1. Введение¶
UserGate представляет собой универсальный интернет-шлюз класса Unified Threat Management (единая защита от угроз), объединяющий в себе межсетевой экран, маршрутизацию, шлюзовой антивирус, систему обнаружения и предотвращения вторжений (СОВ), VPN-сервер, систему контентной фильтрации, модуль мониторинга и статистики и многие другие функции. Продукт позволяет управлять сетью компании, оптимизировать используемый ею трафик и эффективно предотвращать интернет-угрозы.
1.1. Безопасность сети и защита от сетевых угроз¶
1.1.1. Межсетевое экранирование¶
Встроенный в UserGate межсетевой экран нового поколения (NGFW - Next Generation Firewall) фильтрует трафик, проходящий через определенные протоколы (например, TCP, UDP, IP), тем самым обеспечивая защиту сети от хакерских атак и разнообразных типов вторжений, основанных на использовании данных протоколов.
1.1.2. Обнаружение и предотвращение вторжений¶
Система обнаружения и предотвращения вторжений (СОВ) позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз в режиме реального времени, а также предоставление отчетов.
Администратор может создавать различные СОВ-профили (наборы сигнатур, релевантных для защиты определенных сервисов) и задавать правила СОВ, определяющие действия для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями.
1.1.3. Защита от DOS-атак и сетевого флуда¶
UserGate позволяет задать параметры защиты каждой зоны сети от сетевого флуда (для протоколов TCP (SYN-flood), UDP, ICMP), указав порог уведомления - количество запросов с одного IP-адреса, после которого происходит запись в журнал - и порог отбрасывания пакетов - количество запросов, после которого пакеты отбрасываются с соответствующей записью в журнале.
Возможно настроить исключения, например, для зон, использующих IP-телефонию и поэтому отправляющих большое количество UDP-пакетов.
1.1.4. Антивирусная проверка трафика¶
Потоковый антивирус UserGate позволяет обеспечить антивирусную проверку трафика без ущерба для производительности и быстродействия сети. Модуль использует обширную базу сигнатур.
В качестве дополнительной защиты можно подключить модуль эвристического анализа.
1.1.5. Проверка почтового трафика¶
UserGate способен обрабатывать транзитный почтовый трафик (SMTP(S), POP3(S)), анализируя его источник, а также содержание письма и вложений, что гарантирует надежную защиту от спама, вирусов, pharming- и phishing- атак. UserGate также предоставляет возможность гибкой настройки фильтрации почтового трафика по группам пользователей.
1.1.6. Работа с внешними системами безопасности¶
Имеется возможность передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для проверки передаваемых пользователями данных DLP-системами. Администратор может указать, какой трафик требуется передавать на ICAP, а также настроить работу с фермами серверов.
1.1.7. Управление АСУ ТП¶
В новой версии платформы появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП) и управления ей. Администратор может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий. Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля и вмешательства человека при необходимости.
1.1.8. Настройка политик безопасности при помощи сценариев¶
UserGate позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря автоматизации безопасности при помощи механизма сценариев (SOAR - Security Orchestration, Automation and Response).
Эта концепция находится на пике популярности и позволяет администратору создавать сценарии (запускаемые по плану или при обнаружении атаки), где прописываются автоматические действия в ответ на те или иные события. Такой подход обеспечивает гибкую настройку политик безопасности, сокращает участие человека благодаря автоматизации повторяющихся задач, а также дает возможность приоритезировать сценарии для скорейшей реакции на критичные угрозы.
1.2. Улучшение производительности и надежности интернета¶
1.2.1. Поддержка кластеризации и отказоустойчивости¶
UserGate поддерживает 2 типа кластеров: кластер конфигурации, позволяющий задать единые настройки узлам в рамках кластера, и кластер отказоустойчивости, призванный обеспечить бесперебойную работу сети. Кластер отказоустойчивости может работать в двух режимах: Актив-Актив и Актив-Пассив. Оба режима поддерживают синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другие.
1.2.2. FTP поверх HTTP¶
Модуль FTP поверх HTTP позволяет обращаться к содержимому FTP-сервера из браузера пользователя.
1.2.3. Поддержка нескольких провайдеров¶
При подключении системы к нескольким провайдерам UserGate позволяет настроить для каждого из них свой шлюз для обеспечения доступа к интернету. Администратор также может настроить балансировку трафика между провайдерами, указав вес каждого шлюза, или указать один из шлюзов как основной с переключением на других провайдеров в случае недоступности основного шлюза.
1.2.4. Управление пропускной способностью¶
Правила управления пропускной способностью служат для ограничения канала для определенных пользователей, хостов, сервисов или приложений.
1.2.5. Поддержка WCCP¶
Поддержка протокола WCCP позволяет использовать UserGate в инфраструктуре с WCCP-северами, например, маршрутизаторами Cisco.
1.3. Управление трафиком и контроль доступа в интернет¶
1.3.1. Маршрутизация трафика и публикация ресурсов¶
UserGate позволяет использовать как статическую, так и динамическую маршрутизацию. Динамическая маршрутизация осуществляется по протоколам OSPF и BGP, что позволяет использовать UserGate в сложной маршрутизируемой сети предприятия.
Администратор может создавать в системе правила NAT (для предоставления пользователям доступа в интернет), а также правила безопасной публикации внутренних ресурсов в интернет с использованием reverse-прокси для HTTP/HTTPS и DNAT для других протоколов.
1.3.2. Авторизация пользователей¶
Платформа поддерживает различные механизмы авторизации пользователей: Captive-портал, Kerberos, NTLM, при этом учетные записи могут поступать из различных источников - LDAP, Active directory, FreeIPA, TACACS+, Radius, SAML IDP. Авторизация SAML IDP, Kerberos или NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory.
Администратор может настроить правила безопасности, ширину канала, правила межсетевого экранирования, контентной фильтрации и контроля приложений для отдельных пользователей, групп пользователей, а также всех известных или неизвестных пользователей. Дополнительно к этому продукт поддерживает применение правил безопасности к пользователям терминальных служб с помощью специальных агентов (Terminal Services Agents), а также использование агента авторизации для Windows-платформ.
Для обеспечения большей безопасности учетных записей рекомендуется использовать мультифакторную аутентификацию с помощью токенов TOTP (Time-based One Time Password Algorithm), SMS или электронной почты.
1.3.3. Поддержка гостевого портала¶
UserGate позволяет предоставлять пользователям временный доступ к сети, что актуально, например, для публичных Wi-Fi сетей. Профили могут быть как созданы администратором, так и зарегистрированы самими пользователями с подтверждением через e-email или SMS. Платформа позволяет указывать отдельные настройки безопасности для временных пользователей.
1.3.4. Проксирование приложений¶
Для пользователей, работающих с ОС Windows, можно настроить прокси-агент, позволяющий использовать возможности прокси приложениям, не умеющим работать с прокси-серверами. Прокси-агент также может быть использован для предоставления таким приложениям доступа в интернет в случаях, когда UserGate не является шлюзом по умолчанию.
1.3.5. Поддержка политики BYOD¶
Концепция BYOD (Bring Your Own Device) продолжает набирать популярность, ставя перед системами безопасности новые задачи. UserGate позволяет настроить гибкие политики доступа в сеть для различных групп пользователей и типов устройств, а также ограничить количество устройств, используемых одним пользователем.
1.4. Контент-фильтрация и контроль приложений¶
1.4.1. Интернет-фильтрация¶
Использование модуля интернет-фильтрации обеспечивает административный контроль за использованием интернета, загружаемыми данными. Модуль обеспечивает блокировку посещения потенциально опасных ресурсов, а также, когда это необходимо, сайтов, не связанных с работой.
Для анализа безопасности сайтов, запрашиваемых пользователями, используются репутационные сервисы, MIME-типы контента (фото, видео, тексты и др.), специальные морфологические словари, предоставляемые UserGate, а также черные и белые списки URL и Useragent, с помощью которых администратор может запретить или разрешить работу с определенным типом браузеров. UserGate предоставляет возможность создавать собственные черные и белые списки, словари, MIME-типы, морфологические словари и Useragent, применяя их как правила к пользователям и группам пользователей.
1.4.2. Выборочная блокировка рекламы¶
Даже безопасные сайты могут содержать нежелательные изображения на баннерах, содержимое которых не зависит от владельца ресурса. UserGate решает эту проблему, блокируя баннеры и защищая пользователей от негативного контента.
1.4.3. Активация безопасного поиска¶
UserGate позволяет принудительно активировать функцию безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. Такая защита позволяет добиться высокой эффективности, например, при фильтрации откликов на запросы по графическому или видеоконтенту. Также можно заблокировать поисковые системы, в которых не реализована функция безопасного поиска.
1.4.4. Блокировка приложений социальных сетей¶
UserGate дает возможность блокировки игр и других приложений для наиболее популярных социальных сетей, таких, как Facebook, VK, Одноклассники. Администраторы могут разрешать использование социальных сетей в целом, при этом контролируя и ограничивая непродуктивные действия.
1.4.5. Инжектирование кода на веб-страницы¶
Функция «Инжектировать скрипт» позволяет вставить необходимый̆ код во все веб-страницы, просматриваемые пользователями. Эта возможность может быть использована для получения различных метрик, сокрытия некоторых элементов веб-страниц, а также показа рекламы или другой информации.
1.4.6. Инспектирование SSL-трафика¶
Платформа UserGate позволяет фильтровать не только обычный, но и зашифрованный трафик (протоколы HTTPS, SMTPS, POP3S), дешифруя их при помощи технологии MITM (Man In The Middle) и подписывая доверенным корневым сертификатом с последующим шифрованием после анализа. Система позволяет настроить выборочную проверку трафика, например, не расшифровывать ресурсы категории «Финансы».
1.4.7. VPN и веб-портал¶
VPN (Virtual Private Network) служит для того, чтобы настраивать виртуальные логические сети поверх других сетей, например, интернет. UserGate поддерживает два типа VPN-сетей: Remote Access VPN (модель клиент-сервер) и Site-to-Site VPN (модель сервер-сервер).
Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных - протокол IPSec. UserGate поддерживает работу со стандартными клиентами большинства популярных операционных систем: Windows, Linux, Mac OS X, iOS, Android и других.
Веб-портал (SSL VPN) позволяет предоставить безопасный доступ сотрудникам компании к внутренним веб-ресурсам, серверам SSH и серверам терминальных служб без необходимости установки специального клиента VPN, используя только протокол HTTPS.
1.5. Журналы и отчеты¶
Платформа позволяет осуществлять мониторинг работы системы в режиме реального времени при помощи журналов событий, веб-доступа, СОВ и трафика. Для удобства анализа администратор может настроить автоматический экспорт журналов на сервера SSH, FTP и Syslog. С помощью отчетов администратор может предоставить различные срезы данных о событиях безопасности, конфигурирования или действиях пользователей. Отчеты могут создаваться по созданным ранее правилам и шаблонам в автоматическом режиме и отправляться адресатам по электронной почте.
1.6. Другие функции¶
1.6.1. Ролевой доступ администраторов к элементам управления UserGate¶
По умолчанию в системе существует один суперадминистратор, который может создавать учетные записи других администраторов и выдавать им права на просмотр и изменение различных разделов.
Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
1.6.2. Использование оповещений¶
UserGate поддерживает мониторинг с помощью протоколов SNMP v2c и SNMP v3. Поддерживается как управление с помощью запросов (SNMP queries), так и с помощью отсылки оповещений (SNMP traps).
Помимо этого, система позволяет создавать профили оповещений, уведомляющие пользователей об определенных событиях по протоколам SMTP (e-email) и SMPP (SMS).
1.6.3. Типы интерфейсов¶
UserGate позволяет добавлять и настраивать тегированные VLAN-интерфейсы, а также объединять ряд физических интерфейсов в один логический агрегированный интерфейс (бонд) c использованием протокола LACP (link aggregation control protocol) для повышения пропускной способности или для отказоустойчивости канала. Помимо этого, существует возможность объединения интерфейсов в мост (bridge) для осуществления фильтрации трафика на уровне L2 без внесения изменений в сетевую инфраструктуру компании.
1.6.4. DNS-фильтрация¶
UserGate позволяет осуществлять настройку работы с DNS-серверами, а также настраивать сервис DNS-прокси, позволяющий перехватывать DNS-запросы от пользователей и изменять их в зависимости от нужд администратора. Платформа также позволяет подключить фильтрацию DNS-запросов пользователей.
1.6.5. Функция балансировщика нагрузки¶
UserGate позволяет осуществлять балансировку нагрузки на различные сервисы, находящиеся внутри локальной сети. Балансировка может быть предоставлена для внутренних серверов, публикуемых в интернет (DNAT или reverse-прокси), внутренних серверов без публикации, а также для балансировки трафика, пересылаемого на внешние серверы или ферму ICAP-серверов.
2. Первоначальная настройка¶
UserGate поставляется в виде программно-аппаратного комплекса (ПАК, appliance) либо в виде образа виртуальной машины (virtual appliance), предназначенного для развертывания в виртуальной среде. В случае виртуальной машины UserGate поставляется с четырьмя Ethernet-интерфейсами. В случае поставки в виде ПАК UserGate может содержать от 2 до 64 Ethernet-портов.
2.1. Требования к сетевому окружению¶
Для корректной работы МЭ UserGate должен иметь доступ до следующих серверов, расположенных в сети интернет:
Сервер регистрации - reg.2.entensys.com, порты TCP 80, 443.
Сервер обновления списков и ПО UserGate - static.entensys.com, порты TCP 80, 443.
При создании кластера конфигурации необходимо обеспечить прохождение следующих протоколов между узлами:
Обеспечение репликации настроек - порты TCP 4369, TCP 9000-9100.
Сервис веб-консоли - TCP 8001.
2.2. Развертывание виртуального образа¶
UserGate Virtual Appliance позволяет быстро развернуть виртуальную машину, с уже настроенными компонентами. Образ предоставляется в формате OVF (Open Virtualization Format), который поддерживают такие вендоры как VMWare, Oracle VirtualBox. Для Microsoft Hyper-v поставляется образ диска виртуальной машины.
Примечание
Для корректной работы виртуальной машины рекомендуется использовать минимум 8 Гб оперативной памяти и 2-ядерный виртуальный процессор. Гипервизор должен поддерживать работу 64-битных операционных систем.
Для начала работы с виртуальным образом, выполните следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Скачайте образ и распакуйте | Скачайте последнюю версию виртуального образа с официального сайта https://www.usergate.com/ru. |
Шаг 2. Импортируйте образ в свою систему виртуализации | Инструкцию по импорту образа вы можете посмотреть на сайтах VirtualBox и VMWare. Для Microsoft Hyper-v необходимо создать виртуальную машину и указать в качестве диска скачанный образ, после чего отключить службы интеграции в настройках созданной виртуальной машины. |
Шаг 3. Настройте параметры виртуальной машины | Увеличьте размер оперативной памяти виртуальной машины. Используя свойства виртуальной машины, установите минимум 8Gb и добавьте по 1Gb на каждые 100 пользователей. |
Шаг 4. Важно! Увеличьте размер диска виртуальной машины | Размер диска по умолчанию составляет 100Gb, что обычно недостаточно для хранения всех журналов и настроек. Используя свойства виртуальной машины, установите размер диска в 200Gb или более. Рекомендованный размер - 300Gb или более. |
Шаг 5. Настройте виртуальные сети | UserGate поставляется с четырьмя интерфейсами, назначенными в зоны:
|
Шаг 6. Выполните сброс к заводским настройкам | Запустите виртуальную машину UserGate. Во время загрузки выберите Support Tools и выполните Factory reset USERGATE. Этот шаг крайне важен. Во время этого шага USERGATE настраивает сетевые адаптеры и увеличивает размер раздела на жестком диске до полного размера диска, увеличенного в 4-м пункте. |
2.3. Подключение к UserGate¶
Интерфейс port0 настроен на получение IP-адреса в автоматическом режиме (DHCP) и назначен в зону Management. Первоначальная настройка осуществляется через подключение администратора к веб-консоли через интерфейс port0.
Если нет возможности назначить адрес для Management-интерфейса в автоматическом режиме с помощью DHCP, то его можно явно задать, используя CLI (Command Line Interface). Более подробно об использовании CLI смотрите в главе Интерфейс командной строки (CLI).
Остальные интерфейсы отключены и требуют последующей настройки.
Первоначальная настройка требует выполнения следующих шагов:
Наименование | Описание |
|---|---|
Шаг 1. Подключиться к интерфейсу управления | При наличии DHCP-сервера Подключить интерфейс port0 в сеть предприятия с работающим DHCP-сервером. Включить UserGate. После загрузки UserGate укажет IP-адрес, на который необходимо подключиться для дальнейшей активации продукта. Статический IP-адрес Включить UserGate. Используя CLI (Command Line Interface), назначить необходимый IP-адрес на интерфейс port0. Детали использования CLI смотрите в главе Интерфейс командной строки (CLI). Подключиться к веб-консоли UserGate по указанному адресу, он должен выглядеть примерно следующим образом: https://UserGate_IP_address:8001 . |
Шаг 2. Выбрать язык | Выбрать язык, на котором будет продолжена первоначальная настройка. |
Шаг 3. Задать пароль | Задать логин и пароль для входа в веб-интерфейс управления. |
Шаг 4. Зарегистрировать систему | Ввести ПИН-код для активации продукта и заполнить регистрационную форму. Для активации системы необходим доступ UserGate в интернет. Если на данном этапе выполнить регистрацию не удается, то ее следует повторить после настройки сетевых интерфейсов на шаге 10. |
Шаг 5. Настроить зоны, IP-адреса интерфейсов, подключить UserGate в сеть предприятия | В разделе Интерфейсы включить необходимые интерфейсы, установить корректные IP-адреса, соответствующие вашим сетям, и назначить интерфейсы соответствующим зонам. Подробно об управлении интерфейсами читайте в главе Настройка интерфейсов. Система поставляется с предопределенными зонами:
|
Шаг 6. Настроить шлюз в интернет | В разделе Шлюзы указать IP-адрес шлюза в интернет на интерфейсе, подключенном в интернет, зона Untrusted. Подробно о настройке шлюзов в интернет читайте в в главе Настройка шлюзов. |
Шаг 7. Указать системные DNS-серверы | В разделе DNS укажите IP-адреса серверов DNS, вашего провайдера или серверов, используемых в вашей организации. Подробно об управлении DNS читайте в главе Настройка DNS. |
Шаг 8. Создать правила NAT | В разделе NAT и Маршрутизация создать необходимые правила NAT. Для доступа в интернет пользователей сети Trusted правило NAT уже создано - «Trusted-->Untrusted». Подробно о правилах NAT читайте в главе NAT и маршрутизация. |
Шаг 9. Создать правила межсетевого экрана | В разделе Межсетевой экран создать необходимые правила межсетевого экрана. Для неограниченного доступа в интернет пользователей сети Trusted правило межсетевого экрана уже создано - «Internet for Trusted», необходимо только включить его. Подробно о правилах межсетевого экрана читайте в главе Межсетевой экран. |
Шаг 10. Зарегистрировать продукт (если не был зарегистрирован на шаге 4) | Зарегистрировать продукт с помощью ПИН-кода. Для успешной регистрации необходимо подключение к интернету и выполнение предыдущих шагов. Более подробно о лицензировании продукта читайте в главе Лицензирование UserGate. |
Шаг 11. Создать дополнительных администраторов (опционально) | В разделе Администраторы UserGate создать дополнительных администраторов системы, наделить их необходимыми полномочиями (ролями). |
Шаг 12. Настроить авторизацию пользователей (опционально) | В разделе Пользователи и устройства создать необходимые методы авторизации пользователей. Самый простой вариант - это создать локальных пользователей UserGate с заданными IP-адресами или использовать систему без идентификации пользователей (использовать пользователя Any во всех правилах). Для других вариантов авторизации пользователей смотрите главу Пользователи и устройства. |
Шаг 13. Создать правила контентной фильтрации (опционально) | В разделе Фильтрация контента создать правила фильтрации HTTP(S). Более подробно о фильтрации контента читайте в главе Фильтрация контента. |
Шаг 14. Создать правила веб-безопасности (опционально) | В разделе Веб-безопасность создать дополнительные правила защиты веб. Более подробно о веб-безопасности читайте в главе Веб-безопасность. |
Шаг 15. Создать правила инспектирования SSL (опционально) | В разделе инспектирование SSL создать правила для перехвата и расшифровывания HTTPS-трафика. Более подробно о дешифровании HTTPS читайте в главе Инспектирование SSL. |
После выполнения вышеперечисленных действий UserGate готов к работе. Для более детальной настройки обратитесь к необходимым главам справочного руководства.
3. Лицензирование UserGate¶
UserGate лицензируется по количеству одновременно подключенных устройств, включая пользователей терминальных серверов, за исключением устройств, чей трафик проходит через UserGate с использованием правил публикации DNAT, Reverse-прокси, веб-портала, защиты почтового трафика.
Например, 100-пользовательская лицензия разрешает подключение к сети одновременно 100 устройствам с уникальными IP-адресами. 101 и следующие устройства не смогут получить доступ к сети. Количество учетных записей пользователей в системе не ограничивается. Лицензия на UserGate дает право бессрочного пользования продуктом.
Дополнительно лицензируются следующие модули:
Наименование | Описание |
|---|---|
Модуль Security Update (SU) | Модуль SU дает право на получение:
Модуль выписывается на 1 год, по истечении данного срока для получения обновлений ПО и технической поддержки необходимо приобрести продление лицензии. |
Модуль Advanced Threat Protection (ATP) | Модуль ATP включает в себя следующие опции:
Модуль выписывается на 1 год, по истечении данного срока:
|
Модуль эвристического анализа | Модуль эвристического анализа трафика включает в себя годовую подписку на антивирус. |
Модуль Mail security | Mail security включает в себя годовую подписку на проверку почтового трафика с помощью модуля антиспама UserGate. |
Для регистрации продукта необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Перейти в Дашборд | Нажать на пиктограмму Дашборд в правом верхнем углу |
Шаг 2. В разделе Информация о лицензии зарегистрировать продукт | В разделе Информация о лицензии нажать на ссылку Зарегистрированная версия, ввести ПИН-код и заполнить регистрационную форму |
4. Настройка устройства¶
4.1. Общие настройки¶
Раздел Общие настройки определяет базовые установки UserGate:
Наименование | Описание |
|---|---|
Часовой пояс | Часовой пояс, соответствующий вашему местоположению. Часовой пояс используется в расписаниях, применяемых в правилах, а также для корректного отображения времени и даты в отчетах, журналах и т.п. |
Язык интерфейса по умолчанию | Язык, который будет использоваться по умолчанию в консоли. |
Режим авторизации веб-консоли | Способ аутентификации пользователя (администратора) при входе в веб-консоль управления. Возможны следующие варианты:
|
Профиль SSL для веб-консоли | Выбор профиля SSL для построения защищенного канала доступа к веб-консоли. Подробно о профилях SSL смотрите в главе Профили SSL. |
Профиль SSL для страниц блокировки/авторизации | Выбор профиля SSL для построения защищенного канала для отображения страниц блокировки доступа к веб-ресурсам и страницы авторизации Captive-портала. Подробно о профилях SSL смотрите в главе Профили SSL. |
Настройка времени сервера | Настройка параметров установки точного времени. Использовать NTP – использовать сервера NTP из указанного списка для синхронизации времени. Основной сервер NTP – адрес основного сервера точного времени. Значение по умолчанию - pool.ntp.org. Запасной сервер NTP – адрес запасного сервера точного времени. Время на сервере – позволяет установить время на сервере. Время должно быть указано в часовом поясе UTC. |
Модули | Позволяет настроить модули UserGate:
|
Настройка кэширования HTTP | Настройка кэша прокси-сервера:
|
Log Analyzer | Настройки модуля Log Analyzer:
|
Web-портал | Настройки для предоставления доступа к внутренним ресурсам компании с помощью веб-портала ( SSL VPN). Подробное описание данных настроек смотрите в главе Веб-портал. |
Настройка учета изменений | При включении данной опции и создания Типов изменений любое изменение в конфигурацию, вносимое администратором через веб-консоль, будет требовать указание типа изменения и описания вносимого изменения. В качестве типов изменения могут быть, например, указаны:
Количество типов изменений не ограничено. |
Агент UserGate Management Center | Настройки для подключения устройства к центральной консоли управления, позволяющей управлять парком устройств UserGate из одной точки.
|
Расписание скачивания обновлений | Настройки для управления скачиванием обновлений программного обеспечения UserGate (UGOS) и обновляемыми библиотеками, предоставляемыми по подписке (база категорий URL-фильтрации, СОВ, списки IP-адресов, URL, MIME-типов и другие).
При задании расписания возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 0-31) (месяц: 0-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
|
4.2. Управление устройством¶
Раздел Управление устройством определяет следующие настройки UserGate:
Кластеризация
Настройки диагностики
Операции с сервером
Экспорт настроек.
Возможности кластеризации устройств UserGate описаны в разделе Кластеризация и отказоустойчивость.
4.2.1. Диагностика¶
В данном разделе задаются параметры диагностики сервера, необходимые службе технической поддержки UserGate при решении возможных проблем.
Наименование | Описание |
|---|---|
Детализация диагностики |
Рекомендуется установить значение параметра Детализация диагностики в Error (только ошибки) или Off (Отключено), если техническая поддержка UserGate не попросила вас установить иные значения. Любые значения, отличные от Error (только ошибки) или Off (Отключено), негативно влияют на производительность UserGate |
Журналы диагностики |
|
Удаленный помощник |
|
4.2.2. Операции с сервером¶
Данный раздел позволяет произвести следующие операции с сервером:
Наименование | Описание |
|---|---|
Операции с сервером |
|
Обновления | Выбор канала обновлений ПО UserGate
|
Команда UserGate постоянно работает над улучшением качества своего программного обеспечения и предлагает обновления продукта UserGate в рамках подписки на модуль лицензии Security Update (подробно о лицензировании смотрите в разделе Лицензирование UserGate). При наличии обновлений в разделе Управление продуктом отобразится соответствующее оповещение. Обновление продукта может занять довольно длительное время, рекомендуется планировать установку обновлений с учетом возможного времени простоя UserGate.
Для установки обновлений необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать файл резервного копирования | Создать резервную копию состояния UserGate, как это описано в разделе Системные утилиты. Данный шаг рекомендуется всегда выполнять перед применением обновлений, поскольку он позволит восстановить предыдущее состояние устройства в случае возникновения каких-либо проблем во время применения обновлений. |
Шаг 2. Установить обновления | В разделе Управление устройством при наличии оповещения Доступны новые обновления нажать на ссылку Установить сейчас. Система установит скачанные обновления, по окончании установки UserGate будет перезагружен. |
Примечание
Для обновления узлов кластера конфигурации необходимо, чтобы все узлы были включены и доступны на момент обновления первого узла. Узлы, недоступные на момент обновления первого узла, после обновления необходимо будет добавить в кластер заново.
4.2.3. Экспорт настроек¶
Администратор имеет возможность сохранить текущие настройки UserGate в файл и впоследствии восстановить эти настройки на этом же или другом сервере UserGate. В отличие от резервного копирования, экспорт/импорт настроек не сохраняет текущее состояние всех компонентов комплекса, сохраняются только текущие настройки.
Примечание
Экспорт/импорт настроек не восстанавливает состояние кластера, настройки интерфейсов и информацию о лицензии. После окончания процедуры импорта необходимо повторно зарегистрировать UserGate с помощью имеющегося ПИН-кода, настроить интерфейсы и заново создать кластер, если это необходимо.
Для экспорта настроек необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Экспорт настроек | В разделе Управление устройством нажать на ссылку Экспорт настроек-->Экспорт. Система сохранит текущие настройки сервера под именем database.bin |
Для применения созданных ранее настроек необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Импорт настроек | В разделе Управление устройством нажать на ссылку Экспорт настроек-->Импорт и указать путь к ранее созданному файлу настроек. Указанные настройки применятся к серверу, после чего сервер будет перезагружен |
Дополнительно администратор может настроить сохранение настроек на внешние серверы (FTP, SSH) по расписанию. Для создания расписания выгрузки настроек необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать правило экспорта | В разделе Управление устройством-->Экспорт настроек нажать кнопку Добавить, указать имя и описание правила |
Шаг 2. Указать параметры удаленного сервера | Во вкладке правила Удаленный сервер указать параметры удаленного сервера:
|
Шаг 3. Выбрать расписание выгрузки | Во вкладке правила Расписание указать необходимое время отправки настроек. В случае задания времени в CRONTAB-формате, задайте его в следующем виде: (минуты:0-59) (часы:0-23) (дни месяца:0-31) (месяц:0-12) (день недели:0-6, 0-воскресенье) Каждое из первых пяти полей может быть задано следующим образом:
|
4.3. Кластеризация и отказоустойчивость¶
UserGate поддерживает 2 типа кластеров:
Кластер конфигурации. Узлы, объединенные в кластер конфигурации, поддерживают единые настройки в рамках кластера.
