутренних нужд компании, например, домен Active Directory.

Чтобы создать правило DNS-прокси, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Добавить правило

Нажать на кнопку Добавить, задать Название и Описание (опционально)

Шаг 2. Указать список доменов

Задать список доменов, которые необходимо перенаправлять, например, localdomain.local. Допускается использование ‘*’ для указания шаблона доменов

Шаг 3. Указать DNS-серверы

Задать список IP-адресов DNS-серверов, куда необходимо пересылать запросы на указанные домены

Кроме этого, с помощью DNS-прокси можно задавать статические записи типа host (A-запись). Чтобы создать статическую запись, необходимо выполнить:

Наименование

Описание

Шаг 1. Добавить запись

Нажать на кнопку Добавить, задать Название и Описание (опционально)

Шаг 2. Указать FQDN

Задать Fully Qualified Domain Name (FQDN) статической записи, например, www.example.com

Шаг 3. Указать IP-адреса

Задать список IP-адресов, которые сервер UserGate будет возвращать при запросе данного FQDN

5.6. Виртуальные маршрутизаторы

В крупных сетях зачастую множество логических сетей используют для прохождения трафика одни и те же сетевые устройства. Данный трафик должен быть разделен на сетевых устройствах, в первую очередь для уменьшения риска несанкционированного доступа между сетями.

Виртуальные маршрутизаторы (роутеры) обеспечивают разделение трафика путем разделения сетевых интерфейсов в независимые группы. Трафик из одной группы интерфейсов не может попасть в другие группы интерфейсов.

Каждый виртуальный маршрутизатор имеет свою собственную таблицу маршрутизации. Таблица маршрутизации виртуального роутера может содержать запись о маршрутах заданных статически или полученных с помощью протоколов динамической маршрутизации - BGP, OSPF, RIP.

В рамках разных виртуальных маршрутизаторов допускается использовать одинаковые IP-сети (IP overlapping).

Интерфейсы не вошедшие ни в один из виртуальных маршрутизаторов автоматически назначены в виртуальный маршрутизатор - Виртуальный роутер по умолчанию.

Виртуальные маршрутизаторы имеют следующие ограничения:

  • Следующие сервисы могут быть использованы только в Виртуальном роутере по умолчанию:

    • WCCP

    • ICAP

    • DNS

    • Авторизация

    • Любой сетевой трафик, генерируемый самим устройством - проверка лицензии, скачивание обновлений, отправка журналов, отправка почтовых сообщений, SMS сообщений, SNMP трапов и т.п.

  • Проверка доступности сети (connectivity checker) работает только для Виртуального роутера по умолчанию.

  • Действие правил NAT, DNAT, Port forwarding распространяются на все виртуальные маршрутизаторы.

  • Зоны глобальны, то есть настройки зоны, и принадлежность интерфейсов к зонам распространяются на все виртуальные маршрутизаторы.

Примечание

Виртуальный маршрутизатор по умолчанию необходим для корректной работы UserGate. Он используется для проверки лицензии, получения обновлений, работы DNS-служб.

Для добавления виртуального маршрутизатора необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать виртуальный маршрутизатор

В разделе Сеть--Виртуальные маршрутизаторы нажмите добавить и задайте имя и описание нового виртуального маршрутизатора. Укажите имя узла, на котором создается данный виртуальный маршрутизатор при наличии кластера.

Шаг 2. Добавить интерфейсы в созданный виртуальный маршрутизатор

В закладке Интерфейсы укажите интерфейсы, которые должны быть помещены в данный виртуальный маршрутизатор. Интерфейсы, добавленные в другие виртуальные маршрутизаторы добавлены быть не могут, любой из интерфейсов может принадлежать только одному виртуальному маршрутизатору. В виртуальный маршрутизатор разрешается добавлять интерфейсы всех типов - физические, виртуальные (VLAN), бондинг, VPN и другие.

Шаг 3. Добавить статические маршруты (опционально)

Добавьте маршруты, которые будут применены к трафику в данном виртуальном маршрутизаторе. Как правило необходимо добавить маршрут по умолчанию - маршрут в сеть 0.0.0.0/0. Более подробно смотрите раздел руководства Статические маршруты.

Шаг 4. Добавить динамические маршруты, получаемые с помощью протокола маршрутизации OSPF (опционально)

Настройте протокол OSPF для построения динамической карты маршрутов. Более подробно смотрите раздел руководства OSPF.

Шаг 5. Добавить динамические маршруты, получаемые с помощью протокола маршрутизации BGP (опционально)

Настройте протокол BGP для построения динамической карты маршрутов. Более подробно смотрите раздел руководства BGP.

Шаг 6. Добавить динамические маршруты, получаемые с помощью протокола маршрутизации RIP (опционально)

Настройте протокол RIP для построения динамической карты маршрутов. Более подробно смотрите раздел руководства RIP.

Шаг 8. Настроить мультикастинг (опционально)

Настройте параметры мультикастинга в данном виртуальном маршрутизаторе. Более подробно смотрите раздел руководства Мультикастинг.

5.6.1. Статические маршруты

Данный раздел позволяет указать маршрут в сеть, доступную за определенным маршрутизатором. Например, в локальной сети может быть маршрутизатор, который объединяет несколько IP-подсетей. Маршрут применяется локально к тому узлу кластера и в тот виртуальный маршрутизатор, в котором он создается.

Для добавления маршрута необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Выбрать виртуальный маршрутизатор

При наличии нескольких виртуальных маршрутизаторов выберите необходимый.

Шаг 2. Задать название и описание данного маршрута

В разделе Сеть--Виртуальные маршрутизаторы выберите в меню Статические маршруты, нажмите кнопку Добавить. Укажите имя для данного маршрута. Опционально можно задать описание маршрута.

Шаг 3. Указать тип данного маршрута

Возожно указать следующие типы маршрутов:

  • Unicast - стандартный тип маршрута. Пересылает трафик, адресованный на адреса назначения, через заданный шлюз.

  • Blackhole - трафик отбрасывается (теряется), не сообщая источнику о том, что данные не достигли адресата.

  • Unreachable - трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 1).

  • Prohibit - трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 13).

Шаг 4. Указать адрес назначения

Задайте подсеть, куда будет указывать маршрут, например, 172.16.20.0/24 или 172 .16.20.5/32.

Шаг 5. Указать шлюз

Задайте IP-адрес шлюза, через который указанная подсеть будет доступна. Этот IP-адрес должен быть доступен с сервера UserGate.

Шаг 6. Указать интерфейс

Выберите интерфейс, через который будет добавлен маршрут. Если оставить значение Автоматически, то UserGate сам определит интерфейс, исходя из настроек IP-адресации сетевых интерфейсов.

Шаг 7. Указать метрику

Задайте метрику маршрута. Чем меньше метрика, тем приоритетней маршрут, если маршрутов несколько в данную сеть несколько.

5.6.2. Протоколы динамической маршрутизации

Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. UserGate обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов.

Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно так же просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации: вместо добавления маршрутов вручную они добавляются и удаляются динамически.

Примечание

Если в системе настроены статические шлюзы, то маршруты по умолчанию, полученные от протоколов динамической маршрутизации игнорируются.

UserGate поддерживает работу трех протоколов маршрутизации - OSPF, BGP, RIP.

5.6.3. OSPF

Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. UserGate обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов. Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно так же просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации - вместо добавления маршрутов вручную они добавляются и удаляются динамически. Маршруты добавляются только в тот виртуальный маршрутизатор, в котором настроен протокол OSPF.

OSPF (Open Shortest Path First) - протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state) и использующий для нахождения кратчайшего пути алгоритм Дейкстры.

Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы (АС). Подробно о работе протокола OSPF читайте в соответствующей технической документации.

Примечание

При работе протокола OSPF в кластере отказоустойчивости в режиме Active-Passive, узел, который обладает ролью Slave, автоматически назначает стоимость для всех своих интерфейсов и для списков редистрибуции в 2 раза выше, чем стоимость установленная на Master-узле. Тем самым обеспечивается приоритет Master-узла в маршрутизации трафика.

Для настройки OSPF в UserGate необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Выбрать виртуальный маршрутизатор

При наличии нескольких виртуальных маршрутизаторов выберите необходимый.

Шаг 2. Включить OSPF-роутер

В консоли UserGate в В разделе Сеть--Виртуальные маршрутизаторы выберите в меню OSPF и настройте OSPF-роутер.

При настройке OSPF-роутера необходимо указать следующие параметры:

Наименование

Описание

Вкл

Включает или выключает использование данного OSPF-роутера.

Идентификатор роутера

IP-адрес роутера. Должен совпадать с одним из IP-адресов, назначенным сетевым интерфейсам UserGate, относящимся к данному виртуальному маршрутизатору.

Redistribute

Распространять другим OSPF-роутерам маршруты в непосредственно подключенные к UserGate сети (connected) или маршруты, добавленные администратором в разделе Маршруты (kernel).

Метрика

Установить метрику распространяемым маршрутам.

Default originate

Оповещать другие роутеры о том, что данный роутер имеет маршрут по умолчанию.

При настройке интерфейсов OSPF укажите следующие параметры:

Наименование

Описание

Вкл

Включает или отключает использование данного интерфейса.

Интерфейс

Выбор одного из существующих в системе интерфейсов, на котором будет работать OSPF. Для выбора доступны только интерфейсы, входящие в данный виртуальный маршрутизатор.

Стоимость

Стоимость канала данного интерфейса. Данное значение передается в LSA (объявления о состоянии канала, link-state advertisement) соседним маршрутизаторам и используется ими для вычисления кратчайшего маршрута. Значение по умолчанию 1.

Приоритет

Целое число от 0 до 255. Чем больше значение, тем выше шанс у маршрутизатора стать назначенным маршрутизатором (designated router) в сети для рассылки LSA. Значение 0 делает назначение для данного маршрутизатора невозможным. Значение по умолчанию 1 .

Интервал hello

Время в секундах, через которое маршрутизатор посылает hello-пакеты. Это время должно быть одинаковым на всех маршрутизаторах в автономной системе. Значение по умолчанию 10 секунд.

Интервал dead

Интервал времени в секундах, по истечении которого соседний маршрутизатор считается неработающим. Время исчисляется от момента приема последнего пакета hello от соседнего маршрутизатора. Значение по умолчанию 40 секунд.

Интервал повторения

Устанавливает временный интервал перед повторной отсылкой пакета LSA. Значение по умолчанию 5 секунд.

Задержка передачи

Устанавливает примерное время, требуемое для доставки соседним маршрутизаторам обновления состояния каналов (link state). Значение по умолчанию 1 секунда.

Аутентификация Вкл

Включает требование аутентификации каждого принимаемого роутером OSPF-сообщения. Аутентификация обычно используется для предотвращения инъекции фальшивого маршрута от нелегитимных маршрутизаторов.

Тип авторизации

Может быть:

  • Plain - передача ключа в открытом виде для аутентификации роутеров. Необходимо указать значение поля Ключ..

  • Digest - использование MD5-хеша для ключа для аутентификации OSPF-пакетов. Необходимо указать Ключ и MD5 key ID. Эти параметры должны быть идентичными на всех роутерах для нормальной работы

При настройке области OSPF укажите следующие параметры:

Наименование

Описание

Вкл

Включает или отключает использование данной области.

Имя

Имя для данной области..

Стоимость

Стоимость LSA, анонсируемых в stub-области

Идентификатор области

Идентификатор зоны (area ID). Идентификатор может быть указан в десятичном формате или в формате записи IP-адреса. Однако идентификаторы зон не являются IP-адресами и могут совпадать с любым назначенным IP-адресом.

Тип авторизации

Может быть:

  • Нет - не требовать авторизацию OSPF-пакетов.

  • Plain - передача ключа в открытом виде для аутентификации OSPF-пакетов. Используется ключ, заданный в настройках интерфейсов.

  • Digest - использование MD5-хеша для ключа для аутентификации OSPF-пакетов. Используется ключ, заданный в настройках интерфейсов.

Идентификация на уровне интерфейсов имеет приоритет над авторизацией на уровне зоны.

Тип области

Определяет тип области. Поддерживаются следующие типы областей:

  • Нормальная - обычная зона, которая создается по умолчанию. Эта зона принимает обновления каналов, суммарные маршруты и внешние маршруты.

  • Тупиковая (Stub) - тупиковая зона, не принимает информацию о внешних маршрутах для автономной системы, но принимает маршруты из других зон. Если маршрутизаторам из тупиковой зоны необходимо передавать информацию за границу автономной системы, то они используют маршрут по умолчанию. В тупиковой зоне не может находиться ASBR.

  • NSSA - Not-so-stubby. Зона NSSA определяет дополнительный тип LSA — LSA type 7. В NSSA зоне может находиться пограничный маршрутизатор (ASBR).

Не суммировать

Запрещает инжекцию суммированных маршрутов в тупиковые типы областей.

Интерфейсы

Выбор интерфейсов OSPF, на которых будет доступна данная зона.

Виртуальные ссылки

Специальное соединение, которое позволяет соединять, например, разорванную на части зону или присоединить зону к магистральной через другую зону. Настраивается между двумя ABR.

Позволяет маршрутизаторам передать пакеты OSPF через виртуальные ссылки, инкапсулируя их в IP-пакеты. Этот механизм используется как временное решение или как backup на случай выхода из строя основных соединений.

Можно указать идентификаторы маршрутизаторов, которые доступны через данную зону.

5.6.4. BGP

Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. UserGate обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов. Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно так же просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации: вместо добавления маршрутов вручную они добавляются и удаляются динамически. Маршруты добавляются только в тот виртуальный маршрутизатор, в котором настроен протокол BGP.

BGP (Border Gateway Protocol) - динамический протокол маршрутизации, относится к классу протоколов маршрутизации внешнего шлюза (англ. EGP - External Gateway Protocol). На текущий момент является основным протоколом динамической маршрутизации в интернете. Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протоколы внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляет исходя из правил, принятых в сети. Подробно о работе протокола BGP читайте в соответствующей технической документации.

Для настройки BGP в UserGate необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Выбрать виртуальный маршрутизатор

При наличии нескольких виртуальных маршрутизаторов выберите необходимый.

Шаг 2. Включить BGP-роутер

В консоли UserGate в В разделе Сеть--Виртуальные маршрутизаторы выберите в меню BGP и настройте BGP-роутер.

Шаг 3. Добавить хотя бы одного BGP-соседа (пира)

В разделе BGP-соседи нажать на кнопку Добавить и настроить параметры маршрутизатора, относящегося к соседней АС. Добавить столько соседей, сколько необходимо.

Шаг 4. Опционально. Задать фильтры и Routemap для ограничения количества получаемых маршрутов

В разделе Фильтры нажать на кнопку Добавить и настроить параметры Routemap/фильтров. Добавить столько Routemap/фильтров, сколько необходимо для работы BGP в вашей организации.

При настройке BGP-роутера необходимо указать следующие параметры:

Наименование

Описание

Вкл

Включает или отключает использование данного BGP-роутера.

Идентификатор роутера

IP-адрес роутера. Должен совпадать с одним из IP-адресов, назначенным сетевым интерфейсам UserGate, относящимся к данному виртуальному маршрутизатору.

Номер автономной системы (АС)

Автономная система - это система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами, имеющими единую политику маршрутизации. Номер автономной системы задает принадлежность роутера к этой системе.

Redistribute

Позволяет распространять другим BGP-маршрутизаторам маршруты в непосредственно подключенные к UserGate-сети (connected), маршруты, добавленные администратором в разделе Маршруты (kernel) или маршруты, полученные по протоколу OSPF.

Multiple path

Включает балансировку трафика на маршруты с одинаковой стоимостью.

Сети

Список сетей, относящихся к данной АС.

Для добавления BGP-соседей нажмите кнопку Добавить и укажите следующие параметры:

Наименование

Описание

Вкл

Включает или отключает использование данного соседа.

Интерфейс

Один из существующих в системе интерфейсов, с которого должен быть доступен данный сосед.

Host

IP-адрес соседа.

Описание

Произвольное описание соседа.

Удаленная ASN

Номер автономной системы, к которой относится сосед.

Вес

Вес данных маршрутов, получаемых от данного соседа.

TTL

Максимальное количество хопов, разрешенное до этого соседа.

Анонсировать себя в качестве следующего перехода (next-hop-self) для BGP

Заменять значение next-hop-self на собственный IP-адрес, если сосед является BGP.

Multihop для eBPGP

Указывает, что до этого соседа непрямое соединение (более одного хопа).

Route reflector client

Указывает, является ли этот сосед клиентом Route reflector.

Soft reconfiguration

Использовать soft reconfiguration (без разрыва соединений) для обновления конфигурации.

Default originate

Анонсировать этому соседу маршрут по умолчанию.

Аутентификация

Включает аутентификацию для данного соседа и задает пароль для аутентификации.

Фильтры BGP-соседей

Ограничивает информацию о маршрутах, получаемых от соседей или анонсируемых к ним.

Routemaps

Routemaps используются для управления таблицами маршрутов и указания условий, при выполнении которых маршруты передаются между доменами.

Routemap позволяет фильтровать маршруты при перераспределении и изменять различные атрибуты маршрутов. Для создания routemap необходимо указать следующие параметры:

Наименование

Описание

Название

Имя для данного routemap.

Действие

Устанавливает действие для данного routemap, может принимать значения:

  • Разрешить - разрешает прохождение данных, подпадающих под условия routemap.

  • Запретить - запрещает прохождение данных, подпадающих под условия routemap.

Сравнивать по

Условия применения routemap, может принимать значения:

  • IP. Если выбрано данное условие, то в закладке IP-адреса надо добавить все необходимые IP-адреса для данного условия.

    AS путь. Если выбрано данное условие, то в закладке AS-путь надо добавить все необходимые номера автономных сетей для данного условия. Допускается указывать регулярные выражения формата POSIX 1003.2, а также дополнительный символ подчеркивания (_), который интерпретируется как:
    - пробел
    - запятая
    - начало строки
    - конец строки
    - AS set delimiter { and }
    - AS confederation delimiter ( and ).
  • Community. Если выбрано данное условие, то в закладке Community надо добавить строки всех необходимых BGP community для данного условия.

Установить next hop

Установить для отфильтрованных маршрутов значение next hop в указанный IP-адрес.

Установить вес

Установить для отфильтрованных маршрутов вес в указанное значение.

Установить метрику

Установить для отфильтрованных маршрутов метрику в указанное значение.

Установить предпочтение

Установить для отфильтрованных маршрутов вес в указанное значение.

Установить AS-prepend

Установить значение AS-prepend - список автономных систем, добавляемых для данного маршрута.

Community

Установить значение для BGP community для отфильтрованных маршрутов.

Фильтр позволяет фильтровать маршруты при перераспределении. При создании фильтров необходимо указать следующие параметры:

Наименование

Описание

Название

Имя для данного фильтра.

Действие

Устанавливает действие для данного фильтра, может принимать значения:

  • Разрешить - разрешает прохождение данных, попадающих под условия фильтра.

  • Запретить - запрещает прохождение данных, попадающих под условия фильтра.

Фильтровать по

Условия применения фильтра, может принимать значения:

  • IP. Если выбрано данное условие, то в закладке IP-адреса надо добавить все необходимые IP-адреса для данного условия.

  • AS путь. Если выбрано данное условие, то в закладке AS-путь надо добавить все необходимые номера автономных сетей для данного условия.

5.6.5. RIP

Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. UserGate обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов. Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно так же просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации: вместо добавления маршрутов вручную они добавляются и удаляются динамически. Маршруты добавляются только в тот виртуальный маршрутизатор, в котором настроен протокол RIP.

RIP (Routing Information Protocol) - протокол дистанционно-векторной маршрутизации, который оперирует транзитными участками (хоп, hop) в качестве метрики маршрутизации. Подробно о работе протокола RIP читайте в соответствующей технической документации.

Для настройки RIP в UserGate необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Выбрать виртуальный маршрутизатор

При наличии нескольких виртуальных маршрутизаторов выберите необходимый.

Шаг 2. Включить RIP-роутер

В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню RIP и настройте RIP-роутер.

Шаг 3. Указать сети RIP

В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню RIP и укажите сети RIP, для которых будет работать RIP протокол.

Шаг 4. Настройте интерфейсы RIP

В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню RIP и произведите настройку интерфейсов RIP.

При настройке RIP-роутера необходимо указать следующие параметры:

Наименование

Описание

Вкл

Включает или выключает использование данного RIP-роутера.

Версия RIP

Определяет версию протокола RIP. Как правило используется версия протокола 2.

Метрика по умолчанию

Стоимость маршрута. Обычно метрика равна 1 и не может превышать 15.

Административное расстояние

Стоимость маршрутов, полученных с помощью протокола RIP. Значение по умолчанию для протокола RIP - 120. Используется для выбора маршрутов при наличии нескольких способов получения маршрутов (OSPF, BGP, статические).

Отправлять себя в качестве маршрута по умолчанию

Оповещать другие роутеры о том, что данный роутер имеет маршрут по умолчанию.

Маршрутизатор RIP будет слать обновления маршрутной информации только с интерфейсов, для которых заданы сети RIP. Необходимо указать как минимум одну сеть для корректной работы протокола. При настройке сетей RIP администратор может указать сеть в виде CIDR, например, 192.168.1.0/24, либо указать сетевой интерфейс, с которого будут отправлять обновления.

При настройке интерфейсов RIP укажите следующие параметры:

Наименование

Описание

Интерфейс

Выберите интерфейс, который будет использоваться для работы протокола RIP. Для выбора доступны только те интерфейсы, которые входят в данный виртуальный маршрутизатор.

Посылать версию

Укажите версию протокола RIP, которую маршрутизатор будет отсылать.

Принимать версию

Укажите версию протокола RIP, которую маршрутизатор будет принимать.

Пароль

Строка для авторизации, которая будет посылаться и приниматься в пакетах RIP. Все роутеры, участвующие в обмене информации по протоколу RIP, должны иметь одинаковый пароль.

Split horizon

Метод предотвращения петель маршрутизации, при котором маршрутизатор не распространяет информацию о сети через интерфейс, на который прибыло обновление.

Poison reverse

Метод предотвращения петель маршрутизации, при котором маршрутизатор устанавливает стоимость маршрута в 16 и отсылает его соседу, от которого его получил.

Пассивный режим

Устанавливает режим работы интерфейса, при котором он принимает обновления RIP, но не отсылает их.

Параметры редистрибуции маршрутов позволяют указать какие из маршрутов необходимо отправлять соседям. Возможно задать для редистрибуции маршруты, полученные через протоколы динамической маршрутизации OSPF, BGPG, а также маршруты в непосредственно подключенные к UserGate сети (connected) или маршруты, добавленные администратором в разделе Маршруты (kernel).

5.6.6. Мультикастинг

Технология IP мультикастинга позволяет существенно сократить передаваемый объем трафика, доставляя единый поток информации одновременно к тысячам и более потребителей, что особенно эффективно для доставки голосового и видео трафика. Традиционные методы доставки трафика - это unicast (доставка от точки к точке) и broadcast (широковещательная посылка трафика). Мультикастинг (multicast) позволяет доставить трафик к группе хостов (мультикаст-группа). Хосты (получатели), которые хотят получать данный трафик, должны вступить (присоединиться) к соответствующей мультикаст-группе. Для присоединения хостов к мультикаст-группе используется протокол Internet Group Management Protocol (IGMP). Мультикаст-группа идентифицируется групповым адресом. Для мультикастовых адресов выделена подсеть класса D с верхними 4 битами установленными в 1110. Таким образом диапазон адресов для мультикаст-трансляций определен как 224.0.0.0 - 239.255.255.255.

Далее маршрутизаторы должны обеспечить эффективную доставку трафика от источника трансляции к получателям. Protocol Independent Multicast (PIM) используется на маршрутизаторах для достижения данной цели.

Маршрутизаторы в мультикастинговой среде можно разделить на First Hop Router (FHR), Rendezvous Point (RP), Last Hop Router (LHR). FHR находится ближе всего к источнику трансляции и отвечает за регистрацию источника трансляции в сети. RP является каталогом доступных мультикаст-источников для Any Source Multicast (ASM) режима. LHR находится ближе всего к приемнику мультикаст-трансляции. Клиенты (приемники трансляции) в локальных сетях, подключенных к LHR используют протокол IGMP для регистрации себя в необходимой мультикаст-группе, посылая сообщение IGMP membership report.

UserGate может быть использован в качестве LHR для локальных сетей подключенных к нему. Для регистрации клиентов (приемников) UserGate поддерживает протоколы IGMPv3 и IGMPv2.

Для взаимодействия с другими мультикаст-маршрутизаторами UserGate может использовать только режим работы PIM Sparse Mode (PIM-SM). Это режим, в котором мультикаст-трафик отсылается только на те приемники, которые явно запросили это. Приемники должны периодически подтверждать свое желание получать мультикаст-трафик.

UserGate поддерживает режимы работы Source Specific Multicast (SSM) и Any Source Multicast (ASM).

Режим работы Source Specific Multicast (SSM) используется, когда приемник трафика явно указывает известный ему адрес источника трансляции. В данном режиме используется следующая адресация:

rtp://<src_ip>@<group_address>:<port>

где src_ip - адрес источника трансляции, group_address - мультикастовый групповой адрес, port - порт. Например:

rtp://10.10.10.10@239.0.0.5:4344

Режим работы Any Source Multicast (ASM). В этом режиме приемник трансляции указывает мультикаст-группу, с которой хочет получать трансляцию. Для работы данного режима необходимо наличие маршрутизатора с ролью Rendezvous Point (RP). RP определяет источник трансляции для этой группы для данного приемника. После чего источник и приемник выбирают лучший сетевой путь для пересылки данного мультикаст-трафика. В данном режиме используется следующая адресация:

rtp://@<group_address>:<port>

где group_address - мультикастовый групповой адрес, port - порт. Например:

rtp://@239.0.0.5:4344

Для настройки работы UserGate в качестве LHR мультикаст-роутера необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Настроить мультикаст-роутер

В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню Мультикаст роутер и настройте его.

Шаг 2. Указать интерфейсы, на которых должен работать данный роутер

В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню Интерфейсы и произведите настройку интерфейсов. Будут доступны только те интерфейсы, которые относятся к данному виртуальному маршрутизатору.

Шаг 3. Задать Rendezvous points для режима ASM (опционально)

В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню Rendezvous points и укажите их адреса.

Шаг 4. Установить необходимые ограничения на доступные мультикаст-группы для режима ASM (опционально)

В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню Rendezvous points и укажите адреса разрешенных мультикаст-групп в закладке Разрешенные группы ASM. Если оставить этот список пустым, то будут разрешены все групповые адреса.

Шаг 5. Установить необходимые ограничения на доступные мультикаст-группы для режима SSM (опционально)

В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню Разрешенные группы SSM и укажите адреса разрешенных мультикаст-групп Если оставить этот список пустым, то будут разрешены все групповые адреса.

При настройке мультикаст роутера возможно указать следующие параметры:

Наименование

Описание

Вкл

Включает или выключает мультикаст роутер в данном виртуальном маршрутизаторе.

Использовать ECMP

Разрешает распределение трафика по нескольким маршрутам по технологии Equal Cost Multi Path (ECMP). Требуется наличие нескольких маршрутов до необходимого сетевого узла. Если данная опция отключена, то весь трафик на определенный хост назначения будет пересылаться только через один из роутеров (next hop).

Использовать ECMP rebalance

Если при включенной опции один из интерфейсов, через который отсылался трафик, отключился, то все существующие потоки будут перерапределены между оставшимися маршрутами (next hop). При отключенной опции перераспределяются только те потоки, которые передавались через отключенный интерфейс.

JOIN/PRUNE интервал

Интервал в секундах (60-600) отправки сообщений соседям PIM о мультикаст-группах, трафик которых маршрутизатор хочет принимать или более не хочет принимать.

Интервал register suppress

Интервал в секундах (5-60000), после которого маршрутизатор отсылает сообщение register suppress.

Keep-alive таймер

Интервал в секундах (31-60000), через который маршрутизатор будет посылать сообщения keepalive соседям, а так же интервал, который маршрутизатор будет ждать, прежде чем будет считать соседа недоступным.

При настройке интерфейсов можно задать следующие параметры:

Наименование

Описание

Вкл

Включает или отключает использование данного интерфейса для мултикастинга.

Интерфейс

Выберите интерфейс, который будет использоваться для работы мультикаста. Для выбора доступны только те интерфейсы, которые входят в данный виртуальный маршрутизатор.

Интервал отправки HELLO сообщений

Интервал отправки PIM HELLO сообщений в секундах (1-180). PIM Hello сообщения отправляются периодически со всех интерфесов, для которых включена поддержка мультикастинга. Эти сообщения позволяют узнать маршрутизатору о соседних маршрутизаторах, поддерживающих мультикастинг.

Приоритет выбора DR

Приоритет при выборе Designated router (DR) от 1 до 4294967295, с помощью которого администратор может управлять процессом выбора DR для локальной сети.

Принимать IGMP

Принимать сообщения IGMP report и IGMP query на данном интерфейсе.

Использовать IGMPv2

Использовать версию IGMP v2, по умолчанию используется IGMP v3.

При настройке Rendevouz points можно указать следующие параметры:

Наименование

Описание

Вкл

Включает или отключает данный RP .

Название

Название данного RP.

IP-адрес

Unicast IP-адрес данного RP.

Разрешенные руппы ASM

Список разрешенных групповых адресов для any source multicast с данного RP. Любые сети из диапазона 224.0.0.0/4. Нет ограничений, если ничего не задано.

Разрешенные группы SSM - настройка мультикаст роутера, определяющая список разрешенных групповых адресов для source specific multicast. Могут быть укзаны любые сети из диапазона 232.0.0.0/8. Нет ограничений, если ничего не задано.

Исключения из SPT - настройка мультикаст роутера, задающая список IPv4 мультикаст-групп, исключенных из переключения на shortest path tree.