Кластер отказоустойчивости. До 4-х узлов кластера конфигурации могут быть объединены в кластер отказоустойчивости, поддерживающий работу в режиме Актив-Актив или Актив-Пассив. Возможно собрать несколько кластеров отказоустойчивости.
4.3.1. Кластер конфигурации¶
Ряд настроек уникален для каждого из узлов кластера, например, настройка сетевых интерфейсов и IP-адресация. Список уникальных настроек:
Наименование | Описание |
|---|---|
Настройки, уникальные для каждого узла | Настройки Log Analyzer Настройки диагностики Настройки интерфейсов Настройки шлюзов Настройки DHCP Маршруты Настройки OSPF Настройки BGP |
Для создания кластера конфигурации необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Выполнить первоначальную настройку на первом узле кластера | Смотрите главу Первоначальная настройка. |
Шаг 2. Настроить на первом узле кластера зону, через интерфейсы которой будет выполняться репликация кластера | В разделе Зоны создать выделенную зону для репликации настроек кластера или использовать существующую (Cluster). В настройках зоны разрешить следующие сервисы:
Не используйте для репликации зоны, интерфейсы которых подключены к недоверенным сетям, например, к интернету. |
Шаг 3. Указать IP-адрес, который будет использоваться для связи с другими узлами кластера | В разделе Управление устройством в окне Кластер конфигурации выбрать текущий узел кластера и нажать на кнопку Редактировать. Указать IP-адрес интерфейса, входящего в зону, настроенную на шаге 2. |
Шаг 4. Сгенерировать Секретный код на первом узле кластера | В разделе Управление устройством нажать на кнопку Сгенерировать секретный код. Полученный код скопировать в буфер обмена. Данный секретный код необходим для одноразовой авторизации второго узла при добавлении его в кластер. |
Шаг 5. Подключить второй узел в кластер | Подключиться к веб-консоли второго узла кластера, выбрать язык установки. Указать интерфейс, который будет использован для подключения к первому узлу кластера и назначить ему IP-адрес. Оба узла кластера должны находиться в одной подсети, например, интерфейсам eth2 обоих узлов назначены IP-адреса 192.168.100.5/24 и 192.168.100.6/24. В противном случае необходимо указать IP-адрес шлюза, через который будет доступен первый узел кластера. Указать IP-адрес первого узла, настроенный на шаге 3, вставить секретный код и нажать на кнопку Подключить. Если IP-адреса кластера, настроенные на шаге 2, назначены корректно, то второй узел будет добавлен в кластер и все настройки первого кластера реплицируются на второй. |
Шаг 6. Назначить зоны интерфейсам второго узла | В веб-консоли второго узла кластера в разделе Сеть --> Интерфейсы необходимо назначить каждому интерфейсу корректную зону. Зоны и их настройки получены в результате репликации данных с первого узла кластера. |
Шаг 7. Настроить параметры, индивидуальные для каждого узла кластера (опционально) | Настроить шлюзы, маршруты, параметры OSPF, BGP, индивидуальные для каждого из узлов. |
До четырех узлов кластера конфигурации можно объединить в отказоустойчивый кластер. Самих кластеров отказоустойчивости может быть несколько, например, в кластер конфигурации добавлены узлы A, B, C и D на основе которых создано 2 кластера отказоустойчивости - A-B и C-D.
Поддерживаются 2 режима кластера отказоустойчивости - Актив-Актив и Актив-Пассив.
4.3.2. Кластер отказоустойчивости Актив-Пассив¶
В режиме Актив-Пассив один из серверов выступает в роли Мастер-узла, обрабатывающего трафик, а остальные - в качестве резервных. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.
Примечание
Режим Актив-Пассив поддерживает синхронизацию пользовательских сессий, что обеспечивает прозрачное для пользователей переключение трафика с одного узла на другой.
При переходе роли мастер на резервный сервер на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:
Запасной сервер не получает подтверждения о том, что главный узел находится в сети, например, если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (смотрите раздел Настройка шлюзов), и доступ в интернет отсутствует через все имеющиеся шлюзы.
Сбой в работе ПО UserGate.
Отключение одного или нескольких сетевых интерфейсов, на которых назначены виртуальные IP-адреса понижает приоритет узла, но не обязательно приведет к изменению роли сервера. Переход на запасной узел произойдет, если приоритет запасного узла окажется выше, чем мастер-узла. По умолчанию приоритет узла, назначенного мастер-узлом, равен 250, приоритет резервного узла равен 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, у которого отсутствует физическое подключение к сети. Соответственно, для кластера отказоустойчивости, состоящего из двух узлов, при пропадании физического подключения к сети одного интерфейса на мастер-узле, роль мастера переместится на запасной сервер, если на запасном сервере все кластерные интерфейсы подключены к сети (приоритет мастер-сервера будет равен 248, приоритет резервного - 249). При восстановлении физического подключения на первоначальном мастер-узле роль мастера вернется обратно на него, поскольку его приоритет вернется в значение 250 (справедливо для случая если виртуальные адреса сконфигурированы на двух и более интерфейсах. Если на одном, то роль мастера не возвращается).
Отключение одного или нескольких кластерных сетевых интерфейсов на запасном узле, понижает приоритет узла, тем не менее данный запасной узел может стать мастер-узлом при безусловном переходе роли, или в случае, когда приоритет мастер узла станет меньше, чем приоритет данного запасного узла.
Примечание
Если кластерные IP-адреса назначены VLAN-интерфейсам, то отсутствие подключения на физическом интерфейсе будет трактоваться кластером отказоустойчивости как потеря соединения на всех VLAN-интерфейсах, созданных на данном физическом интерфейсе.
Примечание
Для уменьшения времени, требуемого сетевому оборудованию для перевода трафика на запасной узел при переключении, сервера UserGate посылают служебное оповещение GARP (Gratuitous ARP), извещающий сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. Пакет GARP отсылается сервером UserGate каждую минуту и при переезде роли мастера на запасной сервер.
Ниже представлена пример сетевой диаграммы отказоустойчивого кластера в режиме Актив-Пассив. Интерфейсы настроены следующим образом:
Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).
Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации настроек.
Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий сервер, который станет мастер сервером, например, UG2.
Отказоустойчивый кластер в режиме Актив-Пассив
4.3.3. Кластер отказоустойчивости Актив-Актив¶
В режиме Актив-Актив один из серверов выступает в роли Мастер-узла, распределяющего трафик на все остальные узлы кластера. На каждом из узлов кластера выбираются сетевые интерфейсы, которым администратор назначает виртуальные IP-адреса. Между этими интерфейсами передаются VRRP-объявления (ADVERTISEMENT) — сообщения, с помощью которых узлы обмениваются информацией о своем состоянии.
Виртуальные IP-адреса всегда находятся на интерфейсах Мастер-узла, поэтому Мастер-узел получает ARP-запросы клиентов и отвечает на них, последовательно отдавая MAC-адреса всех узлов отказоустойчивого кластера, обеспечивая равномерное распределение трафика на все узлы кластера, учитывая при этом необходимость неразрывности пользовательских сессий.
Примечание
Режим Актив-Актив в отличии от режима Актив-Пассив не поддерживает синхронизацию пользовательских сессий.
При переходе роли мастер на резервный сервер на него переносятся все виртуальные IP-адреса всех кластерных интерфейсов. Безусловный переход роли происходит при следующих событиях:
Запасной сервер не получает подтверждения о том, что главный узел находится в сети, например, если он выключен или отсутствует сетевая доступность узлов.
На узле настроена проверка доступа в интернет (смотрите раздел Настройка шлюзов), и доступ в интернет отсутствует через все имеющиеся шлюзы.
Сбой в работе ПО UserGate.
Отключение одного или нескольких сетевых интерфейсов мастер-узла, на которых назначены виртуальные IP-адреса, понижает приоритет узла, но не обязательно приведет к изменению роли сервера. Переход на запасной узел произойдет, если приоритет запасного узла окажется выше, чем мастер-узла. По умолчанию приоритет узла, назначенного мастер-узлом, равен 250, приоритет резервного узла равен 249. Приоритет узла уменьшается на 2 для каждого кластерного интерфейса, у которого отсутствует физическое подключение к сети. Соответственно, для кластера отказоустойчивости, состоящего из двух узлов, при пропадании физического подключения к сети одного интерфейса на мастер-узле, роль мастера переместится на запасной сервер, если на запасном сервере все кластерные интерфейсы подключены к сети (приоритет мастер-сервера будет равен 248, приоритет резервного - 249). При восстановлении физического подключения на первоначальном мастер-узле роль мастера вернется обратно на него, поскольку его приоритет вернется в значение 250.
Отключение одного или нескольких кластерных сетевых интерфейсов на запасном узле, понижает приоритет узла, а также исключает данный узел из балансировки трафика. Тем не менее данный запасной узел может стать мастер-узлом при безусловном переходе роли, или в случае, когда приоритет мастер узла станет меньше, чем приоритет данного запасного узла.
Примечание
Если кластерные IP-адреса назначены VLAN-интерфейсам, то отсутствие подключения на физическом интерфейсе будет трактоваться кластером отказоустойчивости как потеря соединения на всех VLAN-интерфейсах, созданных на данном физическом интерфейсе.
Примечание
Для уменьшения времени, требуемого сетевому оборудованию для перевода трафика на запасной узел при переключении, сервера UserGate посылают служебное оповещение GARP (Gratuitous ARP), извещающий сетевое оборудование о смене MAC-адресов для всех виртуальных IP-адресов. В режиме Актив-Актив пакет GARP отсылается сервером UserGate только при переходе роли мастера на запасной сервер.
Ниже представлен пример сетевой диаграммы отказоустойчивого кластера в режиме Актив-Актив. Интерфейсы настроены следующим образом:
Зона Trusted: IP1, IP2, IP3, IP4 и IP cluster (Trusted).
Зона Untrusted: IP5, IP6, IP7, IP8 и IP cluster (Untrusted).
Зона Cluster: IP9, IP10, IP11, IP12, IP13, IP14. Интерфейсы в зоне Cluster используются для репликации настроек.
Оба кластерных IP-адреса находятся на узле UG1. Если узел UG1 становится недоступным, то оба кластерных IP-адреса перейдут на следующий сервер, который станет мастер сервером, например, UG2.
Отказоустойчивый кластер в режиме Актив-Актив
Примечание
Для корректной обработки трафика необходимо, что бы обратный трафик от сервера к клиенту вернулся через тот же узел UserGate, через который он был инициирован от клиента, то есть, что бы сессия пользователя всегда проходила через один и тот же узел кластера. Самое простое решение данной задачи – это использование NAT из сети клиента в сеть сервера (NAT из Trusted в Untrusted).
Для создания отказоустойчивого кластера необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать кластер конфигурации | Создать кластер конфигурации, как это описано на предыдущем шаге |
Шаг 2. Настроить зоны, интерфейсы которых будут участвовать в отказоустойчивом кластере | В разделе Зоны следует разрешить сервис VRRP для всех зон, где планируется добавлять кластерный виртуальный IP-адрес (зоны Trusted и Untrusted на диаграммах выше). |
Шаг 3. Создать кластер отказоустойчивости | В разделе Управление устройством --> Кластер отказоустойчивости нажать на кнопку Добавить и указать параметры кластера отказоустойчивости |
Шаг 4. Указать виртуальный IP-адрес для хостов auth.captive, logout.captive, block.captive, ftpclient.captive | Если предполагается использовать авторизацию с помощью Captive-портала, то необходимо, чтобы системные имена хостов auth.captive и logout.captive, которые используются процедурами авторизации в Captive, резолвились в IP-адрес, назначенный в качестве кластерного виртуального адреса. Более детально эти параметры описаны в разделе Общие настройки. |
Параметры отказоустойчивого кластера:
Наименование | Описание |
|---|---|
Вкл | Включение/отключение отказоустойчивого кластера |
Название | Название отказоустойчивого кластера |
Описание | Описание отказоустойчивого кластера |
Режим кластера | Режим отказоустойчивого кластера:
|
Синхронизировать сессии | Включает режим синхронизации пользовательских сессий между всеми узлами, входящими в кластер отказоустойчивости. Включение данной опции делает переключение пользователей с одного устройства на другое прозрачным для пользователей, но добавляет существенную нагрузку на платформу UserGate. Имеет смысл только для режима кластера Актив-Пассив |
Мультикаст идентификатор кластера | В одном кластере конфигурации может быть создано несколько кластеров отказоустойчивости. Для синхронизации сессий используется определенный мультикастовый адрес, определяемый данным параметром. Для каждой группы кластеров отказоустойчивости, в которой должна поддерживаться синхронизация сессий, требуется установить уникальный идентификатор |
Идентификатор виртуального роутера (VRID) | Идентификатор виртуального роутера должен быть уникален для каждого VRRP-кластера в локальной сети. Если в сети не присутствуют сторонние кластеры VRRP, то рекомендуется оставить значение по умолчанию |
Узлы | Выбираются узлы кластера конфигурации для объединения их в кластер отказоустойчивости. Здесь же можно назначить роль Мастер-сервера одному из выбранных узлов |
Виртуальные IP-адреса | Назначаются виртуальные IP-адреса и их соответствие интерфейсам узлов кластера |
4.4. Управление доступом к консоли UserGate¶
Доступ к веб-консоли UserGate регулируется с помощью создания дополнительных учетных записей администраторов, назначения им профилей доступа, создания политики управления паролями администраторов и настройки доступа к веб-консоли на уровне разрешения сервиса в свойствах зоны сети. Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
Примечание
При первоначальной настройке UserGate создается локальный суперпользователь Admin.
Для создания дополнительных учетных записей администраторов устройства необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать профиль доступа администратора | В разделе Администраторы -->Профили администраторов нажать кнопку Добавить и указать необходимые настройки |
Шаг 2. Создать учетную запись администратора и назначить ей один из созданных ранее профилей администратора | В разделе Администраторы нажать кнопку Добавить и выбрать необходимый вариант:
|
При создании профиля доступа администратора необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Название | Название профиля |
Описание | Описание профиля |
Разрешения для API | Список объектов, доступных для делегирования доступа при работе через программный интерфейс (API). Объекты описаны документации API. В качестве доступа можно указать:
|
Разрешения для веб-консоли | Список объектов дерева веб-консоли, доступных для делегирования. В качестве доступа можно указать:
|
Разрешения для CLI | Позволяет разрешить доступ к CLI. В качестве доступа можно указать:
|
Администратор UserGate может настроить дополнительные параметры защиты учетных записей администраторов, такие, как сложность пароля и блокировку учетной записи на определенное время при превышении количества неудачных попыток авторизации.
Для настройки этих параметров необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Настроить политику паролей | В разделе Администраторы -->Администраторы нажать кнопку Настроить |
Шаг 2. Заполнить необходимые поля | Указать значения следующих полей:
|
Администратор может указать зоны, с которых будет возможен доступ к сервису веб-консоли (порт TCP 8001).
Примечание
Не рекомендуется разрешать доступ к веб-консоли для зон, подключенных к неконтролируемым сетям, например, к сети интернет.
Для разрешения сервиса веб-консоли для определенной зоны необходимо в свойствах зоны в разделе контроль доступа разрешить доступ к сервису Консоль администрирования. Более подробно о настройке контроля доступа к зонам можно прочитать в разделе Настройка зон.
Дополнительной мерой усиления безопасности доступа к консоли может быть включение режима авторизации администраторов с использованием сертификатов.
Для включения данного режима необходимо выполнить следующие действия (в качестве примера используется утилита openssl):
Наименование | Описание |
|---|---|
Шаг 1. Создать учетные записи дополнительных администраторов | Произвести настройку, как это описано ранее в этой главе, например, создать учетную запись администратора с именем Administrator54 |
Шаг 2. Создать или импортировать существующий сертификат типа УЦ авторизации веб-консоли | Создать или импортировать существующий сертификат удостоверяющего центра (достаточно только публичного ключа) в соответствии с главой Управление сертификатами. Например, для создания УЦ с помощью утилиты openssl требуется выполнить команды: openssl req -x509 -subj '/C=RU/ST=Moscow/O= MyCompany /CN=ca.mycompany.com' -newkey rsa:2048 -keyout ca-key.pem -out ca.pem -nodes openssl rsa -in ca-key.pem -out ca-key.pem В файле ca-key.pem будет находиться приватный ключ сертификата, в ca.pem - публичный ключ. Импортировать публичный ключ в UserGate. |
Шаг 3. Создать сертификаты для учетных записей администраторов | С помощью средств сторонних утилит (например, openssl) создать сертификаты для каждого из администраторов. Необходимо, чтобы поле сертификата Common name в точности совпадало с именем учетной записи администратора, как она была создана в UserGate. Для openssl и пользователя Administrator54 команды будут следующими: openssl req -subj '/C=RU/ST=Moscow/O= MyCompany /CN=Administrator54' -out admin.csr -newkey rsa:2048 -keyout admin-key.pem -nodes |
Шаг 4. Подписать сертификаты администраторов, созданным на шаге 2 сертификатом удостоверяющего центра | С помощью средств сторонних утилит (например, openssl) подписать сертификаты администраторов сертификатом удостоверяющего центра веб-консоли Для openssl команды будут следующими: openssl x509 -req -days 9999 -CA ca.pem -CAkey ca-key.pem -set_serial 1 -in admin.csr -out admin.pem openssl pkcs12 -export -in admin.pem -inkey admin-key.pem -out admin.p12 -name 'Administrator54 client certificate' Файл admin.p12 содержит подписанный сертификат администратора |
Шаг 5. Добавить подписанные сертификаты в ОС, с которой администраторы будут авторизоваться в веб-консоль | Добавить подписанные сертификаты администраторов (admin.p12 в нашем примере) в ОС (или в браузер Firefox, если он используется для доступа к консоли), с которой администраторы будут авторизоваться в веб-консоль. Более подробно смотрите руководство по используемой вами ОС |
Шаг 6. Переключите режим авторизации веб-консоли в авторизацию по сертификатам x.509 | В разделе Настройки поменяйте Режим авторизации веб-консоли на По X.509 сертификату. |
Примечание
Переключить режим авторизации веб-консоли можно с помощью команд CLI.
В разделе Администраторы --> Сессии администраторов отображаются все администраторы, выполнившие вход в веб-консоль администрирования UserGate. При необходимости любую из сессий администраторов можно сбросить (закрыть).
4.5. Управление сертификатами¶
UserGate использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.
Для выполнения данных функций UserGate использует различные типы сертификатов:
Наименование | Описание |
|---|---|
SSL веб-консоли | Используется для создания безопасного HTTPS-подключения администратора к веб-консоли UserGate |
SSL Captive-портала | Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации Captive-портала, для отображения страницы блокировки, для отображения страницы Logout Captive-портала и для работы ftp-прокси. Этот сертификат должен быть выпущен со следующими параметрами:
По умолчанию используется подписанный с помощью сертификата инспектирование SSL сертификат, выпущенный для домена auth.captive, со следующими параметрами:
-Alternative names = auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive Если администратор не загрузил свой собственный сертификат для обслуживания этой роли, то UserGate самостоятельно в автоматическом режиме перевыпускает данный сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive) |
SSL инспектирование | Сертификат класса удостоверяющего центра. Он используется для генерации SSL-сертификатов для интернет-хостов, для которых производится перехват HTTPS, SMTPS, POP3S трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный Subject name = yahoo.com Issuer name = VeriSign Class 3 Secure Server CA - G3, подменяется на Subject name = yahoo.com Issuer name = компания, как она указана в сертификате центра сертификации, заведенного в UserGate. Данный сертификат также используется для создания сертификата по умолчанию для роли SSL Captive-портала |
SSL инспектирование (промежуточный) | Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата |
SSL инспектирование (корневой) | Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата |
Пользовательский сертификат | Сертификат, который назначается пользователю UserGate. Пользователь может быть, как заведен локально, так и получен из LDAP. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси |
УЦ авторизации веб-консоли | Удостоверяющий центр авторизации администраторов для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа |
SAML server | Используется для работы UserGate с сервером SSO SAML IDP. Подробно о настройке работы UserGate с сервером авторизации SAML IDP смотрите в соответствующем разделе руководства |
Веб-портал | Сертификат, используемый для веб-портала. Если данный сертификат не указан явно, то UserGate использует сертификат SSL Captive-портала, выпущенный сертификатом для инспектирования SSL. Подробно о настройке веб-портала смотрите в соответствующем разделе руководства |
Сертификатов для SSL веб-консоли, SSL Captive-портала и сертификатов SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ авторизации веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.
Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать сертификат | Нажать на кнопку Создать в разделе Сертификаты |
Шаг 2. Заполнить необходимые поля | Указать значения следующих полей:
|
Шаг 3. Указать, для чего будет использован данный сертификат | После создания сертификата необходимо указать его роль в UserGate. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, инспектирование SSL, УЦ авторизации веб-консоли). В случае, если вы выбрали SSL веб-консоли, UserGate перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат инспектирования SSL начинает работать немедленно после того, как его выбрали. Более детально о инспектировании HTTPS смотрите в главе Инспектирование SSL. |
UserGate позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.
Для экспорта сертификата необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Выбрать сертификат для экспорта | Выделить необходимый сертификат в списке сертификатов . |
Шаг 2. Экспортировать сертификат | Выбрать тип экспорта:
|
Примечание
Рекомендуется сохранять сертификат для возможности его последующего восстановления.
Примечание
В целях безопасности UserGate не разрешает экспорт приватных ключей сертификатов.
Примечание
Пользователи могут скачать себе для установки сертификат инспектирования SSL с UserGate по прямой ссылке: http:// UserGate_IP:8002/cps/ca
Для импорта сертификата необходимо иметь файлы сертификата и - опционально - приватного ключа сертификата и выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Начать импорт | Нажать на кнопку Импорт |
Шаг 2. Заполнить необходимые поля | Указать значения следующих полей:
|
4.5.1. Использование корпоративного УЦ для создания сертификата инспектирования SSL¶
Если в компании уже существует внутренний УЦ или цепочка удостоверяющих центров, то можно указать в качестве сертификата для инспектирования SSL сертификат, созданный внутренним УЦ. В случае, если внутренний УЦ является доверяемым для всех пользователей компании, то перехват SSL будет происходить незаметно, пользователи не будут получать предупреждение о подмене сертификата.
Рассмотрим более подробно процедуру настройки UserGate. Допустим, что в организации используется внутренний УЦ на базе Microsoft Enterprise CA, интегрированный в Active Directory. Структура УЦ следующая:
Рисунок 3 Пример структуры корпоративного УЦ
Необходимо выписать с помощью Sub CA2 сертификат для UserGate и настроить его в качестве сертификата для инспектирования SSL. Необходимо выписать сертификат UserGate SSL decrypt в качестве удостоверяющего центра.
Примечание
UserGate не поддерживает алгоритм подписи rsassaPss. Необходимо, чтобы вся цепочка сертификатов, которая используется для выписывания сертификата для инспектирования SSL, не содержала данного алгоритма подписи.
Для выполнения этой задачи следует выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать CSR-запрос на создание сертификата в UserGate | Нажать на кнопку Создать-->Новый CSR. Заполнить необходимые поля и создать CSR. Будет создан приватный ключ и файл запроса. С помощью кнопки Экспорт скачать файл запроса |
Шаг 2. Создать сертификат на основе подготовленного CSR | В Microsoft CA создать сертификат на основе полученного на предыдущем шаге CSR-файла с помощью утилиты certreq: certreq.exe -submit -attrib "CertificateTemplate:SubCA" HTTPS_csr.pem или с помощью веб-консоли Microsoft CA, указав в качестве шаблона «Подчиненный центр сертификации». Обратитесь к документации Microsoft за более подробной информацией. По окончании процедуры вы получите сертификат (публичный ключ), подписанный УЦ Sub CA2 |
Шаг 3. Скачать полученный сертификат | Из веб-консоли Microsoft CA скачать созданный сертификат (публичный ключ) |
Шаг 4. Загрузить сертификат в созданный ранее CSR | В UserGate выбрать созданный ранее CSR и нажать кнопку Редактировать. Загрузить файл сертификата и нажать Сохранить |
Шаг 5. Указать тип сертификата – инспектирование SSL | В UserGate выбрать созданный ранее CSR и нажать кнопку Редактировать. Указать в поле Используется - SSL инспектирование |
Шаг 6. Скачать сертификаты для промежуточных УЦ (Sub CA1 и Sub CA2) | В веб-консоли Microsoft CA выбрать и скачать сертификаты (публичные ключи) для УЦ Sub CA1 и Sub CA2 |
Шаг 7. Загрузить сертификаты Sub CA1 и Sub CA2 в UserGate | С помощью кнопки Импорт загрузить скачанные на предыдущем шаге сертификаты для Sub CA1 и Sub CA2 |
Шаг 8. Установить тип - инспектирование SSL (промежуточный) для сертификатов Sub CA1 и Sub CA2 | В UserGate выбрать загруженные сертификаты и нажать кнопку Редактировать. Указать в поле Используется - Инспектирование SSL (промежуточный) для обоих сертификатов |
Шаг 9. Загрузить сертификат Root CA в UserGate (опционально) | С помощью кнопки Импорт загрузить корневой сертификат организации в UserGate. С помощью кнопки Редактировать указать в поле Используется - Инспектирование SSL (корневой) |
4.6. Интерфейс командной строки (CLI)¶
UserGate позволяет создавать базовые настройки устройства с помощью интерфейса командной строки, или CLI (command line interface). С помощью CLI администратор может выполнить ряд диагностирующих команд, таких, как ping, nslookup, traceroute, осуществить настройку сетевых интерфейсов и зон, а также перезагрузить или выключить устройство.
CLI полезно использовать для диагностики сетевых проблем или в случае, когда доступ к веб-консоли утерян, например, некорректно указан IP-адрес интерфейса или ошибочно установлены параметры контроля доступа для зоны, запрещающие подключение к веб-интерфейсу.
Подключение к CLI можно выполнить через стандартные порты VGA/клавиатуры (при наличии таких портов на оборудовании UserGate), через последовательный порт или с помощью SSH по сети.