5.7. WCCP

Web Cache Communication Protocol (WCCP) — разработанный компанией Cisco протокол перенаправления контента. Предоставляет механизм перенаправления потоков трафика в реальном времени, имеет встроенные масштабирование, балансировку нагрузки, отказоустойчивость. При использовании WCCP, WCCP-сервер принимает HTTP-запрос от клиентского браузера и перенаправляет его на один или несколько WCCP-клиентов. WCCP-клиент получает данные из интернет и возвращает их в браузер клиента. Доставка данных клиенту может происходить как через WCCP-сервер, так и минуя его, в соответствии с правилами маршрутизации.

UserGate может выступать в качестве WCCP-клиента. В качестве WCCP-сервера обычно выступает маршрутизатор. Для трафика, полученного через WCCP, можно применять все доступные механизмы фильтрации.

Сервисная группа WCCP - это набор серверов WCCP (роутеры, коммутаторы) и клиентов WCCP (UserGate) с общими настройками перенаправления трафика. Сервера, указанные в одной сервисной группе, должны иметь идентичные настройки.

Для настройки WCCP-клиента в UserGate необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Настройте WCCP сервер

Произведите настройку сервера WCCP в соответствии с инструкцией на WCCP-сервер

Шаг 2. Настроить сервисные группы WCCP

В консоли UserGate в разделе Сеть-->WCCP нажать на кнопку Добавить и создать одну или несколько сервисных групп WCCP.

При создании сервисной группы укажите следующие параметры:

Наименование

Описание

Вкл

Включает или отключает данную сервисную группу.

Название

Имя сервисной группы.

Описание

Описание сервисной группы.

Сервисная группа

Числовой идентификатор сервисной группы. Идентификатор сервисной группы должен быть одинаков на всех устройствах, входящих в группу.

Приоритет

Приоритет группы. Если несколько сервисных групп применимы к трафику на сервере WCCP, то приоритет определяет порядок, в котором сервер будет распределять трафик на клиенты WCCP.

Пароль

Пароль, необходимый для аутентификации UserGate в сервисной группе. Пароль должен совпадать с паролем, указанным на серверах WCCP.

Способ перенаправления трафика

Определяет способ перенаправления трафика с серверов WCCP на UserGate. Возможны значения:

  • gre - используя туннель Generic Routing Encapsulation (GRE).

  • L2 - используя перенаправление L2. В этом случае роутер (WCCP сервер) изменяет MAC-адрес назначения в пакете на адрес UserGate.

Перенаправление L2 как правило требует меньшее количество ресурсов, чем gre, но сервер WCCP и UserGate должны находиться в одном L2 сегменте. Не все типы серверов WCCP поддерживают работу с WCCP клиентами по L2.

Важно! Для трафика, полученного через WCCP-туннель, в качестве IP источника UserGate будет использовать IP-адрес компьютера клиента, а зона источника не будет определена, поэтому в правилах фильтрации для зоны источника не следует явно указывать зону (оставить Any).

Способ возврата трафика

Определяет способ перенаправления трафика с UserGate на серверы WCCP. Возможны значения:

  • gre - используя туннель Generic Routing Encapsulation (GRE).

  • L2 - используя перенаправление L2. В этом случае UserGate (WCCP клиент) изменяет MAC-адрес назначения в пакете на адрес роутера (WCCP сервер).

Перенаправление L2 как правило требует меньшее количество ресурсов, чем gre, но сервер WCCP и UserGate должны находиться в одном L2 сегменте. Не все типы серверов WCCP поддерживают работу с WCCP клиентами по L2.

Порты для перенаправления

Порты для перенаправления. Укажите здесь порты назначения трафика. При необходимости указать несколько портов, укажите их через запятую, например:

80, 442, 8080

Если необходимо перенаправлять трафик на основании значений портов источника, то необходимо выделить чекбокс Порт источника.

Важно! UserGate может применять фильтрацию только для перенаправленного TCP трафика с портами назначения 80, 443 (HTTP/HTTPS). Трафик, переданный на UserGate с другими портами, будет отправляться в интернет без фильтрации.

Протокол

Укажите протокол - TCP или UDP.

Роутеры WCCP

Укажите IP-адреса серверов WCCP (роутеры).

Способ назначения

При наличии в сервисной группе нескольких WCCP-клиентов способ назначения определяет распределение трафика от WCCP-серверов по WCCP-клиентам. Возможны варианты:

  • Хэш - распределение трафика на основе хэша, вычисляемому по указанным полям IP-пакета. Альтернативный хэш - если указан, то WCCP-сервер будет использовать его при превышении определенного количества пакетов, отправленных на WCCP-клиента с использованием обычного хэша. Поля IP-пакета, используемые для получения хэша, должны отличаться для вычисления основного и альтернативного хэшей.

  • Маска - распределение трафика на основе вычисления операции AND между маской и выбранным заголовком пакета. При выборе маски проконсультируйтесь с документацией производителя сервера WCCP.

6. Пользователи и устройства

Политики безопасности, правила межсетевого экрана, правила веб-безопасности и многие другие возможности UserGate могут быть применены к пользователям или группам пользователей. Возможность применения политик только к тем пользователям, которым это необходимо, позволяет администратору гибко настроить свою сеть в соответствии с потребностями организации.

Идентификация пользователя - это базисная функция UserGate. Пользователь считается идентифицированным, если система однозначно связала пользователя с IP-адресом устройства, с которого пользователь подключается к сети. UserGate использует различные механизмы для идентификации пользователей:

  • Идентификация по явно указанному IP-адресу

  • Идентификация по имени и паролю

  • Идентификация пользователей терминальных серверов Microsoft с помощью специального агента терминального сервиса

  • Идентификация пользователей с помощью агента авторизации (для Windows-систем)

  • Идентификация с помощью протоколов NTLM, Kerberos

Идентификация пользователей по имени и паролю возможна через Captive-портал, который, в свою очередь, может быть настроен на идентификацию пользователей с помощью каталогов Active Directory, Radius, TACACS+, NTLM, Kerberos или локальной базы пользователей.

UserGate определяет следующие типы пользователей:

Наименование

Описание

Пользователь Unknown

Представляет множество пользователей, не идентифицированных системой

Пользователь Known

Представляет множество пользователей, идентифицированных системой. Методы идентификации пользователей могут быть различными и более подробно будут описаны далее в этой главе

Пользователь Any

Любой пользователь является объединением множеств пользователей Known и Unknown

Определенный пользователь

Конкретный пользователь, определенный и идентифицированный в системе, например, пользователь DOMAIN\User, идентифицированный с помощью авторизации в домене Active Directory

Пользователи и группы пользователей могут быть заведены на самом устройстве UserGate - это так называемые локальные пользователи и группы или могут быть получены с внешних каталогов, например, Microsoft Active Directory.

6.1. Группы

Группы пользователей позволяют объединить пользователей для более удобного управления политиками безопасности.

6.2. Пользователи

В данном разделе можно добавить локальных пользователей. Здесь же можно временно отключить пользователей или включить их заново.

Чтобы создать локального пользователя, необходимо указать единственный обязательный параметр - имя пользователя. Остальные параметры являются необязательными, но для корректной идентификации необходимо указать:

  • Логин и пароль - для идентификации по имени и паролю. В этом случае потребуется настроить Captive-портал, где пользователь сможет ввести данное имя и пароль для авторизации.

  • IP-адрес или диапазон, MAC-адрес для идентификации с помощью комбинации MAC и IP-адресов. В данном случае необходимо обеспечить, чтобы данный пользователь всегда получал доступ в сеть с указанных MAC и/или IP-адреса.

  • VLAN ID для идентификации пользователя по тегу VLAN. В данном случае необходимо обеспечить, чтобы данный пользователь всегда получал доступ в сеть с указанного VLAN.

  • Почтовые адреса - email пользователя. Если указан, может быть использован для отсылки пользователю информации по электронной почте, например, 2-й фактор многофакторной организации.

  • Номера телефонов - телефоны пользователя. Если указан, может быть использован для отсылки пользователю информации по SMS, например, 2-й фактор многофакторной организации.

В случае, если у пользователя указан и логин, и пароль, и IP/MAC/VLAN адреса, система использует идентификацию по адресу, то есть идентификация по адресу является более приоритетной.

Учетные записи пользователей LDAP здесь не отображаются, но эти пользователи также могут быть использованы в политиках безопасности.

6.3. Серверы авторизации

Серверы авторизации - это внешние источники учетных записей пользователей, например, LDAP-сервер, или серверы, производящие аутентификацию для UserGate, например, Radius, TACACS+, Kerberos, SAML. Система поддерживает следующие типы серверов авторизации:

  • LDAP-коннектор

  • Сервер авторизации пользователей Radius

  • Сервер авторизации пользователей TACACS+

  • Сервер авторизации Kerberos

  • Сервер авторизации NTLM

  • Сервер авторизации SAML (SSO)

Серверы авторизации Radius, TACACS+, NTLM, SAML могут осуществлять только авторизацию пользователей, в то время как LDAP-коннектор позволяет также получать информацию о пользователях и их свойствах.

6.3.1. LDAP-коннектор

LDAP-коннектор позволяет:

  • Получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Поддерживается работа с LDAP-сервером FreeIPA. Пользователи и группы могут быть использованы при настройке правил фильтрации.

  • Осуществлять авторизацию пользователей через домены Active Directory/FreeIPA с использованием методов авторизации Captive-портал, Kerberos, NTLM.

Для создания LDAP-коннектора необходимо нажать на кнопку Добавить, выбрать Добавить LDAP-коннектор и указать следующие параметры:

Наименование

Описание

Вкл

Включает или отключает использование данного сервера авторизации

Название

Название сервера авторизации

SSL

Определяет, требуется ли SSL-соединение для подключения к LDAP-серверу

Доменное имя LDAP или IP-адрес

IP-адрес контроллера домена или название домена LDAP. Если указано доменное имя, то UserGate получит адрес сервера LDAP с помощью DNS-запроса.

Bind DN («login»)

Имя пользователя, которое необходимо использовать для подключения к серверу LDAP. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене

Пароль

Пароль пользователя для подключения к домену

Домены LDAP

Список доменов, которые обслуживаются указанным контроллером домена, например, в случае дерева доменов или леса доменов Active Directory. Здесь же можно указать короткое netbios имя домена. Список доменов, указанный здесь будет использован для выбора на странице авторизации Captive-портала при включении соответствующей опции. Более подробно о настройке Captive-портала смотрите раздел Настройка Captive-портала.

Пути поиска

Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com.

Kerberos keytab

Здесь можно загрузить keytab-файл для авторизации Kerberos. Подробно об авторизации Kerberos и создании keytab-файла смотрите в разделе Метод авторизации Kerberos.

Важно! Рекомендуется загрузить keytab-файл даже в случае, если вы не планируете использовать авторизацию Kerberos. При загруженном keytab-файле UserGate использует механизм kerberos для получения списка пользователей и их групп с серверов LDAP, что очень сильно снижает нагрузку на серверы LDAP. Если у вас в организации серверы LDAP содержат большое количество объектов (более 1000 групп и пользователей) использование keytab-файла обязательно.

После создания сервера необходимо проверить корректность параметров, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.

Примечание

Для авторизации пользователей с помощью LDAP-коннектора необходимо, что бы пользователи входили в доменную группу Domain users.

Настройка LDAP-коннектора завершена. Для авторизации LDAP пользователей по имени и паролю необходимо создать правила Captive-портала. Более подробно о Captive-портале рассказывается в следующих главах руководства.

6.3.2. Сервер авторизации пользователей Radius

Сервер авторизации Radius позволяет авторизовать пользователей на серверах Radius, то есть UserGate выступает в роли Radius-клиента. При авторизации через Radius-сервер UserGate посылает на серверы Radius информацию с именем и паролем пользователя, а Radius-сервер отвечает, успешно прошла авторизация или нет.

Сервер Radius не может предоставить список пользователей в UserGate и, если пользователи не были заведены в UserGate предварительно (например, как локальные пользователи или получены из домена AD с помощью LDAP-коннектора), поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере Radius) или Unknown (не прошедших авторизацию).

Для создания сервера авторизации Radius необходимо нажать на кнопку Добавить, выбрать Добавить Radius-сервер и указать следующие параметры:

Наименование

Описание

Включен

Включает или отключает использование данного сервера авторизации

Название сервера

Название сервера авторизации

Секрет

Общий ключ, используемый протоколом Radius для авторизации

Хост

IP-адрес сервера Radius

Порт

UDP-порт, на котором сервер Radius слушает запросы на авторизацию. По умолчанию это порт UDP 1812

После создания сервера авторизации необходимо настроить Captive-портал для использования метода авторизации Radius. Более подробно о Captive-портале рассказывается в следующих главах руководства.

6.3.3. Сервер авторизации пользователей TACACS+

Сервер авторизации TACACS+ позволяет авторизовать пользователей на серверах TACACS+. При авторизации через TACACS+ сервер UserGate посылает на серверы TACACS+ информацию с именем и паролем пользователя, а сервер TACACS+ отвечает, успешно прошла авторизация или нет.

Сервер TACACS+ не может предоставить список пользователей в UserGate и, если пользователи не были заведены в UserGate предварительно (например, как локальные пользователи или получены из домена AD с помощью LDAP-коннектора), поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере TACACS+) или Unknown (не прошедших авторизацию).

Для создания сервера авторизации TACACS+ необходимо нажать на кнопку Добавить, выбрать Добавить TACACS+-сервер и указать следующие параметры:

Наименование

Описание

Включен

Включает или отключает использование данного сервера авторизации

Название сервера

Название сервера авторизации

Секретный ключ

Общий ключ, используемый протоколом TACACS+ для авторизации

Адрес

IP-адрес сервера TACACS+

Порт

UDP-порт, на котором сервер TACACS+ слушает запросы на авторизацию. По умолчанию это порт UDP 1812

Использовать одно TCP-соединение

Использовать одно TCP-соединение для работы с сервером TACACS+

Таймаут (сек)

Время ожидания сервера TACACS+ для получения авторизации. По умолчанию 4 секунды

6.3.4. Сервер авторизации пользователей SAML IDP

Сервер авторизации SAML IDP (Security Assertion Markup Language Identity Provider) позволяет авторизовать пользователей c помощью развернутой на предприятии системе Single Sign-On (SSO), например, Microsoft Active Directory Federation Service. Это позволяет пользователю единожды авторизовавшись в системе SSO прозрачно проходить авторизацию на всех ресурсах, поддерживающих авторизацию SAML. UserGate может быть настроен в качестве SAML сервис-провайдера, использующего сервера SAML IDP для авторизации клиента.

Сервер SAML IDP не может предоставить свойства пользователей в UserGate и, если не настроено подключение к домену AD с помощью LDAP-коннектора, поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере SAML) или Unknown (не прошедших авторизацию).

Для использования авторизации с помощью сервера SAML IDP необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать DNS-записи для сервера UserGate

На контроллере домена создать DNS-записи соответствующую серверу UserGate для использования в качестве домена для auth.captive, например, utm.domain.loc. В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted.

Шаг 2. Настроить DNS-серверы на UserGate

В настройках UserGate в качестве системных DNS-серверов указать IP-адреса контроллеров домена.

Шаг 3. Изменить адрес Домен auth captive-портала

Изменить адрес Домен auth captive-портала в разделе Настройки на созданную на предыдущем шаге запись DNS. Подробно об изменении адреса домена Auth Captive-портала смотрите в разделе Общие настройки.

Шаг 4. Настроить сервер SAML IDP

Добавить на сервере SAML IDP запись о сервис-провайдере USERGATE, указывая созданное на шаге 1 FQDN имя.

Шаг 5. Создать сервер авторизации пользователей SAML IDP

Создать в USERGATE сервер авторизации пользователей SAML IDP.

Для создания сервера авторизации пользователей SAML IDP необходимо в разделе Пользователи и устройства-->Серверы авторизации нажать на кнопку Добавить, выбрать Добавить SAML IDP-сервер и указать следующие параметры:

Наименование

Описание

Включен

Включает или отключает использование данного сервера авторизации

Название сервера

Название сервера авторизации

Описание

Описание сервера авторизации

SAML metadata URL

URL на сервере SAML IDP, где можно скачать xml-файл с корректной конфигурацией для сервис-провайдера (клиента) SAML. При нажатии на кнопку Загрузить происходит заполнение необходимых полей настройки сервера авторизации данными, полученными из xml-файла. Это предпочтительный метод настройки сервера авторизации SAML IDP. Подробно о сервере SAML смотрите в соответствующей документации

Сертификат SAML IDP

Сертификат, который будет использован в SAML-клиенте. Возможны варианты:

  • Создать новый сертификат из скачанного - если при настройке был использован метод загрузки xml- файла, то сертификат автоматически создается и ему назначается роль SAML IDP (смотрите раздел Сертификаты)

  • Использовать существующий сертификат. Сертификат уже должен быть создан или импортирован в разделе Сертификаты, и ему не должна быть назначена роль. После создания и сохранения сервера авторизации этому сертификату будет назначена роль SAML IDP

  • Не использовать сертификат

Single sign-on URL

URL, используемая в сервере SAML IDP в качестве единой точки входа. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации

Single sign-on binding

Метод, используемый для работы с единой точкой входа SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации

Single logout URL

URL, используемый в сервере SAML IDP в качестве единой точки выхода. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации

Single logout binding

Метод, используемый для работы с единой точкой выхода SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации

6.3.5. Сервер авторизации NTLM

Авторизация NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации с помощью NTLM сервер UserGate работает с контроллерами домена, которые выполняют проверку пользователя, который получает доступ в интернет.

Сервер NTLM не может предоставить список пользователей в UserGate и, если пользователи не были заведены в UserGate предварительно (например, как локальные пользователи или получены из домена AD с помощью LDAP-коннектора), поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере NTLM) или Unknown (не прошедших авторизацию).

Авторизация NTLM может работать как при явном указании прокси-сервера в браузере пользователя (это стандартный режим), так и в прозрачном режиме, когда прокси-сервер в браузере не указан. Настройка UserGate не отличается от режима работы авторизации.

Для настройки авторизации с помощью NTLM необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Настроить синхронизацию времени с контроллером домена

В настройках UserGate включить синхронизацию времени с серверами NTP, в качестве основного и - опционально - запасного NTP-сервера указать IP-адреса контроллеров домена

Шаг 2. Создать DNS-запись для сервера UserGate

На контроллере домена создать DNS-записи, соответствующие серверу UserGate для использования в качестве домена для auth.captive и logout.captive, например, auth.domain.loc и logout.domain.loc

В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted.

Шаг 3. Изменить адрес Домен Auth Captive-портала

Изменить адрес домена Auth Captive-портала и опционально адрес домена Logout Captive-портала в разделе Настройки.

Для домена Auth Captive-портала необходимо указать созданную на предыдущем шаге запись DNS.

Для домена Logout Captive-портала необходимо указать созданную на предыдущем шаге запись DNS.

Подробно об изменении адресов доменов Auth Captive-портала и Logout Captive-портала смотрите в разделе Настройка Captive-портала.

Шаг 4. Добавить NTLM-сервер авторизации

В разделе Серверы авторизации нажать на кнопку Добавить, выбрать Добавить NTLM-сервер и указать название и имя домена Windows. Для корректной работы авторизации NTLM, необходимо, чтобы указанное здесь имя домена резолвилось в IP-адреса контроллеров домена.

Шаг 5. Создать правило Captive-портала с авторизацией NTLM

Настроить Captive-портал для использования метода авторизации NTLM. Более подробно о Captive-портале рассказывается в следующих главах руководства

Шаг 6. Разрешить доступ к сервису HTTP(S) для зоны

В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью NTLM

Шаг 7. Для авторизации в стандартном режиме настроить прокси-сервер на компьютерах пользователей

На компьютерах пользователей указать обязательное использование прокси-сервера, указать IP-адрес Trusted интерфейса UserGate в качестве адреса прокси сервера.

Важно! Вместо IP-адреса можно использовать доменное имя, но для NTLM важно, чтобы это имя было не из домена Active Directory, иначе Windows-компьютер будет пытаться использовать авторизацию Kerberos

Шаг 8. Для авторизации в прозрачном режиме настроить автоматическую проверку подлинности пользователя браузером для всех зон

На компьютерах пользователей зайдите в Панель управления-->Свойства браузера-->Безопасность, выберите зону Интернет--> Уровень безопасности-->Другой-->Проверка подлинности пользователя и установите Автоматический вход в сеть с текущем именем пользователя и паролем

(Control panel-->Internet options-->Security, выберите зону Internet -->Custom level-->User Authentication-->Logon и установите Automatic logon with current name and password)

Повторите данную настройку для всех других зон, настроенных на данном компьютере (Local intranet, Trusted sites).

6.3.6. Метод авторизации Kerberos

Авторизация Kerberos позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации через Kerberos сервер UserGate работает с контроллерами домена, которые выполняют проверку пользователя, который получает доступ в интернет.

Авторизация Kerberos может работать как при явном указании прокси-сервера в браузере пользователя (это стандартный режим), так и в прозрачном режиме, когда прокси-сервер в браузере не указан.

Для авторизации Kerberos необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать DNS-записи для сервера UserGate

На контроллере домена создать DNS-записи соответствующую серверу UserGate для использования в качестве домена для auth.captive и logout.captive, например, auth.domain.loc и logout.domain.loc

В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted.

Важно! Для корректной работы создайте записи типа A, не используйте CNAME-записи.

Шаг 2. Создать пользователя для сервера UserGate

Создать пользователя в домене AD, например, kerb@domain.loc с опцией password never expires. Установите пароль пользователю kerb.

Важно! Не используйте символы национальных алфавитов, например, кириллицу, в именах пользователя kerb или в организационных единицах Active Directory, где вы планируете создать учетную запись пользователя kerb.

Важно! Не используйте в качестве пользователя для Kerberos пользователя, созданного для работы LDAP-коннектора. Необходимо использовать отдельную учетную запись.

Шаг 3. Создать keytab файл

На контроллере домена, создать keytab файл, выполнив следующую команду из-под администратора (команда в одну строку!):

ktpass.exe /princ HTTP/auth.domain.loc@DOMAIN.LOC /mapuser kerb@DOMAIN.LOC /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out C:\utm.keytab

Введите пароль пользователя kerb.

Важно! Команда чувствительна к регистру букв. В данном примере:
auth.domain.loc - DNS-запись, созданная для сервера UserGate на шаге 1
DOMAIN.LOC - Kerberos realm domain, обязательно большими буквами!
kerb@DOMAIN.LOC - имя пользователя в домене, созданное на шаге 2, имя realm-домена обязательно большими буквами!

Шаг 4. Настроить DNS-серверы на UserGate

В настройках UserGate в качестве системных DNS-серверов указать IP-адреса контроллеров домена.

Шаг 5. Настроить синхронизацию времени с контроллером домена

В настройках UserGate включить синхронизацию времени с серверами NTP, в качестве основного и - опционально - запасного NTP-сервера указать IP-адреса контроллеров домена.

Шаг 6. Изменить адрес Домен auth captive-портала

Изменить адрес Домен auth captive-портала и опционально адрес Домен logout captive-портала в разделе Настройки на созданные на предыдущем шаге записи DNS. Подробно об изменении адресов доменов смотрите в разделе Общие настройки.

Шаг 7. Создать LDAP-коннектор и загрузить в него keytab-файл

Создать сервер авторизации типа LDAP коннектор и загрузить полученный на предыдущем шаге keytab-файл.

Важно! Не используйте в качестве пользователя для LDAP-коннектора, пользователя, созданного ранее для работы Kerberos. Необходимо использовать отдельную учетную запись.

Подробно о настройке LDAP-коннектора смотрите раздел LDAP-коннектор.

Шаг 8. Создать правило Captive-портала с авторизацией Kerberos

Настроить Captive-портал для использования метода авторизации Kerberos. Более подробно о Captive-портале рассказывается в разделе Настройка Captive-портала.

Шаг 9. Разрешить доступ к сервису HTTP(S) для зоны

В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью Kerberos.

Шаг 10. Для авторизации в стандартном режиме настроить прокси-сервер на компьютерах пользователей

На компьютерах пользователей указать обязательное использование прокси-сервера в виде FQDN-имени USERGATE, созданного на шаге 3.

Шаг 11. Для авторизации в прозрачном режиме настроить автоматическую проверку подлинности пользователя браузером для всех зон

На компьютерах пользователей зайдите в Панель управления-->Свойства браузера-->Безопасность, выберите зону Интернет--> Уровень безопасности-->Другой-->Проверка подлинности пользователя и установите Автоматический вход в сеть с текущем именем пользователя и паролем

(Control panel-->Internet options-->Security, выберите зону Internet -->Custom level-->User Authentication-->Logon и установите Automatic logon with current name and password)

Повторите данную настройку для всех других зон, настроенных на данном компьютере (Local intranet, Trusted sites).

6.3.7. Метод авторизации HTTP Basic

Авторизация Basic позволяет авторизовать пользователей с явно указанным прокси сервером по базе локальных пользователей. Не рекомендуется использовать данный тип авторизации поскольку имя пользователя и пароль передаются в открытом виде по сети. Авторизация HTTP Basic можно использовать для автоматической авторизации утилит командной строки, которым необходим доступ в интернет, например:

curl -x 192.168.179.10:8090 -U user: password http://www.msn.com

Для авторизации HTTP Basic необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать DNS-запись для сервера UserGate

На контроллере домена создать DNS-записи, соответствующие серверу UserGate для использования в качестве домена для auth.captive и logout.captive, например, auth.domain.loc и logout.domain.loc

В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted.

Шаг 2. Изменить адрес Домен Auth Captive-портала

Изменить адрес домена Auth Captive-портала и опционально адрес домена Logout Captive-портала в разделе Настройки.

Для домена Auth Captive-портала необходимо указать созданную на предыдущем шаге запись DNS.

Для домена Logout Captive-портала необходимо указать созданную на предыдущем шаге запись DNS.

Подробно об изменении адресов доменов Auth Captive-портала и Logout Captive-портала смотрите в разделе Общие настройки.

Шаг 3. Создать правило Captive-портала с авторизацией HTTP Basic

Настроить Captive-портал для использования метода авторизации HTTP Basic. Более подробно о Captive-портале рассказывается в следующих главах руководства.

Шаг 4. Разрешить доступ к сервису HTTP(S) для зоны

В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью NTLM.

Шаг 5. Настроить прокси-сервер на компьютерах пользователей

На компьютерах пользователей указать обязательное использование прокси-сервера, указать IP-адрес Trusted интерфейса UserGate в качестве адреса прокси сервера.

6.4. Профили авторизации

Профиль авторизации позволяет указать набор способов и параметров авторизации пользователей, которые в дальнейшем можно будет использовать в различных подсистемах UserGate, например, Captive-портал, VPN, веб-портал и т.д. Чтобы создать профиль авторизации, необходимо в разделе Пользователи и устройства - Профили авторизации нажать на кнопку Добавить и указать необходимые параметры:

Наименование

Описание

Название

Название Captive-профиля

Описание

Описание Captive-профиля

Профиль MFA

Профиль мультифакторной авторизации. Должен быть предварительно создан в разделе Профили MFA, если планируется использовать мультифакторную авторизацию с данным профилем авторизации. Профиль определяет способ доставки одноразового пароля для второго метода авторизации. Более подробно о настройке профиля MFA смотрите в соответствующей главе далее.

Важно! Мультифакторная авторизация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная авторизация невозможна для методов аутентификации Kerberos и NTLM

Время бездействия до отключения

Данный параметр определяет, через сколько секунд UserGate переведет пользователя из Known users в Unknown users при неактивности пользователя (отсутствии сетевых пакетов с IP-адреса пользователя).

Время жизни авторизованного пользователя

Данный параметр определяет, через сколько секунд UserGate переведет пользователя из Known users в Unknown users. По происшествии указанного времени пользователю потребуется повторно авторизоваться на Captive-портале

Число неудачных попыток авторизации

Разрешенное количество неудачных попыток авторизации через Captive-портал до блокировки учетной записи пользователя

Время блокировки пользователя

Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток авторизации

Методы аутентификации

Созданные ранее методы авторизации пользователей, например, сервер авторизации Active Directory или Radius. Если указано более одного метода авторизации, то они будут использоваться в порядке, в котором они перечислены в консоли.

Также возможно использование встроенных механизмов авторизации, таких как:

  • Локальный пользователь - авторизация по базе данных локально заведенных пользователей.

  • Принять политику – не требуется авторизация, но прежде чем получить доступ в интернет, пользователь должен согласиться с политикой использования сети. Данный тип авторизации необходимо применять совместно с профилем Captive-портала, в котором используется страница авторизации Captive portal policy.

  • HTTP Basic – авторизация с помощью устаревшего метода HTTP Basic.

  • Аутентификация Kerberos – авторизация с помощью Kerberos.

6.5. Настройка Captive-портала

Captive-портал позволяет авторизовать неизвестных пользователей (Unknown users) с помощью методов авторизации с использованием каталогов Active Directory, Radius, TACACS+, SAML IDP, Kerberos, NTLM или локальной базы пользователей. Кроме этого, с помощью Captive-портала можно настроить самостоятельную регистрацию пользователей с подтверждением идентификации через SMS или e-mail.

Следует помнить, что:

  • Идентифицированные пользователи, например, у которых в свойствах пользователя явно указан IP-адрес, идентифицированные с помощью агентов авторизации терминальных серверов или для систем Windows, не авторизуются на Captive-портале. Такие пользователи уже относятся к типу Known users и не требуют дополнительной идентификации

  • Авторизация с помощью Captive-портала возможна только для протоколов HTTP и HTTPS. Например, если вы создали правило межсетевого экрана, разрешающее доступ в интернет по протоколу FTP только для пользователя Known users, то пользователи не смогут получить доступ в интернет по этому протоколу до тех пор, пока они не станут идентифицированными, то есть не запустят у себя браузер и не пройдут авторизацию на Captive-портале

  • Если Captive-портал использует метод авторизации Active Directory, то пользователь должен указывать в качестве логина свое доменное имя в формате DOMAIN\username или username@domain

Настройка Captive-портала сводится к следующим шагам:

Наименование

Описание

Шаг 1. Создать метод авторизации, например, авторизация с помощью домена Active Directory

В консоли UserGate в разделе Пользователи и устройства-->Серверы авторизации нажать на кнопку Добавить и создать сервер авторизации

Шаг 2. Создать профиль авторизации, в котором указать необходимые методы авторизации

В консоли UserGate в разделе Пользователи и устройства-->Профили авторизации нажать на кнопку Добавить и создать профиль авторизации, используя созданный ранее метод авторизации

Шаг 3. Создать Captive-профиль, в котором указать необходимые профили авторизации

В консоли UserGate в разделе Пользователи и устройства-->Captive-профили нажать на кнопку Добавить и создать Captive-профиль, используя созданный ранее профиль авторизации

Шаг 4. Создать правило Captive-портала

Правило Captive-портала определяет трафик, к которому должны быть применены методы идентификации пользователей, указанные в Captive-профиле. В консоли UserGate в разделе Пользователи и устройства-->Captive-портал нажать на кнопку Добавить и создать правило Captive-портала

Шаг 5. Настроить DNS для доменов auth.captive и logout.captive

Служебные доменные имена auth.captive и logout.captive используются UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть. Альтернативное решение - настроить параметры Домен auth captive-портала и Домен logout captive-портала. Более детально эти параметры описаны в разделе Общие настройки.

Создание методов авторизации подробно рассматривалось в предыдущих главах. Рассмотрим более подробно создание Captive-профиля и правил Captive-портала.

Чтобы создать Captive-профиль, необходимо в разделе Captive-профили нажать на кнопку Добавить и указать необходимые параметры:

Наименование

Описание

Название

Название Captive-профиля

Описание

Описание Captive-профиля

Шаблон страницы авторизации

Выбрать шаблон страницы авторизации. Создавать страницы авторизации можно в разделе Библиотеки-->Шаблоны страниц. Если необходимо настроить самостоятельную регистрацию пользователей с подтверждением по SMS или e-mail, то следует выбрать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth)

Метод идентификации

Метод, с помощью которого UserGate запомнит пользователя. Возможны 2 варианта:

  • Запоминать IP-адрес. После успешной авторизации пользователя через Captive-портал UserGate запоминает IP-адрес пользователя, и все последующие соединения с этого IP-адреса будут относятся к данному пользователю. Данный метод позволяет идентифицировать данные, передаваемые по любому из протоколов семейства TCP/IP, но не будет корректно работать при наличии NAT-подключения между пользователями и сервером UserGate.

    Это рекомендуемое значение, устанавливаемое по умолчанию.

  • Запоминать cookie. После успешной авторизации пользователя через Captive-портал UserGate добавляет в браузер пользователя cookie, с помощью которого идентифицирует последующие соединения данного пользователя. Данный метод позволяет авторизовать пользователей, находящихся за NAT-устройством, но авторизуется только протокол HTTP(S) и только в том браузере, в котором происходила авторизация через Captive-портал. Кроме этого, для авторизации HTTPS-сессий пользователя UserGate будет принудительно дешифровать все HTTPS-соединения. Для правил межсетевого экрана пользователь, идентифицированный по cookie, будет всегда определен как Unknown user

Профиль авторизации

Созданный ранее профиль авторизации, определяющий методы аутентификации

URL для редиректа

URL, куда будет перенаправлен пользователь после успешной авторизации с помощью Captive-портала. Если не заполнено, то пользователь переходит на запрошенный им URL

Разрешить браузерам запомнить авторизацию

Включает возможность сохранить авторизацию в браузере на указанное время в часах. Для сохранения авторизационной информации используются cookie

Предлагать выбор домена AD/LDAP на странице авторизации Captive-портала

Если в качестве метода аутентификации используется авторизация с помощью Active Directory, то при включении данного параметра пользователь сможет выбрать имя домена из списка на странице авторизации. Если данный параметр не включен, пользователь должен явно указывать домен в виде DOMAIN\username или username@domain

Показывать CAPTCHA

При включении данной опции пользователю будет предложено ввести код, который ему будет показан на странице авторизации Captive-портала. Рекомендуемая опция для защиты от ботов, подбирающих пароли пользователей

HTTPS для страницы авторизации

Использовать HTTPS при отображении страницы авторизации Captive-портала для пользователей. Необходимо иметь корректно настроенный сертификат для SSL Captive-портала. Более подробно о сертификатах смотрите в разделе Управление сертификатами.

Для настройки самостоятельной регистрации пользователей с подтверждением пароля с помощью SMS или e-mail необходимо настроить параметры на вкладке Регистрация гостевых пользователей. Следует помнить, что в этом случае необходимо использовать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth).

Наименование

Описание

Профиль оповещения

Профиль оповещения, который будет использоваться для отсылки информации о созданном пользователе и его пароле. Может использоваться 2 типа - SMS и e-mail. Более подробно о создания профиля оповещения смотрите в главе Профили оповещений.

От

Указать, от имени кого будут отправляться оповещения

Тема оповещения

Тема оповещения (только для e-mail-оповещений)

Письмо оповещения

Тело письма сообщения. В письме можно использовать специальные переменные {login} и {password}, которые будут заменены на имя пользователя и его пароль.

Дата и время окончания

Время, когда учетная запись временного пользователя будет отключена

Время жизни

Продолжительность времени с момента первой авторизации временного пользователя, по истечении которого его учетная запись будет отключена

Длина пароля

Определяет длину пароля для создаваемого пользователя

Сложность пароля

Определяет сложность пароля для создаваемого пользователя. Возможны варианты: Цифры Буквы цифры Буквы+цифры+спецсимволы

Группы

Группа для временных пользователей, в которую будут помещены создаваемые пользователи. О группах для временных пользователей читайте в главе Гостевой портал.

Чтобы создать правило Captive-портала, необходимо нажать на кнопку Добавить в разделе правил Captive-портала и указать необходимые параметры:

Наименование

Описание

Название

Название правила Captive-портала.

Описание

Описание правила Captive-портала.

Captive-профиль

Выбрать Captive-профиль, созданный ранее. Доступно действие Не использовать аутентификацию, при выборе которого авторизация не будет требоваться.

Записывать в журнал правил

При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики.

Источник

Адреса источника. В качестве источника можно указать определенную зону, например, зону LAN и диапазон адресов IP. Могут быть использованы IP-адреса стран (Geo-IP).

Назначение

Адреса назначения. В качестве адресов можно указать определенную зону, например, зону WAN и диапазон адресов IP. Могут быть использованы IP-адреса стран (Geo-IP).

Категории

Категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию.

URL

Списки URL, для которых будет применяться правило.

Время

Время, когда данное правило будет активно.

Таким образом, создав несколько правил Captive-портала, можно настроить различные политики идентификации пользователей для различных зон, адресов, категорий сайтов и времени.

Примечание

Условия, указанные во вкладках правила, применяются согласно логике “И”, то есть требуют совпадения всех указанных условий для того, чтобы правило сработало. Если необходимо использовать логику “ИЛИ”, то это достигается путем создания нескольких правил.

Примечание

Правила применяются в порядке, в котором они отображаются в консоли. Вы можете изменить порядок правил с помощью соответствующих кнопок.

Примечание

При обработке правил применяется только первое сработавшее правило.

В случае, если необходимо сменить пользователя после его авторизации в системе или выйти из системы, необходимо перейти на URL http://logout.captive и нажать на кнопку Выйти.

6.6. Профили MFA (мультифакторной аутентификации)

Мультифакторная аутентификация - это метод идентификации пользователя, где используются два или более различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту учетной записи от несанкционированного доступа.

UserGate поддерживает мультифакторную аутентификацию с использованием имени пользователя и пароля в качестве первого типа аутентификации и следующих типов в качестве второго:

  • TOTP (Time-based One Time Password) токена в качестве второго. TOTP-токен создает одноразовый пароль на основе времени, то есть время является параметром; более подробно о TOTP можно прочитать в https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm. В качестве TOTP-токена могут выступать различные устройства либо программное обеспечение, установленное на смартфоны пользователей, например, Google Authenticator

  • SMS - получение одноразового пароля по SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в USERGATE или в доменной учетной записи в Active Directory

  • Email - получение одноразового пароля по электронной почте. Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в USERGATE или в доменной учетной записи в Active Directory.

Чтобы настроить мультифакторную аутентификацию, необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Настроить авторизацию с помощью Captive-портала

Мультифакторная авторизация работает только при авторизации пользователей с помощью Captive-портала. Смотрите раздел Настройка Captive-портала для подробной информации

Шаг 2. Создать профиль мультифакторной авторизации

В разделе консоли Пользователи и устройства-->Профили MFA создать профиль мультифакторной авторизации. При создании профиля указать необходимые настройки доставки второго фактора авторизации. Возможно создать 3 типа доставки:

  • MFA через TOTP - доставка второго фактора авторизации с помощью токенов TOTP

  • MFA через SMS - доставка второго фактора авторизации с помощью SMS

  • MFA через email - доставка второго фактора авторизации с помощью email

Для способа доставки MFA через TOTP необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля MFA

Описание

Описание профиля MFA

Инициализация TOTP

Для получения токенов TOTP необходимо произвести первоначальную инициализацию устройства или ПО клиента. Для этого требуется ввести уникальный ключ в устройство или ПО клиента. Передать первоначальный код для инициализации TOTP можно следующими средствами:

  • Показать на странице Captive-портала после первой успешной авторизации. Для этого варианта необходимо выбрать Показать ключ на странице Captive -портала

  • Выслать с помощью SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в USERGATE или в доменной учетной записи в Active Directory. Для этого варианта необходимо выбрать подходящий, созданный ранее профиль отсылки SMS (профиль SMPP)

  • Выслать с помощью email Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в USERGATE или в доменной учетной записи в Active Directory. Для этого варианта необходимо выбрать подходящий, созданный ранее профиль отсылки email (профиль SMTP)

Показывать QR -код

Показывать QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента

В случае, если пользователь утратил токен, администратор может потребовать повторной инициализации TOTP-токена. Для этого ему необходимо выбрать данного пользователя в списке пользователей (Пользователи и устройства-->Пользователи) и выбрать действие Сбросить ключ TOTP. При следующей авторизации пользователю будет предложено заново проинициализировать свой токен.

Для способа доставки MFA через SMS необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля MFA

Описание

Описание профиля MFA

Профиль отправки MFA

Профиль SMPP, который будет использован для отправки паролей с помощью сообщений SMS. Подробно о настройке профилей отсылки сообщений через SMS смотрите в разделе Профили оповещений.

От

Указать, от имени кого будут отправляться оповещения

Содержимое

Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль.

Время жизни MFA кода

Срок действия одноразового пароля

Для способа доставки MFA через email необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля MFA

Описание

Описание профиля MFA

Профиль отправки MFA

Профиль SMTP, который будет использован для отправки паролей с помощью сообщений электронной почты. Подробно о настройке профилей отсылки сообщений по электронной почте смотрите в разделе Профили оповещений.

От

Указать, от имени кого будут отправляться оповещения

Тема

Тема оповещения

Содержимое

Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль.

Время жизни MFA кода

Срок действия одноразового пароля

6.7. Пользователи терминальных серверов

Терминальный сервер служит для удаленного обслуживания пользователя с предоставлением рабочего стола или консоли. Как правило, один терминальный сервер предоставляет свой сервис нескольким пользователям, а в некоторых случаях десяткам или даже сотням пользователей. Проблема идентификации пользователей терминального сервера состоит в том, что у всех пользователей сервера будет определен один и тот же IP-адрес, и UserGate не может корректно идентифицировать сетевые подключения пользователей. Для решения данной проблемы предлагается использование специального агента терминального сервиса.

Агент терминального сервиса должен быть установлен на все терминальные серверы, пользователей которых необходимо идентифицировать. Агент представляет собой сервис, который передает на сервер UserGate информацию о пользователях терминального сервера и об их сетевых соединениях. В силу специфики работы протокола TCP/IP, агент терминального сервиса может идентифицировать трафик пользователей, передаваемый только с помощью TCP и UDP протоколов. Протоколы, отличные от TCP/UDP, например, ICMP, не могут быть идентифицированы.

Для корректной идентификации пользователей требуется настроенный сервер Active Directory коннектор.

Чтобы начать работу с идентификацией пользователей на терминальных серверах, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Разрешить сервис агент авторизации на необходимой зоне

В разделе Сеть-->Зоны разрешить сервис Агент авторизации для той зоны, со стороны которой расположены серверы терминального доступа.

Шаг 2. Задать пароль агентов терминального сервера

В консоли UserGate в разделе Пользователи и устройства--> Терминальные серверы нажать на кнопку Настройки и задать Пароль агентов терминального сервера

Шаг 3. Установить агент терминального сервера

Установить агент терминального сервера на все серверы, для которых необходимо идентифицировать пользователей. При установке следует задать IP-адрес сервера UserGate и заданный на предыдущем шаге пароль

Шаг 4. Включить необходимые серверы в консоли UserGate

После установки агентов в консоли UserGate появится список терминальных серверов. С помощью кнопок Включить и Отключить можно разрешить или запретить принимать идентификацию пользователей с выбранных серверов

UserGate теперь будет получать информацию о пользователях.

Если на терминальном сервере настроено несколько IP-адресов, то все они будут использованы для авторизации пользователей. Если необходимо ограничить выход пользователей в интернет только с определенных IP-адресов терминального сервера, то необходимо внести изменения в конфигурационный файл агента авторизации для терминальных серверов и перезапустить его сервис.

Файл конфигурации: C:\ProgramData\Entensys\Terminal Server Agent\tsagent.cfg

Исключаемые IP-адреса необходимо указать в виде:

ExcludeIP=IP1;IP2

6.8. Агент авторизации для Windows

Для пользователей, работающих на операционной системе Windows, входящих в домен Active Directory, существует еще один способ идентификации - использовать специальный агент авторизации. Агент представляет собой сервис, который передает на сервер UserGate информацию о пользователе, его имя и IP-адрес, соответственно, UserGate будет однозначно определять все сетевые подключения данного пользователя, и идентификация другими методами не требуется. Чтобы начать работу с идентификацией пользователей с помощью агента авторизации, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Разрешить сервис агент авторизации на необходимой зоне

В разделе Сеть-->Зоны разрешить сервис Агент авторизации для той зоны, со стороны которой находятся пользователи

Шаг 2. Задать пароль агентов терминального сервера

В консоли UserGate в разделе Пользователи и устройства--> Терминальные серверы нажать на кнопку Настройки и задать Пароль агентов терминального сервера.

Шаг 3. Установить агент авторизации

Установить агент авторизации на все компьютеры, для которых необходимо идентифицировать пользователей.

Агент авторизации поставляется вместе с административным шаблоном для распространения через политики Active Directory. Используя этот шаблон, администратор может развернуть корректно настроенный агент на большое количество пользовательских компьютеров. С помощью административного шаблона администратор может задать IP-адрес и порт сервера UserGate, и заданный на предыдущем шаге пароль. Более подробно о развертывании ПО с использованием политик Active Directory вы можете прочитать в документации Microsoft.

Агент может быть установлен и без использования групповых политик. Для этого необходимо установить агент из инсталлятора и указать необходимые параметры для подключения к серверу UserGate в следующих ключах реестра:
[HKEY_CURRENT_USER\Software\Policies\Entensys\Auth Client]
"ServerIP"=""
"ServerPort"="1813"
"SharedKey"=""

UserGate теперь будет получать информацию о пользователях. Если в системе настроен Active Directory коннектор, то в политиках безопасности можно использовать имена пользователей, как они указаны в Active Directory. Если списка пользователей в UserGate нет, то можно использовать пользователей Known и Unknown.

6.9. Прокси-агент для Windows

Для пользователей, работающих на операционной системе Windows, существует возможность предоставить доступ в интернет через явно указанный прокси-сервер программам, которые не поддерживают работу через прокси-сервер. Иногда также возникает необходимость предоставить таким программам доступ в интернет в случае, когда UserGate не является шлюзом в интернет по умолчанию для пользовательских компьютеров. Для подобных случаев можно использовать прокси-агент. Прокси-агент пересылает все TCP-запросы, идущие не на локальные адреса, на UserGate, который выступает для них прокси-сервером.

Примечание

Прокси-агент не авторизует пользователя на UserGate, таким образом, если необходима авторизация, то потребуется настроить один из способов авторизации пользователей, например, установить агент авторизации для Windows.

Установить прокси-агент возможно вручную либо с использованием политик Active Directory.

Если устанавливаете не политикой, то для настройки агента необходимо создать текстовый файл utmagent.cfg в директории in C:\Documents and Settings\All Users\Application Data\Entensys\UTMAgent\. В файле конфигурации следует указать:

ServerName=10.255.1.1

ServerHttpPort=8090

LocalNetwork=192.168.1.0/24; 192.168.0.0/24; 192.168.30.0/24;

ServerName и ServerHttpPort - IP-адрес и порт прокси-сервера на UserGate, по умолчанию это порт 8090.
LocalNetwork - список сетей, которые не нужно направлять в прокси. Сеть интерфейсов машины не направляется в прокси по умолчанию.

После создания или изменения файла конфигурации необходимо перезапустить сервис прокси-агента.

Если вы устанавливаете через GPO, прокси-агент поставляется вместе с административным шаблоном для распространения через политики Active Directory. Используя этот шаблон, администратор может развернуть корректно настроенный агент на большое количество пользовательских компьютеров. Более подробно о развертывании ПО с использованием политик Active Directory вы можете прочитать в документации Microsoft

Все необходимые параметры для корректной работы прокси-агента задаются при настройке групповой политики. При установке параметры вносятся в реестр пользовательского компьютера и имеют приоритет перед файлом .cfg. При удалении агента политикой значения реестра не удаляются, сохраняясь в ветке реестра:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Entensys\UTMAgent

6.10. Гостевой портал

UserGate позволяет создавать списки гостевых пользователей. Данная возможность может быть полезна для гостиниц, публичных Wi-Fi, сетей интернет, где необходимо идентифицировать пользователей и предоставить им доступ на ограниченное время.

Гостевые пользователи могут быть созданы заранее администратором системы или пользователям может быть предоставлена возможность самостоятельной регистрации в системе с подтверждением через SMS или e-mail.

Для создания списка гостевых пользователей администратором необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать администратора гостевых пользователей (опционально)

  • В разделе Администраторы нажать кнопку Добавить и создать профиль администратора, разрешающий Гостевой портал для чтения и записи в закладке Разрешения для веб-консоли. Данный профиль дает доступ в консоль управления временными пользователями

  • Создать учетную запись администратора и назначить ей созданную роль

Более подробно о создании администраторов UserGate смотрите соответствующий раздел руководства

Шаг 2. Создать группу, в которую будут помещены гостевые пользователи. Группа необходима для удобства управления политиками доступа гостевых пользователей

В консоли UserGate в разделе Группы нажать на кнопку Добавить и создать группу, отметив поле Группа для гостевых пользователей. Более подробно о создании групп пользователей смотрите соответствующий раздел руководства

Шаг 3. Подключиться к консоли управления Гостевого портала

В браузере перейти на адрес https://IP_UserGate:8001/ta Для авторизации необходимо использовать логин и пароль администратора устройства или администратора гостевых пользователей, созданного на шаге 1

Шаг 4. Создать список пользователей

В консоли нажать на кнопку Добавить и заполнить поля:

  • Количество пользователей

  • Комментарий

  • Дата и время окончания - время, когда учетная запись гостевого пользователя будет отключена

  • Длина пароля - определяет длину пароля для создаваемого пользователя

  • Сложность пароля - определяет сложность пароля для создаваемого пользователя. Возможны варианты:
    Цифры
    Буквы цифры
    Буквы+цифры+спецсимволы
  • Время жизни - продолжительность времени с момента первой авторизации гостевого пользователя, по истечении которого учетная запись будет отключена

  • Группа - созданная на шаге 2 группа, в которую будут помещены создаваемые пользователи

Список созданных пользователей можно посмотреть в разделе Пользователи консоли управления временными пользователями.

Для самостоятельной регистрации пользователей в системе необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать профиль оповещения SMPP (для подтверждения через SMS) или SMTP (для подтверждения через e-mail)

В разделе Библиотеки-->Профили оповещений нажать кнопку Добавить и создать профиль оповещения SMPP или SMTP. Более подробно о создании профилей оповещения смотрите раздел руководства Профили оповещений.

Шаг 2. Создать группу, в которую будут помещены гостевые пользователи. Группа необходима для удобства управления политиками доступа временных пользователей

В консоли UserGate в разделе Группы нажать на кнопку Добавить и создать группу, отметив поле Группа для гостевых пользователей. Более подробно о создании групп пользователей смотрите соответствующий раздел руководства

Шаг 3. Создать профиль Captive-портала, в котором указать использование профиля оповещений, для отсылки информации о созданной учетной записи

В разделе Пользователи и устройства в подразделе Captive-профили создать профиль, указав в нем использование созданного ранее профиля оповещения. Указать в качестве страницы авторизации шаблон Captive portal: email auth или Captive portal: SMS auth, в зависимости от способа отправки оповещения. Настроить сообщение оповещения, группу, в которую будут помещены временные пользователи, времена действия учетной записи. Более подробно о создании профилей оповещения смотрите раздел руководства Профили оповещений.

Шаг 4. Создать правило Captive-портала, которое будет использовать созданный на предыдущем шаге Captive-профиль

В разделе Пользователи и устройства-->Captive-портал создать правило, которое будет использовать созданный ранее Captive-профиль. Более подробно о создании правил Captive-портала смотрите раздел руководства Настройка Captive-портала.

6.11. Radius accounting

UserGate может быть настроен на обновление IP-адресов пользователей с помощью серверов Radius, отсылающих информацию Radius accounting. Такая работа зачастую необходима при интеграции UserGate в сети провайдеров, где пользователи получают динамические IP-адреса. Для обновления IP-адреса у пользователей необходимо выполнит следующие шаги:

Наименование

Описание

Завести пользователя в UserGate

Завести необходимых локальных пользователей в UserGate. Смотрите раздел Пользователи

Разрешить сервис Агент авторизации на требуемой зоне

В разделе Сеть-->Зоны, выберите зону, на интерфейс которой планируется отсылать Radius-accounting. Разрешите сервис Агент авторизации. Более подробно о настройке зон смотрите в разделе Настройка зон

Настроить пароль агентов терминального сервиса

В разделе Терминальные серверы, нажмите на кнопку Настройки и укажите пароль агента терминального сервиса. Данный пароль будет использоваться в качестве Radius secret при настройке сервера Radius

Настроить сервер Radius

Настроить на Radius сервере отсылку информации Radius-accounting на сервер UserGate, указав в качестве IP-адреса сервера IP-адрес UserGate, порт - UDP 1813. Указать Radius secret, совпадающий с паролем агента для терминального сервера, указанным на предыдущем шаге.

Настройте сервер таким образом, чтобы имя пользователя передавалось в атрибуте Radius User-Name (type=1), а IP-адрес пользователя в атрибуте Radius Framed-IP-Address (type=8)

Более подробно о настройке сервера Radius смотрите в руководстве на используемый вами сервер Radius

После выполнения данной настройки, UserGate будет изменять IP-адрес пользователя на присылаемый сервером Radius-accounting адрес. В зависимости от передаваемой информации UserGate будет вести себя следующим образом:

Наименование

Описание

Radius сервер прислал имя пользователя, который не заведен на UserGate

на Accounting-запрос будет ответ Accounting reject

Radius сервер прислал имя существующего пользователя и указал тип Acct-Status-Type = Start или Interim-Update

Указанному пользователю присвоится переданный IP-адрес. Если у пользователя уже был IP-адрес, отличный от переданного, то пользователю будет присвоено 2 и более IP-адресов.

Если пользователю уже присвоен данный IP-адрес, то ничего не происходит.

Если этот IP-адрес присвоен другому пользователю, то он будет удален у того пользователя и будет присвоен пользователю, указанному в запросе

Radius сервер прислал имя существующего пользователя и указал тип Acct-Status-Type = Stop

У указанного пользователя удалится переданный IP-адрес

6.12. Политики BYOD

Многие компании поддерживают работу сотрудников с персональных устройств, принадлежащих самим сотрудникам. Это так называемые устройства BYOD (Bring Your Own Device). UserGate дает администратору возможность управлять BYOD устройствами, например, установив ограничения на типы разрешенных устройств, на количество устройств, с которых пользователь может получить доступ к сети одновременно, или указав конкретные устройства, с которых будет разрешен доступ в интернет.

Примечание

Управление BYOD требует наличия корректно настроенной авторизации пользователей через Captive-портал. Пользовательские устройства, не авторизованные с помощью Captive-портала, не могут управляться с помощью политик BYOD. Более подробно о Captive-портале смотрите в главе .

Для управления устройствами BYOD необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать правило Captive-портала

Подробно о создании правил Captive-портала смотрите раздел Настройка Captive-портала.

Шаг 2. Создать политику BYOD

Создать одно или несколько правил политики BYOD

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Если не создано ни одного правила, то разрешены все типы устройств.

Чтобы создать правило политики BYOD, необходимо нажать на кнопку Добавить в разделе правил Политики BYOD и указать необходимые параметры:

Наименование

Описание

Название

Название правила политики BYOD

Описание

Описание правила политики BYOD

Действие

Разрешить - разрешает подключение к сети устройств, удовлетворяющих условиям правила Запретить - запрещает подключение к сети устройств, удовлетворяющих условиям правила

Подтверждение администратора

Только для разрешающих правил. Если данная опция включена, то после первой успешной авторизации пользователя через Captive-портал устройство пользователя помещается в список устройств BYOD, но доступ в сеть не предоставляется до подтверждения данного устройства администратором

Разрешено устройств всего

Только для разрешающих правил. Максимальное количество устройств, с которых пользователь может получать доступ в сеть. Если в правиле используются типы пользователей Known, Unknown или Any, то данный параметр не применяется

Разрешено устройств одновременно

Только для разрешающих правил. Максимальное количество устройств, с которых пользователь одновременно может получать доступ в сеть. Если в правиле используются типы пользователей Known, Unknown или Any, то данный параметр не применяется

Пользователи и группы

Список пользователей и групп пользователей, для которых применяется данное правило политики BYOD

Тип устройства

Тип устройств, для которых применяется данное правило политики BYOD

Устройства, с которых пользователи подключаются в сеть, отображаются в разделе Пользователи и устройства-->Устройства BYOD. Администратор может запретить доступ пользователя с определенного устройства, выбрав устройство в списке и нажав на кнопку Отключить, или разрешить доступ, нажав на кнопку Включить. Здесь же можно подтвердить доступ пользователя с определенного устройства в случае, если политика BYOD требует подтверждение устройства администратором.

7. Политики сети

Раздел Политики сети содержит следующие подразделы:

  • Межсетевой экран

  • NAT и маршрутизация

  • Балансировка нагрузки

  • Пропускная способность

С помощью политик сети администратор может настроить необходимый доступ в интернет для своих пользователей, опубликовать внутренние ресурсы сети в интернете, управлять скоростью передачи данных для определенных сервисов и приложений.

Примечание

Правила, созданные в данных разделах, применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила.

Для предоставления пользователям доступа в интернет необходимо:

Наименование

Описание

Шаг 1. Создать правило NAT (опционально)

Если необходимо наттирование трафика. Смотрите раздел NAT и маршрутизация.

Шаг 2. Создать разрешительное правило межсетевого экрана

Смотрите раздел Межсетевой экран.

Для публикации внутреннего ресурса в интернете необходимо:

Наименование

Описание

Шаг 1. Создать правило DNAT или правило reverse-прокси

Смотрите раздел Правила DNAT и Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси.

Чтобы указать для определенного сервиса или адреса выход в интернет через альтернативного провайдера, необходимо:

Наименование

Описание

Шаг 1. Создать правило Policy based routing

Смотрите раздел Policy-based routing.

Для того чтобы запретить или разрешить определенный тип трафика, проходящий через UserGate, необходимо:

Наименование

Описание

Шаг 1. Создать правило межсетевого экрана

Смотрите раздел Межсетевой экран.

Для того чтобы распределить трафик между несколькими внутренними серверами, необходимо:

Наименование

Описание

Шаг 1. Создать правило Балансировки нагрузки

Смотрите раздел Балансировка нагрузки.

Для того чтобы ограничить скорость для определенного сервиса или приложения, необходимо:

Наименование

Описание

Шаг 1. Создать правило Пропускной способности

Смотрите раздел Пропускная способность.

7.1. Межсетевой экран

С помощью правил межсетевого экрана администратор может разрешить или запретить любой тип транзитного сетевого трафика, проходящего через UserGate. В качестве условий правила могут выступать зоны и IP-адреса источника/назначения, пользователи и группы, сервисы и приложения.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Примечание

Если не создано ни одного правила, то любой транзитный трафик через UserGate запрещен.

Чтобы создать правило межсетевого экрана, необходимо нажать на кнопку Добавить в разделе Политики сети-->Межсетевой экран и указать необходимые параметры.

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Наименование

Описание

Включено

Включает или отключает правило

Название

Название правила

Описание

Описание правила

Действие

Запретить - блокирует трафик

Разрешить - разрешает трафик

Сценарий

Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии.

Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает

Записывать в журнал правил

Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика.

Пользователи

Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика.

Сервис

Тип сервиса, например, HTTP или HTTPS

Приложение

Список приложений, для которых применяется данное правило

Время

Интервалы времени, когда правило активно

7.2. NAT и маршрутизация

С помощью правил NAT и маршрутизации администратор может создавать правила NAT, DNAT и правила Policy based routing. UserGate поддерживает NAT/DNAT для сложных протоколов, которые могут использовать динамические порты для своей работы. Поддерживаются протоколы FTP, PPTP, SIP, H323.

7.2.1. Правила NAT

Как правило, для предоставления пользователям доступа в интернет необходимо создать хотя бы одно правило NAT из зоны Trusted в зону Untrusted.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Чтобы создать правило NAT, необходимо нажать на кнопку Добавить в разделе Политики сети--> NAT и маршрутизация и указать необходимые параметры.