Для подключения к CLI с использованием монитора и клавиатуры необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Подключить монитор и клавиатуру к UserGate | Подключить монитор к разъему VGA(HDMI), клавиатуру к разъему USB |
Шаг 2. Войти в CLI | Войти в CLI, используя имя и пароль пользователя с правами Full administrator (по умолчанию Admin). Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm |
Для подключения к CLI с использованием последовательного порта необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Подключиться к UserGate | Используя специальный кабель для последовательного порта или переходник USB-Serial, подключить свой компьютер к UserGate |
Шаг 2. Запустить терминал | Запустить терминал, позволяющий подключение через последовательный порт, например, Putty для Windows или minicom для Linux. Установить подключение через последовательный порт, указав параметры подключения 115200 8n1 |
Шаг 3. Войти в CLI | Войти в CLI, используя имя и пароль пользователя с правами Full administrator (по умолчанию Admin). Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm |
Для подключения к CLI по сети с использованием протокола SSH необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Разрешить доступ к CLI (SSH) для выбранной зоны | Разрешить доступ для протокола CLI по SSH в настройках зоны, к которой вы собираетесь подключаться для управления с помощью CLI. Будет открыт порт TCP 2200 |
Шаг 2. Запустить SSH-терминал | Запустить у себя на компьютере SSH-терминал, например, SSH для Linux или Putty для Windows. Указать в качестве адреса адрес UserGate, в качестве порта подключения - 2200, в качестве имени пользователя - имя пользователя с правами Full administrator (по умолчанию Admin). Для Linux команда на подключение должна выглядеть так: ssh Admin@IP UserGate -p 2200 |
Шаг 3. Войти в CLI | Войти в CLI, используя пароль пользователя, указанного на предыдущем шаге. Если устройство UserGate не прошло первоначальную инициализацию, то для доступа к CLI необходимо использовать в качестве имени пользователя Admin, в качестве пароля - utm |
После успешного входа в CLI можно посмотреть список возможных команд с помощью команды help. Для подробного описания любой команды необходимо использовать синтаксис
help command
Например, для получения подробной справки по использованию команды настройки сетевого интерфейса iface необходимо выполнить
help Iface
Полный список команд:
Наименование | Описание |
|---|---|
help | Показывает список доступных команд. |
exit quit Ctrl+D | Выйти из CLI. |
cache ldap-clear | Очистка кэша LDAP-записей. |
code-change-control | Набор команд для просмотра и настройки параметров защиты исполняемого кода продукта от потенциального несанкционированного изменения. Проверка целостности исполняемого кода происходит каждый раз после загрузки UserGate. code-change-control show - показывает текущий режим работы. По умолчанию отслеживание несанкционированных изменений исполняемого кода отключено. code-change-control set log - активирует режим отслеживания несанкционированных изменений исполняемого кода. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания. code-change-control set block - активирует режим отслеживания несанкционированных изменений исполняемого кода. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate. Для возможности отключения созданного правила межсетевого экрана необходимо отключить отслеживание несанкционированных изменений. code-change-control set off - отключает режим отслеживания несанкционированных изменений исполняемого кода. Требует указания пароля, который был задан при активации режима отслеживания исполняемого кода. |
config-change-control | Набор команд для просмотра и настройки параметров защиты конфигурации (настроек) продукта от изменения. Перед активацией защиты конфигурации администратор производит настройку продукта в соответствии с требованиями организации, после чего "замораживает" настройки (режим log или block). Любое изменение настроек через веб-интерфейс, CLI или другими способами будет приводить к журналированию и/или блокировке транзитного трафика, в зависимости от выбранного режима. Проверка целостности конфигурации происходит каждые несколько минут после загрузки UserGate. config-change-control show - показывает текущий режим работы. По умолчанию отслеживание изменений конфигурации отключено. config-change-control set log - активирует режим отслеживания изменений конфигурации. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий. Требует задания пароля, который потребуется в случае изменения режима отслеживания. config-change-control set block - активирует режим отслеживания изменений конфигурации. Требует задания пароля, который потребуется в случае изменения режима отслеживания. При обнаружении изменений UserGate записывает информацию о факте изменения в журнал событий и создает блокирующее правило межсетевого экрана, запрещающее любой транзитный трафик через UserGate. Для отключения созданного правила межсетевого экрана необходимо сбросить состояние блокировки с помощью следующей команды: config-change-control set off - отключает режим отслеживания изменений конфигурации. Требует указания пароля, который был задан при активации режима отслеживания конфигурации. |
date | Посмотреть текущее время на сервере. |
device | Набор команд для изменения параметров устройства. device config -list - показывает список доступных опций для настройки. device config -get - посмотреть текущее значение параметра. device config -set - изменить значение параметра. Список доступных параметров: module_l7_enabled - включение/отключение загрузки модуля L7. По умолчанию модуль загружен. Важно! После изменения данного параметра требуется перезагрузка устройства UserGate. module_idps_enabled - включение/отключение загрузки модуля idps. По умолчанию модуль загружен. Важно! После изменения данного параметра требуется перезагрузка устройства UserGate. module_h323_enabled - включение/отключение загрузки модуля h323. По умолчанию модуль выгружен. module_sip_enabled - включение/отключение загрузки модуля sip. По умолчанию модуль выгружен. module_sunrpc_enabled - включение/отключение загрузки модуля sunrpc. По умолчанию модуль выгружен. module_ftp_alg_enabled - включение/отключение загрузки модуля ftp. По умолчанию модуль выгружен. ha_checker_ping - включение дополнительной проверки состояния кластера отказоустойчивости. Узел будет переведен в состояние Slave если ping до указанного в команде хоста будет не успешен. Для включения проверки необходимо использовать синтаксис: device config -set ha_checker_ping true;ip для отключения проверки device config -set ha_checker_ping false ha_checker_master - включение дополнительной проверки состояния кластера отказоустойчивости. Узел будет переведен в состояние Slave, если запрос XMLRPC до указанного в команде сервера UserGate будет не успешен. Запрос успешен только в том случае, если сервер UserGate доступен и является Master-сервером кластере. Как правило такая проверка необходима для синхронизации состояний серверов в двух различных кластерах. Для включения проверки необходимо использовать синтаксис: device config - set ha_ checker_ master true; i p для отключения проверки device config -set ha_checker_master false На сервере UserGate, куда посылается проверочный запрос, должен быть разрешен сервис XMLRPC на зоне, на интерфейсы которой приходит данный запрос. ha_auth_type - включение подписи IPsec Authentication Header для служебных пакетов VRRP в кластере отказоустойчивости. Для включения подписи необходимо использовать команду: device config -set ha_auth_type ah для отключения проверки device config -set ha_auth_type pass |
gateway | Посмотреть или задать значения шлюза. Смотрите gateway help для детальной информации. |
iface | Набор команд для просмотра и настройки параметров сетевого интерфейса. Смотрите iface help для детальной информации. |
license | Посмотреть информацию о лицензии. |
netcheck | Проверить доступность стороннего HTTP/HTTPS-сервера. netcheck [-t TIMEOUT] [-d] URL Опции: -t – максимальный таймаут ожидания ответа от веб-сервера -d – запросить содержание сайта. По умолчанию запрашиваются только заголовки. |
node | Набор команд для просмотра и настройки узлов кластера. Смотрите node help для детальной информации. |
nslookup | Выполнить определение IP-адреса по имени хоста. |
ping | Выполнить ping определенного хоста. |
proxy | Набор команд для просмотра и настройки параметров прокси-сервера. Позволяет настроить такие параметры, как добавление заголовков HTTP - via и forwarded, а также настройки таймаутов на подключение к сайтам и на загрузку контента:
Рекомендуется не изменять значения по умолчанию. Смотрите proxy help для детальной информации. |
radmin | Включить или отключить удаленный доступ к серверу для технической поддержки UserGate. |
radmin_e | Включить или отключить удаленный доступ к серверу для технической поддержки UserGate, в случаях, когда сервер UserGate завис. В случаях, когда произошла проблема с ядром UserGate, может пропасть возможность авторизации в CLI. Для активации удаленного помощника в таких случаях администратор может зайти в CLI под учетной записью корневого администратора, которая была создана при инициализации UserGate. Обычно это учетная запись Admin, хотя может быть и другой. Для входа необходимо указать имя в виде Admin@emergency, в качестве пароля - пароль корневого администратора. |
reboot | Перезагрузить сервер UserGate. |
route | Создать, изменить, удалить маршрут. |
shutdown | Выключить сервер UserGate. |
telemetry | Набор команд для просмотра и настройки режима работы телеметрии. Телеметрия позволяет отправлять разработчику анонимную статистику, такую как, популярность веб-сайтов, веб-сайты с неизвестной категорией, вирусные атаки, события СОВ, активность малваре. Данные телеметрии имеют вид обезличенных данных и не содержат персональную информацию. Отправка телеметрии активирована по умолчанию. telemetry show – показать текущий режим telemetry set -enabled true – активировать телеметрию telemetry set -enabled false – отключить отсылку телеметрической информации. |
traceroute | Выполнить трассировку соединения до определенного хоста. |
usersession | Команда для сброса авторизации указанного пользователя. usersession terminate -ipv4 IP_ADDRESS – сбрасывает авторизацию для указанного IP_ADDRESS. |
webaccess | Набор команд для просмотра режима авторизации веб-консоли. Позволяет вернуть режим По имени и паролю при невозможности авторизоваться с помощью сертификатов. |
zone | Набор команд для просмотра и настройки параметров зоны. Смотрите zone help для детальной информации. |
4.7. Системные утилиты¶
Системные утилиты доступны администратору во время загрузки сервера UserGate через меню загрузки (boot menu). Для получения доступа к этому меню необходимо подключить монитор к разъему VGA(HDMI), клавиатуру к разъему USB (при наличии соответствующих разъемов на устройстве) или используя специальный кабель для последовательного порта или переходник USB-Serial, подключить свой компьютер к UserGate. Запустить терминал, позволяющий подключение через последовательный порт, например, Putty для Windows. Установить подключение через последовательный порт, указав параметры подключения 115200 8n1.
Во время загрузки администратор может выбрать один из нескольких пунктов загрузки в boot-меню:
Наименование | Описание |
|---|---|
1. UserGate (serial console) | Загрузка UserGate с выводом диагностической информации о загрузке в последовательный порт. |
2. UserGate (verbouse mode) | Загрузка UserGate с выводом диагностической информации о загрузке в консоль tty1 (монитор). |
3. Support menu | Войти в раздел системных утилит с выводом информации в консоль tty1 (монитор). |
4. Support menu (serial console) | Войти в раздел системных утилит с выводом информации в последовательный порт. При подключении через последовательный порт загрузочное меню не отображается. Для выбора раздела Support menu необходимо во время загрузки нажимать клавишу “4“. Для выбора одного из пунктов меню в разделе Support menu необходимо нажать клавишу, соответствующую первой букве названия пункта меню, например, для выбора Restore backup, необходимо нажать клавишу “R”, затем клавишу “Ввод”. |
5. Memory test | Запуск проверки оперативной памяти устройства. |
Раздел системных утилит (Support menu) позволяет выполнить следующие действия:
Наименование | Описание |
|---|---|
Check filesystems | Запуск проверки файловой системы устройства на наличие ошибок и их автоматическое исправление. |
Clear logs | Очистка диагностических журналов для освобождения пространства на системном разделе. Журналы UserGate не очищаются (журналы веб-доступа, трафика, событий, СОВ и т.п.). |
Export logs | Выгрузка диагностических журналов на внешний USB носитель. Все данные на внешнем носителе будут удалены. |
Expand log partition | Увеличение раздела для журналов на весь выделенный диск. Эта операция обычно используется после увеличения дискового пространства, выделенного гипервизором для виртуальной машины UserGate. Данные и настройки UserGate не сбрасываются. |
Backup full | Создать полную копию диска UserGate на внешний USB носитель. Все данные на внешнем носителе будут удалены. |
Backup system only | Создать копию системного раздела UserGate, исключая журналы (журналы веб-доступа, трафика, событий, СОВ и т.п.) на внешний USB носитель. Все данные на внешнем носителе будут удалены. |
Restore from backup | Восстановление UserGate с внешнего USB носителя. |
Update from USB | Установка обновления ПО UserGate c внешнего USB носителя. Обновление должно быть скопировано в корень съемного диска, диск должен иметь формат NTFS или FAT32. |
Refresh NIC names | Упорядочивание имен сетевых портов в необходимом порядке. Упорядочивание производится в соответствии с номером порта на шине PCI. Эту операцию необходимо выполнять после добавления сетевых портов в настроенный аплаенс UserGate, например, после установки дополнительной сетевой карты в физический аплаенс или после добавления портов в виртуальный аплаенс. Данные и настройки UserGate не сбрасываются. |
Factory reset | Сброс состояния UserGate к первоначальному состоянию системы. Все данные и настройки будут утеряны. |
Exit | Выход и перезагрузка устройства. |
5. Настройка сети¶
В данном разделе описаны основные сетевые настройки UserGate.
5.1. Настройка зон¶
Зона в UserGate - это логическое объединение сетевых интерфейсов. Политики безопасности UserGate используют зоны интерфейсов, а не непосредственно интерфейсы. Это дает необходимую гибкость политикам безопасности, а также существенно упрощает управление отказоустойчивым кластером. Зоны одинаковы на всех узлах кластера, то есть данная настройка является глобальной для кластера.
Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например, зона LAN-интерфейсов, зона интернет-интерфейсов, зона интерфейсов, подключенных к сети партнера и т.п.
По умолчанию UserGate поставляется со следующими зонами:
Наименование | Описание |
|---|---|
Management | Зона для подключения доверенных сетей, из которых разрешено управление UserGate |
Trusted | Зона для подключения доверенных сетей, например, LAN-сетей |
Untrusted | Зона для интерфейсов, подключенных к недоверенным сетям, например, к интернету |
DMZ | Зона для интерфейсов, подключенных к сети DMZ |
Cluster | Зона для интерфейсов, используемых для работы кластера |
VPN for Site-to-Site | Зона, в которую помещаются все клиенты типа Офис-Офис, подключаемые к UserGate по VPN |
VPN for remote access | Зона, в которую помещаются все мобильные пользователи, подключаемые к UserGate по VPN |
Администраторы UserGate могут изменять настройки зон, созданных по умолчанию, а также создавать дополнительные зоны.
Примечание
Можно создать не более 255 зон.
Для создания зоны необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать зону | Нажать на кнопку Добавить и дать название зоне |
Шаг 2. Настроить параметры защиты зоны от DoS (опционально) | Указать параметры защиты зоны от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
Рекомендованные значения для порога уведомления - 300 запросов в секунду, для порога отбрасывания пакетов - 600 запросов в секунду. Рекомендуется включать защиту от флуда на всех интерфейсах, за исключением интерфейсов зоны Cluster. Необходимо увеличить пороговое значение отбрасывания пакетов для протокола UDP, если через интерфейсы зоны проходит трафик таких сервисов, как IP-телефония или L2TP VPN. Исключения защиты от DoS - позволяет указать список IP-адресов серверов, которые необходимо исключить из защиты. Это может быть полезно, например, для сервиса IP-телефонии, так как он шлет большое количество UDP-пакетов. Важно! UserGate позволят произвести более гранулированную защиту от DoS атак. Для получения дополнительной информации обратитесь в раздел Защита от DoS атак. |
Шаг 3. Настроить параметры контроля доступа зоны (опционально) | Указать предоставляемые UserGate сервисы, которые будут доступны клиентам, подключенным к данной зоне. Для зон, подключенных к неконтролируемым сетям, таким, как интернет, рекомендуется отключить все сервисы. Сервисы:
|
Шаг 4. Настроить параметры защиты от IP-спуфинг атак (опционально) | Атаки на основе IP-спуфинга позволяют передать пакет из внешней сети, например, из Untrusted, во внутреннюю, например, в Trusted. Для этого атакующий подменяет IP-адрес источника на предполагаемый адрес внутренней сети. В таком случае ответы на этот пакет будут пересылаться на внутренний адрес. Для защиты от подобных атак администратор может указать диапазоны IP-адресов, адреса источников которых допустимы в выбранной зоне. Сетевые пакеты с адресами источников отличных от указанных будут отброшены. С помощью галочки Инвертировать администратор может указать адреса источников, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными диапазонами IP-адресов источников. Например, для зоны Untrusted можно указать диапазоны "серых" IP-адресов 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0./16 и включить опцию Инвертировать. |
5.2. Настройка интерфейсов¶
Раздел Интерфейсы отображает все физические и виртуальные интерфейсы, имеющиеся в системе, позволяет менять их настройки и добавлять VLAN-интерфейсы. Раздел отображает все интерфейсы каждого узла кластера. Настройки интерфейсов специфичны для каждого из узлов, то есть не глобальны.
Кнопка Редактировать позволяет изменять параметры сетевого интерфейса:
Включить или отключить интерфейс.
Указать тип интерфейса - Layer 3 или Mirror. Интерфейсу, работающему в режиме Layer 3, можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса. Интерфейс, работающий в режиме Mirror, может получать трафик со SPAN-порта сетевого оборудования для его анализа.
Назначить зону интерфейсу.
Назначить профиль Netflow для отправки статистических данных на Netflow коллектор.
Изменить физические параметры интерфейса - MAC-адрес и размер MTU.
Выбрать тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.
Настроить работу DHCP-релея на выбранном интерфейсе. Для этого необходимо включить DHCP-релей, указать в поле Адрес UserGate IP-адрес интерфейса, на котором добавляется функция релея, и указать один или несколько серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов.
Кнопка Добавить позволяет добавить следующие типы логических интерфейсов:
VLAN.
Бонд.
Мост.
PPPoE.
VPN.
Tunnel.
5.2.1. Создание интерфейса VLAN¶
С помощью кнопки Добавить VLAN администратор может создавать сабинтерфейсы. При создании VLAN необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает VLAN |
Название | Название VLAN. Название присваивается автоматически на основе имени физического порта и тега VLAN. |
Описание | Опциональное описание интерфейса. |
Тип интерфейса | Указать тип интерфейса - Layer 3 или Mirror. Интерфейсу, работающему в режиме Layer 3, можно назначить IP-адрес и использовать его в правилах межсетевого экрана, контентной фильтрации и других правилах, это стандартный режим работы интерфейса. Интерфейс, работающий в режиме Mirror, может получать трафик со SPAN-порта сетевого оборудования для его анализа. |
Тег VLAN | Номер сабинтерфейса. Допускается создание до 4094 интерфейсов. |
Имя узла | Имя узла в кластере, на котором создается данный VLAN. |
Интерфейс | Физический интерфейсов, на котором создается VLAN. |
Зона | Зона, к которой принадлежит VLAN. |
Профиль Netflow | Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow. |
Сеть | Способ присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP |
DHCP-релей | Настройка работы DHCP-релея на бонд-интерфейсе. Необходимо включить DHCP-релей, указать в поле Адрес UserGate IP-адрес интерфейса, на котором добавляется функция релея, и указать один или несколько серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов |
5.2.2. Объединение интерфейсов в бонд¶
С помощью кнопки Добавить бонд-интерфейс администратор может объединить несколько физических интерфейсов в один логический агрегированный интерфейс для повышения пропускной способности или для отказоустойчивости канала. При создании бонда необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает бонд |
Название | Название бонда |
Имя узла | Узел кластера UserGate, на котором будет создан бонд |
Зона | Зона, к которой принадлежит бонд |
Профиль Netflow | Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow. |
Интерфейсы | Один или более интерфейсов, которые будут использованы для построения бонда |
Режим | Режим работы бонда должен совпадать с режимом работы на том устройстве, куда подключается бонд. Может быть:
|
MII monitoring period (мсек) | Устанавливает периодичность MII-мониторинга в миллисекундах. Определяет, как часто будет проверяться состояние линии на наличие отказов. Значение по умолчанию - 0 - отключает MII-мониторинг |
Down delay (мсек) | Определяет время (в миллисекундах) задержки перед отключением интерфейса, если произошел сбой соединения. Эта опция действительна только для мониторинга MII (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0 |
Up delay (мсек) | Задает время задержки в миллисекундах, перед тем как поднять канал при обнаружении его восстановления. Этот параметр возможен только при MII-мониторинге (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0 |
LACP rate | Определяет, с каким интервалом будут передаваться партнером LACPDU-пакеты в режиме 802.3ad. Возможные значения:
|
Failover MAC | Определяет, как будут прописываться MAC-адреса на объединенных интерфейсах в режиме active-backup при переключении интерфейсов. Обычным поведением является одинаковый MAC-адрес на всех интерфейсах. Возможные значения:
|
Xmit hash policy | Определяет хэш-политику передачи пакетов через объединенные интерфейсы в режиме XOR или IEEE 802.3ad. Возможные значения:
|
Сеть | Способ присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP |
DHCP-релей | Настройка работы DHCP-релея на бонд-интерфейсе. Необходимо включить DHCP-релей, указать в поле Адрес UserGate IP-адрес интерфейса, на котором добавляется функция релея, и указать один или несколько серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов |
5.2.3. Создание моста (bridge)¶
Сетевой мост работает на канальном уровне сетевой модели OSI (L2), при получении из сети кадра сверяет MAC-адрес последнего и, если он не принадлежит данной подсети, передает (транслирует) кадр дальше в тот сегмент, которому предназначался данный кадр; если кадр принадлежит данной подсети, мост ничего не делает.
Интерфейс мост можно использовать в UserGate аналогично обычному интерфейсу. Кроме этого, через мост можно настроить фильтрацию передаваемого контента уровне L2 без внесения изменений в сетевую инфраструктуру компании. Простейшая схема использования UserGate в качестве решения, обеспечивающего контентную фильтрацию на уровне L2, выглядит следующим образом:
Рисунок 4 Использование моста
При создании моста можно указать режим его работы - Layer 2 или Layer 3.
При выборе режима Layer 2 создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В данном режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой. В этом случае невозможно использовать правила Контентной фильтрации и Mail security.
При выборе режима Layer 3 создаваемому мосту необходимо назначить IP-адрес и указать маршруты в сети, подключенные к интерфейсам моста. В данном режиме могут быть использованы все механизмы фильтрации, доступные в UserGate.
Если мост создается в ПАК UserGate, в котором используется сетевая карта, поддерживающая режим байпас, то можно объединить 2 интерфейса в байпас-мост. Байпас-мост автоматически переключает два выбранных интерфейса в режим байпас (закорачивает их, пропуская весь трафик мимо UserGate) в случаях если:
Электропитание ПАК UserGate отключено
Система внутренней диагностики обнаружила проблему в работе ПО UserGate.
Более подробно о сетевых интерфейсах, поддерживающих режим байпас смотрите в спецификации на оборудование ПАК UserGate.
С помощью кнопки Добавить мост администратор может объединить несколько физических интерфейсов в новый тип интерфейса - мост. Необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает интерфейс мост |
Название | Название интерфейса |
Имя узла | Узел кластера UserGate, на котором создать интерфейс мост |
Тип интерфейса | Указать тип интерфейса - Layer 3 или Layer 2. |
Зона | Зона, к которой принадлежит интерфейс мост |
Профиль Netflow | Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow. |
Интерфейсы моста | Два интерфейса, которые будут использованы для построения моста |
Интерфейсы байпас моста | Пара интерфейсов, которые можно использовать для построения байпас моста. Требуется поддержка оборудования ПАК UserGate. |
STP (Spanning Tree Protocol) | Включает использование STP для защиты сети от петель |
Forward delay | Задержка перед переключением моста в активный режим (Forwarding), в случае, если включен STP |
Maximum age | Время, по истечении которого STP-соединение считается потерянным |
Сеть | Способ присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP |
DHCP-релей | Настройка работы DHCP-релея на бонд-интерфейсе. Необходимо включить DHCP-релей, указать в поле Адрес UserGate IP-адрес интерфейса, на котором добавляется функция релея, и указать один или несколько серверов DHCP, куда необходимо пересылать DHCP-запросы клиентов |
5.2.4. Интерфейс PPPOE¶
PPPoE (Point-to-point protocol over Ethernet) — сетевой протокол канального уровня передачи кадров PPP через Ethernet. С помощью кнопки Добавить Интерфейс PPPoE администратор может создать PPPoE интерфейс. При создании необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает интерфейс PPPoE. |
Имя узла | Узел кластера UserGate, на котором создать интерфейс PPPoE. |
Интерфейс | Указать интерфейс, на котором будет создаваться интерфейс PPPoE. |
Зона | Зона, к которой принадлежит интерфейс PPPoE. |
Профиль Netflow | Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow. |
MTU | Размер MTU. По умолчанию установлено значение 1492 байт, подходящее для стандартного размера кадра Ethernet. |
Логин | Имя пользователя для соединения PPPoE. |
Пароль | Пароль пользователя для соединения PPPoE. |
Переподключаться автоматически | Включает переподключение соединения при обрыве связи. |
Интервал между попытками подключения (сек.) | Интервал времени в секундах после разрыва соединения перед повторным запуском. |
Маршрут по умолчанию | Устанавливает интерфейс PPPoE в качестве маршрута по умолчанию. |
Интервал проверки соединения (сек.) | Интервал проверки соединения |
Количество неуспешных проверок | Количество неуспешных проверок соединения, после которого UserGate считает, что соединение отсутствует и разрывает его. |
Использовать DNS-сервер провайдера | Если опция включена, то UserGate использует DNS-сервера, выданные провайдером. |
Количество попыток подключения | Количество неуспешных попыток подключения, после которых попытки автосоединения будут прекращены. |
5.2.5. Интерфейс VPN¶
VPN-интерфейс – это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений.
В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:
Наименование | Описание |
|---|---|
Название | Название интерфейса, должно быть в виде tunnelN, где N – это порядковый номер VPN-интерфейса. |
Описание | Описание интерфейса. |
Зона | Зона, к которой будет относится данный интерфейс. Все клиенты, подключившиеся по VPN к серверу UserGate будут так же помещены в эту зону. |
Профиль Netflow | Профиль Netflow, используемый для данного интерфейса. Не обязательный параметр. |
Профиль Netflow | Профиль Netflow для отправки статистических данных на Netflow коллектор. О профилях Netflow можно прочитать в главе Профили Netflow. |
Режим | Тип присвоения IP-адреса - без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Если интерфейс предполагается использовать для приема VPN-подключений (Site-2-Site VPN или Remote access VPN, то необходимо использовать статический IP-адрес. Для использования интерфейса, используемого в роли клиента, необходимо выбрать Динамический режим. |
MTU | Размер MTU для выбранного интерфейса. |
По умолчанию в системе уже созданы 3 VPN-интерфейса:
tunnel1, который рекомендовано использовать для Remote access VPN.
tunne2, который рекомендовано использовать для серверной части Site-to-Site VPN.
tunnel3, который рекомендовано использовать для клиентской части Site-to-Site VPN.
5.2.6. Интерфейс туннель¶
Интерфейс туннель – это виртуальный сетевой адаптер, который может использоваться для создания соединения точка-точка через IP-сеть. Поддерживаются следующие типы туннельных интерфейсов:
GRE - протокол туннелирования сетевых пакетов, разработанный компанией Cisco Systems. Его основное назначение — инкапсуляция пакетов сетевого уровня в IP-пакеты. Номер протокола в IP - 47.
IPIP - это протокол IP-туннелирования, который инкапсулирует один IP-пакет в другой IP-пакет. Инкапсуляция одного IP пакета в другой IP пакет, это добавление внешнего заголовка с Source IP - точкой входа в туннель, и Destination - точкой выхода из туннеля.
VXLAN - это протокол туннелирования Layer 2 Ethernet кадров в UDP-пакеты, порт 4789.
Для создания туннельного интерфейса в разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить туннель. Задайте следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включение или выключение данного интерфейса. |
Название | Название интерфейса, должно быть в виде greN, где N – это порядковый номер туннельного интерфейса. |
Описание | Описание интерфейса. |
Зона | Зона, к которой будет относится данный интерфейс. |
Режим | Режим работы туннеля - GRE, IPIP, VXLAN. |
MTU | Размер MTU для выбранного интерфейса. |
Локальный IP | Локальный адрес point-to-point интерфейса. |
Удаленный IP | Удаленный адрес point-to-point интерфейса. |
IP интерфейса | IP-адрес, назначенный туннельному интерфейсу. |
VXLAN ID | Идентификатор VXLAN. Только для типа туннеля VXLAN. |
5.2.7. Настройка Netflow¶
Netflow - сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems, поддерживаемый в настоящее время многими вендорами. Для сбора информации о трафике по протоколу Netflow требуются следующие компоненты:
Сенсор - собирает статистику по проходящему через него трафику и передает ее на коллектор.
Коллектор - получает от сенсора данные и помещает их в хранилище.
Анализатор - анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков).
Сервер UserGate может выступать в качестве сенсора. Для сбора и отправки статистики о трафике, проходящем через определенный сетевой интерфейс UserGate, необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать профиль Netflow | В разделе Библиотеки --> Профили Netflow нажать на кнопку Добавить и создать профиль Netflow. Подробнее о профиле Netflow смотрите раздел Настройка Netflow. |
Шаг 2. Назначить созданный профиль Netflow сетевому интерфейсу, на котором необходимо собирать статистику | В разделе Сеть --> Интерфейсы в настройках конкретного сетевого интерфейса указать созданный профиль Netflow. |
5.3. Настройка шлюзов¶
Для подключения UserGate к интернету необходимо указать IP-адрес одного или нескольких шлюзов. Шлюз настраивается для каждого из виртуальных маршрутизаторов, из которого должен быть выход в интернет. Более подробно об использовании виртуальных маршрутизаторов смотрите в разделе руководства Виртуальные маршрутизаторы.
Примечание
Настройка шлюза уникальна для каждого из узлов кластера.