Наименование

Описание

Включено

Включает или отключает правило

Название

Название правила

Комментарий

Описание правила

Тип

Выбрать NAT

SNAT IP (внешний адрес)

Явно указывает IP-адрес, на который будет заменен адрес источника при наттировании пакетов. Имеет смысл в случае наличия нескольких IP-адресов, назначенных интерфейсам зоны назначения. Если оставить это поле пустым, то система будет использовать произвольный адрес из списка доступных IP-адресов, назначенных интерфейсам зоны назначения.

Рекомендуется явно указывать SNAT IP для повышения производительности работы межсетевого экрана

Записывать в журнал правил

Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика.

Сервис

Тип сервиса, например, HTTP, HTTPS или другой.

Примечание

Рекомендуется создавать общие правила NAT, например, правило NAT из локальной сети (обычно зона Trusted) в интернет (обычно зона Untrusted), а разграничение доступа по пользователям, сервисам, приложениям осуществлять с помощью правил межсетевого экрана.

7.2.2. Правила DNAT

Правила DNAT обычно используются для публикации внутренних ресурсов сети в интернет. Для публикации серверов HTTP/HTTPS рекомендуется использовать публикацию с помощью правил reverse-прокси. Более подробно о публикации ресурсов с помощью правил reverse-прокси описано в главе Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси. Для публикации серверов, работающих по протоколам, отличным от HTTP/HTTPS, необходимо использовать публикацию DNAT.

Примечание

При наличии публикаций внутренних ресурсов с помощью DNAT/Порт-форвардинга, Reverse-прокси и веб-портала порядок применения правил следующий: 1. Правила DNAT. 2. Правила Reverse-прокси. 3. Правила веб-портала.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Чтобы создать правило DNAT, необходимо нажать на кнопку Добавить в разделе Политики сети--> NAT и маршрутизация и указать необходимые параметры.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Комментарий

Описание правила.

Тип

Выбрать DNAT.

Записывать в журнал правил

Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Назначение

Один из внешних IP-адресов сервера UserGate, доступный из сети интернет, куда адресован трафик внешних клиентов.

Сервис

Тип сервиса, который необходимо опубликовать, например, HTTP. Если не указан сервис, то будут опубликованы все сервисы. Важно! Нельзя опубликовать сервисы, которые используют следующие порты, поскольку они используются внутренними сервисами UserGate: 2200, 8001, 4369, 9000-9100.

Адрес назначения DNAT

IP-адрес компьютера в локальной сети, который публикуется в интернет.

Включить SNAT

При включении данной опции UserGate будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.

7.2.3. Правила порт-форвардинга

Правила порт-форвардинга работают аналогично правилам DNAT за исключением того, что эти правила позволяют изменить номер порта, по которому публикуется внутренний сервис. Чтобы создать правило порт-форвардинга, необходимо нажать на кнопку Добавить в разделе Политики сети-->NAT и маршрутизация и указать необходимые параметры.

Примечание

При наличии публикаций внутренних ресурсов с помощью DNAT/Порт-форвардинга, Reverse-прокси и веб-портала порядок применения правил следующий: 1. Правила DNAT. 2. Правила Reverse-прокси. 3. Правила веб-портала.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Комментарий

Описание правила.

Тип

Выбрать Порт-форвардинг.

Записывать в журнал правил

Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Порт-форвардинг

Переопределения портов публикуемых сервисов:

  • Оригинальный порт назначения - номер TCP/UDP-порта, на который пользователи шлют запросы.
    Важно! Нельзя использовать следующие порты, поскольку они используются внутренними сервисами UserGate: 2200, 8001, 4369, 9000-9100.
  • Новый порт назначения - номер TCP/UDP-порта, на который будут пересылаться запросы пользователей на внутренний публикуемый сервер.

Адрес назначения DNAT

IP-адрес компьютера в локальной сети, который публикуется в интернете.

Включить SNAT

При включении данной опции UserGate будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.

7.2.4. Policy-based routing

Правила policy-based routing обычно используются для указания определенного маршрута в интернет для определенных хостов и/или сервисов. Например, в организации используются 2 провайдера и необходимо весь HTTP-трафик пересылать через провайдера 1, а весь остальной - через провайдера 2. Для этого необходимо указать в качестве шлюза по умолчанию в интернет-шлюз провайдера 2 и настроить правило policy-based routing для HTTPS-трафика через шлюз провайдера 1.

Примечание

Правила PBR не заменяют и не влияют на работу правил NAT. Для трансляции адресов, после правила PBR необходимо поставить соответствующее правило NAT.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Чтобы создать правило policy-based routing, необходимо нажать на кнопку Добавить в разделе Политики сети-->NAT и маршрутизация и указать необходимые параметры.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Комментарий

Описание правила.

Тип

Выбрать Policy-based routing.

Шлюз

Выбор одного из существующих шлюзов. Вы можете добавить шлюз в разделе Сеть-->Шлюзы.

Важно! Выбранный шлюз может относиться к определенному виртуальному маршрутизатору.

Записывать в журнал правил

Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Кроме IP-адреса можно указать список MAC-адресов, для которых будет применятся правило.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Сервис

Тип сервиса, например, HTTP, HTTPS или другой.

7.2.5. Network mapping

Правила Network mapping позволяют подменить адрес сети источника или назначения. Как правило это необходимо, если имеется несколько сетей с одинаковой адресацией, например, 192.168.1.0/24, и их необходимо объединить в единую маршрутизируемую сеть. Без подмены адресов сетей такое объединение совершить невозможно. Network mapping изменяет только адрес сети, оставляя адрес хоста без изменений, например, при замене сети источника с 192.168.1.0/24 на 192.168.2.0/24 хост 192.168.1.1 будет изменен на 192.168.2.1.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Чтобы создать правило Network mapping, необходимо нажать на кнопку Добавить в разделе Политики сети-->NAT и маршрутизация и указать необходимые параметры.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Комментарий

Описание правила.

Тип

Выбрать Network mapping.

Записывать в журнал правил

Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика.

Назначение

Списки IP-адресов назначения трафика.

Сервис

Тип сервиса, например, HTTP, HTTPS или другой.

Network mapping

Задаются параметры подмены сетей.

Направление:

  • Входящий, подменяется IP-сеть назначения. Будут изменены IP-адреса назначения в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в поле Новая IP-сеть/маска.

  • Исходящий, подменяется IP-сеть источника. Будут изменены IP-адреса источника в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в поле Новая IP-сеть/маска.

  • Новая IP-сеть/маска - адрес сети, на которую будет производится замена.

7.3. Балансировка нагрузки

UserGate позволяет осуществлять балансировку нагрузки на различные сервисы, находящиеся внутри локальной сети. Балансировка может быть предоставлена:

  • Для внутренних серверов, публикуемых в интернете (DNAT)

  • Для внутренних серверов без публикации.

  • Для балансировки трафика, пересылаемого на внешние серверы (ферму) ICAP-серверов

  • Для балансировки трафика на серверы, публикуемые через reverse-прокси.

Балансировщик распределяет запросы, поступающие на IP-адрес виртуального сервера, на IP-адреса реальных серверов, используя при этом различные методы балансировки. Чтобы настроить балансировку, необходимо в разделе Политики сети-->Балансировка нагрузки создать правила балансировки.

Для создания правила балансировки для серверов TCP/IP необходимо выбрать пункт Добавить балансировщик TCP/IP и указать следующие параметры:

Наименование

Описание

Включен

Включает или отключает данное правило.

Название

Название правила балансировки.

Описание

Описание правила балансировки.

IP-адрес виртуального сервера

Необходимо выбрать из списка IP-адресов, назначенных на сетевые интерфейсы. При необходимости администратор может добавить дополнительные IP-адреса на желаемый интерфейс.

Порт

Порт, для которого необходимо производить балансировку нагрузки.

Протокол

Протокол - TCP или UDP - для которого необходимо производить балансировку нагрузки.

Метод балансировки

Возможны 4 различных метода распределения нагрузки на реальные серверы:

  • Round robin - каждое новое подключение передается на следующий сервер в списке, равномерно загружая все серверы .

  • Weighted round robin - работает аналогично Round robin, но загрузка реальных серверов осуществляется с учетом весовых коэффициентов, что позволяет распределить нагрузку с учетом производительности каждого сервера.

  • Least connections - новое подключение передается на сервер, на который в данный момент установлено наименьшее число соединений.

  • Weighted least connections - работает аналогично Least connections, но загрузка реальных серверов осуществляется с учетом весовых коэффициентов, что позволяет распределить нагрузку с учетом производительности каждого сервера.

Реальные серверы

Добавляется пул реальных серверов, на которые перенаправляется трафик. Для каждого из серверов необходимо указать:

  • IP-адрес сервера.

  • Порт сервера. Порт, на который пересылать запросы пользователей.

  • Вес. Данный коэффициент используется для неравномерного распределения нагрузки на реальные серверы для режимов балансировки weighted round robin и weighted least connections. Чем больше вес, тем больше будет нагрузка на сервер.

  • Режим. Может быть два варианта:
    Шлюз - для перенаправления трафика на виртуальный сервер используется маршрутизация.
    Маскарадинг - для перенаправления трафика на виртуальный сервер используется DNAT
    Маскарадинг с подменой IP-источника (SNAT) - аналогично маскарадингу, но при этом UserGate подменяет IP-адрес источника на свой.

Аварийный режим

Аварийный режим используется, когда не доступен ни один из реальных серверов. Для активации аварийного режима необходимо включить его и указать:

  • IP-адрес сервера.

  • Порт сервера. Порт, на который пересылать запросы пользователей.

  • Режим. Может быть два варианта:
    Шлюз - для перенаправления трафика на виртуальный сервер используется маршрутизация.
    Максарадинг - для перенаправления трафика на виртуальный сервер используется DNAT.
    Маскарадинг с подменой IP-источника (SNAT) - аналогично маскарадингу, но при этом UserGate подменяет IP-адрес источника на свой.

Мониторинг

С помощью мониторинга можно настроить проверку реальных серверов на определение их работоспособности. Если проверка прошла неуспешно для реального сервера, он исключается из балансировки.

Режим

Способ мониторинга реальных серверов. Возможны варианты:

  • ping - проверить доступность узла с помощью утилиты ping.

  • connect - проверить работоспособность узла, установив TCP-соединение на определенный порт.

  • negotiate - проверить работоспособность узла посылкой определенного HTTP- или DNS-запроса и сравнением полученного ответа с ожидаемым ответом. Для настройки этого режима следует выбрать тип сервиса (HTTP или DNS), строки Запрос и Ожидаемый ответ.

Интервал проверки

Интервал времени, через которое должна выполняться проверка.

Время ожидания

Интервал времени ожидания ответа на проверку .

Число неудачных попыток

Количество попыток проверки реальных серверов, по истечению которого сервер будет считаться неработоспособным и будет исключен из балансировки.

Примечание

Правила балансировки имеют более высокий приоритет и применяются до правил NAT/DNAT/Маршрутизации.

Балансировщик серверов ICAP позволяет распределить нагрузку на внешние серверы или ферму серверов ICAP, например, на внешнюю ферму серверов с антивирусным ПО. Данный балансировщик затем может быть использован в правилах ICAP. Для создания балансировщика серверов ICAP необходимо выбрать пункт Добавить балансировщик ICAP и указать следующие параметры:

Наименование

Описание

Включен

Включает или отключает данное правило.

Название

Название правила балансировки.

Описание

Описание правила балансировки.

ICAP-профили

Выбрать ICAP-профили серверов, на которые будет распределяться нагрузка. Более подробно о работе с серверами ICAP читайте в разделе Работа с внешними ICAP-серверами.

Балансировщик серверов reverse-прокси позволяет распределить нагрузку на внутренние серверы или ферму серверов, публикуемую с помощью правил reverse-прокси. Данный балансировщик затем может быть использован в правилах reverse-прокси. Для создания балансировщика reverse-прокси необходимо выбрать пункт Добавить балансировщик reverse-прокси и указать следующие параметры:

Наименование

Описание

Включен

Включает или отключает данное правило.

Название

Название правила балансировки.

Описание

Описание правила балансировки.

Reverse-прокси профили

Выбрать reverse-прокси профили серверов, на которые будет распределяться нагрузка). Более подробно о публикации с помощью reverse-прокси читайте в разделе Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси.

7.4. Пропускная способность

Правила управления пропускной способностью используются для ограничения канала для определенных пользователей, хостов, сервисов, приложений.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Чтобы создать правило пропускной способности, необходимо нажать на кнопку Добавить в разделе Политики сети-->Пропускная способность и указать необходимые параметры.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Полоса пропускания

Выбрать одну из полос пропускания. Полоса пропускания может опционально изменять метки приоритезации трафика DSCP. Создать дополнительные полосы пропускания можно в разделе Полосы пропускания.

Сценарий

Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Политики безопасности-->Сценарии.

Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Пользователи

Пользователи или группы пользователей, к которым применится правило.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Сервис

Тип сервиса, например, HTTP, HTTPS или другой.

Приложения

Список приложений, для которых необходимо ограничить полосу пропускания.

Время

Время, когда данное правило активно.

8. Политики безопасности

Раздел Политики безопасности содержит следующие подразделы:

  • Фильтрация контента.

  • Веб-безопасность.

  • Инспектирование SSL.

  • Инспектирование SSH.

  • Система обнаружения вторжений (СОВ).

  • Правила АСУ ТП.

  • Сценарии.

  • Защита почтового трафика.

  • ICAP-серверы, ICAP-правила.

  • Правила защиты DOS, профили DOS.

С помощью политик безопасности администратор может:

  • Настроить фильтрацию HTTP-контента, например, запретить некоторым пользователям доступ к определенным категориям сайтов в заданное время или настроить антивирусную проверку веб-контента.

  • Настроить опции веб-безопасности, например, включить принудительный безопасный поиск и блокировку рекламы.

  • Настроить правила инспектирования SSL, например, для всех пользователей расшифровывать HTTPS для категории “Форумы” и для определенной группы - “Социальные сети”. После того как HTTPS расшифрован, к нему могут быть применены политики фильтрации контента и веб-безопасности.

  • Включить и настроить параметры СОВ.

  • Настроить проверку почтовых протоколов SMTP и POP3 на проверку на наличие спама и вирусов.

  • Настроить журналирование или блокировку определенных команд АСУ ТП.

  • Настроить выборочную передачу трафика на анализ на внешние серверы ICAP, например, на DLP-системы.

  • Настроить публикацию HTTP/HTTPS серверов.

8.1. Фильтрация контента

С помощью правил фильтрации контента администратор может разрешить или запретить определенный контент, передаваемый по протоколам HTTP и HTTPS, если настроено инспектирование HTTPS. Более того, UserGate может блокировать HTTPS-трафик без дешифрования контента, но только в случае применения правил блокирования по категориям контентной фильтрации UserGate URL filtering или по спискам URL, в которых указаны только имена хостов. В этих случаях UserGate использует SNI (Server Name Indication), а при отсутствии SNI - значения хоста из SSL-сертификата из пользовательских запросов для определения домена.

В качестве условий правила могут выступать:

  • Пользователи и группы.

  • Наличие на веб-страницах определенных слов и выражений (морфология).

  • Принадлежность сайтов категориям.

  • URL.

  • Зона и IP-адрес источника.

  • Зона и IP-адрес назначения.

  • Тип MIME.

  • Информация о реферере.

  • Время.

  • Useragent браузера пользователя.

  • HTTP-метод.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Если не создано ни одного правила, то передача любого контента разрешена.

Чтобы создать правило контентной фильтрации, необходимо нажать на кнопку Добавить в разделе Политики безопасности-->Фильтрация контента и указать необходимые параметры.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Запретить - блокирует веб-страницу.

Предупредить - предупреждает пользователя о том, что страница нежелательна для посещения. Пользователь сам решает, отказаться от посещения или посетить страницу. Запись о посещении страницы заносится в журнал.

Разрешить - разрешает посещение.

Записывать в журнал правил

При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики.

Проверять потоковым антивирусом UserGate

Доступно только для правил с действием Запретить, т.е. при наличии вируса на странице ресурс будет запрещен. Если в правиле присутствуют другие условия (категории, время, и т.д.), то антивирусная проверка будет выполняться только при совпадении всех условий правила.

Важно! При выборе в одном правиле методов антивирусной проверки с помощью потокового антивируса UserGate и эвристической проверки правило сработает только в случае, если сработают оба метода проверки.

Эвристическая проверка

Доступно только для правил с действием Запретить, т.е. при наличии вируса на странице ресурс будет запрещен. Если в правиле присутствуют другие условия (категории, время, и т.д.), то антивирусная проверка будет выполняться только при совпадении всех условий правила. Проверка трафика с помощью эвристического движка накладывает дополнительные требования к производительности системы.

Важно! При выборе в одном правиле методов антивирусной проверки с помощью потокового антивируса UserGate и эвристической проверки правило сработает только в случае, если сработают оба метода проверки.

Сценарий

Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии.

Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.

Страница блокировки

Указывает страницу блокировки, которая будет показана пользователю при блокировке доступа к ресурсу. Можно использовать внешнюю страницу, указав Использовать внешний URL, либо указать страницу блокировки UserGate. В этом случае можно выбрать желаемый шаблон страницы блокировки, который можно создать в разделе Шаблоны страниц.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Пользователи

Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.

Категории

Списки категорий UserGate URL filtering 4.0. Использование категорий требует наличия специальной лицензии. UserGate URL filtering 4.0 - это крупнейшая база электронных ресурсов, разделенных для удобства оперирования на 72 категории. В руках администратора находится управление доступом к таким категориям, как порнография, вредоносные сайты, онлайн-казино, игровые и развлекательные сайты, социальные сети и многие другие.

Важно! Начиная с версии UserGate 5.0.6R6 администратор может переопределить категорию на любой сайт, на который по его мнению категория назначена не верно или не назначена совсем. Более подробно процедура изменении категории сайта описана в разделе Запросы в белый список.

Важно! Блокировка по категориям сайтов может быть применена к трафику HTTPS без его дешифрования, но без показа страницы блокировки.

URL

Списки URL. При наличии соответствующей лицензии доступны для использования списки URL, обновляемые разработчиками UserGate, такие, как «Черный список UserGate», «Белый список UserGate», «Черный список Роскомнадзора», «Черный список фишинговых сайтов», «Поисковые системы без безопасного поиска». Администраторы также могут создавать собственные списки URL. Более подробно о работе со списками URL читайте в главе Списки URL.

Важно! Блокировка по спискам URL может быть применена к трафику HTTPS без его дешифрования, если в списках указаны только имена хостов (доменов), но без показа страницы блокировки.

MIME-типы контента

Списки MIME-типов. Предусмотрена возможность управления видеоконтентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы MIME-типов. Более подробно о работе с MIME-типами читайте в главе Типы контента.

Морфология

Список баз словарей морфологии, по которым будут проверяться веб-страницы. При наличии соответствующей лицензии для использования доступны словари, обновляемые компанией UserGate, в том числе список материалов, запрещенных Министерством Юстиции Российской Федерации, словари по темам «Суицид», «Терроризм», «Порнография», «Нецензурные выражения», «Азартные игры», «Наркотики», «Защита детей ФЗ-436». Словари доступны на русском, английском, немецком, японском и арабском языках.

Администраторы также могут создавать собственные словари. Более подробно о работе с морфологическими словарями читайте в главе Морфология.

Время

Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе Календари.

Useragent

Useragent пользовательских браузеров, для которых будет применено данное правило. Администратор может добавить необходимые ему Useragent в разделе Useragent браузеров.

HTTP метод

Метод, используемый в HTTP-запросах, как правило, это POST или GET

Рефереры

Список URL, в котором указаны рефереры для текущей страницы, таким образом правило сработает, если для данной страницы реферер совпадет со списком указанных URL. Данный функционал удобно использовать, чтобы, например, разрешить доступ к сетям CDN (Content Delivery Network) только посещая определенные сайты, но запретить открытие контента CDN напрямую.

8.2. Веб-безопасность

С помощью раздела Веб-безопасность администратор может включить дополнительные параметры веб-безопасности для протоколов HTTP и HTTPS, если настроено инспектирование HTTPS. Доступны следующие параметры:

  • Блокировка рекламы. Посещение безопасного сайта может быть связано с принудительным просмотром изображений нежелательного характера, размещенных, например, сбоку на странице. UserGate решает эту проблему, выступая в качестве «баннерорезки».

  • Функция «Инжектировать скрипт» позволяет вставить необходимый̆ код во все веб-страницы, просматриваемые пользователем. Инжектируемый̆ скрипт будет вставлен в веб-страницы перед тегом </head>.

  • Принудительное включение безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. С помощью данного инструмента блокировка нежелательного контента осуществляется средствами поисковых порталов, что позволяет добиться высокой эффективности, например, при фильтрации откликов на запросы по графическому или видеоконтенту.

  • Включение журналирования поисковых запросов пользователей.

  • Блокировка приложений социальных сетей. Социальные сети играют большую роль в нашей повседневной жизни, но многие из них предоставляют игровые приложения, использование которых не приветствуется большинством компаний. UserGate может блокировать приложения, не затрагивая при этом обычную функциональность социальных сетей.

В качестве условий правила могут выступать:

  • Источник трафика.

  • Пользователи и группы.

  • Время.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Примечание

Если не создано ни одного правила, то дополнительные функции веб-безопасности не применяются.

Чтобы создать правило контентной фильтрации необходимо нажать на кнопку Добавить в разделе Политики безопасности--> Веб-безопасность и указать необходимые параметры.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Записывать в журнал правил

При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики.

Блокировать рекламу

Активирует блокировку рекламы. Нажав на Исключения, администратор может выбрать URL-список сайтов, для которых блокировать рекламу не требуется.

Инжектор

Позволяет вставить произвольный код во все веб-страницы. Для редактирования вставляемого кода необходимо нажать на кнопку Код инжектора.

Безопасный поиск

Принудительно включает функцию безопасного поиска.

История поиска

Активирует запись поисковых запросов пользователей в журнал.

Блокировать приложения социальных сетей

Блокирует приложения в популярных социальных сетях.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Пользователи

Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.

Время

Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе Календари.

8.3. Инспектирование SSL

С помощью данного раздела администратор может настроить инспекцию данных, передаваемых по протоколу TLS/SSL, это в первую очередь HTTPS, а также почтовые протоколы SMTPS и POP3S. В UserGate используется известная технология man-in-the-middle (MITM), при которой контент расшифровывается на сервере, а затем анализируется.

Инспектирование SSL необходимо для корректной работы правил фильтрации контента и правил веб-безопасности. Дешифрование SMTPS иPOP3S необходимо для блокирования спама и вирусной проверки почтового трафика.

С помощью правил данного раздела можно настроить инспектирование HTTPS только для определенных категорий, например, «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и при этом не расшифровывать другие категории, например, «Финансы», «Правительство» и т.п. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе - SNI (Server Name Indication), а если SNI отсутствует, то поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется.

После дешифрования данные шифруются сертификатом, выписанным центром сертификации, указанным в разделе Сертификаты. Чтобы браузеры пользователя не выдавали предупреждение о подмене сертификата, необходимо добавить сертификат центра сертификации в доверенные корневые сертификаты. Более подробно это описано в разделе Приложение 1. Установка сертификата локального удостоверяющего центра.

Аналогично браузерам пользователя некоторые почтовые серверы и пользовательские почтовые программы не принимают почту, если сертификат был подменен. В этом случае необходимо произвести в почтовых программах настройки, отключающие проверку сертификатов, или добавить исключения для сертификата UserGate. Подробно о том, как это сделать, смотрите в документации на почтовое ПО.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Примечание

Если не создано ни одного правила, то SSL не перехватывается и не дешифруются, соответственно, контент, передаваемый по SSL, не фильтруется.

Чтобы создать правило инспектирования SSL, необходимо нажать на кнопку Добавить в разделе Политики безопасности-->Инспектирование SSL и указать необходимые параметры.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Записывать в журнал правил

При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики.

Действие

Расшифровать

Не расшифровывать

Профиль SSL

Выбор профиля SSL. Параметры, указанные в данном профиле, будут использованы как для установки SSL-соединения от браузера пользователя к серверу UserGate, так и при построении SSL-соединения от сервера UserGate к запрашиваемому веб-ресурсу.

Подробно о профилях SSL смотрите в главе Профили SSL.

Блокировать сайты с некорректными сертификатами

Позволяет блокировать доступ к серверам, предоставляющим некорректный сертификат HTTPS, например, если сертификат истек, отозван, выписан на другое доменное имя или не доверяемым центром сертификации.

Проверять по списку отозванных сертификатов

Проверять сертификат сайта в списке отозванных сертификатов (CRL) и блокировать, если он там найден.

Блокировать сертификаты с истекшим сроком действия

Блокировать сертификаты, срок действия которых истек.

Блокировать самоподписанные сертификаты

Блокировать самоподписанные сертификаты.

Пользователи

Список пользователей и групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Адрес назначения

Списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Сервис

Сервис, для которого необходимо дешифровать трафик. Может быть HTTPS, SMTPS, POP3S.

Категории

Списки категорий UserGate URL filtering 4.0.

Домены

Списки доменов. Доменные имена, для которых применяется данное правило. Доменные имена создаются как списки URL за исключением того, что для инспектирования HTTPS могут быть использованы только доменные имена (www.example.com, а не http://www.example.com/home/). Более подробно о работе со списками URL читайте в главе Списки URL.

Время

Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе Календари.

По умолчанию создано правило инспектирования SSL Decrypt all for unknown users, которое необходимо для авторизации неизвестных пользователей через Captive-портал.

8.4. Инспектирование SSH

При помощи данного раздела администратор может настроить инспекцию данных, передаваемых по протоколу SSH (Secure Shell). SSH также позволяет создавать шифрованные туннели для практически любых сетевых протоколов.

Правила данного раздела могут инспектировать SSH-трафик для определённых пользователей и/или их групп, зон и адресов источников и получателей данных, а также типов сервисов, передаваемых через SSH-туннель. Имеется календарь для применения каждого правила в выбранные дни недели и время суток.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Примечание

Если не создано ни одного правила или все правила отключены, то SSH не перехватывается и не дешифруется, то есть передаваемые по SSH данные не инспектируются.

Чтобы создать правило инспектирования SSH, необходимо нажать на кнопку Добавить в разделе Политики безопасности --> Инспектирование SSH и указать необходимые параметры.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Расшифровывать или не расшифровывать передаваемые данные.

Записывать в журнал правил

Регистрировать срабатывание правила в соответствующем журнале статистики (лог-файле).

Блокировать удаленный запуск shell

Не разрешать удаленному пользователю запуск shell (интерпретатора командной строки, оболочки).

Блокировать удаленное выполнение по SSH

Не разрешать удаленному пользователю выполнение любых команд и скриптов по SSH.

Редактировать команду SSH

Команда linux, которую требуется передать, в формате

ssh user@host 'command'

Например,

ssh root@192.168.1.1 reboot

Блокировать SFTP

Блокировать соединение SFTP (Secure File Transfer Protocol).

Вставить

Место вставки создаваемого правила в списке правил – наверх, вниз или выше выбранного существующего правила.

Пользователи

Список пользователей и групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей читайте в главе Пользователи и устройства.

Источник

Зоны и/или списки IP-адресов источника трафика. Подробнее о работе со списками IP-адресов читайте в главе IP-адреса.

Адрес назначения

Списки IP-адресов назначения трафика. Подробнее о работе со списками IP-адресов читайте в главе IP-адреса.

Сервис

Сервис, для которого необходимо дешифровать трафик.

Время

Временной интервал, в течение которого правило активно. Можно добавить разнообразные периоды в разделе Календари.

8.5. Система обнаружения и предотвращения вторжений

Система обнаружения и предотвращения вторжений (СОВ), или Intrusion Detection and Prevention System (IDPS), позволяет распознавать вредоносную активность внутри сети или со стороны интернета. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов. Выявление проблем безопасности осуществляется с помощью использования эвристических правил и анализа сигнатур известных атак. База данных правил и сигнатур предоставляется и обновляется разработчиками UserGate при наличии соответствующей лицензии. СОВ отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, оповещение администратора сети и запись в журнал.

Для начала работы СОВ необходимо:

Наименование

Описание

Шаг 1. Создать необходимые профили СОВ

Профиль СОВ - это набор сигнатур, релевантных для защиты определенных сервисов. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты сервиса. Например, для защиты сервиса, работающего по протоколу TCP, не стоит добавлять сигнатуры, разработанные для протокола UDP. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.

Шаг 2. Создать требуемые правила СОВ

Правила СОВ определяют действие СОВ для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями СОВ.

Для настройки профилей СОВ необходимо создать профиль в разделе Библиотеки-->Профили СОВ и затем добавить в него необходимые сигнатуры. Сигнатуры СОВ поставляются и постоянно обновляются UserGate при наличии соответствующей подписки. Каждая сигнатура имеет определенные поля:

Наименование

Описание

Сигнатура

Название сигнатуры.

Риск

Риск сигнатуры по 5-бальной шкале

Протокол

Протокол, для которого разработана данная сигнатура:

  • IP

  • ICMP

  • TCP

  • UDP

Категория

Категория сигнатуры - группа сигнатур, объединенных общими параметрами. Список категорий может быть пополнен.

  • attack_response - сигнатуры, определяющие ответы на известные сетевые атаки.

  • botcc - трафик, направленный к известным IP-адресам ботнетов.

  • botcc.portgrouped - трафик, направленный к известным IP-адресам и портам ботнетов.

  • ciarmy - трафик к топ-хакерам, определяемый командой www.ciarmy.com.

  • compromised - трафик к известным скомпрометированным хостам.

  • current_events - сигнатуры событий, вызываемых различными известными эксплоитами.

  • dns - известные уязвимости DNS.

  • dos - сигнатуры известных Denial of services атак.

  • drop - трафик к сетям, перечисленным в www.spamhaus.org.

  • dshield - трафик к топ-хакерам, определяемых командой www.dshield.org.

  • exploit - сигнатуры известных эксплоитов.

  • ftp - известные FTP-уязвимости.

  • icmp - известные ICMP-уязвимости.

  • icmp_info - ICMP-информация, потенциально предоставляющая излишнюю информацию.

  • imap - известные IMAP-уязвимости.

  • info - потенциальная утечка информации.

  • malware - скачивание, установка, деятельность известных malware.

  • misc - другие известные сигнатуры.

  • mobile_malware - сигнатуры известных malware для мобильных платформ.

  • netbios - известные уязвимости протокола NETBIOS.

  • p2p - сигнатуры протокола P2P.

  • policy - сигнатуры событий, потенциально нарушающие политику информационной безопасности (утечки информации).

  • pop3 - известные уязвимости протокола POP3.

  • rpc - известные уязвимости протокола RPC.

  • scada - известные уязвимости протокола SCADA.

  • scan - сигнатуры, определяющие попытки сканирования сети на известные приложения.

  • shellcode - сигнатуры, определяющие известные попытки запуска программных оболочек.

  • smtp - известные уязвимости протокола SMTP.

  • snmp - известные уязвимости протокола SNMP.

  • sql - известные уязвимости SQL.

  • telnet - известные попытки взлома по протоколу telnet.

  • tftp - известные уязвимости протокола TFTP.

  • tor - сигнатуры, определяющие tor-активность в сети.

  • trojan - сигнатуры известных троянов.

  • user_agents - сигнатуры подозрительных Useragent.

  • voip - известные уязвимости протокола VoIP.

  • web_client - сигнатуры, определяющие известные попытки взлома различных веб-клиентов, например, Adobe Flash Player.

  • web_server - сигнатуры, определяющие известные попытки взлома различных веб-серверов.

  • web_specific_apps - сигнатуры, определяющие известные попытки взлома различных веб приложений.

  • worm - сигнатуры, определяющие сетевую активность известных сетевых червей.

Класс

Класс сигнатуры определяет тип атаки, которая детектируется данной сигнатурой. Определяются также общие события, которые не относятся к атаке, но могут быть интересны в определенных случаях, например, обнаружение установления сессии TCP. Поддерживаются следующие классы:

  • attempted-admin - попытка получения административных привилегий.

  • attempted-dos - попытка совершения атаки Denial of Service.

  • attempted-recon - попытка атаки, направленной на утечку данных.

  • attempted-user - попытка получения пользовательских привилегий.

  • bad-unknown - потенциально плохой трафик

  • default-login-attempt - попытка логина с именем/паролем по умолчанию.

  • denial-of-service - обнаружена атака Denial of Service.

  • misc-activity - прочая активность.

  • misc-attack - обнаружена атака.

  • network-scan - обнаружено сканирование сети.

  • non-standard-protocol - обнаружен нестандартный протокол.

  • not-suspicious - не подозрительный трафик.

  • policy-violation - потенциальное нарушение корпоративной политик ИБ.

  • protocol-command-decode - декодирована команда протокола.

  • rpc-portmap-decode - декодирован запрос RPC.

  • shellcode-detect - обнаружен исполняемый код.

  • string-detect - обнаружена подозрительная строка.

  • successful-admin - успешное получение административных привилегий.

  • successful-recon-largescale - утечка большого количества информации.

  • successful-recon-limited - утечка информации.

  • successful-user - успешное получение пользовательских привилегий.

  • suspicious-filename-detect - обнаружено подозрительное имя файла.

  • suspicious-login - попытка логина с использованием подозрительного имени пользователя.

  • system-call-detect - обнаружен системный вызов.

  • trojan-activity - обнаружен сетевой троян.

  • unsuccessful-user - неуспешная попытка получения пользовательских привилегий.

  • web-application-activity - обнаружен доступ к потенциально уязвимому веб-приложению.

  • web-application-attack - обнаружена атака на веб-приложение.

При добавлении сигнатур в профиль СОВ администратор может использовать гибкую возможность фильтрации сигнатур, например, выбрать только те сигнатуры, которые имеют очень высокий риск, протокол - TCP, категория - botcc, класс - все.

Правила СОВ определяют трафик, к которому применяется профиль СОВ и действие, которое модуль СОВ должен предпринять при срабатывании сигнатуры.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Примечание

Если не создано ни одного правила, то СОВ ничего не анализирует и не защищает от угроз.

Для настройки правил СОВ необходимо нажать на кнопку Добавить в разделе Политики безопасности-->СОВ и заполнить поля правила.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Возможны следующие варианты:

  • Разрешить - не блокировать трафик.

  • Журналировать - не блокировать и записать в журнал.

  • Запретить - блокировать и записать в журнал.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Сервис

Тип сервиса, например, HTTP, DNS или другие.

Профили

Список профилей СОВ, созданных на предыдущем шаге.

8.6. Правила АСУ ТП

С помощью правил АСУ ТП администратор может контролировать прохождение трафика автоматизированных систем управления технологическим производством (АСУ ТП) через UserGate. UserGate поддерживает контролирование следующих протоколов АСУ ТП:

  • IEC 104 (ГОСТ Р МЭК 60870-5-104)

  • Modbus

  • DNP3

  • MMS

  • OPC UA

Администратору доступна возможность задать интересующие его профили АСУ ТП, в которых указать необходимый набор протоколов и команд, и использовать их в правилах.

Для начала работы с УСУ ТП необходимо:

Наименование

Описание

Шаг 1. Разрешить сервис SCADA на необходимой зоне

В разделе Сеть-->Зоны разрешить сервис SCADA для той зоны, со стороны которой будет инициирован трафик АСУ ТП.

Шаг 2. Создать необходимые профили АСУ ТП

Профиль АСУ ТП - это набор элементов, каждый из которых состоит из определенной команды АСУ ТП и адреса.

Шаг 3. Создать требуемые правила АСУ ТП

Правила АСУ ТП определяют действие для выбранного типа трафика, который будет проверяться модулем АСУ ТП в соответствии с назначенными профилями.

Для настройки профилей АСУ ТП необходимо создать профиль в разделе Библиотеки--> Профили АСУ ТП и затем добавить в него необходимые команды. Каждая запись имеет определенные поля:

Наименование

Описание

Название

Название профиля.

Описание

Описание профиля.

Записывать в журнал правил

При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики.

Протокол

Выберите протокол АСУ ТП.

Команда АСУ ТП

Выберите необходимую команду АСУ ТП.

Адрес АСУ ТП

Укажите адрес АСУ ТП. Можно указать целое 4-байтовое число .

Правила АСУ ТП определяют трафик, к которому применяется профиль АСУ ТП и действие, которое UserGate должен предпринять при срабатывании правила.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Для создания правила АСУ ТП необходимо нажать на кнопку Добавить в разделе Политики безопасности-->АСУ ТП и заполнить поля правила.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Возможны следующие варианты:

  • Пропускать - не блокировать трафик.

  • Блокировать - блокировать и записать в журнал.

Дополнительно можно выбрать опцию Записывать в журнал правил, в этом случае факт применения правила к трафику будет записан в соответствующий журнал.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Назначение

Списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Сервис

Сервис L4, для которого будет действовать данное правило.

Профили АСУ ТП

Список профилей АСУ ТП, созданных на предыдущем шаге.

8.7. Сценарии

UserGate позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря концепции SOAR (Security Orchestration, Automation and Response). UserGate реализует данную концепцию с помощью механизма сценариев. Сценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности, позволяя администратору настроить реакцию USERGATE на определенные события, произошедшие за некое продолжительное время. Примером работы сценариев могут являться решение следующих задач:

  • Заблокировать или ограничить пропускную способность на 30 минут пользователя, у которого за последние 10 минут было обнаружено 5 попыток использования приложения torrent.

  • Заблокировать или ограничить пропускную способность пользователя или группы пользователей, указанной в правиле, при срабатывании одного из следующих триггеров - открытие пользователем сайтов, относящихся к группе категорий Threats, срабатывание СОВ сигнатур высокого риска для трафика данного пользователя, блокировка вируса в трафике данного пользователя.

  • Заблокировать или ограничить пропускную способность пользователя, если он выбрал лимит трафика в 10 Гб за месяц.

Примечание

Сценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.

Для начала работы со сценариями необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать необходимые сценарии

В разделе Политики безопасности-->Сценарии создать необходимые сценарии.

Шаг 2. Указать созданные сценарии в правилах межсетевого экрана или в правилах пропускной способности

Добавить созданный сценарий в правила межсетевого экрана или в правила пропускной способности. Более подробно о работе с правилами межсетевого экрана или пропускной способности смотрите раздел Политики сети.

При создании сценария необходимо указать следующие параметры:

Наименование

Описание

Вкл

Включает или отключает сценарий.

Название

Название сценария.

Описание

Описание сценария.

Применить для

Возможны варианты:

  • Одного пользователя - при срабатывании сценария, правило, в котором используется сценарий, будет применено только к тому пользователю, для которого сработал сценарий.

  • Всех пользователей - при срабатывании сценария, правило в котором используется сценарий, будет применено ко всем пользователям, указанным в поле Пользователи/Группы правила.

Продолжительность

Время в минутах, в течении которого сценарий будет активным после его активации. Столько же будет работать правило межсетевого экрана или пропускной способности, в котором используется данный сценарий.

Условия

Задаются условия срабатывания сценария. Для каждого условия можно указать количество срабатываний за определенное время, необходимое для срабатывания сценария. Если выбрано несколько условий, то необходимо указать, сработают ли сценарий при совпадении одного или всех условий.

Условия срабатывания

Возможны следующие условия для использования в сценарии:

  • Категория URL - совпадения указанных категорий UserGate URLF в трафике пользователя.

  • Обнаружен вирус.

  • Приложение - обнаружено указанное приложение в трафике пользователя.

  • СОВ - сработка системы обнаружения вторжений.

  • MIME-типы - обнаружены указанные MIME-типы в трафике пользователя.

  • Размер пакета - размер пакета в трафике пользователя превысил указанное значение.

  • Сессий с одного IP - количество сессий с одного IP-адреса превысило указанное значение.

  • Объем трафика - объем трафика пользователя превысил определенный лимит за указанную единицу времени.

8.8. Работа с внешними ICAP-серверами

UserGate позволяет передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для проверки передаваемых пользователями данных DLP-системами. В данном случае UserGate будет выступать в роли ICAP-клиента.

UserGate поддерживает гибкие настройки при работе с ICAP-серверами, например, администратор может задать правила, согласно которым на ICAP-серверы будет направляться только выборочный трафик, или настроить работу с фермой ICAP-серверов.

Для того, чтобы настроить работу UserGate c внешними серверами ICAP, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать ICAP-сервер

В разделе Политики безопасности-->ICAP-серверы нажать на кнопку Добавить и создать один или более ICAP-серверов.

Шаг 2. Создать правило балансировки на ICAP-серверы (опционально)

В случае, если требуется балансировка на ферму ICAP-серверов, создать в разделе Политики сети-->Балансировка нагрузки балансировщик ICAP-серверов. В качестве серверов используются ICAP-серверы, созданные на предыдущем шаге.

Шаг 3. Создать правило ICAP

В разделе Политики безопасности-->Правила ICAP создать правило, которое будет задавать условия пересылки трафика на ICAP-серверы или фермы серверов.

Важно! Правила ICAP применяются сверху вниз в списке правил. Срабатывает только первое правило публикации, для которого совпали все условия, указанные в настройках правила.

Для создания ICAP-сервера в разделе Политики безопасности-->ICAP-серверы необходимо нажать на кнопку Добавить и заполнить следующие поля:

Наименование

Описание

Название

Название ICAP-сервера.

Описание

Описание ICAP-сервера.

Адрес сервера

IP-адрес ICAP-сервера.

Порт

TCP-порт ICAP-сервера, значение по умолчанию 1344.

Максимальный размер сообщения

Определяет максимальный размер сообщения, передаваемого на ICAP-сервер в килобайтах. По умолчанию 0 (отключено).

Период проверки доступности сервера ICAP

Устанавливает время в секундах, через которое UserGate посылает OPTIONS-запрос на ICAP-сервер, чтобы убедиться, что сервер доступен.

Пропускать при ошибках

Если эта опция включена, то UserGate не будет посылать данные на сервер ICAP в случаях, когда ICAP-сервер недоступен (не отвечает на запрос OPTIONS).

Reqmod путь

  • Вкл - включает использование режима Reqmod.

  • Путь на сервере ICAP для работы в режиме Reqmod. Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах:
    /path – путь на сервере ICAP;
    icap://icap-server:port/path – указание полного URI для режима reqmod.

Respmod путь

  • Вкл - включает использование режима Reqmod.

  • Путь на сервере ICAP для работы в режиме Respmod. Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах:
    /path – путь на сервере ICAP;
    icap://icap-server:port/path – указание полного URI для режима respmod.

Посылать имя пользователя

  • Вкл - включает отсылку имени пользователя на ICAP-сервер.

  • Кодировать в base64 - кодировать имя пользователя в base64, это может потребоваться, если имена пользователей содержат символы национальных алфавитов.

  • Название заголовка, которое будет использоваться для отправки имени пользователя на ICAP-сервер. Значение по умолчанию -
    X-Authenticated-User.

Посылать IP-адрес

  • Вкл - включает отсылку IP-адреса пользователя на ICAP-сервер.

  • Название заголовка, которое будет использоваться для отправки IP-адреса пользователя на ICAP-сервер. Значение по умолчанию - X-Client-Ip.

Посылать MAC-адрес

  • Вкл - включает отсылку MAC-адреса пользователя на ICAP-сервер.

  • Название заголовка, которое будет использоваться для отправки MAC-адреса пользователя на ICAP-сервер. Значение по умолчанию - X-Client-Mac.

Для создания правила балансировки на серверы ICAP в разделе Политики сети-->Балансировка нагрузки необходимо выбрать Добавить-->Балансировщик ICAP и заполнить следующие поля:

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

ICAP-серверы

Список серверов ICAP, на которые будет распределяться нагрузка, созданный на предыдущем шаге.

Для создания ICAP-правила необходимо нажать Добавить в разделе Политики безопасности-->ICAP-правила и заполнить необходимые поля.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Возможны следующие варианты:

  • Пропустить - не посылать данные на ICAP-сервер. Создав правило с таким действием, администратор может явно исключить определенный трафик из пересылки на серверы ICAP.

  • Переслать - переслать данные на ICAP-сервер и ожидать ответа ICAP-сервера. Это стандартный режим работы большинства ICAP-серверов.

  • Переслать и игнорировать - переслать данные на ICAP-сервер и игнорировать ответ от ICAP-сервера. В этом случае, вне зависимости от ответа ICAP-сервера, данные к пользователю уходят без модификации, но сервер ICAP получает полную копию пользовательского трафика.

ICAP-серверы

ICAP-сервер или балансировщик серверов ICAP, куда UserGate будет пересылать запросы.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Пользователи

Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей.

Адрес назначения

IP-адреса, GeoIP или списки URL (хостов) назначения трафика.

MIME-типы контента

Списки MIME-типов. Предусмотрена возможность управления видеоконтентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы MIME-типов. Более подробно о работе с MIME-типами читайте в главе Типы контента.

Категории

Списки категорий UserGate URL filtering.

URL

Списки URL.

HTTP метод

Метод, используемый в HTTP-запросах, как правило, это POST или GET.

Сервис

Возможны варианты:

  • HTTP - веб-трафик.

  • SMTP - почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа.

  • POP3 - почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа.

8.9. Защита почтового трафика

Раздел Защита почтового трафика позволяет настроить проверку транзитного почтового трафика на предмет наличия в нем вирусов и спам-сообщений. Поддерживается работа с почтовыми протоколами POP3(S) и SMTP(S). Защита почтового трафика требует наличия соответствующего модуля в лицензии UserGate.

Как правило, необходимо защищать почтовый трафик, входящий из интернета на внутренние почтовые серверы компании, и, в некоторых случаях, защищать исходящий почтовый трафик от серверов или пользовательских компьютеров.

Для защиты почтового трафика, приходящего из интернета на внутренние почтовые серверы, необходимо:

Наименование

Описание

Шаг 1. Опубликовать почтовый сервер в сеть Интернет

Смотрите раздел Правила DNAT. Рекомендуется создать отдельные правила DNAT для SMTP и POP3 протоколов, а не публиковать оба протокола в одном правиле. Обязательно укажите в качестве сервиса протокола SMTP, а не TCP.

Шаг 2. Включить поддержку сервисов SMTP(S) и POP3(S) в зоне, подключенной к сети Интернет

Смотрите раздел Настройка зон.

Шаг 3. Создать правила защиты почтового трафика

Создать необходимые правила защиты почтового трафика. Более подробно создание правил описано ниже в этой главе.

Для защиты почтового трафика в случаях, когда не требуется публиковать почтовый сервер, действия сводятся к следующим шагам:

Наименование

Описание

Шаг 1. Создать правила защиты почтового трафика

Создать необходимые правила защиты почтового трафика. Более подробно создание правил описано ниже в этой главе.

Для настройки правил фильтрации почтового трафика необходимо нажать на кнопку Добавить в разделе Политики безопасности-->Защита почтового трафика и заполнить поля правила.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Если не создано ни одного правила, то почтовый трафик не проверяется.

Примечание

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Действие, применяемое к почтовому трафику при совпадении всех условий правила:

  • Пропустить - пропускает трафик без изменений.

  • Маркировать - маркирует почтовые сообщения специальным тэгом в теме письма или дополнительном поле.

  • Блокировать с ошибкой - блокирует письмо, при этом сообщает об ошибке доставки письма серверу SMTP для SMTP(S)-трафика или клиенту POP3 для POP3(S)-трафика.

  • Блокировать без ошибки - блокирует письмо без уведомления о блокировке.

Проверка

Метод проверки почтового трафика:

  • Проверка антиспамом UserGate - проверяет почтовый трафик на наличие спама.

  • Эвристическая проверка - антивирусная проверка с помощью эвристического движка.

  • DNSBL проверка - антиспам-проверка с помощью технологии DNSBL. Применима только к SMTP-трафику. При проверке почтового трафика с помощью DNSBL IP-адрес SMTP-сервера отправителя спама блокируется на этапе создания SMTP-соединения, что позволяет существенно разгрузить другие методы проверки почты на спам и вирусы.

Заголовок

Поле, куда помещать тег маркировки.

Маркировка

Текст тега, который маркирует письмо.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Назначение

IP-адреса, GeoIP или списки URL (хостов) назначения трафика.

Пользователи

Пользователи или группы пользователей, к которым применяется данное правило.

Сервис

Почтовый протокол (POP3 или SMTP), к которому будет применено данное правило.

Envelop from

Почтовый адрес отправителя письма, указанный в поле Envelop from. Только для протокола SMTP.

Envelop to

Почтовый адрес адресата письма, указанный в поле Envelop to. Только для протокола SMTP.

Рекомендуемые настройки защиты от спама следующие.

Для протокола SMTP(S):

  • Первое правило в списке - блокировка с помощью DNSBL. Рекомендуется оставить списки исключений по Envelop from/Envelop to пустыми. В этом случае DNSBL будет отбрасывать подключения SMTP-серверов, замеченных в распространении спама, еще на этапе коннекта. При наличии e-mail адресатов в исключениях система будет вынуждена принимать сообщения целиком для анализа этих полей, что увеличит нагрузку на сервер и ухудшит производительность проверки почтового трафика.

  • Второе правило - маркировка писем с помощью антиспама UserGate. Здесь можно использовать любые исключения, в том числе и по Envelop from/Envelop to.

Для протокола POP3(S):

  • Действие - Маркировать.

  • Проверка - Антиспам UserGate.

8.10. Защита от DoS атак

UserGate позволяет гранулировано настроить параметры защиты сети от сетевого флуда (для протоколов TCP (SYN-flood), UDP, ICMP). Грубая настройка производится в свойствах зон (смотрите раздел Настройка зон), более точная настройка производится в данном разделе. Используя правила защиты DoS, администратор может указать специфические настройки защиты от DoS атак для определенного сервиса, протокола, приложения и т.п. Чтобы создать правила защиты DoS администратору необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать профили DoS защиты

В разделе Политики безопасности-->Профили DoS нажать на кнопку Добавить и создать один или более профилей DoS защиты.

Шаг 2. Создать правила защиты DoS

В разделе Политики сети-->Правила защиты DoS создайте правила, используя профили защиты, созданные на предыдущем шаге.

Настройка профиля защиты DoS подобна настройке защиты от DoS на зонах UserGate. При создании профиля необходимо указать следующие параметры:

Наименование

Описание

Название

Название профиля.

Описание

Описание профиля.

Агрегировать

Данная настройка регулирует, будет ли UserGate суммировать количество пакетов, проходящих в секунду, для всех IP-адресов источника трафика, или будет производить подсчет индивидуально для каждого IP-адреса. В случае активации данной настройки необходимо устанавливать достаточно высокие значения количества пакетов/сек в настройках закладки Защита DoS и в закладке Защита ресурсов.

Защита DoS

Данная настройка позволяет указать параметры защиты от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:

  • Порог уведомления - при превышении количества запросов над указанным значением происходит запись события в системный журнал.

  • Порог отбрасывания пакетов - при превышении количества запросов над указанным значением UserGate начинает отбрасывать пакеты, и записывает данное событие в системный журнал.

Защита ресурсов

Данная настройка позволяет ограничить количество сессий, которые будут разрешены для защищаемого ресурса, например, опубликованного сервера:

  • Вкл - включает ограничение количества сессий.

  • Ограничить число сессий - задается число сессий.

Чтобы создать правило защиты DoS, необходимо нажать на кнопку Добавить в разделе Политики безопасности-->Правила защиты DoS и указать необходимые параметры.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Запретить - безусловно блокирует трафик подобно действию правил Межсетевого экрана.

Разрешить - разрешает трафик, защита от DoS не применяется. Может быть использовано для создания исключений.

Защитить - применить профиль защиты от DoS атак.

Профиль DoS

В случае, если выбрано действие Защитить, необходимо указать профиль защиты DoS.

Сценарий

Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии.

Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.

Записывать в журнал правил

Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:

  • Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.

  • Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика.

Пользователи

Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.

Назначение

Зона назначения трафика и/или списки IP-адресов назначения трафика.

Сервис

Тип сервиса, например, HTTP или HTTPS.

Время

Интервалы времени, когда правило активно.

9. Глобальный портал

9.1. Веб-портал (SSL VPN)

Веб-портал позволяет предоставить доступ к внутренним веб-ресурсам, терминальным и ssh-серверам компании для удаленных или мобильных пользователей, используя при этом только протокол HTTPS. Данная технология не требует установки специального клиента VPN, достаточно обычного браузера.

Примечание

При наличии публикаций внутренних ресурсов с помощью DNAT/Порт-форвардинга, Reverse-прокси и веб-портала порядок применения правил следующий: 1. Правила DNAT. 2. Правила Reverse-прокси. 3. Правила веб-портала.

Для настройки веб-портала необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Включить и настроить веб-портал

В разделе Настройки-->Веб-портал включить и настроить параметры веб-портала. Подробные значения настроек будут описаны далее в этой главе.

Шаг 2. Разрешить доступ к сервису веб-портала на необходимых зонах

В разделе Сеть-->Зоны разрешить сервис веб-портала для выбранных зон (обычно зона Untrusted). Данное разрешение откроет доступ к порту сервиса, который был указан в настройках веб-портала на предыдущем шаге.

Шаг 3. Добавить внутренние ресурсы в веб-портал

В разделе Глобальный портал-->Веб-портал добавить URL внутренних ресурсов, к которым необходим доступ пользователей. Подробные значения настроек будут описаны далее в этой главе.

При настройке веб-портала (раздел Настройки-->Веб-портал) необходимо заполнить следующие поля:

Наименование

Описание

Вкл

Включает/Выключает веб-портал.

Имя хоста

Имя хоста, которое пользователи должны использовать, чтобы подключаться к сервису веб-портала. Данное имя должно резолвиться службами DNS в IP-адрес интерфейса UserGate, входящего в зону, на которой разрешен сервис веб-портала .

Порт

Порт TCP, который будет использоваться сервисом веб-портала. Порт вместе с именем хоста образуют URL для подключения пользователей в виде: https://имя_хоста:порт.

Профиль авторизации

Профиль авторизации пользователей, который будет использоваться для авторизации пользователей, подключающихся к веб-порталу. Профиль авторизации задает метод авторизации, например, AD-коннектор или локальный пользователь. Также в профиле авторизации можно указать требование использовать мультифакторную авторизацию для доступа к веб-порталу. Более подробно о профилях авторизации смотрите раздел руководства Профили авторизации.

Шаблон страницы авторизации

Выбрать шаблон страницы авторизации, который будет использоваться для отображения формы для ввода логина и пароля. Создать свою страницу авторизации можно в разделе Шаблоны страниц.

Шаблон портала

Выбрать шаблон веб-портала, который будет использоваться для отображения ресурсов, доступных через веб-портал. Создать свою страницу авторизации можно в разделе Шаблоны страниц.

Предлагать выбор домена AD/LDAP на странице авторизации

Показывать выбор домена на странице авторизации веб-портала.

Показывать CAPTCHA

При включении данной опции пользователю будет предложено ввести код, который ему будет показан на странице авторизации веб-портала. Рекомендуемая опция для защиты от ботов, подбирающих пароли пользователей.

Профиль SSL

Выбор профиля SSL для построения защищенного канала для отображения веб-портала. Подробно о профилях SSL смотрите в главе Профили SSL.

Сертификат

Сертификат, который будет использоваться для создания HTTPS-соединения. Если выбран режим Автоматически, то используется сертификат, выпущенный сертификатом SSL дешифрования для роли SSL Captive-портала. Более подробно о ролях сертификатов смотрите в разделе руководства Управление сертификатами.

Авторизация пользователя по сертификату

Если выбрано, то требует предъявления пользовательского сертификата браузером. Для этого пользовательский сертификат должен быть добавлен в список сертификатов UserGate, ему должна быть назначена роль Пользовательский сертификат и назначен соответствующий пользователь UserGate. Более подробно о пользовательских сертификатах читайте в разделе Управление сертификатами.

Настройке веб-портала (раздел Глобальный портал-->Веб портал) сводится к тому, что необходимо создать записи публикации URL внутренних веб-ресурсов. Для каждого URL необходимо создать закладку и заполнить следующие поля:

Наименование

Описание

Вкл

Включает или отключает закладку.

Название

Название закладки.

Описание

Описание закладки.

URL

URL ресурса, который необходимо опубликовать через веб-портал. Указывайте полный URL, начиная с http://, https://, ftp://, ssh:// или rdp://

Важно! Для публикации терминальных серверов необходимо отключить опцию, требующую Network Level Authentication в свойствах RDP доступа на серверах терминального доступа. Аутентификацию пользователей для доступа к серверам в данном случае будет выполнять веб-портал в соответствии со своими настройками.

Домен прямого доступа

При указанном значении домена прямого доступа пользователь может получить доступ к публикуемому ресурсу, минуя веб-портал, подключаясь к указанному домену.

Иконка

Иконка, которая будет отображаться на веб-портале для данной закладки. Возможно указать одну из предопределенных иконок, указать внешний URL, по которому доступна иконка или загрузить свою иконку.

Вспомогательные URL

Вспомогательные URL, необходимые для работы основного URL, но которые нет необходимости публиковать для пользователей. Например, основной URL http://www.example.com получает часть медиаконтента со вспомогательного URL http://cdn.example.com.

Пользователи

Список пользователей и/или групп пользователей, которым разрешено отображение закладки на веб-портале и которым разрешен доступ к основному и вспомогательным URL.

Очередность закладок в веб-портала определяет порядок отображения их пользователю. Администратор может менять очередность закладок с помощью кнопок Наверх, Выше, Ниже, Вниз или перетаскивая закладки с помощью мыши.

9.2. Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси

Для публикации серверов HTTP/HTTPS рекомендуется использовать публикацию с помощью правил reverse-прокси.

В отличие от публикации с помощью правил DNAT, публикация с использованием reverse-прокси предоставляет следующие преимущества:

  • Публикация по HTTPS серверов, работающих по HTTP и наоборот.

  • Балансировка запросов на ферму веб-серверов.

  • Возможность ограничения доступа к публикуемым серверам с определенных Useragent.

  • Возможность подмены доменов и путей публикуемых серверов.

Примечание

При наличии публикаций внутренних ресурсов с помощью DNAT/Порт-форвардинга, Reverse-прокси и веб-портала порядок применения правил следующий: 1. Правила DNAT. 2. Правила Reverse-прокси. 3. Правила веб-портала.

Чтобы опубликовать сервер, используя reverse-прокси, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать сервер reverse-прокси

В разделе Глобальный портал-->Серверы reverse-прокси нажать на кнопку Добавить и создать один или более публикуемых веб-серверов.

Шаг 2. Создать правило балансировки на серверы reverse-прокси (опционально)

В случае, если требуется балансировка на ферму публикуемых серверов, создать в разделе Политики сети-->Балансировка нагрузки балансировщик reverse-прокси. В качестве серверов используются серверы reverse-прокси, созданные на предыдущем шаге.

Шаг 3. Создать правило reverse-прокси

В разделе Глобальный портал-->Правила reverse-прокси создать правило, которое будет задавать условия публикации серверов или фермы серверов.

Важно! Правила публикации применяются сверху вниз в списке правил. Срабатывает только первое правило публикации, для которого совпали все условия, указанные в настройках правила.

Шаг 4. Разрешить сервис Reverse-прокси на зоне, с которой необходимо разрешить доступ к внутренним ресурсам

В разделе Сеть-->Зоны разрешите сервис Reverse-прокси для зоны, с которой необходимо разрешить доступ к внутренним ресурсам (обычно зона Untrusted).

Для создания сервера reverse-прокси разделе Глобальный портал-->Серверы reverse-прокси необходимо нажать на кнопку Добавить и заполнить следующие поля:

Наименование

Описание

Название

Название публикуемого сервера.

Описание

Описание публикуемого сервера.