Если для подключения к интернету используется несколько провайдеров, то необходимо указать несколько шлюзов. Пример настройки сети с двумя провайдерами:
Интерфейс port1 с IP-адресом 192.168.11.2 подключен к интернет-провайдеру 1. Для выхода в интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.11.1
Интерфейс port2 с IP-адресом 192.168.12.2 подключен к интернет-провайдеру 2. Для выхода в интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.12.1
При наличии двух или более шлюзов возможны 2 варианта работы:
Наименование | Описание |
|---|---|
Балансировка трафика между шлюзами | Установить флажок Балансировка и указать Вес каждого шлюза. В этом случае весь трафик в интернет будет распределен между шлюзами в соответствии с указанными весами (чем больше вес, тем большая доля трафика идет через шлюз) |
Основной шлюз с переключением на запасной | Выбрать один из шлюзов в качестве основного и настроить Проверку сети, нажав на одноименную кнопку в интерфейсе. Проверка сети проверяет доступность хоста в интернет с указанной в настройках периодичностью, и в случае, если хост перестает быть доступен, переводит весь трафик на запасные шлюзы в порядке их расположения в консоли. По умолчанию проверка доступности сети настроена на работу с публичным DNS-сервером Google (8.8.8.8), но может быть изменена на любой другой хост по желанию администратора. |
Состояние шлюза (доступен - зеленый, не доступен - красный) определяется следующим образом:
Наименование | Описание |
|---|---|
Проверка сети отключена | Шлюз считается доступным, если UserGate может получить его MAC-адрес с помощью ARP-запроса. Проверка наличия доступа в интернет через этот шлюз не производится. Если MAC-адрес шлюза не может быть определен, шлюз считается недоступным. |
Проверка сети включена | Шлюз считается доступным, если:
В противном случае шлюз считается недоступным. |
5.4. Настройка DHCP¶
Служба DHCP (Dynamic Host Configuration Protocol) позволяет автоматизировать процесс выдачи сетевых настроек клиентам в локальной сети. В сети с DHCP-сервером каждому сетевому устройству можно динамически назначать IP-адрес, адрес шлюза, DNS.
UserGate может также выступать в качестве DHCP-релея, обеспечивая передачу DHCP-запросов от клиентов, находящихся в различных сетях, на центральный DHCP-сервер. Более подробно о настройке DHCP-релея можно посмотреть в разделе Настройка интерфейсов.
В UserGate можно создать несколько диапазонов адресов для выдачи по DHCP. DHCP работает на каждом узле отказоустойчивого кластера независимо. Для обеспечения отказоустойчивости сервиса DHCP в кластере необходимо настроить DHCP на обоих узлах, указав непересекающиеся диапазоны IP-адресов.
Для создания диапазона DHCP необходимо нажать на кнопку Добавить и указать следующие параметры:
Наименование | Описание |
|---|---|
Включен | Включает или отключает использование данного диапазона DHCP |
Узел | Узел кластера, на котором создается данный диапазон |
Интерфейс | Интерфейс сервера, на котором будут раздаваться IP-адреса из создаваемого диапазона |
Диапазон IP | Диапазон IP-адресов, выдаваемый клиентам DHCP |
Маска | Маска подсети, выдаваемая клиентам DHCP |
Время аренды | Время в секундах, на которое выдаются IP-адреса |
Домен | Название домена, выдаваемое клиентам DHCP |
Шлюз | IP-адрес шлюза, выдаваемый клиентам DHCP |
Серверы имен | IP-адрес DNS-серверов, выдаваемых клиентам DHCP. |
Зарезервированные адреса | MAC-адреса и сопоставленные с ними IP-адреса |
Игнорируемые MAC | Список MAC-адресов, игнорируемых DHCP-сервером |
DHCP PXE boot | Адрес сервера и имя загрузочного файла, передаваемого на запрос PXE boot |
DHCP опции | Номер опции и ее значение. |
Выданные IP-адреса отображаются в панели Арендованные адреса. Администратор может освободить любой выданный адрес, выделив адрес и нажав на кнопку Освободить.
5.5. Настройка DNS¶
Данный раздел содержит настройки сервисов DNS и DNS-прокси.
Для корректной работы продукта необходимо, чтобы UserGate мог разрешать доменные имена в IP-адреса. Укажите корректные IP-адреса серверов DNS в настройке Системные DNS-серверы.
Сервис DNS-прокси позволяет перехватывать DNS-запросы от пользователей и изменять их в зависимости от нужд администратора.
Настройки DNS-прокси:
Наименование | Описание |
|---|---|
Кэширование DNS | Включает или отключает кэширование ответов DNS. Рекомендуется оставить включенным для ускорения обслуживания клиентов |
DNS-фильтрация | Включает или отключает фильтрацию DNS-запросов. Для работы фильтрации необходимо приобрести лицензию на модуль ATP |
Рекурсивные DNS-запросы | Разрешает или запрещает серверу осуществлять рекурсивные DNS-запросы. Рекомендуется оставить эту опцию включенной |
Максимальный TTL для DNS-записей | Устанавливает максимально возможное время жизни для записей DNS |
Лимит количества DNS-запросов в секунду на пользователя | Устанавливает ограничение на количество DNS-запросов в секунду для каждого пользователя. Запросы, превышающие данный параметр, будут отброшены. Значение по умолчанию - 100 запросов в секунду. Не рекомендуется ставить большие значения для данного параметра, поскольку DNS-флуд (DNS DoS attacks) является довольно частой причиной отказа обслуживания DNS-серверов |
Только A и AAAA DNS-записи для не идентифицированных пользователей (защита от VPN поверх DNS) | Если защита включена, то UserGate отвечает только на запросы на записи A и AAAA от неизвестных пользователей. Это позволяет эффективно блокировать попытки организации VPN поверх протокола DNS |
С помощью правил DNS-прокси можно указать серверы DNS, на которые пересылаются запросы на определенные домены. Данная опция может быть полезна в случае, если внутри компании используется локальный домен, не имеющий связи с интернетом и использующийся для внутренних нужд компании, например, домен Active Directory.
Чтобы создать правило DNS-прокси, необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Добавить правило | Нажать на кнопку Добавить, задать Название и Описание (опционально) |
Шаг 2. Указать список доменов | Задать список доменов, которые необходимо перенаправлять, например, localdomain.local. Допускается использование ‘*’ для указания шаблона доменов |
Шаг 3. Указать DNS-серверы | Задать список IP-адресов DNS-серверов, куда необходимо пересылать запросы на указанные домены |
Кроме этого, с помощью DNS-прокси можно задавать статические записи типа host (A-запись). Чтобы создать статическую запись, необходимо выполнить:
Наименование | Описание |
|---|---|
Шаг 1. Добавить запись | Нажать на кнопку Добавить, задать Название и Описание (опционально) |
Шаг 2. Указать FQDN | Задать Fully Qualified Domain Name (FQDN) статической записи, например, www.example.com |
Шаг 3. Указать IP-адреса | Задать список IP-адресов, которые сервер UserGate будет возвращать при запросе данного FQDN |
5.6. Виртуальные маршрутизаторы¶
В крупных сетях зачастую множество логических сетей используют для прохождения трафика одни и те же сетевые устройства. Данный трафик должен быть разделен на сетевых устройствах, в первую очередь для уменьшения риска несанкционированного доступа между сетями.
Виртуальные маршрутизаторы (роутеры) обеспечивают разделение трафика путем разделения сетевых интерфейсов в независимые группы. Трафик из одной группы интерфейсов не может попасть в другие группы интерфейсов.
Каждый виртуальный маршрутизатор имеет свою собственную таблицу маршрутизации. Таблица маршрутизации виртуального роутера может содержать запись о маршрутах заданных статически или полученных с помощью протоколов динамической маршрутизации - BGP, OSPF, RIP.
В рамках разных виртуальных маршрутизаторов допускается использовать одинаковые IP-сети (IP overlapping).
Интерфейсы не вошедшие ни в один из виртуальных маршрутизаторов автоматически назначены в виртуальный маршрутизатор - Виртуальный роутер по умолчанию.
Виртуальные маршрутизаторы имеют следующие ограничения:
Следующие сервисы могут быть использованы только в Виртуальном роутере по умолчанию:
WCCP
ICAP
DNS
Авторизация
Любой сетевой трафик, генерируемый самим устройством - проверка лицензии, скачивание обновлений, отправка журналов, отправка почтовых сообщений, SMS сообщений, SNMP трапов и т.п.
Проверка доступности сети (connectivity checker) работает только для Виртуального роутера по умолчанию.
Действие правил NAT, DNAT, Port forwarding распространяются на все виртуальные маршрутизаторы.
Зоны глобальны, то есть настройки зоны, и принадлежность интерфейсов к зонам распространяются на все виртуальные маршрутизаторы.
Примечание
Виртуальный маршрутизатор по умолчанию необходим для корректной работы UserGate. Он используется для проверки лицензии, получения обновлений, работы DNS-служб.
Для добавления виртуального маршрутизатора необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать виртуальный маршрутизатор | В разделе Сеть--Виртуальные маршрутизаторы нажмите добавить и задайте имя и описание нового виртуального маршрутизатора. Укажите имя узла, на котором создается данный виртуальный маршрутизатор при наличии кластера. |
Шаг 2. Добавить интерфейсы в созданный виртуальный маршрутизатор | В закладке Интерфейсы укажите интерфейсы, которые должны быть помещены в данный виртуальный маршрутизатор. Интерфейсы, добавленные в другие виртуальные маршрутизаторы добавлены быть не могут, любой из интерфейсов может принадлежать только одному виртуальному маршрутизатору. В виртуальный маршрутизатор разрешается добавлять интерфейсы всех типов - физические, виртуальные (VLAN), бондинг, VPN и другие. |
Шаг 3. Добавить статические маршруты (опционально) | Добавьте маршруты, которые будут применены к трафику в данном виртуальном маршрутизаторе. Как правило необходимо добавить маршрут по умолчанию - маршрут в сеть 0.0.0.0/0. Более подробно смотрите раздел руководства Статические маршруты. |
Шаг 4. Добавить динамические маршруты, получаемые с помощью протокола маршрутизации OSPF (опционально) | Настройте протокол OSPF для построения динамической карты маршрутов. Более подробно смотрите раздел руководства OSPF. |
Шаг 5. Добавить динамические маршруты, получаемые с помощью протокола маршрутизации BGP (опционально) | Настройте протокол BGP для построения динамической карты маршрутов. Более подробно смотрите раздел руководства BGP. |
Шаг 6. Добавить динамические маршруты, получаемые с помощью протокола маршрутизации RIP (опционально) | Настройте протокол RIP для построения динамической карты маршрутов. Более подробно смотрите раздел руководства RIP. |
Шаг 8. Настроить мультикастинг (опционально) | Настройте параметры мультикастинга в данном виртуальном маршрутизаторе. Более подробно смотрите раздел руководства Мультикастинг. |
5.6.1. Статические маршруты¶
Данный раздел позволяет указать маршрут в сеть, доступную за определенным маршрутизатором. Например, в локальной сети может быть маршрутизатор, который объединяет несколько IP-подсетей. Маршрут применяется локально к тому узлу кластера и в тот виртуальный маршрутизатор, в котором он создается.
Для добавления маршрута необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Выбрать виртуальный маршрутизатор | При наличии нескольких виртуальных маршрутизаторов выберите необходимый. |
Шаг 2. Задать название и описание данного маршрута | В разделе Сеть--Виртуальные маршрутизаторы выберите в меню Статические маршруты, нажмите кнопку Добавить. Укажите имя для данного маршрута. Опционально можно задать описание маршрута. |
Шаг 3. Указать тип данного маршрута | Возожно указать следующие типы маршрутов:
|
Шаг 4. Указать адрес назначения | Задайте подсеть, куда будет указывать маршрут, например, 172.16.20.0/24 или 172 .16.20.5/32. |
Шаг 5. Указать шлюз | Задайте IP-адрес шлюза, через который указанная подсеть будет доступна. Этот IP-адрес должен быть доступен с сервера UserGate. |
Шаг 6. Указать интерфейс | Выберите интерфейс, через который будет добавлен маршрут. Если оставить значение Автоматически, то UserGate сам определит интерфейс, исходя из настроек IP-адресации сетевых интерфейсов. |
Шаг 7. Указать метрику | Задайте метрику маршрута. Чем меньше метрика, тем приоритетней маршрут, если маршрутов несколько в данную сеть несколько. |
5.6.2. Протоколы динамической маршрутизации¶
Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. UserGate обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов.
Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно так же просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации: вместо добавления маршрутов вручную они добавляются и удаляются динамически.
Примечание
Если в системе настроены статические шлюзы, то маршруты по умолчанию, полученные от протоколов динамической маршрутизации игнорируются.
UserGate поддерживает работу трех протоколов маршрутизации - OSPF, BGP, RIP.
5.6.3. OSPF¶
Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. UserGate обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов. Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно так же просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации - вместо добавления маршрутов вручную они добавляются и удаляются динамически. Маршруты добавляются только в тот виртуальный маршрутизатор, в котором настроен протокол OSPF.
OSPF (Open Shortest Path First) - протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state) и использующий для нахождения кратчайшего пути алгоритм Дейкстры.
Протокол OSPF распространяет информацию о доступных маршрутах между маршрутизаторами одной автономной системы (АС). Подробно о работе протокола OSPF читайте в соответствующей технической документации.
Примечание
При работе протокола OSPF в кластере отказоустойчивости в режиме Active-Passive, узел, который обладает ролью Slave, автоматически назначает стоимость для всех своих интерфейсов и для списков редистрибуции в 2 раза выше, чем стоимость установленная на Master-узле. Тем самым обеспечивается приоритет Master-узла в маршрутизации трафика.
Для настройки OSPF в UserGate необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Выбрать виртуальный маршрутизатор | При наличии нескольких виртуальных маршрутизаторов выберите необходимый. |
Шаг 2. Включить OSPF-роутер | В консоли UserGate в В разделе Сеть--Виртуальные маршрутизаторы выберите в меню OSPF и настройте OSPF-роутер. |
При настройке OSPF-роутера необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или выключает использование данного OSPF-роутера. |
Идентификатор роутера | IP-адрес роутера. Должен совпадать с одним из IP-адресов, назначенным сетевым интерфейсам UserGate, относящимся к данному виртуальному маршрутизатору. |
Redistribute | Распространять другим OSPF-роутерам маршруты в непосредственно подключенные к UserGate сети (connected) или маршруты, добавленные администратором в разделе Маршруты (kernel). |
Метрика | Установить метрику распространяемым маршрутам. |
Default originate | Оповещать другие роутеры о том, что данный роутер имеет маршрут по умолчанию. |
При настройке интерфейсов OSPF укажите следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает использование данного интерфейса. |
Интерфейс | Выбор одного из существующих в системе интерфейсов, на котором будет работать OSPF. Для выбора доступны только интерфейсы, входящие в данный виртуальный маршрутизатор. |
Стоимость | Стоимость канала данного интерфейса. Данное значение передается в LSA (объявления о состоянии канала, link-state advertisement) соседним маршрутизаторам и используется ими для вычисления кратчайшего маршрута. Значение по умолчанию 1. |
Приоритет | Целое число от 0 до 255. Чем больше значение, тем выше шанс у маршрутизатора стать назначенным маршрутизатором (designated router) в сети для рассылки LSA. Значение 0 делает назначение для данного маршрутизатора невозможным. Значение по умолчанию 1 . |
Интервал hello | Время в секундах, через которое маршрутизатор посылает hello-пакеты. Это время должно быть одинаковым на всех маршрутизаторах в автономной системе. Значение по умолчанию 10 секунд. |
Интервал dead | Интервал времени в секундах, по истечении которого соседний маршрутизатор считается неработающим. Время исчисляется от момента приема последнего пакета hello от соседнего маршрутизатора. Значение по умолчанию 40 секунд. |
Интервал повторения | Устанавливает временный интервал перед повторной отсылкой пакета LSA. Значение по умолчанию 5 секунд. |
Задержка передачи | Устанавливает примерное время, требуемое для доставки соседним маршрутизаторам обновления состояния каналов (link state). Значение по умолчанию 1 секунда. |
Аутентификация Вкл | Включает требование аутентификации каждого принимаемого роутером OSPF-сообщения. Аутентификация обычно используется для предотвращения инъекции фальшивого маршрута от нелегитимных маршрутизаторов. |
Тип авторизации | Может быть:
|
При настройке области OSPF укажите следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает использование данной области. |
Имя | Имя для данной области.. |
Стоимость | Стоимость LSA, анонсируемых в stub-области |
Идентификатор области | Идентификатор зоны (area ID). Идентификатор может быть указан в десятичном формате или в формате записи IP-адреса. Однако идентификаторы зон не являются IP-адресами и могут совпадать с любым назначенным IP-адресом. |
Тип авторизации | Может быть:
Идентификация на уровне интерфейсов имеет приоритет над авторизацией на уровне зоны. |
Тип области | Определяет тип области. Поддерживаются следующие типы областей:
|
Не суммировать | Запрещает инжекцию суммированных маршрутов в тупиковые типы областей. |
Интерфейсы | Выбор интерфейсов OSPF, на которых будет доступна данная зона. |
Виртуальные ссылки | Специальное соединение, которое позволяет соединять, например, разорванную на части зону или присоединить зону к магистральной через другую зону. Настраивается между двумя ABR. Позволяет маршрутизаторам передать пакеты OSPF через виртуальные ссылки, инкапсулируя их в IP-пакеты. Этот механизм используется как временное решение или как backup на случай выхода из строя основных соединений. Можно указать идентификаторы маршрутизаторов, которые доступны через данную зону. |
5.6.4. BGP¶
Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. UserGate обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов. Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно так же просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации: вместо добавления маршрутов вручную они добавляются и удаляются динамически. Маршруты добавляются только в тот виртуальный маршрутизатор, в котором настроен протокол BGP.
BGP (Border Gateway Protocol) - динамический протокол маршрутизации, относится к классу протоколов маршрутизации внешнего шлюза (англ. EGP - External Gateway Protocol). На текущий момент является основным протоколом динамической маршрутизации в интернете. Протокол BGP предназначен для обмена информацией о достижимости подсетей между автономными системами (АС), то есть группами маршрутизаторов под единым техническим и административным управлением, использующими протоколы внутридоменной маршрутизации для определения маршрутов внутри себя и протокол междоменной маршрутизации для определения маршрутов доставки пакетов в другие АС. Передаваемая информация включает в себя список АС, к которым имеется доступ через данную систему. Выбор наилучших маршрутов осуществляет исходя из правил, принятых в сети. Подробно о работе протокола BGP читайте в соответствующей технической документации.
Для настройки BGP в UserGate необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Выбрать виртуальный маршрутизатор | При наличии нескольких виртуальных маршрутизаторов выберите необходимый. |
Шаг 2. Включить BGP-роутер | В консоли UserGate в В разделе Сеть--Виртуальные маршрутизаторы выберите в меню BGP и настройте BGP-роутер. |
Шаг 3. Добавить хотя бы одного BGP-соседа (пира) | В разделе BGP-соседи нажать на кнопку Добавить и настроить параметры маршрутизатора, относящегося к соседней АС. Добавить столько соседей, сколько необходимо. |
Шаг 4. Опционально. Задать фильтры и Routemap для ограничения количества получаемых маршрутов | В разделе Фильтры нажать на кнопку Добавить и настроить параметры Routemap/фильтров. Добавить столько Routemap/фильтров, сколько необходимо для работы BGP в вашей организации. |
При настройке BGP-роутера необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает использование данного BGP-роутера. |
Идентификатор роутера | IP-адрес роутера. Должен совпадать с одним из IP-адресов, назначенным сетевым интерфейсам UserGate, относящимся к данному виртуальному маршрутизатору. |
Номер автономной системы (АС) | Автономная система - это система IP-сетей и маршрутизаторов, управляемых одним или несколькими операторами, имеющими единую политику маршрутизации. Номер автономной системы задает принадлежность роутера к этой системе. |
Redistribute | Позволяет распространять другим BGP-маршрутизаторам маршруты в непосредственно подключенные к UserGate-сети (connected), маршруты, добавленные администратором в разделе Маршруты (kernel) или маршруты, полученные по протоколу OSPF. |
Multiple path | Включает балансировку трафика на маршруты с одинаковой стоимостью. |
Сети | Список сетей, относящихся к данной АС. |
Для добавления BGP-соседей нажмите кнопку Добавить и укажите следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает использование данного соседа. |
Интерфейс | Один из существующих в системе интерфейсов, с которого должен быть доступен данный сосед. |
Host | IP-адрес соседа. |
Описание | Произвольное описание соседа. |
Удаленная ASN | Номер автономной системы, к которой относится сосед. |
Вес | Вес данных маршрутов, получаемых от данного соседа. |
TTL | Максимальное количество хопов, разрешенное до этого соседа. |
Анонсировать себя в качестве следующего перехода (next-hop-self) для BGP | Заменять значение next-hop-self на собственный IP-адрес, если сосед является BGP. |
Multihop для eBPGP | Указывает, что до этого соседа непрямое соединение (более одного хопа). |
Route reflector client | Указывает, является ли этот сосед клиентом Route reflector. |
Soft reconfiguration | Использовать soft reconfiguration (без разрыва соединений) для обновления конфигурации. |
Default originate | Анонсировать этому соседу маршрут по умолчанию. |
Аутентификация | Включает аутентификацию для данного соседа и задает пароль для аутентификации. |
Фильтры BGP-соседей | Ограничивает информацию о маршрутах, получаемых от соседей или анонсируемых к ним. |
Routemaps | Routemaps используются для управления таблицами маршрутов и указания условий, при выполнении которых маршруты передаются между доменами. |
Routemap позволяет фильтровать маршруты при перераспределении и изменять различные атрибуты маршрутов. Для создания routemap необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Название | Имя для данного routemap. |
Действие | Устанавливает действие для данного routemap, может принимать значения:
|
Сравнивать по | Условия применения routemap, может принимать значения:
|
Установить next hop | Установить для отфильтрованных маршрутов значение next hop в указанный IP-адрес. |
Установить вес | Установить для отфильтрованных маршрутов вес в указанное значение. |
Установить метрику | Установить для отфильтрованных маршрутов метрику в указанное значение. |
Установить предпочтение | Установить для отфильтрованных маршрутов вес в указанное значение. |
Установить AS-prepend | Установить значение AS-prepend - список автономных систем, добавляемых для данного маршрута. |
Community | Установить значение для BGP community для отфильтрованных маршрутов. |
Фильтр позволяет фильтровать маршруты при перераспределении. При создании фильтров необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Название | Имя для данного фильтра. |
Действие | Устанавливает действие для данного фильтра, может принимать значения:
|
Фильтровать по | Условия применения фильтра, может принимать значения:
|
5.6.5. RIP¶
Протоколы динамической маршрутизации используются для передачи информации о том, какие сети в настоящее время подключены к каждому из маршрутизаторов. Маршрутизаторы общаются, используя протоколы маршрутизации. UserGate обновляет таблицу маршрутизации в ядре в соответствии с информацией, которую он получает от соседних маршрутизаторов. Динамическая маршрутизация не меняет способы, с помощью которых ядро осуществляет маршрутизацию на IP-уровне. Ядро точно так же просматривает свою таблицу маршрутизации, отыскивая маршруты к хостам, маршруты к сетям и маршруты по умолчанию. Меняется только способ помещения информации в таблицу маршрутизации: вместо добавления маршрутов вручную они добавляются и удаляются динамически. Маршруты добавляются только в тот виртуальный маршрутизатор, в котором настроен протокол RIP.
RIP (Routing Information Protocol) - протокол дистанционно-векторной маршрутизации, который оперирует транзитными участками (хоп, hop) в качестве метрики маршрутизации. Подробно о работе протокола RIP читайте в соответствующей технической документации.
Для настройки RIP в UserGate необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Выбрать виртуальный маршрутизатор | При наличии нескольких виртуальных маршрутизаторов выберите необходимый. |
Шаг 2. Включить RIP-роутер | В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню RIP и настройте RIP-роутер. |
Шаг 3. Указать сети RIP | В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню RIP и укажите сети RIP, для которых будет работать RIP протокол. |
Шаг 4. Настройте интерфейсы RIP | В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню RIP и произведите настройку интерфейсов RIP. |
При настройке RIP-роутера необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или выключает использование данного RIP-роутера. |
Версия RIP | Определяет версию протокола RIP. Как правило используется версия протокола 2. |
Метрика по умолчанию | Стоимость маршрута. Обычно метрика равна 1 и не может превышать 15. |
Административное расстояние | Стоимость маршрутов, полученных с помощью протокола RIP. Значение по умолчанию для протокола RIP - 120. Используется для выбора маршрутов при наличии нескольких способов получения маршрутов (OSPF, BGP, статические). |
Отправлять себя в качестве маршрута по умолчанию | Оповещать другие роутеры о том, что данный роутер имеет маршрут по умолчанию. |
Маршрутизатор RIP будет слать обновления маршрутной информации только с интерфейсов, для которых заданы сети RIP. Необходимо указать как минимум одну сеть для корректной работы протокола. При настройке сетей RIP администратор может указать сеть в виде CIDR, например, 192.168.1.0/24, либо указать сетевой интерфейс, с которого будут отправлять обновления.
При настройке интерфейсов RIP укажите следующие параметры:
Наименование | Описание |
|---|---|
Интерфейс | Выберите интерфейс, который будет использоваться для работы протокола RIP. Для выбора доступны только те интерфейсы, которые входят в данный виртуальный маршрутизатор. |
Посылать версию | Укажите версию протокола RIP, которую маршрутизатор будет отсылать. |
Принимать версию | Укажите версию протокола RIP, которую маршрутизатор будет принимать. |
Пароль | Строка для авторизации, которая будет посылаться и приниматься в пакетах RIP. Все роутеры, участвующие в обмене информации по протоколу RIP, должны иметь одинаковый пароль. |
Split horizon | Метод предотвращения петель маршрутизации, при котором маршрутизатор не распространяет информацию о сети через интерфейс, на который прибыло обновление. |
Poison reverse | Метод предотвращения петель маршрутизации, при котором маршрутизатор устанавливает стоимость маршрута в 16 и отсылает его соседу, от которого его получил. |
Пассивный режим | Устанавливает режим работы интерфейса, при котором он принимает обновления RIP, но не отсылает их. |
Параметры редистрибуции маршрутов позволяют указать какие из маршрутов необходимо отправлять соседям. Возможно задать для редистрибуции маршруты, полученные через протоколы динамической маршрутизации OSPF, BGPG, а также маршруты в непосредственно подключенные к UserGate сети (connected) или маршруты, добавленные администратором в разделе Маршруты (kernel).
5.6.6. Мультикастинг¶
Технология IP мультикастинга позволяет существенно сократить передаваемый объем трафика, доставляя единый поток информации одновременно к тысячам и более потребителей, что особенно эффективно для доставки голосового и видео трафика. Традиционные методы доставки трафика - это unicast (доставка от точки к точке) и broadcast (широковещательная посылка трафика). Мультикастинг (multicast) позволяет доставить трафик к группе хостов (мультикаст-группа). Хосты (получатели), которые хотят получать данный трафик, должны вступить (присоединиться) к соответствующей мультикаст-группе. Для присоединения хостов к мультикаст-группе используется протокол Internet Group Management Protocol (IGMP). Мультикаст-группа идентифицируется групповым адресом. Для мультикастовых адресов выделена подсеть класса D с верхними 4 битами установленными в 1110. Таким образом диапазон адресов для мультикаст-трансляций определен как 224.0.0.0 - 239.255.255.255.
Далее маршрутизаторы должны обеспечить эффективную доставку трафика от источника трансляции к получателям. Protocol Independent Multicast (PIM) используется на маршрутизаторах для достижения данной цели.
Маршрутизаторы в мультикастинговой среде можно разделить на First Hop Router (FHR), Rendezvous Point (RP), Last Hop Router (LHR). FHR находится ближе всего к источнику трансляции и отвечает за регистрацию источника трансляции в сети. RP является каталогом доступных мультикаст-источников для Any Source Multicast (ASM) режима. LHR находится ближе всего к приемнику мультикаст-трансляции. Клиенты (приемники трансляции) в локальных сетях, подключенных к LHR используют протокол IGMP для регистрации себя в необходимой мультикаст-группе, посылая сообщение IGMP membership report.
UserGate может быть использован в качестве LHR для локальных сетей подключенных к нему. Для регистрации клиентов (приемников) UserGate поддерживает протоколы IGMPv3 и IGMPv2.
Для взаимодействия с другими мультикаст-маршрутизаторами UserGate может использовать только режим работы PIM Sparse Mode (PIM-SM). Это режим, в котором мультикаст-трафик отсылается только на те приемники, которые явно запросили это. Приемники должны периодически подтверждать свое желание получать мультикаст-трафик.
UserGate поддерживает режимы работы Source Specific Multicast (SSM) и Any Source Multicast (ASM).