Адрес сервера

IP-адрес публикуемого сервера.

Порт

TCP-порт публикуемого сервера.

HTTPS до сервера

Определяет, требуется ли использовать протокол HTTPS до публикуемого сервера.

Проверять SSL-сертификат

Включает/отключает проверку валидности SSL-сертификата, установленного на публикуемом сервере.

Не изменять IP-адрес источника

Оставляет оригинальный IP-адрес источника в пакетах, пересылаемых на публикуемый сервер. Если отключено, то IP-адрес источника заменяется на IP-адрес UserGate.

Для создания правила балансировки на серверы reverse-прокси в разделе Политики сети-->Балансировка нагрузки необходимо выбрать Добавить-->Балансировщик reverse-прокси и заполнить следующие поля:

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Серверы reverse-прокси

Созданный на предыдущем шаге список серверов reverse-прокси, на которые будет распределяться нагрузка.

Для создания правила reverse-прокси необходимо нажать на кнопку Добавить в разделе Глобальный портал-->Правила reverse-прокси и заполнить необходимые поля.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Сервер reverse-прокси

Сервер reverse-прокси или балансировщик reverse-прокси, куда UserGate будет пересылать запросы.

Порт

Порт, на котором UserGate будет слушать входящие запросы.

Использовать HTTPS

Включает поддержку HTTPS.

Сертификат

Сертификат, используемый для поддержки HTTPS-соединения.

Авторизовать по сертификату

Если выбрано, то требует предъявления пользовательского сертификата браузером. Для этого пользовательский сертификат должен быть добавлен в список сертификатов UserGate, ему должна быть назначена роль Пользовательский сертификат и назначен соответствующий пользователь UserGate. Более подробно о пользовательских сертификатах читайте в разделе Управление сертификатами.

Источник

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса.

Пользователи

Список пользователей и групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей.

Данная вкладка доступна только при использовании HTTPS и авторизации пользователя по сертификату.

Назначение

Один из внешних IP-адресов сервера UserGate, доступный из сети интернет, куда адресован трафик внешних клиентов.

Useragent

UserAgent пользовательских браузеров, для которых будет применено данное правило.

Подмена путей

Подмена домена и/или пути в URL в запросе пользователя. Например, позволяет преобразовать запросы, приходящие на http://www.example.com/path1 в http://www.example.loc/path2

Изменить с - домен и/или путь URL, которые требуется изменить.

Изменить на - домен и/или путь URL, на которые требуется заменить старые.

Если указан домен в поле Изменить с, то правило публикации будет применено только для запросов, которые пришли именно на этот домен. То есть в данном случае это будет являться условием срабатывания правила.

10. Настройка VPN

VPN (Virtual Private Network - виртуальная частная сеть) - обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, интернет). UserGate позволяет создавать VPN-подключения следующих типов:

  • VPN-сервер для удаленного доступа клиентов (Remote access VPN). В данном случае UserGate выступает в качестве сервера, а пользователи других устройств выступают в качестве клиентов VPN. UserGate поддерживает работу со стандартными клиентами большинства популярных операционных систем, например, таких, как Windows, Linux, Mac OS X, iOS, Android и другие.

  • VPN для защищенного соединения офисов (Site-to-Site VPN). В данном случае один сервер UserGate выступает в качестве сервера, а другой UserGate-сервер выступает в роли клиента. Клиент инициирует соединение с сервером. Подключение сервер-сервер позволяет объединить разобщенные офисы компании в единую логическую сеть.

Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных - протокол IPSec. Поддерживается многофакторная авторизация пользователей при подключении к сервису VPN.

10.1. VPN для удаленного доступа клиентов (Remote access VPN)

Для подключения VPN-клиентов к корпоративной сети необходимо настроить UserGate для выполнения роли VPN-сервера. Для этого необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты

В разделе Сеть-->Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted.

Шаг 2. Создать зону, в которую будут помещены подключаемые по VPN клиенты

В разделе Сеть-->Зоны создать зону, в которую будут помещены подключаемые по VPN клиенты. Эту зону в дальнейшем можно использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for remote access.

Шаг 3. Создать правило NAT для созданной зоны

Клиенты подключаются к VPN с использованием Point-to-Point протокола. Чтобы трафик мог ходить из созданной на предыдущем шаге зоны, необходимо создать правило NAT из этой зоны во все необходимые зоны. Создайте соответствующее правило в разделе Политики сети-->NAT и маршрутизация.

По умолчанию в UserGate создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее наттирование из зоны VPN for remote access в зоны Trusted и Untrusted.

Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны

В разделе Политики сети-->Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны.

По умолчанию в UserGate создано правило межсетевого экрана VPN for remote access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for remote access в зоны Trusted и Untrusted.

Шаг 5. Создать профиль авторизации

В разделе Пользователи и устройства-->Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP.

VPN поддерживает многофакторную авторизацию. Второй фактор авторизации может быть получен через одноразовые коды TOTP, sms или e-mail. Для ввода второго фактора авторизации пользователь при подключении к VPN серверу должен указать свой пароль в виде:

пароль:одноразовый_код

где пароль - это пароль пользователя
: - разделитель
одноразовый_код - второй фактор авторизации.

Подробно о профилях авторизации смотрите в разделе данного руководства Профили авторизации.

Шаг 6. Создать профиль безопасности VPN

Профиль безопасности VPN определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей и использовать их для построения соединений с разными типами клиентов.

Для создания профиля необходимо перейти в раздел VPN-->Профили безопасности VPN, нажать кнопку Добавить и заполнить следующие поля:

  • Название - название профиля.

  • Описание - описание профиля.

  • Общий ключ - строка, которая должна совпадать на сервере и клиенте для успешного подключения.

  • Безопасность-->Методы шифрования - пары алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они изображены (сверху вниз). При установлении соединения используется первая пара, которую поддерживают сервер и клиент. Для совместимости со стандартными клиентами VPN рекомендуется оставить значения по умолчанию.

По умолчанию в UserGate создан серверный профиль Remote access VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, то необходимо изменить общий ключ шифрования.

Шаг 7. Создать VPN-интерфейс

VPN-интерфейс – это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:

  • Название – название интерфейса, должно быть в виде tunnelN, где N – это порядковый номер VPN-интерфейса.

  • Описание – описание интерфейса.

  • Зона – зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону. Укажите зону, созданную на шаге 2.

  • Профиль Netflow – профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.

  • Режим - тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN, то необходимо использовать статический IP-адрес.

  • MTU – размер MTU для выбранного интерфейса.

По умолчанию в системе уже создан VPN-интерфейс tunnel1, который рекомендовано использовать для Remote access VPN.

Шаг 8. Создать сеть VPN

VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и - опционально - маршруты, которые будут переданы клиентам для применения, если клиенты поддерживает применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов.

Для создания туннеля VPN перейдите в раздел VPN-->Сети VPN, нажмите кнопку Добавить и заполните следующие поля:

  • Название - название сети.

  • Описание - описание сети.

  • Диапазон IP-адресов, которые будут использованы клиентами и сервером. Исключите из диапазона адреса, которые назначены VPN-интерфейсу, используемым совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.

  • Укажите DNS-сервера, которые будут переданы клиенту, или поставьте галочку Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует UserGate.

  • Укажите маршруты, передаваемые клиенту в виде бесклассовой адресации (CIDR)

В UserGate создана сеть Remote access VPN network с рекомендуемыми настройками.

Шаг 9. Создать серверное правило VPN

Создать серверное правило VPN, используя в нем созданные ранее сеть VPN, интерфейс VPN и профиль VPN. Для создания правила необходимо перейти в раздел VPN-->Серверные правила, нажать кнопку Добавить и заполнить следующие поля:

  • Включено - включает/отключает правило.

  • Название - название правила.

  • Описание - описание правила.

  • Профиль безопасности - профиль безопасности, созданный ранее.

  • Сеть VPN - сеть VPN, созданная ранее.

  • Профиль авторизации - профиль авторизации, созданный ранее.

  • URL инициализации TOTP - url, по которому пользователь может провести первоначальную инициализацию своего TOTP-устройства, в случае, если настроена многофакторная авторизация TOTP для авторизации VPN.

  • Интерфейс - интерфейс VPN, созданный ранее.

  • Источник - зоны и адреса, с которых разрешено принимать подключения к VPN. Как правило, клиенты находятся в сети интернет, следовательно, следует указать зону Untrusted.

  • Пользователи - группа пользователей или отдельные пользователи, которым разрешено подключаться по VPN.

По умолчанию в UserGate создано серверное правило Remote access VPN rule, в котором используются необходимые настройки для Remote Access VPN, а доступ к VPN разрешен членам локальной группы VPN users.

Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Исходная зона и Адрес источника. Параметр Пользователь не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN.

Шаг 10. Настроить VPN на клиентском компьютере

Для настройки клиентского подключения к VPN на компьютере пользователя необходимо указать следующие параметры:

  • Используйте тип подключения VPN - L2TP over IPSec.

  • В качестве IP-адреса VPN-сервера укажите IP-адрес интерфейса зоны, указанной на шаге 1.

  • В качестве общего ключа (Preshared key, Shared secret) используйте общий ключ, указанный вами на шаге 6.

  • Укажите протокол PAP для авторизации пользователя.

  • В качестве имени пользователя укажите имя учетной записи пользователя в формате username@domain, например, testuser@testdomain.loc

Важно! Операционные системы Microsoft Windows требуют изменения параметров реестра для корректной работы с VPN-сервером L2TP/IPSec. Обратитесь к статье Microsoft https://support.microsoft.com/en-us/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows за подробной инструкцией.

10.2. VPN для защищенного соединения офисов (Site-to-Site VPN)

Для создания Site-to-Site VPN необходимо настроить один UserGate для выполнения роли VPN-клиента, а другой - для выполнения роли VPN-сервера. Хотя настройка UserGate для выполнения роли VPN-сервера близка к настройке сервера для удаленного доступа, мы рекомендуем произвести все настройки отдельно, поскольку часть настроек может отличаться.

Настройка сервера, выполняющего роль VPN-сервера для объединения офисов:

Наименование

Описание

Шаг 1. Создать локального пользователя для авторизации сервера, выступающего в роли VPN-клиента

В разделе Пользователи и устройства --> Пользователи создать пользователей для каждого из удаленных UserGate-серверов, выступающих в роли VPN-клиентов, задать пароли. Рекомендуется поместить всех созданных пользователей в группу, которой будет дан доступ для подключения по VPN. По умолчанию для этой цели в UserGate создана группа VPN servers.

Шаг 2. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты

В разделе Сеть-->Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted.

Шаг 3. Создать зону, в которую будут помещены подключаемые по VPN серверы

В разделе Сеть-->Зоны создать зону, в которую будут помещены подключаемые по VPN серверы. Эту зону в дальнейшем можно будет использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site .

Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны

В разделе Политики сети-->Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны.

По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Site-to-Site в Trusted и Untrusted зоны. Правило выключено по умолчанию.

Шаг 5. Создать профиль авторизации

В разделе Пользователи и устройства-->Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей, для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP.

Подробно о профилях авторизации смотрите в разделе данного руководства Профили авторизации.

Шаг 6. Создать профиль безопасности VPN

Профиль безопасности определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов.

Для создания профиля безопасности необходимо перейти в раздел VPN-->Профили безопасности, нажать кнопку Добавить и заполнить следующие поля:

  • Название - название профиля.

  • Описание - описание профиля.

  • Общий ключ - строка, которая должна совпадать на сервере и клиенте для успешного подключения.

  • Безопасность-->Методы шифрования - пары алгоритмов аутентификации и шифрования. Алгоритмы используются в порядке, в котором они изображены (сверху вниз). При установлении соединения используется первая пара, которую поддерживают сервер и клиент. Для совместимости со стандартными клиентами VPN рекомендуется оставить значения по умолчанию.

По умолчанию в UserGate создан профиль безопасности Site-to-Site VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, необходимо изменить общий ключ шифрования.

Шаг 7. Создать VPN-интерфейс

VPN-интерфейс – это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:

  • Название – название интерфейса, должно быть в виде tunnelN, где N – это порядковый номер VPN-интерфейса.

  • Описание – описание интерфейса.

  • Зона – зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону. Укажите зону, созданную на шаге 3.

  • Профиль Netflow – профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.

  • Режим - тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN, то необходимо использовать статический IP-адрес.

  • MTU – размер MTU для выбранного интерфейса.

По умолчанию в системе уже создан VPN-интерфейс tunnel2, который рекомендовано использовать для Site-to-Site VPN.

Шаг 8. Создать Туннель VPN

VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и - опционально - маршруты, которые будут переданы клиентам для применения, если клиенты поддерживает применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов.

Для создания туннеля VPN перейдите в раздел VPN-->Сети VPN, нажмите кнопку Добавить и заполните следующие поля:

  • Название - название сети.

  • Описание - описание сети.

  • Диапазон IP-адресов, которые будут использованы клиентами и сервером. Исключите из диапазона адреса, которые назначены VPN-интерфейсу, используемым совместно с данной сетью. Не указывайте здесь адреса сети и широковещательный адрес.

  • Укажите DNS-сервера, которые будут переданы клиенту, или поставьте галочку Использовать системные DNS, в этом случае клиенту будут назначены DNS-серверы, которые использует UserGate.

  • Укажите маршруты, передаваемые клиенту в виде бесклассовой адресации (CIDR)

В UserGate создана сеть Site-to-Site VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на сервер-клиент.

Шаг 9. Создать серверное правило VPN

Создать серверное правило VPN, используя в нем созданные ранее туннель VPN и профиль VPN. Для создания правила необходимо перейти в раздел VPN-->Серверные правила, нажать кнопку Добавить и заполнить следующие поля:

  • Название - название правила.

  • Описание - описание правила.

  • Серверный профиль - серверный профиль, созданный ранее.

  • Туннель VPN - туннель VPN, созданный ранее.

  • Профиль авторизации - профиль авторизации, созданный ранее.

  • Источник - зоны и адреса, с которых разрешено принимать подключения к VPN. Как правило, клиенты находятся в сети интернет, следовательно, следует указать зону Untrusted.

  • Интерфейс - созданный ранее интерфейс VPN.

  • Пользователи - группа учетных записей серверов или отдельные учетные записи серверов, которым разрешено подключаться по VPN.

По умолчанию в UserGate создано серверное правило Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN, а доступ к VPN разрешен членам локальной группе VPN servers.

Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Исходная зона и Адрес источника. Параметр Пользователь не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN.

Для настройки сервера, выступающего в роли VPN-клиента, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать зону, в которую будут помещен интерфейс, используемый для подключения по VPN

В разделе Сеть-->Зоны создать зону, в которую будут помещены интерфейсы, используемые для подключения по VPN. Эту зону в дальнейшем можно будет использовать в политиках безопасности.

Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site.

Шаг 2. Создать разрешающее правило межсетевого экрана для трафика в созданную зону

Создать разрешающее правило межсетевого экрана в разделе Политики сети-->Межсетевой экран.

По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик между зонами VPN for Site-to-Site, Trusted и Untrusted.

Шаг 3. Создать VPN-интерфейс

VPN-интерфейс – это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.

В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:

  • Название – название интерфейса, должно быть в виде tunnelN, где N – это порядковый номер VPN-интерфейса.

  • Описание – описание интерфейса.

  • Зона – зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону. Укажите зону, созданную на шаге 3.

  • Профиль Netflow – профиль Netflow, используемый для данного интерфейса. Не обязательный параметр.

  • Режим - тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Для использования интерфейса в качестве клиентского VPN, необходимо использовать режим получения адреса – Динамический.

  • MTU – размер MTU для выбранного интерфейса.

По умолчанию в системе уже создан VPN-интерфейс tunnel3, который рекомендовано использовать для клиентского подключения Site-to-Site VPN.

Шаг 4. Создать клиентское правило VPN

Создать клиентское правило VPN, которое будет инициировать подключение к VPN-серверу. Для создания правила необходимо перейти в раздел VPN-->Клиентские правила, нажать кнопку Добавить и заполнить следующие поля:

  • Вкл - включение/отключение данного правила.

  • Название - название правила.

  • Описание - описание правила.

  • Профиль безопасности VPN - созданный ранее профиль безопасности VPN.

  • Интерфейс - созданный ранее VPN-интерфейс.

  • Адрес сервера - IP-адрес VPN-сервера, куда подключается данный VPN-клиент. Как правило, это IP-адрес интерфейса в зоне Untrusted на сервере UserGate, выполняющего роль VPN-сервера.

  • Протокол VPN - Возможно выбрать вариант L2TP (для подключения к VPN-серверу UserGate) или IPSec туннель для подключения к VPN-серверу Cisco.

  • Подсети для Cisco VPN - IP адрес сети, которая будет доступна для клиентов со стороны UserGate (разрешенные подсети со стороны Cisco) и со стороны VPN-сервера Cisco (разрешенные подсети со стороны UserGate).

  • Имя пользователя и пароль (только для протокола L2TP) - имя и пароль пользователя, созданного на шаге 1 при подготовке VPN-сервера.

После завершения настройки VPN-сервера и VPN-клиента клиент инициирует соединение на сервер, и в случае корректности настроек, поднимается VPN-туннель. Для отключения туннеля выключите клиентское (на клиенте) или серверное правило VPN (на сервере).

11. Библиотеки элементов

Данный большой раздел содержит в себе все записи, адреса-сайтов, IP-адреса, шаблоны и прочие элементы, которые используются при настройке правил UserGate.

Первоначальные данные библиотек поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Некоторые элементы библиотек являются нередактируемыми потому, что поставляются и поддерживаются разработчиками UserGate. Библиотеки элементов, поставляемые UserGate, имеют механизм автоматического обновления. Автоматическое обновление элементов требует наличия специальной лицензии. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование UserGate.

11.1. Морфология

Морфологический анализ - механизм, который распознает отдельные слова и словосочетания на веб-сайте. Если в тексте содержится достаточное для блокировки количество указанных слов и словосочетаний, то доступ к сайту блокируется.

Морфологический анализ выполняется как при проверке запроса пользователя, так и при получении ответа от веб-сервера и до его передачи пользователю. Получив ответ от веб-сервера, UserGate просматривает текст на странице и подсчитывает его суммарный «вес», исходя из «весов» слов, указанных в морфологических категориях. Если «вес» страницы превышает «вес» морфологической категории, правило срабатывает. При подсчете «веса» страницы учитываются все словоформы (леммы) запрещенных слов. Для поиска словоформ UserGate использует встроенные словари русского, английского, японского, арабского и немецкого языков.

Существует возможность подписки на словари, предоставляемые UserGate. Данные словари нельзя редактировать. Для использования этих словарей необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование UserGate.

Наименование

Описание

Соответствие списку запрещенных материалов Министерством Юстиции Российской Федерации

Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции Российской Федерации.

Соответствие списку запрещенных материалов республики Казахстан

Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции республики Казахстан.

Суицид

Морфологический словарь, содержащий перечень слов и фраз суицидальной направленности.

Терроризм

Морфологический словарь, содержащий перечень слов и фраз террористической направленности.

Нецензурная лексика

Морфологический словарь, содержащий перечень слов и фраз, относящихся к нецензурной лексике.

Азартные игры

Морфологический словарь, содержащий перечень слов и фраз, относящихся к азартным играм.

Наркотики

Морфологический словарь, содержащий перечень слов и фраз наркотической направленности.

Соответствие ФЗ-436 (Защита детей)

Морфологический словарь, содержащий перечень слов и фраз тематик, нежелательных для детей.

Порнография

Морфологический словарь, содержащий перечень слов и фраз порнографической направленности.

Бухгалтерия (DLP)

Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в бухгалтерии.

Маркетинг (DLP)

Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в маркетинге.

Персональные данные (DLP)

Морфологический словарь, содержащий перечень терминов, слов и фраз, встречающихся в персональных данных.

Финансы (DLP)

Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в финансах.

Юридический (DLP)

Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в юриспруденции.

Для фильтрации по морфологическому содержанию страницы требуется:

Наименование

Описание

Шаг 1. Создать одну или несколько морфологических категорий и указать вес каждой категории

Нажать на кнопку Добавить, задать название новой категории и ее вес.

Шаг 2. Указать список запрещенных фраз с весами

Нажать на кнопку Добавить и указать необходимые слова или фразы. При добавлении слова в морфологический словарь можно использовать модификатор «!» перед словом, например, «!bassterd». В данном случае жаргонное слово не будет преобразовываться в словоформы, что может серьезно уменьшить вероятность ложной блокировки.

Шаг 3. Создать правило фильтрации контента, содержащее одну или несколько морфологических категорий

Смотрите раздел Фильтрация контента.

Администратор имеет возможность создать свой словарь и централизованно распространять его на все устройства UserGate имеющиеся в организации. Для создания такой морфологической базы необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать файл с необходимыми фразами

создать файл list.txt со списком слов в следующем формате:

!word1 !word2

!word3

word4 50

Lastword

Вес словаря в таком случае равен 100, вес слова можно указать. По умолчанию он равен 100.

Шаг 2. Создать архив, содержащий этот файл

Поместить файл в архив zip с именем list.zip.

Шаг 3. Создать файл с версией словаря

Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря

Шаг 4. Разместить файлы на веб-сервере

Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.

Шаг 5. Создать морфологическую категорию указать URL для обновления словаря

На каждом UserGate создать морфологическую базу. При создании указать адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять словарь при наличии новой версии.

Примечание

При создании морфологических словарей не рекомендуется добавлять фразы, содержащие более трех слов, без использования символа «!» перед словами. Необходимо помнить, что при построении морфологической базы каждое из слов будет преобразовано во все существующие формы (склонения, спряжения, множественные числа, времена и т.д.), и результирующее количество фраз будет достаточно большим. При добавлении длинных фраз необходимо использовать модификатор «!» перед словами, модификация которых не нужна, как правило это различные предлоги и союзы. Например, фразу «как уйти из жизни безболезненно» правильно добавить в виде «!как уйти !из !жизни безболезненно». Это сократит количество возможных вариантов фраз, но при этом оставит все фразы с требуемым смыслом.

11.2. Сервисы

Раздел сервисы содержит список общеизвестных сервисов, основанных на протоколе TCP/IP, например, таких, как HTTP, HTTPS, FTP и другие. Данные сервисы могут быть использованы при построении правил UserGate. Первоначальный список сервисов поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового сервиса необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать сервис

Нажать на кнопку Добавить, дать сервису название, ввести комментарий.

Шаг 2. Указать протокол и порт

Нажать на кнопку Добавить, выбрать из списка необходимый протокол, указать порты назначения и, опционально, порты источника. Для указания диапазона портов можно использовать - (тире), например, 33333-33355.

11.3. IP-адреса

Раздел IP-адреса содержит список диапазонов IP-адресов, которые могут быть использованы при построении правил UserGate. Первоначальный список адресов поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового списка адресов необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать список

На панели Группы нажать на кнопку Добавить, дать название списку IP-адресов.

Шаг 2. Указать адрес обновления списка (не обязательно)

Указать адрес сервера, где находится обновляемый список. Более подробно об обновляемых списках смотрите далее в этой главе.

Шаг 3. Добавить IP-адреса

На панели Адреса из выбранной группы нажать на кнопку Добавить и ввести адреса. Адреса вводятся в виде IP-адрес или IP-адрес/маска сети, например, 192.168.1.5 192.168.1.0/24.

Администратор имеет возможность создавать свои списки IP-адресов и централизованно распространять их на все компьютеры с установленным UserGate. Для создания такого списка необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать файл с необходимыми IP-адресами

Создать файл list.txt со списком адресов.

Шаг 2. Создать архив, содержащий этот файл

Поместить файл в архив zip с именем list.zip.

Шаг 3. Создать файл с версией списка

Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.

Шаг 4. Разместить файлы на веб-сервере

Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.

Шаг 5. Создать список IP-адресов и указать URL для обновления

На каждом UserGate создать список IP-адресов. При создании указать адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии.

11.4. Useragent браузеров

С помощью фильтрации по Useragent браузеров администратор может запретить или разрешить работу пользователей только с определенным типом браузеров.

Первоначальный список Useragent поставляется вместе с продуктом. Для фильтрации по типу Useragent необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать список Useragent

В панели Категории нажать на кнопку Добавить и задать название нового списка UserAgent и, опционально, описание списка и URL обновления.

Шаг 2. Добавить необходимые Useragent браузеров в новый список

В панели Шаблоны useragent добавить необходимый Useragent. Исчерпывающий список строк Useragent представлен тут: http://www.useragentstring.com/pages/useragentstring.php

Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков

Смотрите раздел Фильтрация контента.

Администратор имеет возможность создавать свои списки Useragent и централизованно распространять их на все компьютеры с установленным UserGate. Для создания такого списка необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать файл с необходимыми Useragent

Создать файл list.txt со списком Useragent.

Шаг 2. Создать архив, содержащий этот файл

Поместить файл в архив zip с именем list.zip.

Шаг 3. Создать файл с версией списка

Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.

Шаг 4. Разместить файлы на веб-сервере

Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.

Шаг 5. Создать список Useragent и указать URL для обновления

На каждом UserGate создать список Useragent. При создании указать адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии.

11.5. Типы контента

С помощью фильтрации типов контента можно блокировать загрузку файлов определенного типа, например, запретить все файлы типа *.doc.

Существует возможность подписки на типы контента, предоставляемые разработчиками UserGate. Данные списки типов контента нельзя редактировать, их можно использовать при определении правил фильтрации контента. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование UserGate.

Для фильтрации по типу контента необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать список типов контента. Если используется предопределенный список UserGate, перейдите к шагу 3.

В панели Категории нажать на кнопку Добавить, задать название нового списка типа контента и, опционально, описание списка и URL обновления.

Шаг 2. Добавить необходимые MIME-типы в новый список

Добавить необходимый тип контента в данный список в формате MIME. Различные типы MIME описаны в интернете, например, здесь - http://www.webmaster-toolkit.com/mime-types.shtml.

Например, для блокировки документов типа *.doc необходимо добавить MIME-тип «application/msword».

Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков

Смотрите раздел Фильтрация контента.

Администратор имеет возможность создавать свои списки типов контента и централизованно распространять их на все компьютеры с установленным UserGate. Для создания такого списка необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать файл с необходимыми типами контента

Создать файл list.txt со списком типов контента.

Шаг 2. Создать архив, содержащий этот файл

Поместить файл в архив zip с именем list.zip.

Шаг 3. Создать файл с версией списка

Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.

Шаг 4. Разместить файлы на веб-сервере

Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.

Шаг 5. Создать список типа контента и указать URL для обновления

На каждом UserGate создать список типа контента. При создании указать адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии.

11.6. Списки URL

Страница предназначена для задания списков указателей URL, которые могут быть использованы в правилах контентной фильтрации в качестве черных и белых списков.

Компания UserGate предоставляет собственные обновляемые списки. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование UserGate.

Наименование

Описание

Список поисковых систем без безопасного поиска

Список известных поисковых систем, на которых отсутствует возможность блокировки поисковых запросов взрослого содержания. Рекомендуется блокировать такие поисковики для целей родительского контроля.

Соответствие списку запрещенных URL Министерства Юстиции РФ

Данный список содержит URL, запрещенные Министерством Юстиции Российской Федерации.

Соответствие списку запрещенных URL Республики Казахстан

Единый реестр доменных имен, указателей страниц сайтов в сети интернет и сетевых адресов, содержащих информацию, распространение которой запрещено в Республике Казахстан.

Список образовательных учреждений

Список доменных имен образовательных учреждений РФ.

Список фишинговых сайтов

Данный список содержит URL фишинговых сайтов.

Соответствие реестру запрещенных сайтов Роскомнадзора (URL)

Единый реестр указателей страниц сайтов в сети интернет, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru.

Соответствие реестру запрещенных сайтов Роскомнадзора (домены)

Единый реестр доменных имен, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru.

Для фильтрации с помощью списков URL необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать список URL

В панели Списки URL нажать на кнопку Добавить, задать название нового списка.

Шаг 2. Добавить необходимые записи в новый список

Добавить записи URL в новый список. В списках можно использовать специальные символы «^», «$» и «*»:

«*» - любое количество любых символов

«^» - начало строки

«$» - конец строки

Символы «?» и «#» не могут быть использованы.

Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков

Смотрите раздел Фильтрация контента.

Если URL-запись начинается с «:guielement:` http:// », «:guielement: https:// », :guielement:`ftp:// или содержит один или более символов «:guielement:` / `», то это считается URL и применяется только для HTTP(S) фильтрации, к DNS-фильтрации такая запись не применяется. В противном случае строка рассматривается как имя домена и применяется для DNS-фильтрации и HTTP(S)-фильтрации.

Если вы хотите заблокировать точный адрес, используйте символы «:guielement:` ^ » и «:guielement: $ `»:
«:guielement:` ^http://domain.com/exacturl$ `»
Для блокирования точного URL всех дочерних папок используйте символ «:guielement:` ^ `»:
«:guielement:` ^http://domain.com/exacturl/ `»
Для блокирования домена со всеми возможными URL используйте запись такого вида:
«:guielement:` domain.com `»

Пример интерпретации URL-записей:

Пример записи

Обработка DNS- запросов

Обработка HTTP-запросов

yahoo.com

или

*yahoo.com*

Блокируется весь домен и домены 3 уровня, например:

sport.yahoo.com

mail.yahoo.com

а также:

qweryahoo.com

блокируется весь домен и все URL этого домена и домены 3 уровня, например:

http://sport.yahoo.com

http://mail.yahoo.com

https://mail.yahoo.com

http://sport.yahoo.com/123

^mail.yahoo.com$

Заблокирован только mail.yahoo.com

заблокированы только http://mail.yahoo.com

https://mail.yahoo.com

^mail.yahoo.com/$

Ничего не заблокировано

Ничего не заблокировано, так как последний символ слэш определяет URL, но не указаны «https» или «http»

^http://finance.yahoo.com/personal-finance/$

Ничего не заблокировано

заблокирован только

http://finance.yahoo.com/personal-finance/

^yahoo.com/12345/

Ничего не заблокировано

заблокированы

http://yahoo.com/12345/whatever/

https://yahoo.com/12345/whatever/

Администратор имеет возможность создавать собственные списки и централизованно распространять их на все компьютеры с установленным UserGate. Для создания таких списков необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать файл с необходимым списком URL

Создать текстовый файл list.txt со списком URL в следующем формате:

www.site1.com/url1

www.site2.com/url2

www.siteend.com/urlN

Шаг 2. Создать архив, содержащий этот файл

Поместить файл в архив zip с именем list.zip.