Режим работы Source Specific Multicast (SSM) используется, когда приемник трафика явно указывает известный ему адрес источника трансляции. В данном режиме используется следующая адресация:
rtp://<src_ip>@<group_address>:<port>
где src_ip - адрес источника трансляции, group_address - мультикастовый групповой адрес, port - порт. Например:
rtp://10.10.10.10@239.0.0.5:4344
Режим работы Any Source Multicast (ASM). В этом режиме приемник трансляции указывает мультикаст-группу, с которой хочет получать трансляцию. Для работы данного режима необходимо наличие маршрутизатора с ролью Rendezvous Point (RP). RP определяет источник трансляции для этой группы для данного приемника. После чего источник и приемник выбирают лучший сетевой путь для пересылки данного мультикаст-трафика. В данном режиме используется следующая адресация:
rtp://@<group_address>:<port>
где group_address - мультикастовый групповой адрес, port - порт. Например:
rtp://@239.0.0.5:4344
Для настройки работы UserGate в качестве LHR мультикаст-роутера необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Настроить мультикаст-роутер | В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню Мультикаст роутер и настройте его. |
Шаг 2. Указать интерфейсы, на которых должен работать данный роутер | В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню Интерфейсы и произведите настройку интерфейсов. Будут доступны только те интерфейсы, которые относятся к данному виртуальному маршрутизатору. |
Шаг 3. Задать Rendezvous points для режима ASM (опционально) | В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню Rendezvous points и укажите их адреса. |
Шаг 4. Установить необходимые ограничения на доступные мультикаст-группы для режима ASM (опционально) | В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню Rendezvous points и укажите адреса разрешенных мультикаст-групп в закладке Разрешенные группы ASM. Если оставить этот список пустым, то будут разрешены все групповые адреса. |
Шаг 5. Установить необходимые ограничения на доступные мультикаст-группы для режима SSM (опционально) | В консоли UserGate в разделе Сеть--Виртуальные маршрутизаторы выберите в меню Разрешенные группы SSM и укажите адреса разрешенных мультикаст-групп Если оставить этот список пустым, то будут разрешены все групповые адреса. |
При настройке мультикаст роутера возможно указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или выключает мультикаст роутер в данном виртуальном маршрутизаторе. |
Использовать ECMP | Разрешает распределение трафика по нескольким маршрутам по технологии Equal Cost Multi Path (ECMP). Требуется наличие нескольких маршрутов до необходимого сетевого узла. Если данная опция отключена, то весь трафик на определенный хост назначения будет пересылаться только через один из роутеров (next hop). |
Использовать ECMP rebalance | Если при включенной опции один из интерфейсов, через который отсылался трафик, отключился, то все существующие потоки будут перерапределены между оставшимися маршрутами (next hop). При отключенной опции перераспределяются только те потоки, которые передавались через отключенный интерфейс. |
JOIN/PRUNE интервал | Интервал в секундах (60-600) отправки сообщений соседям PIM о мультикаст-группах, трафик которых маршрутизатор хочет принимать или более не хочет принимать. |
Интервал register suppress | Интервал в секундах (5-60000), после которого маршрутизатор отсылает сообщение register suppress. |
Keep-alive таймер | Интервал в секундах (31-60000), через который маршрутизатор будет посылать сообщения keepalive соседям, а так же интервал, который маршрутизатор будет ждать, прежде чем будет считать соседа недоступным. |
При настройке интерфейсов можно задать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает использование данного интерфейса для мултикастинга. |
Интерфейс | Выберите интерфейс, который будет использоваться для работы мультикаста. Для выбора доступны только те интерфейсы, которые входят в данный виртуальный маршрутизатор. |
Интервал отправки HELLO сообщений | Интервал отправки PIM HELLO сообщений в секундах (1-180). PIM Hello сообщения отправляются периодически со всех интерфесов, для которых включена поддержка мультикастинга. Эти сообщения позволяют узнать маршрутизатору о соседних маршрутизаторах, поддерживающих мультикастинг. |
Приоритет выбора DR | Приоритет при выборе Designated router (DR) от 1 до 4294967295, с помощью которого администратор может управлять процессом выбора DR для локальной сети. |
Принимать IGMP | Принимать сообщения IGMP report и IGMP query на данном интерфейсе. |
Использовать IGMPv2 | Использовать версию IGMP v2, по умолчанию используется IGMP v3. |
При настройке Rendevouz points можно указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает данный RP . |
Название | Название данного RP. |
IP-адрес | Unicast IP-адрес данного RP. |
Разрешенные руппы ASM | Список разрешенных групповых адресов для any source multicast с данного RP. Любые сети из диапазона 224.0.0.0/4. Нет ограничений, если ничего не задано. |
Разрешенные группы SSM - настройка мультикаст роутера, определяющая список разрешенных групповых адресов для source specific multicast. Могут быть укзаны любые сети из диапазона 232.0.0.0/8. Нет ограничений, если ничего не задано.
Исключения из SPT - настройка мультикаст роутера, задающая список IPv4 мультикаст-групп, исключенных из переключения на shortest path tree.
5.7. WCCP¶
Web Cache Communication Protocol (WCCP) — разработанный компанией Cisco протокол перенаправления контента. Предоставляет механизм перенаправления потоков трафика в реальном времени, имеет встроенные масштабирование, балансировку нагрузки, отказоустойчивость. При использовании WCCP, WCCP-сервер принимает HTTP-запрос от клиентского браузера и перенаправляет его на один или несколько WCCP-клиентов. WCCP-клиент получает данные из интернет и возвращает их в браузер клиента. Доставка данных клиенту может происходить как через WCCP-сервер, так и минуя его, в соответствии с правилами маршрутизации.
UserGate может выступать в качестве WCCP-клиента. В качестве WCCP-сервера обычно выступает маршрутизатор. Для трафика, полученного через WCCP, можно применять все доступные механизмы фильтрации.
Сервисная группа WCCP - это набор серверов WCCP (роутеры, коммутаторы) и клиентов WCCP (UserGate) с общими настройками перенаправления трафика. Сервера, указанные в одной сервисной группе, должны иметь идентичные настройки.
Для настройки WCCP-клиента в UserGate необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Настройте WCCP сервер | Произведите настройку сервера WCCP в соответствии с инструкцией на WCCP-сервер |
Шаг 2. Настроить сервисные группы WCCP | В консоли UserGate в разделе Сеть-->WCCP нажать на кнопку Добавить и создать одну или несколько сервисных групп WCCP. |
При создании сервисной группы укажите следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает данную сервисную группу. |
Название | Имя сервисной группы. |
Описание | Описание сервисной группы. |
Сервисная группа | Числовой идентификатор сервисной группы. Идентификатор сервисной группы должен быть одинаков на всех устройствах, входящих в группу. |
Приоритет | Приоритет группы. Если несколько сервисных групп применимы к трафику на сервере WCCP, то приоритет определяет порядок, в котором сервер будет распределять трафик на клиенты WCCP. |
Пароль | Пароль, необходимый для аутентификации UserGate в сервисной группе. Пароль должен совпадать с паролем, указанным на серверах WCCP. |
Способ перенаправления трафика | Определяет способ перенаправления трафика с серверов WCCP на UserGate. Возможны значения:
Перенаправление L2 как правило требует меньшее количество ресурсов, чем gre, но сервер WCCP и UserGate должны находиться в одном L2 сегменте. Не все типы серверов WCCP поддерживают работу с WCCP клиентами по L2. Важно! Для трафика, полученного через WCCP-туннель, в качестве IP источника UserGate будет использовать IP-адрес компьютера клиента, а зона источника не будет определена, поэтому в правилах фильтрации для зоны источника не следует явно указывать зону (оставить Any). |
Способ возврата трафика | Определяет способ перенаправления трафика с UserGate на серверы WCCP. Возможны значения:
Перенаправление L2 как правило требует меньшее количество ресурсов, чем gre, но сервер WCCP и UserGate должны находиться в одном L2 сегменте. Не все типы серверов WCCP поддерживают работу с WCCP клиентами по L2. |
Порты для перенаправления | Порты для перенаправления. Укажите здесь порты назначения трафика. При необходимости указать несколько портов, укажите их через запятую, например: 80, 442, 8080 Если необходимо перенаправлять трафик на основании значений портов источника, то необходимо выделить чекбокс Порт источника. Важно! UserGate может применять фильтрацию только для перенаправленного TCP трафика с портами назначения 80, 443 (HTTP/HTTPS). Трафик, переданный на UserGate с другими портами, будет отправляться в интернет без фильтрации. |
Протокол | Укажите протокол - TCP или UDP. |
Роутеры WCCP | Укажите IP-адреса серверов WCCP (роутеры). |
Способ назначения | При наличии в сервисной группе нескольких WCCP-клиентов способ назначения определяет распределение трафика от WCCP-серверов по WCCP-клиентам. Возможны варианты:
|
6. Пользователи и устройства¶
Политики безопасности, правила межсетевого экрана, правила веб-безопасности и многие другие возможности UserGate могут быть применены к пользователям или группам пользователей. Возможность применения политик только к тем пользователям, которым это необходимо, позволяет администратору гибко настроить свою сеть в соответствии с потребностями организации.
Идентификация пользователя - это базисная функция UserGate. Пользователь считается идентифицированным, если система однозначно связала пользователя с IP-адресом устройства, с которого пользователь подключается к сети. UserGate использует различные механизмы для идентификации пользователей:
Идентификация по явно указанному IP-адресу
Идентификация по имени и паролю
Идентификация пользователей терминальных серверов Microsoft с помощью специального агента терминального сервиса
Идентификация пользователей с помощью агента авторизации (для Windows-систем)
Идентификация с помощью протоколов NTLM, Kerberos
Идентификация пользователей по имени и паролю возможна через Captive-портал, который, в свою очередь, может быть настроен на идентификацию пользователей с помощью каталогов Active Directory, Radius, TACACS+, NTLM, Kerberos или локальной базы пользователей.
UserGate определяет следующие типы пользователей:
Наименование | Описание |
|---|---|
Пользователь Unknown | Представляет множество пользователей, не идентифицированных системой |
Пользователь Known | Представляет множество пользователей, идентифицированных системой. Методы идентификации пользователей могут быть различными и более подробно будут описаны далее в этой главе |
Пользователь Any | Любой пользователь является объединением множеств пользователей Known и Unknown |
Определенный пользователь | Конкретный пользователь, определенный и идентифицированный в системе, например, пользователь DOMAIN\User, идентифицированный с помощью авторизации в домене Active Directory |
Пользователи и группы пользователей могут быть заведены на самом устройстве UserGate - это так называемые локальные пользователи и группы или могут быть получены с внешних каталогов, например, Microsoft Active Directory.
6.1. Группы¶
Группы пользователей позволяют объединить пользователей для более удобного управления политиками безопасности.
6.2. Пользователи¶
В данном разделе можно добавить локальных пользователей. Здесь же можно временно отключить пользователей или включить их заново.
Чтобы создать локального пользователя, необходимо указать единственный обязательный параметр - имя пользователя. Остальные параметры являются необязательными, но для корректной идентификации необходимо указать:
Логин и пароль - для идентификации по имени и паролю. В этом случае потребуется настроить Captive-портал, где пользователь сможет ввести данное имя и пароль для авторизации.
IP-адрес или диапазон, MAC-адрес для идентификации с помощью комбинации MAC и IP-адресов. В данном случае необходимо обеспечить, чтобы данный пользователь всегда получал доступ в сеть с указанных MAC и/или IP-адреса.
VLAN ID для идентификации пользователя по тегу VLAN. В данном случае необходимо обеспечить, чтобы данный пользователь всегда получал доступ в сеть с указанного VLAN.
Почтовые адреса - email пользователя. Если указан, может быть использован для отсылки пользователю информации по электронной почте, например, 2-й фактор многофакторной организации.
Номера телефонов - телефоны пользователя. Если указан, может быть использован для отсылки пользователю информации по SMS, например, 2-й фактор многофакторной организации.
В случае, если у пользователя указан и логин, и пароль, и IP/MAC/VLAN адреса, система использует идентификацию по адресу, то есть идентификация по адресу является более приоритетной.
Учетные записи пользователей LDAP здесь не отображаются, но эти пользователи также могут быть использованы в политиках безопасности.
6.3. Серверы авторизации¶
Серверы авторизации - это внешние источники учетных записей пользователей, например, LDAP-сервер, или серверы, производящие аутентификацию для UserGate, например, Radius, TACACS+, Kerberos, SAML. Система поддерживает следующие типы серверов авторизации:
LDAP-коннектор
Сервер авторизации пользователей Radius
Сервер авторизации пользователей TACACS+
Сервер авторизации Kerberos
Сервер авторизации NTLM
Сервер авторизации SAML (SSO)
Серверы авторизации Radius, TACACS+, NTLM, SAML могут осуществлять только авторизацию пользователей, в то время как LDAP-коннектор позволяет также получать информацию о пользователях и их свойствах.
6.3.1. LDAP-коннектор¶
LDAP-коннектор позволяет:
Получать информацию о пользователях и группах Active Directory или других LDAP-серверов. Поддерживается работа с LDAP-сервером FreeIPA. Пользователи и группы могут быть использованы при настройке правил фильтрации.
Осуществлять авторизацию пользователей через домены Active Directory/FreeIPA с использованием методов авторизации Captive-портал, Kerberos, NTLM.
Для создания LDAP-коннектора необходимо нажать на кнопку Добавить, выбрать Добавить LDAP-коннектор и указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает использование данного сервера авторизации |
Название | Название сервера авторизации |
SSL | Определяет, требуется ли SSL-соединение для подключения к LDAP-серверу |
Доменное имя LDAP или IP-адрес | IP-адрес контроллера домена или название домена LDAP. Если указано доменное имя, то UserGate получит адрес сервера LDAP с помощью DNS-запроса. |
Bind DN («login») | Имя пользователя, которое необходимо использовать для подключения к серверу LDAP. Имя необходимо использовать в формате DOMAIN\username или username@domain. Данный пользователь уже должен быть заведен в домене |
Пароль | Пароль пользователя для подключения к домену |
Домены LDAP | Список доменов, которые обслуживаются указанным контроллером домена, например, в случае дерева доменов или леса доменов Active Directory. Здесь же можно указать короткое netbios имя домена. Список доменов, указанный здесь будет использован для выбора на странице авторизации Captive-портала при включении соответствующей опции. Более подробно о настройке Captive-портала смотрите раздел Настройка Captive-портала. |
Пути поиска | Список путей в сервере LDAP, начиная с которых система будет осуществлять поиск пользователей и групп. Необходимо указывать полное имя, например, ou=Office,dc=example,dc=com. |
Kerberos keytab | Здесь можно загрузить keytab-файл для авторизации Kerberos. Подробно об авторизации Kerberos и создании keytab-файла смотрите в разделе Метод авторизации Kerberos. Важно! Рекомендуется загрузить keytab-файл даже в случае, если вы не планируете использовать авторизацию Kerberos. При загруженном keytab-файле UserGate использует механизм kerberos для получения списка пользователей и их групп с серверов LDAP, что очень сильно снижает нагрузку на серверы LDAP. Если у вас в организации серверы LDAP содержат большое количество объектов (более 1000 групп и пользователей) использование keytab-файла обязательно. |
После создания сервера необходимо проверить корректность параметров, нажав на кнопку Проверить соединение. Если параметры указаны верно, система сообщит об этом либо укажет на причину невозможности соединения.
Примечание
Для авторизации пользователей с помощью LDAP-коннектора необходимо, что бы пользователи входили в доменную группу Domain users.
Настройка LDAP-коннектора завершена. Для авторизации LDAP пользователей по имени и паролю необходимо создать правила Captive-портала. Более подробно о Captive-портале рассказывается в следующих главах руководства.
6.3.2. Сервер авторизации пользователей Radius¶
Сервер авторизации Radius позволяет авторизовать пользователей на серверах Radius, то есть UserGate выступает в роли Radius-клиента. При авторизации через Radius-сервер UserGate посылает на серверы Radius информацию с именем и паролем пользователя, а Radius-сервер отвечает, успешно прошла авторизация или нет.
Сервер Radius не может предоставить список пользователей в UserGate и, если пользователи не были заведены в UserGate предварительно (например, как локальные пользователи или получены из домена AD с помощью LDAP-коннектора), поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере Radius) или Unknown (не прошедших авторизацию).
Для создания сервера авторизации Radius необходимо нажать на кнопку Добавить, выбрать Добавить Radius-сервер и указать следующие параметры:
Наименование | Описание |
|---|---|
Включен | Включает или отключает использование данного сервера авторизации |
Название сервера | Название сервера авторизации |
Секрет | Общий ключ, используемый протоколом Radius для авторизации |
Хост | IP-адрес сервера Radius |
Порт | UDP-порт, на котором сервер Radius слушает запросы на авторизацию. По умолчанию это порт UDP 1812 |
После создания сервера авторизации необходимо настроить Captive-портал для использования метода авторизации Radius. Более подробно о Captive-портале рассказывается в следующих главах руководства.
6.3.3. Сервер авторизации пользователей TACACS+¶
Сервер авторизации TACACS+ позволяет авторизовать пользователей на серверах TACACS+. При авторизации через TACACS+ сервер UserGate посылает на серверы TACACS+ информацию с именем и паролем пользователя, а сервер TACACS+ отвечает, успешно прошла авторизация или нет.
Сервер TACACS+ не может предоставить список пользователей в UserGate и, если пользователи не были заведены в UserGate предварительно (например, как локальные пользователи или получены из домена AD с помощью LDAP-коннектора), поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере TACACS+) или Unknown (не прошедших авторизацию).
Для создания сервера авторизации TACACS+ необходимо нажать на кнопку Добавить, выбрать Добавить TACACS+-сервер и указать следующие параметры:
Наименование | Описание |
|---|---|
Включен | Включает или отключает использование данного сервера авторизации |
Название сервера | Название сервера авторизации |
Секретный ключ | Общий ключ, используемый протоколом TACACS+ для авторизации |
Адрес | IP-адрес сервера TACACS+ |
Порт | UDP-порт, на котором сервер TACACS+ слушает запросы на авторизацию. По умолчанию это порт UDP 1812 |
Использовать одно TCP-соединение | Использовать одно TCP-соединение для работы с сервером TACACS+ |
Таймаут (сек) | Время ожидания сервера TACACS+ для получения авторизации. По умолчанию 4 секунды |
6.3.4. Сервер авторизации пользователей SAML IDP¶
Сервер авторизации SAML IDP (Security Assertion Markup Language Identity Provider) позволяет авторизовать пользователей c помощью развернутой на предприятии системе Single Sign-On (SSO), например, Microsoft Active Directory Federation Service. Это позволяет пользователю единожды авторизовавшись в системе SSO прозрачно проходить авторизацию на всех ресурсах, поддерживающих авторизацию SAML. UserGate может быть настроен в качестве SAML сервис-провайдера, использующего сервера SAML IDP для авторизации клиента.
Сервер SAML IDP не может предоставить свойства пользователей в UserGate и, если не настроено подключение к домену AD с помощью LDAP-коннектора, поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере SAML) или Unknown (не прошедших авторизацию).
Для использования авторизации с помощью сервера SAML IDP необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать DNS-записи для сервера UserGate | На контроллере домена создать DNS-записи соответствующую серверу UserGate для использования в качестве домена для auth.captive, например, utm.domain.loc. В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted. |
Шаг 2. Настроить DNS-серверы на UserGate | В настройках UserGate в качестве системных DNS-серверов указать IP-адреса контроллеров домена. |
Шаг 3. Изменить адрес Домен auth captive-портала | Изменить адрес Домен auth captive-портала в разделе Настройки на созданную на предыдущем шаге запись DNS. Подробно об изменении адреса домена Auth Captive-портала смотрите в разделе Общие настройки. |
Шаг 4. Настроить сервер SAML IDP | Добавить на сервере SAML IDP запись о сервис-провайдере USERGATE, указывая созданное на шаге 1 FQDN имя. |
Шаг 5. Создать сервер авторизации пользователей SAML IDP | Создать в USERGATE сервер авторизации пользователей SAML IDP. |
Для создания сервера авторизации пользователей SAML IDP необходимо в разделе Пользователи и устройства-->Серверы авторизации нажать на кнопку Добавить, выбрать Добавить SAML IDP-сервер и указать следующие параметры:
Наименование | Описание |
|---|---|
Включен | Включает или отключает использование данного сервера авторизации |
Название сервера | Название сервера авторизации |
Описание | Описание сервера авторизации |
SAML metadata URL | URL на сервере SAML IDP, где можно скачать xml-файл с корректной конфигурацией для сервис-провайдера (клиента) SAML. При нажатии на кнопку Загрузить происходит заполнение необходимых полей настройки сервера авторизации данными, полученными из xml-файла. Это предпочтительный метод настройки сервера авторизации SAML IDP. Подробно о сервере SAML смотрите в соответствующей документации |
Сертификат SAML IDP | Сертификат, который будет использован в SAML-клиенте. Возможны варианты:
|
Single sign-on URL | URL, используемая в сервере SAML IDP в качестве единой точки входа. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации |
Single sign-on binding | Метод, используемый для работы с единой точкой входа SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации |
Single logout URL | URL, используемый в сервере SAML IDP в качестве единой точки выхода. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации |
Single logout binding | Метод, используемый для работы с единой точкой выхода SSO. Возможны варианты POST и Redirect. Смотрите документацию на используемый у вас сервер SAML IDP для более детальной информации |
6.3.5. Сервер авторизации NTLM¶
Авторизация NTLM позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации с помощью NTLM сервер UserGate работает с контроллерами домена, которые выполняют проверку пользователя, который получает доступ в интернет.
Сервер NTLM не может предоставить список пользователей в UserGate и, если пользователи не были заведены в UserGate предварительно (например, как локальные пользователи или получены из домена AD с помощью LDAP-коннектора), поэтому в политиках фильтрации можно использовать только пользователей типа Known (успешно прошедших авторизацию на сервере NTLM) или Unknown (не прошедших авторизацию).
Авторизация NTLM может работать как при явном указании прокси-сервера в браузере пользователя (это стандартный режим), так и в прозрачном режиме, когда прокси-сервер в браузере не указан. Настройка UserGate не отличается от режима работы авторизации.
Для настройки авторизации с помощью NTLM необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Настроить синхронизацию времени с контроллером домена | В настройках UserGate включить синхронизацию времени с серверами NTP, в качестве основного и - опционально - запасного NTP-сервера указать IP-адреса контроллеров домена |
Шаг 2. Создать DNS-запись для сервера UserGate | На контроллере домена создать DNS-записи, соответствующие серверу UserGate для использования в качестве домена для auth.captive и logout.captive, например, auth.domain.loc и logout.domain.loc В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted. |
Шаг 3. Изменить адрес Домен Auth Captive-портала | Изменить адрес домена Auth Captive-портала и опционально адрес домена Logout Captive-портала в разделе Настройки. Для домена Auth Captive-портала необходимо указать созданную на предыдущем шаге запись DNS. Для домена Logout Captive-портала необходимо указать созданную на предыдущем шаге запись DNS. Подробно об изменении адресов доменов Auth Captive-портала и Logout Captive-портала смотрите в разделе Настройка Captive-портала. |
Шаг 4. Добавить NTLM-сервер авторизации | В разделе Серверы авторизации нажать на кнопку Добавить, выбрать Добавить NTLM-сервер и указать название и имя домена Windows. Для корректной работы авторизации NTLM, необходимо, чтобы указанное здесь имя домена резолвилось в IP-адреса контроллеров домена. |
Шаг 5. Создать правило Captive-портала с авторизацией NTLM | Настроить Captive-портал для использования метода авторизации NTLM. Более подробно о Captive-портале рассказывается в следующих главах руководства |
Шаг 6. Разрешить доступ к сервису HTTP(S) для зоны | В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью NTLM |
Шаг 7. Для авторизации в стандартном режиме настроить прокси-сервер на компьютерах пользователей | На компьютерах пользователей указать обязательное использование прокси-сервера, указать IP-адрес Trusted интерфейса UserGate в качестве адреса прокси сервера. Важно! Вместо IP-адреса можно использовать доменное имя, но для NTLM важно, чтобы это имя было не из домена Active Directory, иначе Windows-компьютер будет пытаться использовать авторизацию Kerberos. Важно! В настройках UserGate имена, используемые в качестве домена для auth.captive и logout.captive, не должны быть из домена Active Directory, иначе Windows-компьютер будет пытаться использовать авторизацию Kerberos. |
Шаг 8. Для авторизации в прозрачном режиме настроить автоматическую проверку подлинности пользователя браузером для всех зон | На компьютерах пользователей зайдите в Панель управления-->Свойства браузера-->Безопасность, выберите зону Интернет--> Уровень безопасности-->Другой-->Проверка подлинности пользователя и установите Автоматический вход в сеть с текущем именем пользователя и паролем (Control panel-->Internet options-->Security, выберите зону Internet -->Custom level-->User Authentication-->Logon и установите Automatic logon with current name and password) Повторите данную настройку для всех других зон, настроенных на данном компьютере (Local intranet, Trusted sites). |
6.3.6. Метод авторизации Kerberos¶
Авторизация Kerberos позволяет прозрачно (без запроса имени пользователя и его пароля) авторизовать пользователей домена Active Directory. При авторизации через Kerberos сервер UserGate работает с контроллерами домена, которые выполняют проверку пользователя, который получает доступ в интернет.
Авторизация Kerberos может работать как при явном указании прокси-сервера в браузере пользователя (это стандартный режим), так и в прозрачном режиме, когда прокси-сервер в браузере не указан.