Шаг 3. Создать файл с версией списка

Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.

Шаг 4. Разместить файлы на веб-сервере

Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.

Шаг 5. Создать список типа контента и указать URL для обновления

На каждом UserGate создать список URL. При создании указать адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии.

11.7. Календари

Календари позволяют создать временные интервалы, которые затем можно использовать в различных правилах UserGate. Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового календаря необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать календарь

В панели Группы нажать на кнопку Добавить, указать название календаря и его описание.

Шаг 2. Добавить временные интервалы в календарь

В панели Элементы нажать на кнопку Добавить и добавить интервал. Дать название интервалу и указать время.

11.8. Полосы пропускания

Элемент библиотеки Полоса пропускания определяет скорость передачи данных, которую возможно в дальнейшем использовать в правилах управления полосой пропускания. Более подробно о правилах управления полосой пропускания смотрите в главе Пропускная способность.

Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления новой полосы пропускания необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать полосу пропускания

Нажать на кнопку Добавить, дать название, описание.

Шаг 2. Указать скорость

Указать скорость в Кбит/сек.

Шаг 3. Указать значение DCSP для QoS

Необязательный параметр. Если установлен, то будет прописываться в каждый IP пакет. Диапазон от 0 до 63.

11.9. Профили АСУ ТП

Профиль АСУ ТП - это набор элементов, каждый из которых состоит из определенной команды АСУ ТП и адреса. Профиль АСУ ТП используется в правилах АСУ ТП. Более подробно о фильтрации трафика АСУ ТП читайте в разделе Правила АСУ ТП.

11.10. Шаблоны страниц

С помощью шаблонов страниц администратор может управлять видом страницы блокировки и страницы авторизации Captive-портала. Администратор может использовать разные шаблоны для разных правил фильтрации контента и правил Captive-портала.

UserGate поставляется с различными типами шаблонов - шаблоны страниц блокировки, Captive-портала, веб-портала, инициализации TOTP и др. Они могут использованы как образцы для создания пользовательских шаблонов, например, в фирменном стиле компании или на необходимом языке.

Наименование

Описание

Шаблоны Blockpage (EN) и Blockpage (RU)

Стандартные шаблоны блокировки на английском и русском языках.

Шаблоны Captive portal user auth (EN) и Captive portal user auth (RU)

Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль). При успешной авторизации пользователь получает доступ в интернет.

Шаблоны Captive portal user auth + policy (EN) и Captive portal user auth + policy (RU)

Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль), правила пользования сетью (соглашение об использовании), а также требует принятия пользователем правил политики доступа. При успешной авторизации пользователь получает доступ в интернет.

Шаблоны Captive portal: email auth (EN) и Captive portal: email auth (RU)

Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя письмом по e-mail. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле.

Шаблон Captive portal: SMS auth (EN) и Captive portal: SMS auth (RU)

Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя с помощью SMS. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле.

Шаблон Captive portal policy (EN) и Captive portal policy (RU)

Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон не требует ввода имени и пароля пользователя, а выводит правила пользования сетью (соглашение об использовании) и требует принятия пользователем правил политики доступа. При согласии с политикой доступа пользователь получает доступ в интернет. Для работы данного шаблона требуется установить метод Принять политику в качестве метода аутентификации в Captive-профиле.

Шаблоны Captive portal user session (EN) и Captive portal user session (RU)

Шаблоны на английском и русском языках, с помощью которых пользователь может завершить свою авторизованную сессию, перейдя на страницу http://logout.captive или http://USERGATE_IP/cps .

Шаблоны Content warning (EN) и Content warning (RU)

Шаблоны на английском и русском языках, содержащие страницу предупреждения, отображаемую при срабатывании правила контентной фильтрации с действием Предупредить.

Шаблоны FTP client (EN) и FTP client (RU)

Шаблоны на английском и русском языках для отображения контента FTP-серверов поверх HTTP.

Шаблоны SSL VPN (EN) и (RU)

Шаблоны на английском и русском языках для отображения страницы веб-портала.

Шаблоны SSL VPN RDP (EN) и (RU)

Шаблоны на английском и русском языках для отображения страницы аутентификации при подключении к ресурсам RDP через веб-портал.

Шаблоны SSL VPN SSH (EN) и (RU)

Шаблоны на английском и русском языках для отображения страницы аутентификации при подключении к ресурсам SSH через веб-портал.

Шаблоны TOTP INIT PAGE (EN) и TOTP INIT PAGE (RU)

Шаблоны на английском и русском языках для отображения страницы инициализации устройства TOTP для VPN-пользователей.

Для создания собственного шаблона необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Экспортировать существующий шаблон, поставляемый по умолчанию

Выбрать один из существующих шаблонов, нажать на кнопку Экспорт и сохранить шаблон в файле.

Шаг 2. Изменить экспортированный шаблон

Используя редактор, изменить содержание шаблона. Не рекомендуется использовать специальные редакторы, предназначенные для редактирования HTML-файлов, поскольку они могут испортить внутреннюю структуру шаблона. Используйте простые редакторы текста.

Шаг 3. Создать новый шаблон

Нажать на кнопку Добавить, выбрать соответствующий тип шаблона, задать название шаблону и сохранить его.

Шаг 4. Импортировать измененный на шаге 2 шаблон

Выделить вновь созданный шаблон, нажать на кнопку Импорт и выбрать файл с измененным шаблоном.

11.11. Категории URL

Элемент библиотеки Категории URL позволяет создать группы категорий UserGate URL filtering для более удобного использования в правилах фильтрации контента. Например, администратор может создать группу категорий «Бизнес категории» и поместить в нее необходимые категории.

Для использования категорий UserGate URL filtering требуется наличие специальной лицензии.

Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы.

Наименование

Описание

Threats

Набор категорий, рекомендованных для блокировки в целях обеспечения безопасности сети.

Parental Control

Набор категорий, рекомендованных для блокировки в целях защиты детей от нежелательного контента.

Productivity

Набор категорий, рекомендованных для блокировки в целях повышения эффективности работы сотрудников.

Safe categories

Набор категорий, считаемых безопасными для посещения. Рекомендуется отключать морфологическую проверку, перехват HTTPS-трафика для данной группы категорий в целях уменьшения количества ложных срабатываний.

Recommended for morphology checking

Набор категорий, рекомендованных для проверки с помощью морфологического анализа. Из этого набора исключены такие категории, как «Новости», «Финансы», «Правительство», «Информационная безопасность», «Детские сайты» и ряд других в целях уменьшения количества ложных срабатываний. Этот же набор категорий рекомендуется использовать для перехвата трафика HTTPS.

Recommended for virus check

Набор категорий, рекомендованных для антивирусной проверки.

Для добавления новой группы категорий необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать группу категорий

В панели Группы URL категорий нажать на кнопку Добавить, дать название группе.

Шаг 2. Добавить категории

Выделить созданную группу и в панели Категории нажать на кнопку Добавить и выбрать необходимые категории из списка.

11.12. Измененные категории URL

Элемент библиотеки Измененные категория URL позволяет администратору назначить определенным сайтам категории, отличные от категорий, назначенных техническими специалистами UserGate. Такая потребность может возникнуть в случае некоррекного категорирования сайтов или в случае, если требуемый сайт не имеет назначенной ему категории. Для переопределения категории сайта необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Проверить первоначальную категорию сайта

В разделе Билиотеки --> Измененные категории URL ввести требуемый адрес сайта в строку проверки и нажать на кнопку Проверить категорию.

Шаг 2. Назначить новую категорию

Если полученная категория не совпадает с требуемой, то необходимо нажать на кнопку Добавить и назначить до двух новых категорий.

После успешного изменения категории сайт будет отображаться в списке сайтов с измененными категориями. Для него также будет указаны дата изменения категории, администратор, выполнивший данное изменение, его оригинальные и новые категории.

При последующей проверке категорий для данного сайта в качестве категорий будут возвращены только новые категории и специальная категория, в которую включаются все сайты с измененными категориями - Переопределенные пользователем категории.

Администратор может экспортировать списки сайтов с измененными категориями или импортировать любые списки сайтов и назначить им требуемые категории.

11.13. Приложения

Элемент библиотеки Приложения позволяет создать группы приложений для более удобного использования в правилах фильтрации сетевого трафика. Например, администратор может создать группу приложений «Бизнес приложения» и поместить в нее необходимые приложения.

Для добавления новой группы приложений необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать группу приложений

В панели Группы приложений нажать на кнопку Добавить, дать название группе.

Шаг 2. Добавить приложения

Выделить созданную группу и в панели Приложения нажать на кнопку Добавить и выбрать необходимые приложения из списка.

11.14. Почтовые адреса

Элемент библиотеки Почтовые адреса позволяет создать группы почтовых адресов, которые впоследствии можно использовать в правилах фильтрации почтового трафика и для использования в оповещениях.

Для добавления новой группы почтовых адресов необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать группу почтовых адресов

В панели Группы почтовых адресов нажать на кнопку Добавить, дать название группе.

Шаг 2. Добавить почтовые адреса в группу

Выделить созданную группу и в панели Почтовые адреса нажать на кнопку Добавить и добавить необходимые почтовые адреса.

11.15. Номера телефонов

Элемент библиотеки Номера телефонов позволяет создать группы номеров, которые впоследствии можно использовать в правилах оповещения SMPP.

Для добавления новой группы телефонных номеров необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать группу телефонных номеров

В панели Группы телефонных номеров нажать на кнопку Добавить, дать название группе.

Шаг 2. Добавить номера телефонов в группу

Выделить созданную группу и в панели Группа телефонных номеров нажать на кнопку Добавить и добавить необходимые номера.

11.16. Профили СОВ

Профиль СОВ - это набор сигнатур, релевантных для защиты определенных сервисов. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты сервиса. Например, для защиты сервиса, работающего по протоколу TCP, не стоит добавлять сигнатуры, разработанные для протокола UDP. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора. Более подробно о создании и использовании профилей СОВ смотрите в разделе Система обнаружения и предотвращения вторжений.

11.17. Профили оповещений

Профиль оповещения указывает транспорт, с помощью которого оповещения могут быть доставлены получателям. Поддерживается 2 типа транспорта:

  • SMTP, доставка сообщений с помощью e-mail

  • SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки

Для создания профиля сообщений SMTP необходимо нажать на кнопку Добавить в разделе Оповещения--> Профили оповещений, выбрать вариант Добавить профиль оповещения SMTP и заполнить необходимые поля:

Наименование

Описание

Название

Название профиля.

Описание

Описание профиля.

Хост

IP-адрес или FQDN сервера SMTP, который будет использоваться для отсылки почтовых сообщений.

Порт

Порт TCP, используемый сервером SMTP. Обычно для протокола SMTP используется порт 25, для SMTP с использованием SSL - 465. Уточните данное значение у администратора почтового сервера .

Безопасность

Варианты безопасности отправки почты, возможны варианты: Нет, STARTTLS, SSL.

Авторизация

Включает авторизацию при подключении к SMTP-серверу.

Логин

Имя учетной записи для подключения к SMTP-серверу.

Пароль

Пароль учетной записи для подключения к SMTP-серверу.

Для создания профиля сообщений SMPP необходимо нажать на кнопку Добавить в разделе Оповещения-->Профили оповещений, выбрать вариант Добавить профиль оповещения SMPP и заполнить необходимые поля:

Наименование

Описание

Название

Название профиля.

Описание

Описание профиля.

Хост

IP-адрес или FQDN сервера SMPP, который будет использоваться для отсылки SMS сообщений.

Порт

Порт TCP, используемый сервером SMPP. Обычно для протокола SMPP используется порт 2775, для SMPP с использованием SSL – 3550.

SSL

Использовать или нет шифрацию с помощью SSL.

Логин

Имя учетной записи для подключения к SMPP-серверу.

Пароль

Пароль учетной записи для подключения к SMPP-серверу.

Правила трансляции номеров

В некоторых случаях SMPP-провайдер ожидает номер телефона в определенном формате, например, в виде 89123456789. Для соответствия требованиям провайдера можно указать замену первых символов номеров с одних на другие. Например, заменить все номера, начинающиеся на +7, на 8.

11.18. Профили Netflow

Профиль Netflow позволяет указать параметры необходимые для отсылки информации на коллектор Netflow. Для создания профиля Netflow необходимо нажать на кнопку Добавить в разделе Библиотеки-->Профили Netflow и указать необходимые параметры:

Наименование

Описание

Название

Название профиля Netflow

Описание

Описание профиля Netflow

IP-адрес Netflow коллектора

IP-адрес сервера, куда сенсор будет отправлять статистику.

Порт Netflow коллектора

UDP порт, на котором коллектор будет принимать статистику.

Версия протокола

Версия протокола Netflow, которую следует использовать. Версия протокола должна совпадать на сенсоре и на коллекторе.

Таймаут активного потока (сек)

При длительных потоках, например, передача большого файла через сеть, время, через которое будет отправляться статистика на коллектор, не дожидаясь завершения потока. Значение по умолчанию – 1800 секунд.

Таймаут неактивного потока (сек.)

Время, резервируемое на завершение неактивного потока. Значение по умолчанию – 15 секунд.

Количество потоков

Максимальное количество учитываемых потоков, с которых собирается и отправляется статистика. Ограничение необходимо для защиты от DoS-атак. После достижения данного количества потоков, все последующие не будут учитываться. Значение по умолчанию - 2000000, установите 0 для снятия ограничения.

Отправлять информацию NAT

Отправлять информацию о NAT преобразованиях в статистику Netflow.

Частота отправки шаблона (пакетов)

Количество пакетов, после которых шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию – 20 пакетов.

Период отправки старого шаблона (сек.)

Время, через которое старый шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию – 1800 секунд.

11.19. Профили SSL

Профиль SSL позволяет указать протоколы SSL или отдельные алгоритмы шифрования и цифровой подписи, которые в дальнейшем могут быть использованы в правилах инспектирования SSL, в настройках веб-консоли, страницы авторизации, страницы блокировки, веб-портале.

Для создания профиля SSL необходимо нажать на кнопку Добавить в разделе Библиотеки --> Профили SSL и указать необходимые параметры:

Наименование

Описание

Название

Название профиля SSL

Описание

Описание профиля SSL

Протоколы SSL

Минимальная версия TLS - устанавливает минимальную версию TLS, которая может быть использована в данном профиле.

Максимальная версия TLS - устанавливает максимальную версию TLS, которая может быть использована в данном профиле.

Оба эти параметра определяют диапазон версий TLS, которые будут поддерживаться данным профилем.

Наборы алгоритмов шифрования

Данный раздел позволяет выбрать необходимые алгоритмы шифрования и цифровой подписи. Возможные значения указаны в виде строк, в которых перечислены алгоритм и подпись. Администратор может указать только те наборы алгоритмов и подписей, которые считает нужным для безопасной работы организации. Список поддерживаемых комбинаций следующий:

  • TLS AES 128 CCM SHA256

  • TLS AES 128 GCM SHA256

  • TLS AES 256 GCM SHA384

  • TLS CHACHA20 POLY1305 SHA256

  • TLS DHE DSS with 3DES EDE CBC SHA

  • TLS DHE DSS with AES 128 CBC SHA

  • TLS DHE DSS with AES 128 CBC SHA256

  • TLS DHE DSS with AES 128 GCM SHA256

  • TLS DHE DSS with AES 256 CBC SHA

  • TLS DHE DSS with AES 256 CBC SHA256

  • TLS DHE DSS with AES 256 GCM SHA384

  • TLS DHE RSA with 3DES EDE CBC SHA

  • TLS DHE RSA with AES 128 CBC SHA

  • TLS DHE RSA with AES 128 CBC SHA256

  • TLS DHE RSA with AES 128 GCM SHA256

  • TLS DHE RSA with AES 256 CBC SHA

  • TLS DHE RSA with AES 256 CBC SHA256

  • TLS DHE RSA with AES 256 GCM SHA384

  • TLS DHE RSA with CHACHA20 POLY1305 SHA256

  • TLS DHE RSA with DES CBC SHA

  • TLS ECDHE ECDSA with 3DES EDE CBC SHA

  • TLS ECDHE ECDSA with AES 128 CBC SHA

  • TLS ECDHE ECDSA with AES 128 CBC SHA256

  • TLS ECDHE ECDSA with AES 128 GCM SHA256

  • TLS ECDHE ECDSA with AES 256 CBC SHA

  • TLS ECDHE ECDSA with AES 256 CBC SHA384

  • TLS ECDHE ECDSA with AES 256 GCM SHA384

  • TLS ECDHE ECDSA with CHACHA20 POLY1305 SHA256

  • TLS ECDHE ECDSA with RC4 128 SHA

  • TLS ECDHE RSA with 3DES EDE CBC SHA

  • TLS ECDHE RSA with AES 128 CBC SHA

  • TLS ECDHE RSA with AES 128 CBC SHA256

  • TLS ECDHE RSA with AES 128 GCM SHA256

  • TLS ECDHE RSA with AES 256 CBC SHA

  • TLS ECDHE RSA with AES 256 CBC SHA384

  • TLS ECDHE RSA with AES 256 GCM SHA384

  • TLS ECDHE RSA with CHACHA20 POLY1305 SHA256

  • TLS ECDHE RSA with RC4 128 SHA

  • TLS ECDH ECDSA with 3DES EDE CBC SHA

  • TLS ECDH ECDSA with AES 128 CBC SHA

  • TLS ECDH ECDSA with AES 128 CBC SHA256

  • TLS ECDH ECDSA with AES 128 GCM SHA256

  • TLS ECDH ECDSA with AES 256 CBC SHA

  • TLS ECDH ECDSA with AES 256 CBC SHA384

  • TLS ECDH ECDSA with AES 256 GCM SHA384

  • TLS ECDH ECDSA with RC4 128 SHA

  • TLS ECDH RSA with 3DES EDE CBC SHA

  • TLS ECDH RSA with AES 128 CBC SHA

  • TLS ECDH RSA with AES 128 CBC SHA256

  • TLS ECDH RSA with AES 128 GCM SHA256

  • TLS ECDH RSA with AES 256 CBC SHA

  • TLS ECDH RSA with AES 256 CBC SHA384

  • TLS ECDH RSA with AES 256 GCM SHA384

  • TLS ECDH RSA with RC4 128 SHA

  • TLS GOST2012256 with 28147 CNT IMIT

  • TLS GOSTR341001 with 28147 CNT IMIT

  • TLS RSA PSK with 3DES EDE CBC SHA

  • TLS RSA PSK with AES 128 CBC SHA

  • TLS RSA PSK with AES 128 CBC SHA256

  • TLS RSA PSK with AES 128 GCM SHA256

  • TLS RSA PSK with AES 256 CBC SHA

  • TLS RSA PSK with AES 256 CBC SHA384

  • TLS RSA PSK with AES 256 GCM SHA384

  • TLS RSA PSK with RC4 128 SHA

  • TLS RSA with 3DES EDE CBC SHA

  • TLS RSA with AES 128 CBC SHA

  • TLS RSA with AES 128 CBC SHA256

  • TLS RSA with AES 128 GCM SHA256

  • TLS RSA with AES 256 CBC SHA

  • TLS RSA with AES 256 CBC SHA256

  • TLS RSA with AES 256 GCM SHA384

  • TLS RSA with DES CBC SHA

  • TLS RSA with RC4 128 MD5

  • TLS RSA with RC4 128 SHA

  • TLS SRP DSS with 3DES EDE CBC SHA

  • TLS SRP DSS with AES 128 CBC SHA

  • TLS SRP DSS with AES 256 CBC SHA

  • TLS SRP RSA with 3DES EDE CBC SHA

  • TLS SRP RSA with AES 128 CBC SHA

  • TLS SRP RSA with AES 256 CBC SHA

Установка алгоритмов шифрования для стандартных протоколов

Данный раздел можно использовать для облегчения выбора необходимых алгоритмов шифрования и подписи для стандартных протоколов TLS. Администратор может указать в поле Выберите протокол для установки алгоритмов необходимые версии протоколов TLS, нажать на кнопку Применить, и алгоритмы, соответствующие выбранной версии протокола автоматически будут отмечены. Можно последовательно добавить несколько версий протокола TLS.

По умолчанию в продукте создано несколько профилей SSL, которые могут быть использованы администратором как есть, либо изменены/удалены при необходимости. Созданы следующие профили SSL:

Наименование

Описание

Default SSL profile

Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.1 до TLS v.1.2. Это наиболее распространенные версии протоколов, используемые в сети интернет в данное время. Данный профиль используется по умолчанию в:

  • Правилах инспектирования трафика SSL.

  • Для страницы авторизации Captive-портала.

  • Для страницы блокировки.

  • В веб-портале.

Default SSL profile (TLSv1.3)

Содержит алгоритмы и подписи, соответствующие версии TLS v.1.3. По умолчанию не используется.

Default SSL profile (GOST)

Содержит алгоритмы и подписи, соответствующие TLS с ГОСТ-алгоритмами (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT). Может быть использован в организациях, где требуется использование данных алгоритмов, например, для веб-портала. Поддержка данных протоколов должна также быть обеспечена со стороны используемых браузеров. По умолчанию не используется.

Default SSL profile (web console)

Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.0 до TLS v.1.2. Данный профиль используется по умолчанию для предоставления SSL-доступа в веб-консоль.

Важно! Изменение данного профиля следует производить с осторожностью. Указание алгоритмов, не поддерживаемых вашим браузером, может привести к потере доступа в веб-консоль!

12. Дашборд

Данный раздел позволяет посмотреть текущее состояние сервера, его загрузку, количество пользователей, объемы трафика, проходящего через сервер, работу систем фильтрации, статус лицензии и так далее. Отчеты предоставлены в виде виджетов, которые могут быть настроены администратором системы в соответствии с его требованиями. Виджеты можно добавлять, удалять, изменять расположение и размер на странице Дашборд. По умолчанию созданы страницы с виджетами NOC (Network Operation Center) и SOC (Security Operation Center).

Некоторые виджеты позволяют настроить отображение, указать фильтрацию данных и настроить прочие параметры. Для настройки виджета необходимо кликнуть по символу шестеренки в правом верхнем углу. Не все параметры, перечисленные ниже, доступны для каждого типа виджетов.

Наименование

Описание

Название

Название виджета, которое будет отображаться в Дашборд.

Описание

Опциональное описание виджета.

Количество записей

Максимальное количество записей для отображения.

Группировать по

Поле данных, по которому будут сгруппированы данные в виджете.

Диаграмма

Выбор типа представления данных. Доступны значения:

  • Число

  • Круговая диаграмма

  • Вертикальная гистограмма

  • Горизонтальная гистограмма

  • Таблица

  • График

  • Карта мира

Запрос фильтра

SQL-подобная строка запроса, позволяющая ограничить объем информации, используемой при построении виджета. Для формирования запросов используются названия полей, значения полей, ключевые слова и операторы. Ключевые слова и операторы, а так же примеры их использования можно посмотреть в разделе документации Поиск и фильтрация данных.

13. Диагностика и мониторинг

13.1. Маршруты

Раздел Маршруты позволяет получить список всех маршрутов, указанных на определенном узле UserGate и на определенном виртуальном маршрутезаторе на узле кластера. Для просмотра маршрутов необходимо нажать на кнопку Фильтр и указать типы маршрутов, которые необходимо отобразить. Возможно указать следующие типы маршрутов:

  • Подключенные к интерфейсам - маршруты к сетям, которые подключены непосредственно к интерфейсам UserGate. Данные маршруты будут помечены символом С в списке маршрутов.

  • Заданные статически - маршруты, заданные статически в разделе Сеть-->Маршруты. Данные маршруты будут помечены символом S в списке маршрутов.

  • OSPF - маршруты, полученные по протоколу OSPF. Данные маршруты будут помечены символом O в списке маршрутов.

  • BGP - маршруты, полученные по протоколу BGP. Данные маршруты будут помечены символом B в списке маршрутов.

Отображаемый список маршрутов можно скачать в виде текстового файла с помощью кнопки Скачать все маршруты.

13.2. VPN

Раздел VPN отображает всех пользователей и все серверы, подключенные по VPN к данному серверу. Для каждого соединения отображается следующая информация:

  • Пользователь - имя пользователя, под которым произошла авторизация соединения.

  • Роль этого сервера - клиент или сервер.

  • Время сессии - продолжительность установленного соединения.

  • Туннельный IP - адрес, назначенный данному клиенту в виртуальной частной сети.

  • IP-адрес - адрес, с которого инициировано соединение VPN.

  • Geo IP - страна по Geo IP, откуда установлено соединение.

  • Шифрование - тип шифрования.

13.3. Веб-портал

Раздел веб-портал отображает всех пользователей и все серверы, подключенные через веб-портал к данному серверу. Для каждого соединения отображается следующая информация:

  • Имя - имя пользователя, под которым произошла авторизация соединения.

  • Начало сессии - время, когда пользователь подключился к сервису.

  • Продолжительность - продолжительность соединения.

  • IP источника - IP-адрес пользователя.

  • Useragent - useragent пользовательского браузера.

Можно задать период обновления данного окна от 3-х секунд до одной минуты или установить обновление вручную.
Администратор имеет возможность принудительно закрыть определённую сессию. Для этого надо выделить её и нажать кнопку Закрыть сессию.

13.4. Захват пакетов

Раздел Захват пакетов позволяет записать трафик, удовлетворяющий заданным условиям, в pcap-файл для дальнейшего анализа с помощью сторонних средств, например, wireshark. Это бывает необходимо для диагностирования сетевых проблем.

Раздел состоит из трех частей:

  • Фильтры - здесь определяются условия, по которым будет записываться трафик. В качестве условий могут выступать адрес источника, порт источника, адрес назначения, порт назначения, протокол Ethernet, протокол IPv4. Список протоколов IPv4 можно посмотреть по ссылке http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.

  • Правила - в правилах указываются интерфейсы UserGate, на которых необходимо записывать трафик, фильтры, созданные ранее, имя и размер файла, в который записывается перехваченный трафик.

  • Файлы - сюда помещаются файлы с записанным трафиком. Их можно скачать для анализа или удалить.

Чтобы записать трафик, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать необходимый фильтр

Опционально. Можно воспользоваться предустановленными фильтрами или писать весь трафик, не фильтруя его.

Шаг 2. Создать правило

Создать правило, в котором указать имя правила, имя файла, максимальный размер записываемого файла и необходимые фильтры.

Шаг 3. Выбрать необходимое правило и начать запись

Выбрать необходимое правило и нажать на кнопку Начать запись. По окончании прекратить запись, нажав на кнопку Остановить запись.

Шаг 4. В разделе Файлы, скачать полученный файл

Скачать pcap-файл для анализа.

13.5. Запросы в белый список

При блокировке сайтов с помощью правил контентной фильтрации пользователь получает страницу блокировки с указанием причины блокировки, на которой указаны имя правила, категория сайта и/или морфологическая база, черный список, из-за которых сайт был заблокирован. Кроме этого, страница блокировки предлагает пользователю сделать запрос на добавление данного сайта в белый список в случае, если пользователь не согласен с блокировкой ресурса. При нажатии на кнопку Добавить в белый список запрос на добавление появляется в списке запросов в разделе Запросы в белый список. Администратор может осуществить следующие действия с запросом пользователя:

Наименование

Описание

Добавить в белый список

Добавить данный URL в белый список. Администратору будет предложено изменить URL и выбрать белый список, в который необходимо добавить данный ресурс.

Удалить

Удалить данный запрос из списка запросов.

Отклонить URL

Добавить запрошенный URL в список отклоненных запросов. При последующих блокировках данного URL страница блокировки не будет содержать кнопки Добавить в белый список. Список отклоненных доменов и URL отображается в Окне отклоненных запросов.

Отклонить домен

Добавить домен запрошенного URL в список отклоненных запросов. При последующих блокировках любого URL данного домена страница блокировки не будет содержать кнопки Добавить в белый список. Список отклоненных доменов и URL отображается в Окне отклоненных запросов.

Администратор может проверить категорию интернет-ресурса с помощью формы Проверить URL. В случае, если ресурс относится к некорректной категории, администратор может сделать запрос на смену категории или изменить категорию самостоятельно локально на своем устройстве.

Для того, чтобы сделать запрос на смену категории, необходимо нажать на кнопку Предложить категорию. Запрос на смену категории будет отправлен в компанию UserGate, где будет проверен, и в случае подтверждения будет внесен в ближайшее обновление базы категорий сайтов UserGate URL filtering.

Для того, чтобы сменить категории локально, необходимо нажать на кнопку Изменить категорию и назначить до двух новых категорий. Посмотреть все сайты с измененными категориями можно в разделе Библиотеки --> Измененные категории URL. При последующей проверке категорий для данного сайта в качестве категорий будут возвращены только новые категории и специальная категория, в которую включаются все сайты с измененными категориями - Переопределенные пользователем категории. Более подробно об изменении категорий для определенных сайтов описано в разделе руководства Запросы в белый список.

13.6. Трассировка правил

С помощью трассировки правил администратор может посмотреть, какие правила срабатывают при обработке пользовательских HTTP(S)-запросов. Это может быть крайне полезно при определении проблем с доступом к определенным сайтам. Для трассировки правил необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать необходимый фильтр

Нажать на кнопку Настроить в разделе Диагностика и мониторинг-->Трассировка правил и указать параметры фильтра:

  • Строка - строка в запросе пользователя, например, имя домена, URL, правила контентной фильтрации

  • Пользователь - пользователь, обработку запросов которого необходимо продиагностировать

  • IP-адрес источника - IP-адрес с которого пользователь осуществляет запрос

Фильтр необходим для ограничения вывода диагностической информации. Если его не задать, то могут быть так же отображены результаты обработки запросов других пользователей.

Шаг 2. Запустить трассировку

Нажать на кнопку Начать.

Шаг 3. Открыть проблемный сайт

Попросить пользователя открыть проблемный сайт и наблюдать, какие правила срабатывают при открытии сайта. Будут указаны все правила, которые выполняются во время обработки пользовательского запроса.

13.7. Ping

C помощью утилиты ping можно диагностировать доступность сетевых ресурсов. Параметры команды ping:

Наименование

Описание

Ping host

Хост, который необходимо проверить.

TTL

Максимальное количество промежуточных хостов, которое разрешено пройти на пути к проверяемому хосту.

Интерфейс

С какого сетевого интерфейса выполнять ping.

Счетчик

Количество повторов.

Показывать timestamp

Добавляет timestamp в вывод команды.

Не резолвить имена

Оперировать IP-адресами, не преобразовывая их в доменные имена.

13.8. Traceroute

C помощью утилиты traceroute можно проверить путь следования сетевых пакетов к определенному хосту. Параметры команды traceroute:

Наименование

Описание

Traceroute host

Хост, который необходимо проверить.

TTL

Максимальное количество промежуточных хостов, которое разрешено пройти на пути к проверяемому хосту.

Интерфейс

С какого сетевого интерфейса выполнять команду.

Не резолвить имена

Оперировать IP-адресами, не преобразовывая их в доменные имена.

13.9. Запрос DNS

Используя запрос DNS администратор может проверить работу DNS-серверов.

Наименование

Описание

DNS-запрос (хост)

DNS имя для проверки.

IP источника запроса

Один из IP-адресов, назначенных UserGate.

DNS сервер

DNS сервер, куда посылать запрос.

Порт

UDP порт, используемый для запроса.

Тип DNS-запроса

Тип запроса.

13.10. Оповещения

13.10.1. Правила оповещений

Данный раздел позволяет определить профили оповещений, которые в дальнейшем можно использовать для отсылки оповещений о различных типах событий, например, высокой загрузке CPU или отправке пароля пользователю по SMS. Для создания правила оповещений необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать один или несколько профилей оповещения

Смотрите раздел Профили оповещений.

Шаг 2. Создать группы получателей оповещений

Смотрите разделы Почтовые адреса и Номера телефонов.

Шаг 3. Создать правило оповещения

В разделе Оповещения-->Правила оповещений добавить правило.

При добавлении правила необходимо указать следующие параметры:

Наименование

Описание

Вкл

Включает или отключает данное правило.

Название

Название правила.

Описание

Описание правила.

Профиль оповещения

Созданный ранее профиль оповещения. Для профилей SMPP появится закладка для указания адресатов в виде телефонных номеров, для SMTP появится закладка для указания адресатов в виде e-mail-адресов.

От

От кого будет приходить оповещение.

Тема

Тема оповещения.

Таймаут перед повторной отправкой, секунд

Укажите таймаут, в течение которого сервер будет ждать при повторном срабатывании данного правила.

События

Укажите события, для которых необходимо получать оповещения.

Телефоны

Для SMPP-профиля. Укажите группы номеров телефонов, куда отправлять SMS-оповещения.

Emails

Для SMTP-профиля. Укажите группы адресов e-mail, на которые будут отправляться почтовые оповещения.

13.10.2. SNMP

UserGate поддерживает мониторинг с помощью протоколов SNMP v2c и SNMP v3. Поддерживается управление как с помощью запросов (SNMP queries), так и с помощью отсылки оповещений (SNMP traps). Это позволяет наблюдать за критическими параметрами UserGate с помощью программного обеспечения SMNP-управления, используемого в компании.

Для настройки мониторинга с помощью SNMP необходимо создать правила SNMP. Для создания правила SNMP необходимо в разделе SNMP нажать на кнопку Добавить и указать следующие параметры:

Наименование

Описание

Название правила

Название правила.

IP-адрес сервера для трапов

IP-адрес сервера для трапов и порт, на котором сервер слушает оповещения. Обычно это порт UDP 162. Данная настройка необходима только в случае, если необходимо отправлять трапы на сервер оповещений.

Комьюнити

SNMP community - строка для идентификации сервера UserGate и сервера управления SNMP для версии SNMP v2c. Используйте только латинские буквы и цифры.

Контекст

Необязательный параметр, определяющий SNMP context. Можно использовать только латинские буквы и цифры.

Версия

Указывает версию протокола SNMP, которая будет использоваться в данном правиле. Возможны варианты SNMP v2c и SNMP v3.

Разрешить SNMP-запросы

При включении разрешает получение и обработку SNMP-запросов от SNMP-менеджера.

Разрешить SNMP-трапы

При включении разрешает отправку SNMP-трапов на сервер, настроенный для приема оповещений.

Пользователь

Только для SNMP v3. Имя пользователя для авторизации SNMP-менеджера.

Тип аутентификации

Выбор режима аутентификации SNMP-менеджера. Возможны варианты:

  • Без аутентификации, без шифрования (noAuthNoPriv).

  • С аутентификацией, без шифрования (authNoPriv).

  • С аутентификацией, с шифрованием (authPriv).

Наиболее безопасным считается режим работы authPriv.

Алгоритм аутентификации

Алгоритм, используемый для аутентификации.

Пароль аутентификации

Пароль, используемый для аутентификации.

Алгоритм шифрования

Алгоритм, используемый для шифрования. Возможно использовать DES и AES.

Пароль шифрования

Пароль, используемый для шифрования.

События

Параметры, значения которых будут доступны для считывания SNMP-менеджером. Если отсылка трапов была разрешена, то при достижении критичного значения параметра на сервер будет отправлен трап.

Примечание

Настройки аутентификации для SNMP v2c (community) и для SNMP v3 (пользователь, тип аутентификации, алгоритм аутентификации, пароль аутентификации, алгоритм шифрования, пароль шифрования) на SNMP-менеджере должны совпадать с настройками SNMP в UserGate.

Информацию по настройке параметров аутентификации для вашего SNMP-менеджера смотрите в руководстве по настройке выбранного вами программного обеспечения для управления SNMP.

Кнопка Скачать MIB позволяет скачать mib-файлы с параметрами мониторинга UserGate для последующего использования их в SNMP-менеджере. UserGate выделен уникальный идентификатор SNMP PEN (Private Enterprise Number) 45741.

14. Журналы и отчеты

14.1. Журналы

Usergate журналирует все события, которые происходят во время его работы, и записывает их в следующие журналы:

  • Журнал событий – события, связанные с изменением настроек сервера UserGate, авторизация пользователей, администраторов, обновлений различных списков и т.п.

  • Журнал веб-доступа – подробный журнал всех веб-запросов, обработанных UserGate.

  • Журнал трафика – подробный журнал срабатывания правил межсетевого экрана, NAT, DNAT, Port forwarding, Policy based routing. Для регистрации данных событий необходимо включить журналирование в необходимых правилах межсетевого экрана, NAT, DNAT, Port forwarding, Policy based routing.

  • Журнал СОВ – события, регистрируемые системой обнаружения и предотвращения событий.

  • История поиска – поисковые запросы пользователей в популярных поисковых системах.

14.1.1. Журнал событий

Журнал событий отображает события, связанные с изменением настроек сервера UserGate, например, добавление/удаление/изменение данных учетной записи, правила или любого другого элемента. Здесь же отображаются все события входа в веб-консоль, авторизации пользователей через Captive-портал и другие.

Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как диапазон дат, компоненте, важности, типу события.

Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.

С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.

14.1.2. Журнал веб-доступа

Журнал веб-доступа отображает все запросы пользователей в интернет по протоколам HTTP и HTTPS. Отображается следующая информация:

  • Узел UserGate, на котором произошло событие.

  • Время события.

  • Пользователь.

  • Действия.

  • Правило.

  • Причины (при блокировке сайта).

  • URL назначения.

  • Зона источника.

  • IP-адрес источника.

  • Порт источника.

  • IP назначения.

  • Порт назначения.

  • Категории.

  • Протокол (HTTP).

  • Метод (HTTP).

  • Код ответа (HTTP).

  • MIME (если присутствует).

  • Байт передано/получено.

  • Пакетов отправлено.

  • Реферер (при наличии).

  • Операционная система.

  • Браузер.

Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.

Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как учетная запись пользователя, правило, действие и т.д.

С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.

14.1.3. Журнал трафика

Журнал трафика отображает события срабатывания правил межсетевого экрана или правил NAT, в настройках которых включено логирование пакетов. Отображается следующая информация:

  • Узел UserGate, на котором произошло событие.

  • Время события.

  • Пользователь.

  • Действие.

  • Правило.

  • Приложение.

  • Протокол.

  • Зона источника.

  • Адрес источника.

  • Порт источника.

  • IP-назначения.

  • Порт назначения.

  • NAT IP-источника (если это правило NAT).

  • NAT порт источника (если это правило NAT).

  • NAT IP назначения (если это правило NAT).

  • NAT порт назначения (если это правило NAT).

  • Байт отправлено/получено.

  • Пакетов.

Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.

Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как учетная запись пользователя, правило, действие и т.д.

С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.

14.1.4. Журнал СОВ

Журнал системы обнаружения вторжений отображает сработавшие сигнатуры СОВ, для которых установлено действие журналировать или блокировать. Отображается следующая информация:

  • Узел UserGate, на котором произошло событие.

  • Время.

  • Действие.

  • Сигнатура.

  • Класс - класс сигнатуры.

  • CVE - номер уязвимости по базе CVE.

  • Bugtrack - номер уязвимости по базе Bugtrack.

  • Nessus - номер уязвимости по базе Nessus.

  • Протокол.

  • IP источника.

  • Порт источника.

  • IP назначения.

  • Порт назначения.

  • Подробности срабатывания сигнатуры.

Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.

Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как протокол, диапазон дат, действие и т.д.

С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.

14.1.5. История поиска

В разделе История поиска отображаются все поисковые запросы пользователей, для которых настроено журналирование в политиках веб-безопасности. Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.

Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как пользователи, диапазон дат, поисковые системы и т.д.

С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.

14.1.6. Поиск и фильтрация данных

Количество записей, регистрируемых в журналах, как правило, очень велико, и UserGate предоставляет удобные способы поиска и фильтрации необходимой информации. Администратор может использовать простой и расширенный поиск по содержимому журналов.

При использовании простого поиска администратор использует графический интерфейс, чтобы задать фильтрацию по значениям требуемых полей журналов, отфильтровывая таким образом ненужную информацию. Например, администратор может задать интересующий его диапазон времени, список пользователей, категорий и т.п. Задание критериев поиска интуитивно понятно и не требует специальных знаний.

Построение более сложных фильтров возможно в режиме расширенного поиска с использованием специального языка запросов. В режиме расширенного поиска можно строить запросы с использованием полей журналов, которые недоступны в базовом режиме. Для формирования запросов используются названия полей, значения полей, ключевые слова и операторы. Значения полей могут быть введены с использованием одинарных или двойных кавычек, или без них, если значения не содержат пробелов. Для группировки нескольких условий можно использовать круглые скобки.

Ключевые слова отделяются пробелами и могут быть следующими:

Наименование

Описание

AND или and

Логическое И, требует выполнения всех условий, заданных в запросе.

OR или or

Логическое ИЛИ, достаточно выполнения одного из условий запроса.

Операторы определяют условия фильтра и могут быть следующими:

Наименование

Описание

=

Равно. Требует полного совпадения значения поля указанному значению, например, ip=172.16.31.1 будут отображены все записи журнала, в котором поле IP будет точно соответствовать значению 172.16.31.1.

!=

Не равно. Значение указанного поля не должно совпадать с указанным значением, например, ip!=172.16.31 будут отображены все записи журнала, в котором поле IP не будет равно значению 172.16.31.1.

<=

Меньше либо равно. Значение поля должно быть меньше либо равны указанному в запросе значению. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например, date <= '2019-03-28T20:59:59' AND statusCode=303

>=

Больше либо равно. Значение поля должно быть больше либо равны указанному в запросе значению. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например, date >= "2019-03-13T21:00:00" AND statusCode=200

<

Меньше. Значение поля должно быть меньше указанного в запросе значения. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например, date < '2019-03-28T20:59:59' AND statusCode=404

>

Больше. Значение поля должно быть больше указанного в запросе значения. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например, (statusCode>200 AND statusCode <300) OR (statusCode=404)

IN

Позволяет указать несколько значений поля в запросе. Список значений необходимо указывать в круглых скобках, например, например, category IN (botnets, compromised, 'illegal software', 'phishing and fraud','reputation high risk','unknown category')

~

Содержит. Позволяет указать подстроку, которая должна находиться в указанном поле, например, browser ~ "Mozilla/5.0" Данный оператор может быть применен только к полям, в которых хранятся строковые данные.

!~

Не содержит. Позволяет указать подстроку, которая не должна присутствовать в указанном поле, например, browser !~ "Mozilla/5.0" Данный оператор может быть применен только к полям, в которых хранятся строковые данные.

При составлении расширенного запроса UserGate показывает возможные варианты названия полей, применимых к ним операторов и возможных значений, облегчая оператору системы формирование сложных запросов. При переключении режима поиска с основного на расширенный UserGate автоматически формирует строку с поисковым запросом, которая соответствует фильтру, указанному в основном режиме поиска.

14.1.7. Экспорт журналов

Функция экспортирования журналов UserGate позволяет выгружать информацию на внешние серверы для последующего анализа или для обработки в системах SIEM (Security information and event management).

UserGate поддерживает выгрузку следующих журналов:

  • Журнал событий.

  • Журнал веб-доступа.

  • Журнал СОВ.

  • Журнал трафика.

Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP проводится по указанному в конфигурации расписанию. Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.

Для отправки журналов необходимо создать конфигурации экспорта журналов в разделе Экспорт журналов.

При создании конфигурации требуется указать следующие параметры:

Наименование

Описание

Название правила

Название правила экспорта журналов.

Описание

Опциональное поле для описания правила.

Журналы для экспорта

Выбор файлов журналов, которые необходимо экспортировать:

  • Журнал веб-доступа.

  • Журнал СОВ.

  • Журнал трафика.

Для каждого из журналов возможно указать синтаксис выгрузки:

  • CEF – Common Event Format (ArcSight).

  • JSON – JSON format.

  • @CEE: JSON - CEE Log Syntax (CLS) Encoding JSON.

Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов.

Тип сервера

SSH (SFTP), FTP, Syslog.

Адрес сервера

IP-адрес или доменное имя сервера.

Транспорт

Только для типа серверов Syslog - TCP или UDP.

Порт

Порт сервера, на который следует отправлять данные.

Протокол

Только для типа серверов Syslog – RFC5424 или BSD syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM.

Критичность

Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:

0 - Emergency: system is unusable.

1 - Alert: action must be taken immediately.

2 - Critical: critical conditions.

3 - Error: error conditions.

4 - Warning: warning conditions.

5 - Notice: normal but significant condition.

6 - Informational: informational messages.

7 - Debug: debug-level messages.

Facility

Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения:

0 - kernel messages.

1 - user-level messages.

2 - mail system.

3 - system daemons.

4 - security/authorization messages.

5 - messages generated internally by syslogd.

6 - line printer subsystem.

7 - network news subsystem.

8 - UUCP subsystem.

9 - clock daemon.

10 - security/authorization messages.

11 - FTP daemon.

12 - NTP subsystem.

13 - log audit.

14 - log alert.

15 - clock daemon (note 2).

16 - local use 0 (local0).

17 - local use 1 (local1).

18 - local use 2 (local2).

19 - local use 3 (local3).

20 - local use 4 (local4).

21 - local use 5 (local5).

22 - local use 6 (local6).

23 - local use 7 (local7).

Имя хоста

Только для типа серверов Syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер syslog, в формате Fully Qualified Domain Name (FQDN).

App-Name

Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер syslog.

Логин

Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.

Пароль

Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.

Повторите пароль

Подтверждение пароля учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog.

Путь на сервере

Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog.

Расписание

Выбор расписания для отправки логов. Не применяется к методу отправки Syslog. Возможны варианты:

  • Ежедневно.

  • Еженедельно.

  • Ежемесячно

  • Каждые … часов.

  • Каждые … минут.

  • Задать вручную.

При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 0-31) (месяц: 0-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:

  • Звездочка (*) - обозначает весь диапазон (от первого до последнего).

  • Дефис (-) - обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".

  • Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа.

14.2. Отчеты

С помощью отчетов администратор может предоставить различные срезы данных о событиях безопасности, конфигурирования или действиях пользователей. Отчеты могут создаваться по созданным ранее правилам и шаблонам в автоматическом режиме и отправляться адресатам по электронной почте.

Раздел отчеты состоит из трех подразделов - шаблоны, правила и созданные отчеты. Что бы создать отчет необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать правило создания отчета

Создать правило создания отчета, в котором указать необходимые параметры создания отчета.

Шаг 2. Запустить отчет

Запустить отчет в ручном режиме или дождаться времени, когда он запустится в автоматическом режиме по указанному в правиле расписанию.

Шаг 3. Получить отчет

Получить отчет по почте, если в правиле была настроена отправка отчета по почте, или скачать полученный отчет в разделе Созданные отчеты.

Примечание

Процесс создания отчета может продолжаться достаточно длительное время и может потреблять большое количество вычислительных ресурсов.

14.2.1. Шаблоны отчетов

Шаблон определяет внешний вид и поля, которые будут использоваться в отчете. Шаблоны отчетов предоставляются компанией разработчиком UserGate.

Список возможных шаблонов отчетов, сгруппированных по категориям:

  • События - группа шаблонов по событиям, регистрируемым в журнале событий.

  • СОВ - группа шаблонов по событиям, регистрируемым в журнале СОВ.

  • Сетевая активность - группа шаблонов по событиям, регистрируемым в журнале трафика.

  • Трафик - группа шаблонов по событиям, регистрируемым в журнале трафика и относящимся к объему потребленного трафика пользователями, приложениями и т.п.

  • Веб-активность - группа шаблонов по событиям, регистрируемым в журнале веб-доступа.

Каждый шаблон содержит название, описание отчета и тип отображения отчета (таблица, гистограмма, пирог).

14.2.2. Правила отчетов

Правило отчета задает параметры создаваемого отчета, а также расписание запуска отчетов и способы доставки отчета пользователям. При создании правила отчета администратор указывает следующие параметры:

Наименование

Описание

Вкл

Включение/отключения отчета.

Название

Название правила.

Описание

Опциональное поле для описания правила.

Язык отчета

Выбор языка, который будет использован в отчете.

Диапазон

Диапазон времени, за который необходимо подготовить отчет.

Формат отчета

Формат отчета (PDF, HTML, XML, CSV), в котором будет создаваться данный отчет.

Важно! Создание отчета в формате PDF создает высокую нагрузку на процессор и память. Чем объемнее отчет, тем более высокая нагрузка. Для шаблонов Подробный список всех посещенных URL и Подробный список всех посещенных сайтов автоматически используется формат CSV, независимо от выбранного формата.

Количество записей

Задание ограничения числа записей, которые будут выводиться в отчетах, в которых присутствует ограничение по количеству топ записей, например, топ 20 пользователей с ошибочной авторизацией в веб-консоль.

Количество в группировке (если применимо)

Задание ограничения числа записей, которые будут выводиться в отчетах, в которых присутствует ограничение по количеству сгруппированных записей, например, топ 10 пользователей по категориям - для каждой категории будет указано не более 10 пользователей. Данное ограничение применимо только для тех шаблонов отчетов, которые содержат группирование.

Пользователи

Задает пользователей или группы пользователей, для которых будет создаваться отчет. Если оставить поле пустым, то отчет будет создаваться для всех пользователей.

Шаблоны

Список шаблонов, которые будут использоваться для построения отчета. Обязательно необходимо добавить хотя бы один шаблон.

Расписание

Выбор расписания для создания отчетов. Возможны варианты:

  • Ежедневно.

  • Еженедельно.

  • Ежемесячно.

  • Каждые … часов.

  • Каждые … минут.

  • Задать вручную.

При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 0-31) (месяц: 0-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:

  • Звездочка (*) - обозначает весь диапазон (от первого до последнего).

  • Дефис (-) - обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7

  • Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23"

Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа.

Доставка

Возможность задать опциональную отправку созданного отчета получателям по протоколу SMTP. Необходимо задать:

  • Профиль SMTP, который будет использован для отправки отчетов. Подробно о настройке профилей SMTP смотрите в главе Оповещения.

  • От - имя отправителя письма.

  • Тема письма - тема письма (subject).

  • Тело письма - содержимое письма.

  • Получатели - список получателей письма. Получатели должны быть добавлены в списки библиотеки Почтовые адреса.

Примечание

Процесс создания отчета может продолжаться достаточно длительное время и может потреблять большое количество вычислительных ресурсов. Особенно важно учитывать загрузку ресурсов при запуске отчетов за большой диапазон времени.

Примечание

Для того, чтобы запустить правило отчета не обязательно включать его и указывать время запуска правила. В ручном режиме можно запустить любой, в том числе отключенный отчет, для этого в списке правил необходимо выбрать требуемое правило и нажать на кнопку Запустить сейчас. Готовый отчет после создания будет доступен в разделе Созданные отчеты.

14.2.3. Созданные отчеты

В разделе Созданные отчеты хранятся все полученные отчеты. Отчеты создаются в формате pdf или csv. Для каждого отчета указывается название отчета, которое совпадает с названием правила отчета, которое было использовано для создания данного отчета, время создания отчета и размер отчета.

Для скачивания отчета необходимо использовать кнопку Скачать, для удаления - Удалить.

Время хранения готовых отчетов (ротация) настраивается по нажатию на кнопку Настроить. Значение по умолчанию - 60 дней.

15. Техническая поддержка

Раздел технической поддержки на сайте компании https://www.usergate.com/ru/support содержит дополнительную информацию по настройке UserGate. Кроме этого, здесь же вы можете оставить заявку на решение вашей проблемы.

16. Приложение 1. Установка сертификата локального удостоверяющего центра

Скачайте сертификат центра авторизации, который вы используете для перехвата HTTPS-трафика, как это описано в главе Управление сертификатами, и следуйте инструкциям по установке сертификата ниже в этом разделе.

16.1. Установка сертификата в браузеры Internet Explorer, Chrome в ОС Windows

Откройте папку, куда вы скачали pem-сертификат, переименуйте его в user.der и дважды нажмите на него:

image4

Рисунок 5 Выбор файла сертификата

Откроется информация о сертификате. Нажмите на кнопку Установить сертификат:

image5

Рисунок 6 Установка сертификата

Запустится мастер импорта сертификатов. Выполните импорт, следуя всем рекомендациям, предлагаемым мастером импорта сертификатов:

image6

Рисунок 7 Мастер импорта сертификатов

Выберите хранилище сертификата и нажмите кнопку Обзор:

image7

Рисунок 8 Выбор хранилища

Выберите Доверенные корневые центры сертификации и нажмите кнопку ОК:

image8

Рисунок 9 Выбор хранилища (продолжение)

Нажмите кнопку «Готово»:

image9

Рисунок 10 Завершение импорта

Когда появится предупреждение системы безопасности, нажмите кнопку Да:

image10

Рисунок 11 Согласие на установку сертификата

image11

Рисунок 12 Установка завершена

Установка сертификата завершена.

16.2. Установка сертификата в браузер Safari, Chrome в ОС MacOSX

Перейдите в папку, куда вы скачали pem-сертификат и дважды нажмите на него:

image12

Рисунок 13 Выбор файла сертификата

Запустится программа Связка ключей. Выберите Всегда доверять данному сертификату:

image13

Рисунок 14 Доверие сертификату

Введите свой пароль для подтверждения данной операции:

image14

Рисунок 15 Ввод пароля

Сертификат установлен.

16.3. Установка сертификата в браузер Firefox

Установка сертификата в браузер Firefox выполняется аналогично для всех операционных систем. Рассмотрим установку на примере ОС Windows.

Откройте настройки браузера Firefox (Инструменты-->Настройки):

image15

Рисунок 16 Вход в режим Настройки

Перейдите в раздел Дополнительные и выберите закладку Сертификаты. Нажмите на кнопку Просмотр сертификатов:

image16

Рисунок 17 Раздел Сертификаты

Нажмите кнопку Импортировать и укажите путь к скачанному pem-сертификату:

image17

Рисунок 18 Список установленных сертификатов

image18

Рисунок 19 Выбор файла сертификата

Установите галочку Доверять при идентификации веб-сайтов и нажмите OK:

image19

Рисунок 20 Выбор типа доверия

Установка сертификата завершена.

17. Приложение №2. Таблица соответствия категорий, указанных в требованиях Министерства Образования РФ к СКФ для образовательных учреждений, с категориями UserGate URL filtering 4.0.

Категории Министерства Образования РФ

Категории UserGate URL filtering 4.0

Peer-To-Peer

Пиринговые сети

Алкоголь. Реклама алкоголя, пропаганда потребления алкоголя. Сайты компаний, производящих алкогольную продукцию

Алкоголь и табак

Баннеры и рекламные программы Баннерные сети, всплывающая реклама, рекламные программы

Реклама и всплывающие окна

Библиотеки

Искусство

Вождение и автомобили

Транспорт

Вредоносное программное обеспечение

Нелегальное ПО

Вредоносные программы

Ботнеты

Сайты сомнительного содержания

Вредоносное ПО

Сетевые ошибки

Фишинг и мошенничество

Спам-сайты

Хакерство

Досуг и развлечение

Поздравительные открытки

Развлечения

Мода и красота

Отдых и оздоровление

Рестораны и еда

Спорт

Путешествия

Здоровье и медицина

Здоровье и медицина

Половое воспитание

Злоупотребление свободой СМИ - информация с ограниченным доступом. Сведения о специальных средствах, технических приемах и тактике проведения контртеррористических операций

Оружие

Злоупотребление свободой СМИ - информация, содержащая скрытые вставки и иные технические способы воздействия на под-104№ п/п Тематическая категория Содержание скрытое воздействие сознание людей и (или) оказывающая вредное влияние на их здоровье

Сайты сомнительного содержания

Злоупотребление свободой СМИ - наркотические средства, сведения о способах, методах разработки, изготовления и использования, местах приобретения наркотических средств, психотропных веществ и их прекурсоров, пропаганда каких-либо преимуществ использования отдельных наркотических средств, психотропных веществ, их аналогов и прекурсоров

Ненависть и нетерпение

Насилие

Злоупотребление свободой СМИ -экстремизм Информация, содержащая публичные призывы к осуществлению террористической деятельности, оправдывающая терроризм, содержащая другие экстремистские материалы

Ненависть и нетерпение

Насилие

Знакомства

Знакомства

Информация с ограниченным доступом. Информация, составляющая государственную или иную охраняемую законом тайну

Политика

Правительство

Информация, пропагандирующая порнографию

Порнография и насилие

Компьютерные игры

Игры

Корпоративные сайты

Бизнес

Финансы

Общие

Недвижимость

Корпоративные сайты, интернет-представительства негосударственных учреждений

Некоммерческие и неправительственные организации

Личная и немодерируемая информация. Немодерируемые форумы, доски объявлений и конференции, гостевые книги, базы данных, содержащие личную информацию (адреса, телефоны и т. п.), личные странички, дневники, блоги

Персональные сайты

Частные IP-адреса

Социальные сети

Потоковое мультимедиа и загрузки

Веб-почта

Модерируемые доски объявлений (ресурсы данной категории, содержащие информацию, не имеющую отношения к образовательному процессу, модерируемые доски сообщений/объявлений, а также модерируемые чаты

Социальные сети

Чаты

Наркотические средства. Сведения о способах, методах разработки, изготовления и использования, местах приобретения наркотических средств, психотропных веществ и их прекурсоров, пропаганда каких-либо преимуществ использования отдельных наркотических средств, психотропных веществ, их аналогов и прекурсоров

Наркотики

Нелегальная помощь школьникам и студентам. Банки готовых рефератов, эссе, дипломных работ и пр.

Школьные мошенничества

Ненадлежащая реклама. Информация, содержащая рекламу алкогольной продукции и табачных изделий

Алкоголь и табак

Неприличный и грубый юмор. Неэтичные анекдоты и шутки, в частности обыгрывающие особенности физиологии человека

Сайты сомнительного содержания

Нижнее белье, купальники

Нудизм

Обеспечение анонимности пользователя, обход контентных фильтров. Сайты, предлагающие инструкции по обходу прокси и доступу к запрещенным страницам

Анонимайзеры

Переводчики

Образовательные ресурсы

Образование

Онлайн-казино и тотализаторы

Азартные игры

Отправка SMS с использованием интернет-ресурсов. Сайты, предлагающие услуги по отправке SMS-сообщений

Реклама и всплывающие окна

Платные сайты

Паркованные домены

Поиск работы, резюме, вакансии

Поиск работы

Преступления - Клевета (распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию)

Преступная деятельность

Преступления-клевета, экстремизм

Преступная деятельность

Программное обеспечение

Компьютеры и технологии

Нелегальное ПО

Информационная безопасность

Пропаганда войны, разжигание ненависти и вражды, пропаганда порнографии и антиобщественного поведения. Информация, направленная на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды; информация, пропагандирующая порнографию, культ насилия и жестокости, наркоманию, токсикоманию, антиобщественное поведение

Ненависть и нетерпение

Религии и атеизм

Религиозные культы

Религия

Система поиска изображений

Обмен картинками

Поисковые системы и порталы

СМИ

Форумы и новостные ленты

Новости

Табак, реклама табака, пропаганда потребления табака. Сайты, пропагандирующие потребление табака; реклама табака и изделий из него

Алкоголь и табак

Торговля и реклама

Реклама и всплывающие окна

Покупки

Убийства, насилие

Жестокое обращение с детьми

Насилие

Чаты

Чаты

Сервисы мгновенных сообщений

Экстремистские материалы или экстремистская деятельность (экстремизм)

Ненависть и нетерпение