Для авторизации Kerberos необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать DNS-записи для сервера UserGate | На контроллере домена создать DNS-записи соответствующую серверу UserGate для использования в качестве домена для auth.captive и logout.captive, например, auth.domain.loc и logout.domain.loc В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted. Важно! Для корректной работы создайте записи типа A, не используйте CNAME-записи. |
Шаг 2. Создать пользователя для сервера UserGate | Создать пользователя в домене AD, например, kerb@domain.loc с опцией password never expires. Установите пароль пользователю kerb. Важно! Не используйте символы национальных алфавитов, например, кириллицу, в именах пользователя kerb или в организационных единицах Active Directory, где вы планируете создать учетную запись пользователя kerb. Важно! Не используйте в качестве пользователя для Kerberos пользователя, созданного для работы LDAP-коннектора. Необходимо использовать отдельную учетную запись. |
Шаг 3. Создать keytab файл | На контроллере домена, создать keytab файл, выполнив следующую команду из-под администратора (команда в одну строку!): ktpass.exe /princ HTTP/auth.domain.loc@DOMAIN.LOC /mapuser kerb@DOMAIN.LOC /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass * /out C:\utm.keytab Введите пароль пользователя kerb. Важно! Команда чувствительна к регистру букв. В данном примере: auth.domain.loc - DNS-запись, созданная для сервера UserGate на шаге 1 DOMAIN.LOC - Kerberos realm domain, обязательно большими буквами! kerb@DOMAIN.LOC - имя пользователя в домене, созданное на шаге 2, имя realm-домена обязательно большими буквами! |
Шаг 4. Настроить DNS-серверы на UserGate | В настройках UserGate в качестве системных DNS-серверов указать IP-адреса контроллеров домена. |
Шаг 5. Настроить синхронизацию времени с контроллером домена | В настройках UserGate включить синхронизацию времени с серверами NTP, в качестве основного и - опционально - запасного NTP-сервера указать IP-адреса контроллеров домена. |
Шаг 6. Изменить адрес Домен auth captive-портала | Изменить адрес Домен auth captive-портала и опционально адрес Домен logout captive-портала в разделе Настройки на созданные на предыдущем шаге записи DNS. Подробно об изменении адресов доменов смотрите в разделе Общие настройки. |
Шаг 7. Создать LDAP-коннектор и загрузить в него keytab-файл | Создать сервер авторизации типа LDAP коннектор и загрузить полученный на предыдущем шаге keytab-файл. Важно! Не используйте в качестве пользователя для LDAP-коннектора, пользователя, созданного ранее для работы Kerberos. Необходимо использовать отдельную учетную запись. Подробно о настройке LDAP-коннектора смотрите раздел LDAP-коннектор. |
Шаг 8. Создать правило Captive-портала с авторизацией Kerberos | Настроить Captive-портал для использования метода авторизации Kerberos. Более подробно о Captive-портале рассказывается в разделе Настройка Captive-портала. |
Шаг 9. Разрешить доступ к сервису HTTP(S) для зоны | В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью Kerberos. |
Шаг 10. Для авторизации в стандартном режиме настроить прокси-сервер на компьютерах пользователей | На компьютерах пользователей указать обязательное использование прокси-сервера в виде FQDN-имени USERGATE, созданного на шаге 3. |
Шаг 11. Для авторизации в прозрачном режиме настроить автоматическую проверку подлинности пользователя браузером для всех зон | На компьютерах пользователей зайдите в Панель управления-->Свойства браузера-->Безопасность, выберите зону Интернет--> Уровень безопасности-->Другой-->Проверка подлинности пользователя и установите Автоматический вход в сеть с текущем именем пользователя и паролем (Control panel-->Internet options-->Security, выберите зону Internet -->Custom level-->User Authentication-->Logon и установите Automatic logon with current name and password) Повторите данную настройку для всех других зон, настроенных на данном компьютере (Local intranet, Trusted sites). |
6.3.7. Метод авторизации HTTP Basic¶
Авторизация Basic позволяет авторизовать пользователей с явно указанным прокси сервером по базе локальных пользователей. Не рекомендуется использовать данный тип авторизации поскольку имя пользователя и пароль передаются в открытом виде по сети. Авторизация HTTP Basic можно использовать для автоматической авторизации утилит командной строки, которым необходим доступ в интернет, например:
curl -x 192.168.179.10:8090 -U user: password http://www.msn.com
Для авторизации HTTP Basic необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать DNS-запись для сервера UserGate | На контроллере домена создать DNS-записи, соответствующие серверу UserGate для использования в качестве домена для auth.captive и logout.captive, например, auth.domain.loc и logout.domain.loc В качестве IP-адреса укажите адрес интерфейса UserGate, подключенного в сеть Trusted. |
Шаг 2. Изменить адрес Домен Auth Captive-портала | Изменить адрес домена Auth Captive-портала и опционально адрес домена Logout Captive-портала в разделе Настройки. Для домена Auth Captive-портала необходимо указать созданную на предыдущем шаге запись DNS. Для домена Logout Captive-портала необходимо указать созданную на предыдущем шаге запись DNS. Подробно об изменении адресов доменов Auth Captive-портала и Logout Captive-портала смотрите в разделе Общие настройки. |
Шаг 3. Создать правило Captive-портала с авторизацией HTTP Basic | Настроить Captive-портал для использования метода авторизации HTTP Basic. Более подробно о Captive-портале рассказывается в следующих главах руководства. |
Шаг 4. Разрешить доступ к сервису HTTP(S) для зоны | В разделе Зоны разрешить доступ к сервису HTTP(S)-прокси для зоны, к которой подключены пользователи, авторизующиеся с помощью NTLM. |
Шаг 5. Настроить прокси-сервер на компьютерах пользователей | На компьютерах пользователей указать обязательное использование прокси-сервера, указать IP-адрес Trusted интерфейса UserGate в качестве адреса прокси сервера. |
6.4. Профили авторизации¶
Профиль авторизации позволяет указать набор способов и параметров авторизации пользователей, которые в дальнейшем можно будет использовать в различных подсистемах UserGate, например, Captive-портал, VPN, веб-портал и т.д. Чтобы создать профиль авторизации, необходимо в разделе Пользователи и устройства - Профили авторизации нажать на кнопку Добавить и указать необходимые параметры:
Наименование | Описание |
|---|---|
Название | Название Captive-профиля |
Описание | Описание Captive-профиля |
Профиль MFA | Профиль мультифакторной авторизации. Должен быть предварительно создан в разделе Профили MFA, если планируется использовать мультифакторную авторизацию с данным профилем авторизации. Профиль определяет способ доставки одноразового пароля для второго метода авторизации. Более подробно о настройке профиля MFA смотрите в соответствующей главе далее. Важно! Мультифакторная авторизация возможна только с методами аутентификации, позволяющими ввести пользователю одноразовый пароль, то есть только те, где пользователь явно вводит свои учетные данные в веб-форму страницы авторизации. В связи с этим, мультифакторная авторизация невозможна для методов аутентификации Kerberos и NTLM |
Время бездействия до отключения | Данный параметр определяет, через сколько секунд UserGate переведет пользователя из Known users в Unknown users при неактивности пользователя (отсутствии сетевых пакетов с IP-адреса пользователя). |
Время жизни авторизованного пользователя | Данный параметр определяет, через сколько секунд UserGate переведет пользователя из Known users в Unknown users. По происшествии указанного времени пользователю потребуется повторно авторизоваться на Captive-портале |
Число неудачных попыток авторизации | Разрешенное количество неудачных попыток авторизации через Captive-портал до блокировки учетной записи пользователя |
Время блокировки пользователя | Время, на которое блокируется учетная запись пользователя при достижении указанного числа неудачных попыток авторизации |
Методы аутентификации | Созданные ранее методы авторизации пользователей, например, сервер авторизации Active Directory или Radius. Если указано более одного метода авторизации, то они будут использоваться в порядке, в котором они перечислены в консоли. Также возможно использование встроенных механизмов авторизации, таких как:
|
6.5. Настройка Captive-портала¶
Captive-портал позволяет авторизовать неизвестных пользователей (Unknown users) с помощью методов авторизации с использованием каталогов Active Directory, Radius, TACACS+, SAML IDP, Kerberos, NTLM или локальной базы пользователей. Кроме этого, с помощью Captive-портала можно настроить самостоятельную регистрацию пользователей с подтверждением идентификации через SMS или e-mail.
Следует помнить, что:
Идентифицированные пользователи, например, у которых в свойствах пользователя явно указан IP-адрес, идентифицированные с помощью агентов авторизации терминальных серверов или для систем Windows, не авторизуются на Captive-портале. Такие пользователи уже относятся к типу Known users и не требуют дополнительной идентификации
Авторизация с помощью Captive-портала возможна только для протоколов HTTP и HTTPS. Например, если вы создали правило межсетевого экрана, разрешающее доступ в интернет по протоколу FTP только для пользователя Known users, то пользователи не смогут получить доступ в интернет по этому протоколу до тех пор, пока они не станут идентифицированными, то есть не запустят у себя браузер и не пройдут авторизацию на Captive-портале
Если Captive-портал использует метод авторизации Active Directory, то пользователь должен указывать в качестве логина свое доменное имя в формате DOMAIN\username или username@domain
Настройка Captive-портала сводится к следующим шагам:
Наименование | Описание |
|---|---|
Шаг 1. Создать метод авторизации, например, авторизация с помощью домена Active Directory | В консоли UserGate в разделе Пользователи и устройства-->Серверы авторизации нажать на кнопку Добавить и создать сервер авторизации |
Шаг 2. Создать профиль авторизации, в котором указать необходимые методы авторизации | В консоли UserGate в разделе Пользователи и устройства-->Профили авторизации нажать на кнопку Добавить и создать профиль авторизации, используя созданный ранее метод авторизации |
Шаг 3. Создать Captive-профиль, в котором указать необходимые профили авторизации | В консоли UserGate в разделе Пользователи и устройства-->Captive-профили нажать на кнопку Добавить и создать Captive-профиль, используя созданный ранее профиль авторизации |
Шаг 4. Создать правило Captive-портала | Правило Captive-портала определяет трафик, к которому должны быть применены методы идентификации пользователей, указанные в Captive-профиле. В консоли UserGate в разделе Пользователи и устройства-->Captive-портал нажать на кнопку Добавить и создать правило Captive-портала |
Шаг 5. Настроить DNS для доменов auth.captive и logout.captive | Служебные доменные имена auth.captive и logout.captive используются UserGate для авторизации пользователей. Если клиенты используют в качестве DNS-сервера сервер UserGate, то ничего делать не надо. В противном случае необходимо прописать в качестве IP-адреса для этих доменов IP-адрес интерфейса сервера UserGate, который подключен в клиентскую сеть. Альтернативное решение - настроить параметры Домен auth captive-портала и Домен logout captive-портала. Более детально эти параметры описаны в разделе Общие настройки. |
Создание методов авторизации подробно рассматривалось в предыдущих главах. Рассмотрим более подробно создание Captive-профиля и правил Captive-портала.
Чтобы создать Captive-профиль, необходимо в разделе Captive-профили нажать на кнопку Добавить и указать необходимые параметры:
Наименование | Описание |
|---|---|
Название | Название Captive-профиля |
Описание | Описание Captive-профиля |
Шаблон страницы авторизации | Выбрать шаблон страницы авторизации. Создавать страницы авторизации можно в разделе Библиотеки-->Шаблоны страниц. Если необходимо настроить самостоятельную регистрацию пользователей с подтверждением по SMS или e-mail, то следует выбрать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth) |
Метод идентификации | Метод, с помощью которого UserGate запомнит пользователя. Возможны 2 варианта:
|
Профиль авторизации | Созданный ранее профиль авторизации, определяющий методы аутентификации |
URL для редиректа | URL, куда будет перенаправлен пользователь после успешной авторизации с помощью Captive-портала. Если не заполнено, то пользователь переходит на запрошенный им URL |
Разрешить браузерам запомнить авторизацию | Включает возможность сохранить авторизацию в браузере на указанное время в часах. Для сохранения авторизационной информации используются cookie |
Предлагать выбор домена AD/LDAP на странице авторизации Captive-портала | Если в качестве метода аутентификации используется авторизация с помощью Active Directory, то при включении данного параметра пользователь сможет выбрать имя домена из списка на странице авторизации. Если данный параметр не включен, пользователь должен явно указывать домен в виде DOMAIN\username или username@domain |
Показывать CAPTCHA | При включении данной опции пользователю будет предложено ввести код, который ему будет показан на странице авторизации Captive-портала. Рекомендуемая опция для защиты от ботов, подбирающих пароли пользователей |
HTTPS для страницы авторизации | Использовать HTTPS при отображении страницы авторизации Captive-портала для пользователей. Необходимо иметь корректно настроенный сертификат для SSL Captive-портала. Более подробно о сертификатах смотрите в разделе Управление сертификатами. |
Для настройки самостоятельной регистрации пользователей с подтверждением пароля с помощью SMS или e-mail необходимо настроить параметры на вкладке Регистрация гостевых пользователей. Следует помнить, что в этом случае необходимо использовать соответствующий тип шаблона (Captive portal: SMS auth/ Captive portal: Email auth).
Наименование | Описание |
|---|---|
Профиль оповещения | Профиль оповещения, который будет использоваться для отсылки информации о созданном пользователе и его пароле. Может использоваться 2 типа - SMS и e-mail. Более подробно о создания профиля оповещения смотрите в главе Профили оповещений. |
От | Указать, от имени кого будут отправляться оповещения |
Тема оповещения | Тема оповещения (только для e-mail-оповещений) |
Письмо оповещения | Тело письма сообщения. В письме можно использовать специальные переменные {login} и {password}, которые будут заменены на имя пользователя и его пароль. |
Дата и время окончания | Время, когда учетная запись временного пользователя будет отключена |
Время жизни | Продолжительность времени с момента первой авторизации временного пользователя, по истечении которого его учетная запись будет отключена |
Длина пароля | Определяет длину пароля для создаваемого пользователя |
Сложность пароля | Определяет сложность пароля для создаваемого пользователя. Возможны варианты: Цифры Буквы цифры Буквы+цифры+спецсимволы |
Группы | Группа для временных пользователей, в которую будут помещены создаваемые пользователи. О группах для временных пользователей читайте в главе Гостевой портал. |
Чтобы создать правило Captive-портала, необходимо нажать на кнопку Добавить в разделе правил Captive-портала и указать необходимые параметры:
Наименование | Описание |
|---|---|
Название | Название правила Captive-портала. |
Описание | Описание правила Captive-портала. |
Captive-профиль | Выбрать Captive-профиль, созданный ранее. Доступно действие Не использовать аутентификацию, при выборе которого авторизация не будет требоваться. |
Записывать в журнал правил | При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики. |
Источник | Адреса источника. В качестве источника можно указать определенную зону, например, зону LAN и диапазон адресов IP. Могут быть использованы IP-адреса стран (Geo-IP). |
Назначение | Адреса назначения. В качестве адресов можно указать определенную зону, например, зону WAN и диапазон адресов IP. Могут быть использованы IP-адреса стран (Geo-IP). |
Категории | Категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию. |
URL | Списки URL, для которых будет применяться правило. |
Время | Время, когда данное правило будет активно. |
Таким образом, создав несколько правил Captive-портала, можно настроить различные политики идентификации пользователей для различных зон, адресов, категорий сайтов и времени.
Примечание
Условия, указанные во вкладках правила, применяются согласно логике “И”, то есть требуют совпадения всех указанных условий для того, чтобы правило сработало. Если необходимо использовать логику “ИЛИ”, то это достигается путем создания нескольких правил.
Примечание
Правила применяются в порядке, в котором они отображаются в консоли. Вы можете изменить порядок правил с помощью соответствующих кнопок.
Примечание
При обработке правил применяется только первое сработавшее правило.
В случае, если необходимо сменить пользователя после его авторизации в системе или выйти из системы, необходимо перейти на URL http://logout.captive и нажать на кнопку Выйти.
6.6. Профили MFA (мультифакторной аутентификации)¶
Мультифакторная аутентификация - это метод идентификации пользователя, где используются два или более различных типа аутентификационных данных. Введение дополнительного уровня безопасности обеспечивает более эффективную защиту учетной записи от несанкционированного доступа.
UserGate поддерживает мультифакторную аутентификацию с использованием имени пользователя и пароля в качестве первого типа аутентификации и следующих типов в качестве второго:
TOTP (Time-based One Time Password) токена в качестве второго. TOTP-токен создает одноразовый пароль на основе времени, то есть время является параметром; более подробно о TOTP можно прочитать в https://en.wikipedia.org/wiki/Time-based_One-time_Password_Algorithm. В качестве TOTP-токена могут выступать различные устройства либо программное обеспечение, установленное на смартфоны пользователей, например, Google Authenticator
SMS - получение одноразового пароля по SMS. Для отправки SMS у каждого пользователя должен быть указан номер телефона в его локальной учетной записи в USERGATE или в доменной учетной записи в Active Directory
Email - получение одноразового пароля по электронной почте. Для отправки сообщения у каждого пользователя должен быть указан адрес электронной почты в его локальной учетной записи в USERGATE или в доменной учетной записи в Active Directory.
Чтобы настроить мультифакторную аутентификацию, необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Настроить авторизацию с помощью Captive-портала | Мультифакторная авторизация работает только при авторизации пользователей с помощью Captive-портала. Смотрите раздел Настройка Captive-портала для подробной информации |
Шаг 2. Создать профиль мультифакторной авторизации | В разделе консоли Пользователи и устройства-->Профили MFA создать профиль мультифакторной авторизации. При создании профиля указать необходимые настройки доставки второго фактора авторизации. Возможно создать 3 типа доставки:
|
Для способа доставки MFA через TOTP необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Название | Название профиля MFA |
Описание | Описание профиля MFA |
Инициализация TOTP | Для получения токенов TOTP необходимо произвести первоначальную инициализацию устройства или ПО клиента. Для этого требуется ввести уникальный ключ в устройство или ПО клиента. Передать первоначальный код для инициализации TOTP можно следующими средствами:
|
Показывать QR -код | Показывать QR-код на странице Captive-портала или в электронном письме для облегчения настройки устройства или ПО TOTP клиента |
В случае, если пользователь утратил токен, администратор может потребовать повторной инициализации TOTP-токена. Для этого ему необходимо выбрать данного пользователя в списке пользователей (Пользователи и устройства-->Пользователи) и выбрать действие Сбросить ключ TOTP. При следующей авторизации пользователю будет предложено заново проинициализировать свой токен.
Для способа доставки MFA через SMS необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Название | Название профиля MFA |
Описание | Описание профиля MFA |
Профиль отправки MFA | Профиль SMPP, который будет использован для отправки паролей с помощью сообщений SMS. Подробно о настройке профилей отсылки сообщений через SMS смотрите в разделе Профили оповещений. |
От | Указать, от имени кого будут отправляться оповещения |
Содержимое | Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. |
Время жизни MFA кода | Срок действия одноразового пароля |
Для способа доставки MFA через email необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Название | Название профиля MFA |
Описание | Описание профиля MFA |
Профиль отправки MFA | Профиль SMTP, который будет использован для отправки паролей с помощью сообщений электронной почты. Подробно о настройке профилей отсылки сообщений по электронной почте смотрите в разделе Профили оповещений. |
От | Указать, от имени кого будут отправляться оповещения |
Тема | Тема оповещения |
Содержимое | Тело письма сообщения. В письме можно использовать специальную переменную {2fa_auth_code}, которая будут заменена на одноразовый пароль. |
Время жизни MFA кода | Срок действия одноразового пароля |
6.7. Пользователи терминальных серверов¶
Терминальный сервер служит для удаленного обслуживания пользователя с предоставлением рабочего стола или консоли. Как правило, один терминальный сервер предоставляет свой сервис нескольким пользователям, а в некоторых случаях десяткам или даже сотням пользователей. Проблема идентификации пользователей терминального сервера состоит в том, что у всех пользователей сервера будет определен один и тот же IP-адрес, и UserGate не может корректно идентифицировать сетевые подключения пользователей. Для решения данной проблемы предлагается использование специального агента терминального сервиса.
Агент терминального сервиса должен быть установлен на все терминальные серверы, пользователей которых необходимо идентифицировать. Агент представляет собой сервис, который передает на сервер UserGate информацию о пользователях терминального сервера и об их сетевых соединениях. В силу специфики работы протокола TCP/IP, агент терминального сервиса может идентифицировать трафик пользователей, передаваемый только с помощью TCP и UDP протоколов. Протоколы, отличные от TCP/UDP, например, ICMP, не могут быть идентифицированы.
Для корректной идентификации пользователей требуется настроенный сервер Active Directory коннектор.
Чтобы начать работу с идентификацией пользователей на терминальных серверах, необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Разрешить сервис агент авторизации на необходимой зоне | В разделе Сеть-->Зоны разрешить сервис Агент авторизации для той зоны, со стороны которой расположены серверы терминального доступа. |
Шаг 2. Задать пароль агентов терминального сервера | В консоли UserGate в разделе Пользователи и устройства--> Терминальные серверы нажать на кнопку Настройки и задать Пароль агентов терминального сервера |
Шаг 3. Установить агент терминального сервера | Установить агент терминального сервера на все серверы, для которых необходимо идентифицировать пользователей. При установке следует задать IP-адрес сервера UserGate и заданный на предыдущем шаге пароль |
Шаг 4. Включить необходимые серверы в консоли UserGate | После установки агентов в консоли UserGate появится список терминальных серверов. С помощью кнопок Включить и Отключить можно разрешить или запретить принимать идентификацию пользователей с выбранных серверов |
UserGate теперь будет получать информацию о пользователях.
Если на терминальном сервере настроено несколько IP-адресов, то все они будут использованы для авторизации пользователей. Если необходимо ограничить выход пользователей в интернет только с определенных IP-адресов терминального сервера, то необходимо внести изменения в конфигурационный файл агента авторизации для терминальных серверов и перезапустить его сервис.
Файл конфигурации: C:\ProgramData\Entensys\Terminal Server Agent\tsagent.cfg
Исключаемые IP-адреса необходимо указать в виде:
ExcludeIP=IP1;IP2
6.8. Агент авторизации для Windows¶
Для пользователей, работающих на операционной системе Windows, входящих в домен Active Directory, существует еще один способ идентификации - использовать специальный агент авторизации. Агент представляет собой сервис, который передает на сервер UserGate информацию о пользователе, его имя и IP-адрес, соответственно, UserGate будет однозначно определять все сетевые подключения данного пользователя, и идентификация другими методами не требуется. Чтобы начать работу с идентификацией пользователей с помощью агента авторизации, необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Разрешить сервис агент авторизации на необходимой зоне | В разделе Сеть-->Зоны разрешить сервис Агент авторизации для той зоны, со стороны которой находятся пользователи |
Шаг 2. Задать пароль агентов терминального сервера | В консоли UserGate в разделе Пользователи и устройства--> Терминальные серверы нажать на кнопку Настройки и задать Пароль агентов терминального сервера. |
Шаг 3. Установить агент авторизации | Установить агент авторизации на все компьютеры, для которых необходимо идентифицировать пользователей. Агент авторизации поставляется вместе с административным шаблоном для распространения через политики Active Directory. Используя этот шаблон, администратор может развернуть корректно настроенный агент на большое количество пользовательских компьютеров. С помощью административного шаблона администратор может задать IP-адрес и порт сервера UserGate, и заданный на предыдущем шаге пароль. Более подробно о развертывании ПО с использованием политик Active Directory вы можете прочитать в документации Microsoft. Агент может быть установлен и без использования групповых политик. Для этого необходимо установить агент из инсталлятора и указать необходимые параметры для подключения к серверу UserGate в следующих ключах реестра: [HKEY_CURRENT_USER\Software\Policies\Entensys\Auth Client] "ServerIP"="" "ServerPort"="1813" "SharedKey"="" |
UserGate теперь будет получать информацию о пользователях. Если в системе настроен Active Directory коннектор, то в политиках безопасности можно использовать имена пользователей, как они указаны в Active Directory. Если списка пользователей в UserGate нет, то можно использовать пользователей Known и Unknown.
6.9. Прокси-агент для Windows¶
Для пользователей, работающих на операционной системе Windows, существует возможность предоставить доступ в интернет через явно указанный прокси-сервер программам, которые не поддерживают работу через прокси-сервер. Иногда также возникает необходимость предоставить таким программам доступ в интернет в случае, когда UserGate не является шлюзом в интернет по умолчанию для пользовательских компьютеров. Для подобных случаев можно использовать прокси-агент. Прокси-агент пересылает все TCP-запросы, идущие не на локальные адреса, на UserGate, который выступает для них прокси-сервером.
Примечание
Прокси-агент не авторизует пользователя на UserGate, таким образом, если необходима авторизация, то потребуется настроить один из способов авторизации пользователей, например, установить агент авторизации для Windows.
Установить прокси-агент возможно вручную либо с использованием политик Active Directory.
Если устанавливаете не политикой, то для настройки агента необходимо создать текстовый файл utmagent.cfg в директории in C:\Documents and Settings\All Users\Application Data\Entensys\UTMAgent\. В файле конфигурации следует указать:
ServerName=10.255.1.1
ServerHttpPort=8090
LocalNetwork=192.168.1.0/24; 192.168.0.0/24; 192.168.30.0/24;
ServerName и ServerHttpPort - IP-адрес и порт прокси-сервера на UserGate, по умолчанию это порт 8090.
LocalNetwork - список сетей, которые не нужно направлять в прокси. Сеть интерфейсов машины не направляется в прокси по умолчанию.
После создания или изменения файла конфигурации необходимо перезапустить сервис прокси-агента.
Если вы устанавливаете через GPO, прокси-агент поставляется вместе с административным шаблоном для распространения через политики Active Directory. Используя этот шаблон, администратор может развернуть корректно настроенный агент на большое количество пользовательских компьютеров. Более подробно о развертывании ПО с использованием политик Active Directory вы можете прочитать в документации Microsoft
Все необходимые параметры для корректной работы прокси-агента задаются при настройке групповой политики. При установке параметры вносятся в реестр пользовательского компьютера и имеют приоритет перед файлом .cfg. При удалении агента политикой значения реестра не удаляются, сохраняясь в ветке реестра:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Entensys\UTMAgent
6.10. Управление гостевыми пользователями¶
UserGate позволяет создавать списки гостевых пользователей. Данная возможность может быть полезна для гостиниц, публичных Wi-Fi, сетей интернет, где необходимо идентифицировать пользователей и предоставить им доступ на ограниченное время.
Гостевые пользователи могут быть созданы заранее администратором системы или пользователям может быть предоставлена возможность самостоятельной регистрации в системе с подтверждением через SMS или e-mail.
Для создания списка гостевых пользователей администратором необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать администратора гостевых пользователей (опционально) |
Более подробно о создании администраторов UserGate смотрите соответствующий раздел руководства |
Шаг 2. Создать группу, в которую будут помещены гостевые пользователи. Группа необходима для удобства управления политиками доступа гостевых пользователей | В консоли UserGate в разделе Группы нажать на кнопку Добавить и создать группу, отметив поле Группа для гостевых пользователей. Более подробно о создании групп пользователей смотрите соответствующий раздел руководства |
Шаг 3. Подключиться к консоли управления Гостевого портала | В браузере перейти на адрес https://IP_UserGate:8001/ta Для авторизации необходимо использовать логин и пароль администратора устройства или администратора гостевых пользователей, созданного на шаге 1 |
Шаг 4. Создать список пользователей | В консоли нажать на кнопку Добавить и заполнить поля:
|
Список созданных пользователей можно посмотреть в разделе Пользователи консоли управления временными пользователями.
Для самостоятельной регистрации пользователей в системе необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать профиль оповещения SMPP (для подтверждения через SMS) или SMTP (для подтверждения через e-mail) | В разделе Библиотеки-->Профили оповещений нажать кнопку Добавить и создать профиль оповещения SMPP или SMTP. Более подробно о создании профилей оповещения смотрите раздел руководства Профили оповещений. |
Шаг 2. Создать группу, в которую будут помещены гостевые пользователи. Группа необходима для удобства управления политиками доступа временных пользователей | В консоли UserGate в разделе Группы нажать на кнопку Добавить и создать группу, отметив поле Группа для гостевых пользователей. Более подробно о создании групп пользователей смотрите соответствующий раздел руководства |
Шаг 3. Создать профиль Captive-портала, в котором указать использование профиля оповещений, для отсылки информации о созданной учетной записи | В разделе Пользователи и устройства в подразделе Captive-профили создать профиль, указав в нем использование созданного ранее профиля оповещения. Указать в качестве страницы авторизации шаблон Captive portal: email auth или Captive portal: SMS auth, в зависимости от способа отправки оповещения. Настроить сообщение оповещения, группу, в которую будут помещены временные пользователи, времена действия учетной записи. Более подробно о создании профилей оповещения смотрите раздел руководства Профили оповещений. |
Шаг 4. Создать правило Captive-портала, которое будет использовать созданный на предыдущем шаге Captive-профиль | В разделе Пользователи и устройства-->Captive-портал создать правило, которое будет использовать созданный ранее Captive-профиль. Более подробно о создании правил Captive-портала смотрите раздел руководства Настройка Captive-портала. |
6.11. Radius accounting¶
UserGate может быть настроен на обновление IP-адресов пользователей с помощью серверов Radius, отсылающих информацию Radius accounting. Такая работа зачастую необходима при интеграции UserGate в сети провайдеров, где пользователи получают динамические IP-адреса. Для обновления IP-адреса у пользователей необходимо выполнит следующие шаги:
Наименование | Описание |
|---|---|
Завести пользователя в UserGate | Завести необходимых локальных пользователей в UserGate. Смотрите раздел Пользователи |
Разрешить сервис Агент авторизации на требуемой зоне | В разделе Сеть-->Зоны, выберите зону, на интерфейс которой планируется отсылать Radius-accounting. Разрешите сервис Агент авторизации. Более подробно о настройке зон смотрите в разделе Настройка зон |
Настроить пароль агентов терминального сервиса | В разделе Терминальные серверы, нажмите на кнопку Настройки и укажите пароль агента терминального сервиса. Данный пароль будет использоваться в качестве Radius secret при настройке сервера Radius |
Настроить сервер Radius | Настроить на Radius сервере отсылку информации Radius-accounting на сервер UserGate, указав в качестве IP-адреса сервера IP-адрес UserGate, порт - UDP 1813. Указать Radius secret, совпадающий с паролем агента для терминального сервера, указанным на предыдущем шаге. Настройте сервер таким образом, чтобы имя пользователя передавалось в атрибуте Radius User-Name (type=1), а IP-адрес пользователя в атрибуте Radius Framed-IP-Address (type=8) Более подробно о настройке сервера Radius смотрите в руководстве на используемый вами сервер Radius |
После выполнения данной настройки, UserGate будет изменять IP-адрес пользователя на присылаемый сервером Radius-accounting адрес. В зависимости от передаваемой информации UserGate будет вести себя следующим образом:
Наименование | Описание |
|---|---|
Radius сервер прислал имя пользователя, который не заведен на UserGate | на Accounting-запрос будет ответ Accounting reject |
Radius сервер прислал имя существующего пользователя и указал тип Acct-Status-Type = Start или Interim-Update | Указанному пользователю присвоится переданный IP-адрес. Если у пользователя уже был IP-адрес, отличный от переданного, то пользователю будет присвоено 2 и более IP-адресов. Если пользователю уже присвоен данный IP-адрес, то ничего не происходит. Если этот IP-адрес присвоен другому пользователю, то он будет удален у того пользователя и будет присвоен пользователю, указанному в запросе |
Radius сервер прислал имя существующего пользователя и указал тип Acct-Status-Type = Stop | У указанного пользователя удалится переданный IP-адрес |
6.12. Политики BYOD¶
Многие компании поддерживают работу сотрудников с персональных устройств, принадлежащих самим сотрудникам. Это так называемые устройства BYOD (Bring Your Own Device). UserGate дает администратору возможность управлять BYOD устройствами, например, установив ограничения на типы разрешенных устройств, на количество устройств, с которых пользователь может получить доступ к сети одновременно, или указав конкретные устройства, с которых будет разрешен доступ в интернет.
Примечание
Управление BYOD требует наличия корректно настроенной авторизации пользователей через Captive-портал. Пользовательские устройства, не авторизованные с помощью Captive-портала, не могут управляться с помощью политик BYOD. Более подробно о Captive-портале смотрите в главе .
Для управления устройствами BYOD необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать правило Captive-портала | Подробно о создании правил Captive-портала смотрите раздел Настройка Captive-портала. |
Шаг 2. Создать политику BYOD | Создать одно или несколько правил политики BYOD |
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Если не создано ни одного правила, то разрешены все типы устройств.
Чтобы создать правило политики BYOD, необходимо нажать на кнопку Добавить в разделе правил Политики BYOD и указать необходимые параметры:
Наименование | Описание |
|---|---|
Название | Название правила политики BYOD |
Описание | Описание правила политики BYOD |
Действие | Разрешить - разрешает подключение к сети устройств, удовлетворяющих условиям правила Запретить - запрещает подключение к сети устройств, удовлетворяющих условиям правила |
Подтверждение администратора | Только для разрешающих правил. Если данная опция включена, то после первой успешной авторизации пользователя через Captive-портал устройство пользователя помещается в список устройств BYOD, но доступ в сеть не предоставляется до подтверждения данного устройства администратором |
Разрешено устройств всего | Только для разрешающих правил. Максимальное количество устройств, с которых пользователь может получать доступ в сеть. Если в правиле используются типы пользователей Known, Unknown или Any, то данный параметр не применяется |
Разрешено устройств одновременно | Только для разрешающих правил. Максимальное количество устройств, с которых пользователь одновременно может получать доступ в сеть. Если в правиле используются типы пользователей Known, Unknown или Any, то данный параметр не применяется |
Пользователи и группы | Список пользователей и групп пользователей, для которых применяется данное правило политики BYOD |
Тип устройства | Тип устройств, для которых применяется данное правило политики BYOD |
Устройства, с которых пользователи подключаются в сеть, отображаются в разделе Пользователи и устройства-->Устройства BYOD. Администратор может запретить доступ пользователя с определенного устройства, выбрав устройство в списке и нажав на кнопку Отключить, или разрешить доступ, нажав на кнопку Включить. Здесь же можно подтвердить доступ пользователя с определенного устройства в случае, если политика BYOD требует подтверждение устройства администратором.
7. Политики сети¶
Раздел Политики сети содержит следующие подразделы:
Межсетевой экран
NAT и маршрутизация
Балансировка нагрузки
Пропускная способность
С помощью политик сети администратор может настроить необходимый доступ в интернет для своих пользователей, опубликовать внутренние ресурсы сети в интернете, управлять скоростью передачи данных для определенных сервисов и приложений.
Примечание
Правила, созданные в данных разделах, применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила.
Для предоставления пользователям доступа в интернет необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Создать правило NAT (опционально) | Если необходимо наттирование трафика. Смотрите раздел NAT и маршрутизация. |
Шаг 2. Создать разрешительное правило межсетевого экрана | Смотрите раздел Межсетевой экран. |
Для публикации внутреннего ресурса в интернете необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Создать правило DNAT или правило reverse-прокси | Смотрите раздел Правила DNAT и Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси. |
Чтобы указать для определенного сервиса или адреса выход в интернет через альтернативного провайдера, необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Создать правило Policy based routing | Смотрите раздел Policy-based routing. |
Для того чтобы запретить или разрешить определенный тип трафика, проходящий через UserGate, необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Создать правило межсетевого экрана | Смотрите раздел Межсетевой экран. |
Для того чтобы распределить трафик между несколькими внутренними серверами, необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Создать правило Балансировки нагрузки | Смотрите раздел Балансировка нагрузки. |
Для того чтобы ограничить скорость для определенного сервиса или приложения, необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Создать правило Пропускной способности | Смотрите раздел Пропускная способность. |
7.1. Межсетевой экран¶
С помощью правил межсетевого экрана администратор может разрешить или запретить любой тип транзитного сетевого трафика, проходящего через UserGate. В качестве условий правила могут выступать зоны и IP-адреса источника/назначения, пользователи и группы, сервисы и приложения.
События срабатывания правил межсетевого экрана отображаются в журнале трафика (Журналы и отчёты --> Журнал трафика) при включении опции Журналирование в параметрах правил.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Примечание
Если не создано ни одного правила, то любой транзитный трафик через UserGate запрещен.
Чтобы создать правило межсетевого экрана, необходимо нажать на кнопку Добавить в разделе Политики сети-->Межсетевой экран и указать необходимые параметры.
Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило |
Название | Название правила |
Описание | Описание правила |
Действие | Запретить - блокирует трафик Разрешить - разрешает трафик |
Сценарий | Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии. Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает |
Журналирование | Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
|
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. |
Пользователи | Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства. |
Назначение | Зона назначения трафика и/или списки IP-адресов назначения трафика. |
Сервис | Тип сервиса, например, HTTP или HTTPS |
Приложение | Список приложений, для которых применяется данное правило |
Время | Интервалы времени, когда правило активно |
7.2. NAT и маршрутизация¶
С помощью правил NAT и маршрутизации администратор может создавать правила NAT, DNAT и правила Policy based routing. UserGate поддерживает NAT/DNAT для сложных протоколов, которые могут использовать динамические порты для своей работы. Поддерживаются протоколы FTP, PPTP, SIP, H323.
События срабатывания правил NAT, DNAT, порт-форвардинга, Policy-based routing и Network mapping отображаются в журнале трафика (Журналы и отчёты --> Журнал трафика) при включении опции Журналирование в параметрах правил.
7.2.1. Правила NAT¶
Как правило, для предоставления пользователям доступа в интернет необходимо создать хотя бы одно правило NAT из зоны Trusted в зону Untrusted.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило NAT, необходимо нажать на кнопку Добавить в разделе Политики сети--> NAT и маршрутизация и указать необходимые параметры.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило |
Название | Название правила |
Комментарий | Описание правила |
Тип | Выбрать NAT |
SNAT IP (внешний адрес) | Явно указывает IP-адрес, на который будет заменен адрес источника при наттировании пакетов. Имеет смысл в случае наличия нескольких IP-адресов, назначенных интерфейсам зоны назначения. Если оставить это поле пустым, то система будет использовать произвольный адрес из списка доступных IP-адресов, назначенных интерфейсам зоны назначения. Рекомендуется явно указывать SNAT IP для повышения производительности работы межсетевого экрана |
Журналирование | Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
|
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. |
Назначение | Зона назначения трафика и/или списки IP-адресов назначения трафика. |
Сервис | Тип сервиса, например, HTTP, HTTPS или другой. |
Примечание
Рекомендуется создавать общие правила NAT, например, правило NAT из локальной сети (обычно зона Trusted) в интернет (обычно зона Untrusted), а разграничение доступа по пользователям, сервисам, приложениям осуществлять с помощью правил межсетевого экрана.
7.2.2. Правила DNAT¶
Правила DNAT обычно используются для публикации внутренних ресурсов сети в интернет. Для публикации серверов HTTP/HTTPS рекомендуется использовать публикацию с помощью правил reverse-прокси. Более подробно о публикации ресурсов с помощью правил reverse-прокси описано в главе Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси. Для публикации серверов, работающих по протоколам, отличным от HTTP/HTTPS, необходимо использовать публикацию DNAT.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило DNAT, необходимо нажать на кнопку Добавить в разделе Политики сети--> NAT и маршрутизация и указать необходимые параметры.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Комментарий | Описание правила. |
Тип | Выбрать DNAT. |
Журналирование | Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
|
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Назначение | Один из внешних IP-адресов сервера UserGate, доступный из сети интернет, куда адресован трафик внешних клиентов. |
Сервис | Тип сервиса, который необходимо опубликовать, например, HTTP. Если не указан сервис, то будут опубликованы все сервисы. Важно! Нельзя опубликовать сервисы, которые используют следующие порты, поскольку они используются внутренними сервисами UserGate: 2200, 8001, 4369, 9000-9100. |
Адрес назначения DNAT | IP-адрес компьютера в локальной сети, который публикуется в интернет. |
Включить SNAT | При включении данной опции UserGate будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес. |
7.2.3. Правила порт-форвардинга¶
Правила порт-форвардинга работают аналогично правилам DNAT за исключением того, что эти правила позволяют изменить номер порта, по которому публикуется внутренний сервис. Чтобы создать правило порт-форвардинга, необходимо нажать на кнопку Добавить в разделе Политики сети-->NAT и маршрутизация и указать необходимые параметры.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Комментарий | Описание правила. |
Тип | Выбрать Порт-форвардинг. |
Журналирование | Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
|
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Назначение | Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Порт-форвардинг | Переопределения портов публикуемых сервисов:
|
Адрес назначения DNAT | IP-адрес компьютера в локальной сети, который публикуется в интернете. |
Включить SNAT | При включении данной опции UserGate будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес. |
7.2.4. Policy-based routing¶
Правила policy-based routing обычно используются для указания определенного маршрута в интернет для определенных хостов и/или сервисов. Например, в организации используются 2 провайдера и необходимо весь HTTP-трафик пересылать через провайдера 1, а весь остальной - через провайдера 2. Для этого необходимо указать в качестве шлюза по умолчанию в интернет-шлюз провайдера 2 и настроить правило policy-based routing для HTTPS-трафика через шлюз провайдера 1.
Примечание
Правила PBR не заменяют и не влияют на работу правил NAT. Для трансляции адресов, после правила PBR необходимо поставить соответствующее правило NAT.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило policy-based routing, необходимо нажать на кнопку Добавить в разделе Политики сети-->NAT и маршрутизация и указать необходимые параметры.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Комментарий | Описание правила. |
Тип | Выбрать Policy-based routing. |
Шлюз | Выбор одного из существующих шлюзов. Вы можете добавить шлюз в разделе Сеть-->Шлюзы. Важно! Выбранный шлюз может относиться к определенному виртуальному маршрутизатору. |
Журналирование | Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
|
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Кроме IP-адреса можно указать список MAC-адресов, для которых будет применятся правило. |
Назначение | Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Сервис | Тип сервиса, например, HTTP, HTTPS или другой. |
7.2.5. Network mapping¶
Правила Network mapping позволяют подменить адрес сети источника или назначения. Как правило это необходимо, если имеется несколько сетей с одинаковой адресацией, например, 192.168.1.0/24, и их необходимо объединить в единую маршрутизируемую сеть. Без подмены адресов сетей такое объединение совершить невозможно. Network mapping изменяет только адрес сети, оставляя адрес хоста без изменений, например, при замене сети источника с 192.168.1.0/24 на 192.168.2.0/24 хост 192.168.1.1 будет изменен на 192.168.2.1.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Чтобы создать правило Network mapping, необходимо нажать на кнопку Добавить в разделе Политики сети-->NAT и маршрутизация и указать необходимые параметры.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Комментарий | Описание правила. |
Тип | Выбрать Network mapping. |
Журналирование | Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
|
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. |
Назначение | Списки IP-адресов назначения трафика. |
Сервис | Тип сервиса, например, HTTP, HTTPS или другой. |
Network mapping | Задаются параметры подмены сетей. Направление:
|
7.3. Балансировка нагрузки¶
UserGate позволяет осуществлять балансировку нагрузки на различные сервисы, находящиеся внутри локальной сети. Балансировка может быть предоставлена:
Для внутренних серверов, публикуемых в интернете (DNAT)
Для внутренних серверов без публикации.
Для балансировки трафика, пересылаемого на внешние серверы (ферму) ICAP-серверов
Для балансировки трафика на серверы, публикуемые через reverse-прокси.
Балансировщик распределяет запросы, поступающие на IP-адрес виртуального сервера, на IP-адреса реальных серверов, используя при этом различные методы балансировки. Чтобы настроить балансировку, необходимо в разделе Политики сети-->Балансировка нагрузки создать правила балансировки.
Для создания правила балансировки для серверов TCP/IP необходимо выбрать пункт Добавить балансировщик TCP/IP и указать следующие параметры:
Наименование | Описание |
|---|---|
Включен | Включает или отключает данное правило. |
Название | Название правила балансировки. |
Описание | Описание правила балансировки. |
IP-адрес виртуального сервера | Необходимо выбрать из списка IP-адресов, назначенных на сетевые интерфейсы. При необходимости администратор может добавить дополнительные IP-адреса на желаемый интерфейс. |
Порт | Порт, для которого необходимо производить балансировку нагрузки. |
Протокол | Протокол - TCP или UDP - для которого необходимо производить балансировку нагрузки. |
Метод балансировки | Возможны 4 различных метода распределения нагрузки на реальные серверы:
|
Реальные серверы | Добавляется пул реальных серверов, на которые перенаправляется трафик. Для каждого из серверов необходимо указать:
|
Аварийный режим | Аварийный режим используется, когда не доступен ни один из реальных серверов. Для активации аварийного режима необходимо включить его и указать:
|
Мониторинг | С помощью мониторинга можно настроить проверку реальных серверов на определение их работоспособности. Если проверка прошла неуспешно для реального сервера, он исключается из балансировки. |
Режим | Способ мониторинга реальных серверов. Возможны варианты:
|
Интервал проверки | Интервал времени, через которое должна выполняться проверка. |
Время ожидания | Интервал времени ожидания ответа на проверку . |
Число неудачных попыток | Количество попыток проверки реальных серверов, по истечению которого сервер будет считаться неработоспособным и будет исключен из балансировки. |
Примечание
Правила балансировки имеют более высокий приоритет и применяются до правил NAT/DNAT/Маршрутизации.
Балансировщик серверов ICAP позволяет распределить нагрузку на внешние серверы или ферму серверов ICAP, например, на внешнюю ферму серверов с антивирусным ПО. Данный балансировщик затем может быть использован в правилах ICAP. Для создания балансировщика серверов ICAP необходимо выбрать пункт Добавить балансировщик ICAP и указать следующие параметры:
Наименование | Описание |
|---|---|
Включен | Включает или отключает данное правило. |
Название | Название правила балансировки. |
Описание | Описание правила балансировки. |
ICAP-профили | Выбрать ICAP-профили серверов, на которые будет распределяться нагрузка. Более подробно о работе с серверами ICAP читайте в разделе Работа с внешними ICAP-серверами. |
Балансировщик серверов reverse-прокси позволяет распределить нагрузку на внутренние серверы или ферму серверов, публикуемую с помощью правил reverse-прокси. Данный балансировщик затем может быть использован в правилах reverse-прокси. Для создания балансировщика reverse-прокси необходимо выбрать пункт Добавить балансировщик reverse-прокси и указать следующие параметры:
Наименование | Описание |
|---|---|
Включен | Включает или отключает данное правило. |
Название | Название правила балансировки. |
Описание | Описание правила балансировки. |
Reverse-прокси профили | Выбрать reverse-прокси профили серверов, на которые будет распределяться нагрузка). Более подробно о публикации с помощью reverse-прокси читайте в разделе Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси. |
7.4. Пропускная способность¶
Правила управления пропускной способностью используются для ограничения канала для определенных пользователей, хостов, сервисов, приложений.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило пропускной способности, необходимо нажать на кнопку Добавить в разделе Политики сети-->Пропускная способность и указать необходимые параметры.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Полоса пропускания | Выбрать одну из полос пропускания. Полоса пропускания может опционально изменять метки приоритезации трафика DSCP. Создать дополнительные полосы пропускания можно в разделе Полосы пропускания. |
Сценарий | Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Политики безопасности-->Сценарии. Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает. |
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Пользователи | Пользователи или группы пользователей, к которым применится правило. |
Назначение | Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Сервис | Тип сервиса, например, HTTP, HTTPS или другой. |
Приложения | Список приложений, для которых необходимо ограничить полосу пропускания. |
Время | Время, когда данное правило активно. |
8. Политики безопасности¶
Раздел Политики безопасности содержит следующие подразделы:
Фильтрация контента.
Веб-безопасность.
Инспектирование SSL.
Инспектирование SSH.
Система обнаружения вторжений (СОВ).
Правила АСУ ТП.
Сценарии.
Защита почтового трафика.
ICAP-серверы, ICAP-правила.
Правила защиты DOS, профили DOS.
С помощью политик безопасности администратор может:
Настроить фильтрацию HTTP-контента, например, запретить некоторым пользователям доступ к определенным категориям сайтов в заданное время или настроить антивирусную проверку веб-контента.
Настроить опции веб-безопасности, например, включить принудительный безопасный поиск и блокировку рекламы.
Настроить правила инспектирования SSL, например, для всех пользователей расшифровывать HTTPS для категории “Форумы” и для определенной группы - “Социальные сети”. После того как HTTPS расшифрован, к нему могут быть применены политики фильтрации контента и веб-безопасности.
Включить и настроить параметры СОВ.
Настроить проверку почтовых протоколов SMTP и POP3 на проверку на наличие спама и вирусов.
Настроить журналирование или блокировку определенных команд АСУ ТП.
Настроить выборочную передачу трафика на анализ на внешние серверы ICAP, например, на DLP-системы.
Настроить публикацию HTTP/HTTPS серверов.
События срабатывания данных правил регистрируются в соответствующих журналах статистики.
Правила фильтрации контента, веб-безопасности и инспектирования SSL доступны в журнале веб-доступа (Журналы и отчёты --> Журнал веб-доступа).
Правила система обнаружения и предотвращения вторжений - в журнале СОВ (Журналы и отчёты --> Журнал СОВ).
Правила АСУ ТП - в журнале АСУ ТП (Журналы и отчёты --> Журнал АСУ ТП).
Правила Защита от DoS атак - в журнале трафика (Журналы и отчёты --> Журнал трафика).
Все правила журналируются только при включении опции Журналирование в параметрах правил.
8.1. Фильтрация контента¶
С помощью правил фильтрации контента администратор может разрешить или запретить определенный контент, передаваемый по протоколам HTTP и HTTPS, если настроено инспектирование HTTPS. Более того, UserGate может блокировать HTTPS-трафик без дешифрования контента, но только в случае применения правил блокирования по категориям контентной фильтрации UserGate URL filtering или по спискам URL, в которых указаны только имена хостов. В этих случаях UserGate использует SNI (Server Name Indication), а при отсутствии SNI - значения хоста из SSL-сертификата из пользовательских запросов для определения домена.
В качестве условий правила могут выступать:
Пользователи и группы.
Наличие на веб-страницах определенных слов и выражений (морфология).
Принадлежность сайтов категориям.
URL.
Зона и IP-адрес источника.
Зона и IP-адрес назначения.
Тип MIME.
Информация о реферере.
Время.
Useragent браузера пользователя.
HTTP-метод.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Если не создано ни одного правила, то передача любого контента разрешена.
Чтобы создать правило контентной фильтрации, необходимо нажать на кнопку Добавить в разделе Политики безопасности-->Фильтрация контента и указать необходимые параметры.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Действие | Запретить - блокирует веб-страницу. Предупредить - предупреждает пользователя о том, что страница нежелательна для посещения. Пользователь сам решает, отказаться от посещения или посетить страницу. Запись о посещении страницы заносится в журнал. Разрешить - разрешает посещение. |
Записывать в журнал правил | При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики. |
Проверять потоковым антивирусом UserGate | Доступно только для правил с действием Запретить, т.е. при наличии вируса на странице ресурс будет запрещен. Если в правиле присутствуют другие условия (категории, время, и т.д.), то антивирусная проверка будет выполняться только при совпадении всех условий правила. Важно! При выборе в одном правиле методов антивирусной проверки с помощью потокового антивируса UserGate и эвристической проверки правило сработает только в случае, если сработают оба метода проверки. |
Эвристическая проверка | Доступно только для правил с действием Запретить, т.е. при наличии вируса на странице ресурс будет запрещен. Если в правиле присутствуют другие условия (категории, время, и т.д.), то антивирусная проверка будет выполняться только при совпадении всех условий правила. Проверка трафика с помощью эвристического движка накладывает дополнительные требования к производительности системы. Важно! При выборе в одном правиле методов антивирусной проверки с помощью потокового антивируса UserGate и эвристической проверки правило сработает только в случае, если сработают оба метода проверки. |
Сценарий | Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии. Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает. |
Страница блокировки | Указывает страницу блокировки, которая будет показана пользователю при блокировке доступа к ресурсу. Можно использовать внешнюю страницу, указав Использовать внешний URL, либо указать страницу блокировки UserGate. В этом случае можно выбрать желаемый шаблон страницы блокировки, который можно создать в разделе Шаблоны страниц. |
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Назначение | Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Пользователи | Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства. |
Категории | Списки категорий UserGate URL filtering 4.0. Использование категорий требует наличия специальной лицензии. UserGate URL filtering 4.0 - это крупнейшая база электронных ресурсов, разделенных для удобства оперирования на 72 категории. В руках администратора находится управление доступом к таким категориям, как порнография, вредоносные сайты, онлайн-казино, игровые и развлекательные сайты, социальные сети и многие другие. Важно! Начиная с версии UserGate 5.0.6R6 администратор может переопределить категорию на любой сайт, на который по его мнению категория назначена не верно или не назначена совсем. Более подробно процедура изменении категории сайта описана в разделе Запросы в белый список. Важно! Блокировка по категориям сайтов может быть применена к трафику HTTPS без его дешифрования, но без показа страницы блокировки. |
URL | Списки URL. При наличии соответствующей лицензии доступны для использования списки URL, обновляемые разработчиками UserGate, такие, как «Черный список UserGate», «Белый список UserGate», «Черный список Роскомнадзора», «Черный список фишинговых сайтов», «Поисковые системы без безопасного поиска». Администраторы также могут создавать собственные списки URL. Более подробно о работе со списками URL читайте в главе Списки URL. Важно! Блокировка по спискам URL может быть применена к трафику HTTPS без его дешифрования, если в списках указаны только имена хостов (доменов), но без показа страницы блокировки. |
MIME-типы контента | Списки MIME-типов. Предусмотрена возможность управления видеоконтентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы MIME-типов. Более подробно о работе с MIME-типами читайте в главе Типы контента. |
Морфология | Список баз словарей морфологии, по которым будут проверяться веб-страницы. При наличии соответствующей лицензии для использования доступны словари, обновляемые компанией UserGate, в том числе список материалов, запрещенных Министерством Юстиции Российской Федерации, словари по темам «Суицид», «Терроризм», «Порнография», «Нецензурные выражения», «Азартные игры», «Наркотики», «Защита детей ФЗ-436». Словари доступны на русском, английском, немецком, японском и арабском языках. Администраторы также могут создавать собственные словари. Более подробно о работе с морфологическими словарями читайте в главе Морфология. |
Время | Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе Календари. |
Useragent | Useragent пользовательских браузеров, для которых будет применено данное правило. Администратор может добавить необходимые ему Useragent в разделе Useragent браузеров. |
HTTP метод | Метод, используемый в HTTP-запросах, как правило, это POST или GET |
Рефереры | Список URL, в котором указаны рефереры для текущей страницы, таким образом правило сработает, если для данной страницы реферер совпадет со списком указанных URL. Данный функционал удобно использовать, чтобы, например, разрешить доступ к сетям CDN (Content Delivery Network) только посещая определенные сайты, но запретить открытие контента CDN напрямую. |
8.2. Веб-безопасность¶
С помощью раздела Веб-безопасность администратор может включить дополнительные параметры веб-безопасности для протоколов HTTP и HTTPS, если настроено инспектирование HTTPS. Доступны следующие параметры:
Блокировка рекламы. Посещение безопасного сайта может быть связано с принудительным просмотром изображений нежелательного характера, размещенных, например, сбоку на странице. UserGate решает эту проблему, выступая в качестве «баннерорезки».
Функция «Инжектировать скрипт» позволяет вставить необходимый̆ код во все веб-страницы, просматриваемые пользователем. Инжектируемый̆ скрипт будет вставлен в веб-страницы перед тегом </head>.
Принудительное включение безопасного поиска для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. С помощью данного инструмента блокировка нежелательного контента осуществляется средствами поисковых порталов, что позволяет добиться высокой эффективности, например, при фильтрации откликов на запросы по графическому или видеоконтенту.
Включение журналирования поисковых запросов пользователей.
Блокировка приложений социальных сетей. Социальные сети играют большую роль в нашей повседневной жизни, но многие из них предоставляют игровые приложения, использование которых не приветствуется большинством компаний. UserGate может блокировать приложения, не затрагивая при этом обычную функциональность социальных сетей.
В качестве условий правила могут выступать:
Источник трафика.
Пользователи и группы.
Время.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Примечание
Если не создано ни одного правила, то дополнительные функции веб-безопасности не применяются.
Чтобы создать правило контентной фильтрации необходимо нажать на кнопку Добавить в разделе Политики безопасности--> Веб-безопасность и указать необходимые параметры.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Записывать в журнал правил | При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики. |
Блокировать рекламу | Активирует блокировку рекламы. Нажав на Исключения, администратор может выбрать URL-список сайтов, для которых блокировать рекламу не требуется. |
Инжектор | Позволяет вставить произвольный код во все веб-страницы. Для редактирования вставляемого кода необходимо нажать на кнопку Код инжектора. |
Безопасный поиск | Принудительно включает функцию безопасного поиска. |
История поиска | Активирует запись поисковых запросов пользователей в журнал. |
Блокировать приложения социальных сетей | Блокирует приложения в популярных социальных сетях. |
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Пользователи | Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства. |
Время | Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе Календари. |
8.3. Инспектирование SSL¶
С помощью данного раздела администратор может настроить инспекцию данных, передаваемых по протоколу TLS/SSL, это в первую очередь HTTPS, а также почтовые протоколы SMTPS и POP3S. В UserGate используется известная технология man-in-the-middle (MITM), при которой контент расшифровывается на сервере, а затем анализируется.
Инспектирование SSL необходимо для корректной работы правил фильтрации контента и правил веб-безопасности. Дешифрование SMTPS иPOP3S необходимо для блокирования спама и вирусной проверки почтового трафика.
С помощью правил данного раздела можно настроить инспектирование HTTPS только для определенных категорий, например, «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и при этом не расшифровывать другие категории, например, «Финансы», «Правительство» и т.п. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе - SNI (Server Name Indication), а если SNI отсутствует, то поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется.
После дешифрования данные шифруются сертификатом, выписанным центром сертификации, указанным в разделе Сертификаты. Чтобы браузеры пользователя не выдавали предупреждение о подмене сертификата, необходимо добавить сертификат центра сертификации в доверенные корневые сертификаты. Более подробно это описано в разделе Приложение 1. Установка сертификата локального удостоверяющего центра.
Аналогично браузерам пользователя некоторые почтовые серверы и пользовательские почтовые программы не принимают почту, если сертификат был подменен. В этом случае необходимо произвести в почтовых программах настройки, отключающие проверку сертификатов, или добавить исключения для сертификата UserGate. Подробно о том, как это сделать, смотрите в документации на почтовое ПО.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Примечание
Если не создано ни одного правила, то SSL не перехватывается и не дешифруются, соответственно, контент, передаваемый по SSL, не фильтруется.
Чтобы создать правило инспектирования SSL, необходимо нажать на кнопку Добавить в разделе Политики безопасности-->Инспектирование SSL и указать необходимые параметры.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Записывать в журнал правил | При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики. |
Действие | Расшифровать Не расшифровывать |
Профиль SSL | Выбор профиля SSL. Параметры, указанные в данном профиле, будут использованы как для установки SSL-соединения от браузера пользователя к серверу UserGate, так и при построении SSL-соединения от сервера UserGate к запрашиваемому веб-ресурсу. Подробно о профилях SSL смотрите в главе Профили SSL. |
Блокировать сайты с некорректными сертификатами | Позволяет блокировать доступ к серверам, предоставляющим некорректный сертификат HTTPS, например, если сертификат истек, отозван, выписан на другое доменное имя или не доверяемым центром сертификации. |
Проверять по списку отозванных сертификатов | Проверять сертификат сайта в списке отозванных сертификатов (CRL) и блокировать, если он там найден. |
Блокировать сертификаты с истекшим сроком действия | Блокировать сертификаты, срок действия которых истек. |
Блокировать самоподписанные сертификаты | Блокировать самоподписанные сертификаты. |
Пользователи | Список пользователей и групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства. |
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Адрес назначения | Списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Сервис | Сервис, для которого необходимо дешифровать трафик. Может быть HTTPS, SMTPS, POP3S. |
Категории | Списки категорий UserGate URL filtering 4.0. |
Домены | Списки доменов. Доменные имена, для которых применяется данное правило. Доменные имена создаются как списки URL за исключением того, что для инспектирования HTTPS могут быть использованы только доменные имена (www.example.com, а не http://www.example.com/home/). Более подробно о работе со списками URL читайте в главе Списки URL. |
Время | Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе Календари. |
По умолчанию создано правило инспектирования SSL Decrypt all for unknown users, которое необходимо для авторизации неизвестных пользователей через Captive-портал.
8.4. Инспектирование SSH¶
При помощи данного раздела администратор может настроить инспекцию данных, передаваемых по протоколу SSH (Secure Shell). SSH также позволяет создавать шифрованные туннели для практически любых сетевых протоколов.
Правила данного раздела могут инспектировать SSH-трафик для определённых пользователей и/или их групп, зон и адресов источников и получателей данных, а также типов сервисов, передаваемых через SSH-туннель. Имеется календарь для применения каждого правила в выбранные дни недели и время суток.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Примечание
Если не создано ни одного правила или все правила отключены, то SSH не перехватывается и не дешифруется, то есть передаваемые по SSH данные не инспектируются.
Что бы включить возможность инспектирования контента SSH необходимо
Наименование | Описание |
|---|---|
Шаг 1. Разрешить сервис SSH-прокси на необходимой зоне | В разделе Сеть-->Зоны разрешить сервис SSH-прокси для той зоны, со стороны которой будет инициирован трафик SSH. |
Шаг 2. Создать необходимые правило инспектирования SSH | Правило инспектирования SSH определяет критерии и действия, применяемые к трафику SSH. |
Чтобы создать правило инспектирования SSH, необходимо нажать на кнопку Добавить в разделе Политики безопасности --> Инспектирование SSH и указать необходимые параметры.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Действие | Расшифровывать или не расшифровывать передаваемые данные. |
Записывать в журнал правил | Регистрировать срабатывание правила в соответствующем журнале статистики (лог-файле). |
Блокировать удаленный запуск shell | Не разрешать удаленному пользователю запуск shell (интерпретатора командной строки, оболочки). |
Блокировать удаленное выполнение по SSH | Не разрешать удаленному пользователю выполнение любых команд и скриптов по SSH. |
Редактировать команду SSH | Команда linux, которую требуется передать, в формате ssh user@host 'command' Например, ssh root@192.168.1.1 reboot |
Блокировать SFTP | Блокировать соединение SFTP (Secure File Transfer Protocol). |
Вставить | Место вставки создаваемого правила в списке правил – наверх, вниз или выше выбранного существующего правила. |
Пользователи | Список пользователей и групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей читайте в главе Пользователи и устройства. |
Источник | Зоны и/или списки IP-адресов источника трафика. Подробнее о работе со списками IP-адресов читайте в главе IP-адреса. |
Адрес назначения | Списки IP-адресов назначения трафика. Подробнее о работе со списками IP-адресов читайте в главе IP-адреса. |
Сервис | Сервис, для которого необходимо дешифровать трафик. Поле обязательно для заполнения. |
Время | Временной интервал, в течение которого правило активно. Можно добавить разнообразные периоды в разделе Календари. |
8.5. Система обнаружения и предотвращения вторжений¶
Система обнаружения и предотвращения вторжений (СОВ), или Intrusion Detection and Prevention System (IDPS), позволяет распознавать вредоносную активность внутри сети или со стороны интернета. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз, а также предоставление отчетов. Выявление проблем безопасности осуществляется с помощью использования эвристических правил и анализа сигнатур известных атак. База данных правил и сигнатур предоставляется и обновляется разработчиками UserGate при наличии соответствующей лицензии. СОВ отслеживает и блокирует подобные атаки в режиме реального времени. Возможными мерами превентивной защиты являются обрыв соединения, оповещение администратора сети и запись в журнал.
Для начала работы СОВ необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Создать необходимые профили СОВ | Профиль СОВ - это набор сигнатур, релевантных для защиты определенных сервисов. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты сервиса. Например, для защиты сервиса, работающего по протоколу TCP, не стоит добавлять сигнатуры, разработанные для протокола UDP. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора. |
Шаг 2. Создать требуемые правила СОВ | Правила СОВ определяют действие СОВ для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями СОВ. |
Для настройки профилей СОВ необходимо создать профиль в разделе Библиотеки-->Профили СОВ и затем добавить в него необходимые сигнатуры. Сигнатуры СОВ поставляются и постоянно обновляются UserGate при наличии соответствующей подписки. Каждая сигнатура имеет определенные поля:
Наименование | Описание |
|---|---|
Сигнатура | Название сигнатуры. |
Риск | Риск сигнатуры по 5-бальной шкале |
Протокол | Протокол, для которого разработана данная сигнатура:
|
Категория | Категория сигнатуры - группа сигнатур, объединенных общими параметрами. Список категорий может быть пополнен.
|
Класс | Класс сигнатуры определяет тип атаки, которая детектируется данной сигнатурой. Определяются также общие события, которые не относятся к атаке, но могут быть интересны в определенных случаях, например, обнаружение установления сессии TCP. Поддерживаются следующие классы:
|
При добавлении сигнатур в профиль СОВ администратор может использовать гибкую возможность фильтрации сигнатур, например, выбрать только те сигнатуры, которые имеют очень высокий риск, протокол - TCP, категория - botcc, класс - все.
Правила СОВ определяют трафик, к которому применяется профиль СОВ и действие, которое модуль СОВ должен предпринять при срабатывании сигнатуры.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Примечание
Если не создано ни одного правила, то СОВ ничего не анализирует и не защищает от угроз.
Для настройки правил СОВ необходимо нажать на кнопку Добавить в разделе Политики безопасности-->СОВ и заполнить поля правила.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Действие | Возможны следующие варианты:
|
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Назначение | Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Сервис | Тип сервиса, например, HTTP, DNS или другие. |
Профили | Список профилей СОВ, сигнатуры которых будут использованы в данном правиле СОВ. |
Профили исключения | Список профилей СОВ, сигнатуры которых будут исключены из сигнатур, указанных в профилях в разделе Профили. Данная возможность позволяет использовать централизованно создаваемые профили сигнатур, например, Профиль UserGate, изменять содержимое которых администратор не может, но при этом исключить из этого профиля ряд сигнатур, которые избыточны или создают ложные срабатывания. |
8.6. Правила АСУ ТП¶
С помощью правил АСУ ТП администратор может контролировать прохождение трафика автоматизированных систем управления технологическим производством (АСУ ТП) через UserGate. UserGate поддерживает контролирование следующих протоколов АСУ ТП:
IEC 104 (ГОСТ Р МЭК 60870-5-104)
Modbus
DNP3
MMS
OPC UA
Администратору доступна возможность задать интересующие его профили АСУ ТП, в которых указать необходимый набор протоколов и команд, и использовать их в правилах.
Для начала работы с УСУ ТП необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Разрешить сервис SCADA на необходимой зоне | В разделе Сеть-->Зоны разрешить сервис SCADA для той зоны, со стороны которой будет инициирован трафик АСУ ТП. |
Шаг 2. Создать необходимые профили АСУ ТП | Профиль АСУ ТП - это набор элементов, каждый из которых состоит из определенной команды АСУ ТП и адреса. |
Шаг 3. Создать требуемые правила АСУ ТП | Правила АСУ ТП определяют действие для выбранного типа трафика, который будет проверяться модулем АСУ ТП в соответствии с назначенными профилями. |
Для настройки профилей АСУ ТП необходимо создать профиль в разделе Библиотеки--> Профили АСУ ТП и затем добавить в него необходимые команды. Каждая запись имеет определенные поля:
Наименование | Описание |
|---|---|
Название | Название профиля. |
Описание | Описание профиля. |
Записывать в журнал правил | При активации данной опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики. |
Протокол | Выберите протокол АСУ ТП. |
Команда АСУ ТП | Выберите необходимую команду АСУ ТП. |
Адрес АСУ ТП | Укажите адрес АСУ ТП. Можно указать целое 4-байтовое число . |
Правила АСУ ТП определяют трафик, к которому применяется профиль АСУ ТП и действие, которое UserGate должен предпринять при срабатывании правила.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Для создания правила АСУ ТП необходимо нажать на кнопку Добавить в разделе Политики безопасности-->АСУ ТП и заполнить поля правила.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Действие | Возможны следующие варианты:
Дополнительно можно выбрать опцию Записывать в журнал правил, в этом случае факт применения правила к трафику будет записан в соответствующий журнал. |
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Назначение | Списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Сервис | Сервис L4, для которого будет действовать данное правило. |
Профили АСУ ТП | Список профилей АСУ ТП, созданных на предыдущем шаге. |
8.7. Сценарии¶
UserGate позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря концепции SOAR (Security Orchestration, Automation and Response). UserGate реализует данную концепцию с помощью механизма сценариев. Сценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности, позволяя администратору настроить реакцию USERGATE на определенные события, произошедшие за некое продолжительное время. Примером работы сценариев могут являться решение следующих задач:
Заблокировать или ограничить пропускную способность на 30 минут пользователя, у которого за последние 10 минут было обнаружено 5 попыток использования приложения torrent.
Заблокировать или ограничить пропускную способность пользователя или группы пользователей, указанной в правиле, при срабатывании одного из следующих триггеров - открытие пользователем сайтов, относящихся к группе категорий Threats, срабатывание СОВ сигнатур высокого риска для трафика данного пользователя, блокировка вируса в трафике данного пользователя.
Заблокировать или ограничить пропускную способность пользователя, если он выбрал лимит трафика в 10 Гб за месяц.
Примечание
Сценарий является дополнительным условием в правилах межсетевого экрана и в правилах пропускной способности. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.
Для начала работы со сценариями необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать необходимые сценарии | В разделе Политики безопасности-->Сценарии создать необходимые сценарии. |
Шаг 2. Указать созданные сценарии в правилах межсетевого экрана или в правилах пропускной способности | Добавить созданный сценарий в правила межсетевого экрана или в правила пропускной способности. Более подробно о работе с правилами межсетевого экрана или пропускной способности смотрите раздел Политики сети. |
При создании сценария необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает сценарий. |
Название | Название сценария. |
Описание | Описание сценария. |
Применить для | Возможны варианты:
|
Продолжительность | Время в минутах, в течении которого сценарий будет активным после его активации. Столько же будет работать правило межсетевого экрана или пропускной способности, в котором используется данный сценарий. |
Условия | Задаются условия срабатывания сценария. Для каждого условия можно указать количество срабатываний за определенное время, необходимое для срабатывания сценария. Если выбрано несколько условий, то необходимо указать, сработают ли сценарий при совпадении одного или всех условий. |
Условия срабатывания | Возможны следующие условия для использования в сценарии:
|
8.8. Работа с внешними ICAP-серверами¶
UserGate позволяет передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для проверки передаваемых пользователями данных DLP-системами. В данном случае UserGate будет выступать в роли ICAP-клиента.
UserGate поддерживает гибкие настройки при работе с ICAP-серверами, например, администратор может задать правила, согласно которым на ICAP-серверы будет направляться только выборочный трафик, или настроить работу с фермой ICAP-серверов.
Для того, чтобы настроить работу UserGate c внешними серверами ICAP, необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать ICAP-сервер | В разделе Политики безопасности-->ICAP-серверы нажать на кнопку Добавить и создать один или более ICAP-серверов. |
Шаг 2. Создать правило балансировки на ICAP-серверы (опционально) | В случае, если требуется балансировка на ферму ICAP-серверов, создать в разделе Политики сети-->Балансировка нагрузки балансировщик ICAP-серверов. В качестве серверов используются ICAP-серверы, созданные на предыдущем шаге. |
Шаг 3. Создать правило ICAP | В разделе Политики безопасности-->Правила ICAP создать правило, которое будет задавать условия пересылки трафика на ICAP-серверы или фермы серверов. Важно! Правила ICAP применяются сверху вниз в списке правил. Срабатывает только первое правило публикации, для которого совпали все условия, указанные в настройках правила. |
Для создания ICAP-сервера в разделе Политики безопасности-->ICAP-серверы необходимо нажать на кнопку Добавить и заполнить следующие поля:
Наименование | Описание |
|---|---|
Название | Название ICAP-сервера. |
Описание | Описание ICAP-сервера. |
Адрес сервера | IP-адрес ICAP-сервера. |
Порт | TCP-порт ICAP-сервера, значение по умолчанию 1344. |
Максимальный размер сообщения | Определяет максимальный размер сообщения, передаваемого на ICAP-сервер в килобайтах. По умолчанию 0 (отключено). |
Период проверки доступности сервера ICAP | Устанавливает время в секундах, через которое UserGate посылает OPTIONS-запрос на ICAP-сервер, чтобы убедиться, что сервер доступен. |
Пропускать при ошибках | Если эта опция включена, то UserGate не будет посылать данные на сервер ICAP в случаях, когда ICAP-сервер недоступен (не отвечает на запрос OPTIONS). |
Reqmod путь |
|
Respmod путь |
|
Посылать имя пользователя |
|
Посылать IP-адрес |
|
Посылать MAC-адрес |
|
Для создания правила балансировки на серверы ICAP в разделе Политики сети-->Балансировка нагрузки необходимо выбрать Добавить-->Балансировщик ICAP и заполнить следующие поля:
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
ICAP-серверы | Список серверов ICAP, на которые будет распределяться нагрузка, созданный на предыдущем шаге. |
Для создания ICAP-правила необходимо нажать Добавить в разделе Политики безопасности-->ICAP-правила и заполнить необходимые поля.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Действие | Возможны следующие варианты:
|
ICAP-серверы | ICAP-сервер или балансировщик серверов ICAP, куда UserGate будет пересылать запросы. |
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Пользователи | Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. |
Адрес назначения | IP-адреса, GeoIP или списки URL (хостов) назначения трафика. |
MIME-типы контента | Списки MIME-типов. Предусмотрена возможность управления видеоконтентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы MIME-типов. Более подробно о работе с MIME-типами читайте в главе Типы контента. |
Категории | Списки категорий UserGate URL filtering. |
URL | Списки URL. |
HTTP метод | Метод, используемый в HTTP-запросах, как правило, это POST или GET. |
Сервис | Возможны варианты:
Важно! Перед использованием сервисов SMTP и POP3 в правилах ICAP необходимо создать правило защиты почтового трафика для данных сервисов. Подробнее о защите почтового трафика смотрите в разделе Защита почтового трафика. |
8.9. Защита почтового трафика¶
Раздел Защита почтового трафика позволяет настроить проверку транзитного почтового трафика на предмет наличия в нем вирусов и спам-сообщений. Поддерживается работа с почтовыми протоколами POP3(S) и SMTP(S). Защита почтового трафика требует наличия соответствующего модуля в лицензии UserGate.
Как правило, необходимо защищать почтовый трафик, входящий из интернета на внутренние почтовые серверы компании, и, в некоторых случаях, защищать исходящий почтовый трафик от серверов или пользовательских компьютеров.
Для защиты почтового трафика, приходящего из интернета на внутренние почтовые серверы, необходимо:
Наименование | Описание |
|---|---|
Шаг 1. Опубликовать почтовый сервер в сеть Интернет | Смотрите раздел Правила DNAT. Рекомендуется создать отдельные правила DNAT для SMTP и POP3 протоколов, а не публиковать оба протокола в одном правиле. Обязательно укажите в качестве сервиса протокола SMTP, а не TCP. |
Шаг 2. Включить поддержку сервисов SMTP(S) и POP3(S) в зоне, подключенной к сети Интернет | Смотрите раздел Настройка зон. |
Шаг 3. Создать правила защиты почтового трафика | Создать необходимые правила защиты почтового трафика. Более подробно создание правил описано ниже в этой главе. |
Для защиты почтового трафика в случаях, когда не требуется публиковать почтовый сервер, действия сводятся к следующим шагам:
Наименование | Описание |
|---|---|
Шаг 1. Создать правила защиты почтового трафика | Создать необходимые правила защиты почтового трафика. Более подробно создание правил описано ниже в этой главе. |
Для настройки правил фильтрации почтового трафика необходимо нажать на кнопку Добавить в разделе Политики безопасности-->Защита почтового трафика и заполнить поля правила.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Если не создано ни одного правила, то почтовый трафик не проверяется.
Примечание
Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Действие | Действие, применяемое к почтовому трафику при совпадении всех условий правила:
|
Проверка | Метод проверки почтового трафика:
|
Заголовок | Поле, куда помещать тег маркировки. |
Маркировка | Текст тега, который маркирует письмо. |
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Назначение | IP-адреса, GeoIP или списки URL (хостов) назначения трафика. |
Пользователи | Пользователи или группы пользователей, к которым применяется данное правило. |
Сервис | Почтовый протокол (POP3 или SMTP), к которому будет применено данное правило. |
Envelop from | Почтовый адрес отправителя письма, указанный в поле Envelop from. Только для протокола SMTP. |
Envelop to | Почтовый адрес адресата письма, указанный в поле Envelop to. Только для протокола SMTP. |
Рекомендуемые настройки защиты от спама следующие.
Для протокола SMTP(S):
Первое правило в списке - блокировка с помощью DNSBL. Рекомендуется оставить списки исключений по Envelop from/Envelop to пустыми. В этом случае DNSBL будет отбрасывать подключения SMTP-серверов, замеченных в распространении спама, еще на этапе коннекта. При наличии e-mail адресатов в исключениях система будет вынуждена принимать сообщения целиком для анализа этих полей, что увеличит нагрузку на сервер и ухудшит производительность проверки почтового трафика.
Второе правило - маркировка писем с помощью антиспама UserGate. Здесь можно использовать любые исключения, в том числе и по Envelop from/Envelop to.
Для протокола POP3(S):
Действие - Маркировать.
Проверка - Антиспам UserGate.
8.10. Защита от DoS атак¶
UserGate позволяет гранулировано настроить параметры защиты сети от сетевого флуда (для протоколов TCP (SYN-flood), UDP, ICMP). Грубая настройка производится в свойствах зон (смотрите раздел Настройка зон), более точная настройка производится в данном разделе. Используя правила защиты DoS, администратор может указать специфические настройки защиты от DoS атак для определенного сервиса, протокола, приложения и т.п. Чтобы создать правила защиты DoS администратору необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать профили DoS защиты | В разделе Политики безопасности-->Профили DoS нажать на кнопку Добавить и создать один или более профилей DoS защиты. |
Шаг 2. Создать правила защиты DoS | В разделе Политики сети-->Правила защиты DoS создайте правила, используя профили защиты, созданные на предыдущем шаге. |
Настройка профиля защиты DoS подобна настройке защиты от DoS на зонах UserGate. При создании профиля необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Название | Название профиля. |
Описание | Описание профиля. |
Агрегировать | Данная настройка регулирует, будет ли UserGate суммировать количество пакетов, проходящих в секунду, для всех IP-адресов источника трафика, или будет производить подсчет индивидуально для каждого IP-адреса. В случае активации данной настройки необходимо устанавливать достаточно высокие значения количества пакетов/сек в настройках закладки Защита DoS и в закладке Защита ресурсов. |
Защита DoS | Данная настройка позволяет указать параметры защиты от сетевого флуда для протоколов TCP (SYN-flood), UDP, ICMP:
|
Защита ресурсов | Данная настройка позволяет ограничить количество сессий, которые будут разрешены для защищаемого ресурса, например, опубликованного сервера:
|
Чтобы создать правило защиты DoS, необходимо нажать на кнопку Добавить в разделе Политики безопасности-->Правила защиты DoS и указать необходимые параметры.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Действие | Запретить - безусловно блокирует трафик подобно действию правил Межсетевого экрана. Разрешить - разрешает трафик, защита от DoS не применяется. Может быть использовано для создания исключений. Защитить - применить профиль защиты от DoS атак. |
Профиль DoS | В случае, если выбрано действие Защитить, необходимо указать профиль защиты DoS. |
Сценарий | Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии. Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает. |
Записывать в журнал правил | Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
|
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. |
Пользователи | Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства. |
Назначение | Зона назначения трафика и/или списки IP-адресов назначения трафика. |
Сервис | Тип сервиса, например, HTTP или HTTPS. |
Время | Интервалы времени, когда правило активно. |
9. Глобальный портал¶
Веб-портал и reverse-прокси, наряду с правилами DNAT/Порт-форвардинга, позволяют опубликовать ресурсы, находящиеся внутри компании, пользователям из интернета.
При наличии публикаций внутренних ресурсов с помощью DNAT/Порт-форвардинга, Reverse-прокси и веб-портала порядок обработки правил следующий:
Правила DNAT.
Правила веб-портала. Если имя хоста в запросе совпало с именем хоста веб-портала, и номер порта в запросе совпал с номером порта, указанного для работы веб-портала, то отрабатывают правила веб-портала.
Правила Reverse-прокси.
9.1. Веб-портал (SSL VPN)¶
Веб-портал позволяет предоставить доступ к внутренним веб-ресурсам, терминальным и ssh-серверам компании для удаленных или мобильных пользователей, используя при этом только протокол HTTPS. Данная технология не требует установки специального клиента VPN, достаточно обычного браузера.
Для настройки веб-портала необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Включить и настроить веб-портал | В разделе Настройки-->Веб-портал включить и настроить параметры веб-портала. Подробные значения настроек будут описаны далее в этой главе. |
Шаг 2. Разрешить доступ к сервису веб-портала на необходимых зонах | В разделе Сеть-->Зоны разрешить сервис веб-портала для выбранных зон (обычно зона Untrusted). Данное разрешение откроет доступ к порту сервиса, который был указан в настройках веб-портала на предыдущем шаге. |
Шаг 3. Добавить внутренние ресурсы в веб-портал | В разделе Глобальный портал-->Веб-портал добавить URL внутренних ресурсов, к которым необходим доступ пользователей. Подробные значения настроек будут описаны далее в этой главе. |
При настройке веб-портала (раздел Настройки-->Веб-портал) необходимо заполнить следующие поля:
Наименование | Описание |
|---|---|
Вкл | Включает/Выключает веб-портал. |
Имя хоста | Имя хоста, которое пользователи должны использовать, чтобы подключаться к сервису веб-портала. Данное имя должно резолвиться службами DNS в IP-адрес интерфейса UserGate, входящего в зону, на которой разрешен сервис веб-портала . |
Порт | Порт TCP, который будет использоваться сервисом веб-портала. Порт вместе с именем хоста образуют URL для подключения пользователей в виде: https://имя_хоста:порт. |
Профиль авторизации | Профиль авторизации пользователей, который будет использоваться для авторизации пользователей, подключающихся к веб-порталу. Профиль авторизации задает метод авторизации, например, AD-коннектор или локальный пользователь. Также в профиле авторизации можно указать требование использовать мультифакторную авторизацию для доступа к веб-порталу. Более подробно о профилях авторизации смотрите раздел руководства Профили авторизации. |
Шаблон страницы авторизации | Выбрать шаблон страницы авторизации, который будет использоваться для отображения формы для ввода логина и пароля. Создать свою страницу авторизации можно в разделе Шаблоны страниц. |
Шаблон портала | Выбрать шаблон веб-портала, который будет использоваться для отображения ресурсов, доступных через веб-портал. Создать свою страницу авторизации можно в разделе Шаблоны страниц. |
Предлагать выбор домена AD/LDAP на странице авторизации | Показывать выбор домена на странице авторизации веб-портала. |
Показывать CAPTCHA | При включении данной опции пользователю будет предложено ввести код, который ему будет показан на странице авторизации веб-портала. Рекомендуемая опция для защиты от ботов, подбирающих пароли пользователей. |
Профиль SSL | Выбор профиля SSL для построения защищенного канала для отображения веб-портала. Подробно о профилях SSL смотрите в главе Профили SSL. |
Сертификат | Сертификат, который будет использоваться для создания HTTPS-соединения. Если выбран режим Автоматически, то используется сертификат, выпущенный сертификатом SSL дешифрования для роли SSL Captive-портала. Более подробно о ролях сертификатов смотрите в разделе руководства Управление сертификатами. |
Авторизация пользователя по сертификату | Если выбрано, то требует предъявления пользовательского сертификата браузером. Для этого пользовательский сертификат должен быть добавлен в список сертификатов UserGate, ему должна быть назначена роль Пользовательский сертификат и назначен соответствующий пользователь UserGate. Более подробно о пользовательских сертификатах читайте в разделе Управление сертификатами. |
Настройке веб-портала (раздел Глобальный портал-->Веб портал) сводится к тому, что необходимо создать записи публикации URL внутренних веб-ресурсов. Для каждого URL необходимо создать закладку и заполнить следующие поля:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает закладку. |
Название | Название закладки. |
Описание | Описание закладки. |
URL | URL ресурса, который необходимо опубликовать через веб-портал. Указывайте полный URL, начиная с http://, https://, ftp://, ssh:// или rdp:// Важно! Для публикации терминальных серверов необходимо отключить опцию, требующую Network Level Authentication в свойствах RDP доступа на серверах терминального доступа. Аутентификацию пользователей для доступа к серверам в данном случае будет выполнять веб-портал в соответствии со своими настройками. |
Домен прямого доступа | При указанном значении домена прямого доступа пользователь может получить доступ к публикуемому ресурсу, минуя веб-портал, подключаясь к указанному домену. |
Иконка | Иконка, которая будет отображаться на веб-портале для данной закладки. Возможно указать одну из предопределенных иконок, указать внешний URL, по которому доступна иконка или загрузить свою иконку. |
Вспомогательные URL | Вспомогательные URL, необходимые для работы основного URL, но которые нет необходимости публиковать для пользователей. Например, основной URL http://www.example.com получает часть медиаконтента со вспомогательного URL http://cdn.example.com. |
Пользователи | Список пользователей и/или групп пользователей, которым разрешено отображение закладки на веб-портале и которым разрешен доступ к основному и вспомогательным URL. |
Очередность закладок в веб-портала определяет порядок отображения их пользователю. Администратор может менять очередность закладок с помощью кнопок Наверх, Выше, Ниже, Вниз или перетаскивая закладки с помощью мыши.
9.2. Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси¶
Для публикации серверов HTTP/HTTPS рекомендуется использовать публикацию с помощью правил reverse-прокси.
В отличие от публикации с помощью правил DNAT, публикация с использованием reverse-прокси предоставляет следующие преимущества:
Публикация по HTTPS серверов, работающих по HTTP и наоборот.
Балансировка запросов на ферму веб-серверов.
Возможность ограничения доступа к публикуемым серверам с определенных Useragent.
Возможность подмены доменов и путей публикуемых серверов.
Чтобы опубликовать сервер, используя reverse-прокси, необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать сервер reverse-прокси | В разделе Глобальный портал-->Серверы reverse-прокси нажать на кнопку Добавить и создать один или более публикуемых веб-серверов. |
Шаг 2. Создать правило балансировки на серверы reverse-прокси (опционально) | В случае, если требуется балансировка на ферму публикуемых серверов, создать в разделе Политики сети-->Балансировка нагрузки балансировщик reverse-прокси. В качестве серверов используются серверы reverse-прокси, созданные на предыдущем шаге. |
Шаг 3. Создать правило reverse-прокси | В разделе Глобальный портал-->Правила reverse-прокси создать правило, которое будет задавать условия публикации серверов или фермы серверов. Важно! Правила публикации применяются сверху вниз в списке правил. Срабатывает только первое правило публикации, для которого совпали все условия, указанные в настройках правила. |
Шаг 4. Разрешить сервис Reverse-прокси на зоне, с которой необходимо разрешить доступ к внутренним ресурсам | В разделе Сеть-->Зоны разрешите сервис Reverse-прокси для зоны, с которой необходимо разрешить доступ к внутренним ресурсам (обычно зона Untrusted). |
Для создания сервера reverse-прокси разделе Глобальный портал-->Серверы reverse-прокси необходимо нажать на кнопку Добавить и заполнить следующие поля:
Наименование | Описание |
|---|---|
Название | Название публикуемого сервера. |
Описание | Описание публикуемого сервера. |
Адрес сервера | IP-адрес публикуемого сервера. |
Порт | TCP-порт публикуемого сервера. |
HTTPS до сервера | Определяет, требуется ли использовать протокол HTTPS до публикуемого сервера. |
Проверять SSL-сертификат | Включает/отключает проверку валидности SSL-сертификата, установленного на публикуемом сервере. |
Не изменять IP-адрес источника | Оставляет оригинальный IP-адрес источника в пакетах, пересылаемых на публикуемый сервер. Если отключено, то IP-адрес источника заменяется на IP-адрес UserGate. |
Для создания правила балансировки на серверы reverse-прокси в разделе Политики сети-->Балансировка нагрузки необходимо выбрать Добавить-->Балансировщик reverse-прокси и заполнить следующие поля:
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Серверы reverse-прокси | Созданный на предыдущем шаге список серверов reverse-прокси, на которые будет распределяться нагрузка. |
Для создания правила reverse-прокси необходимо нажать на кнопку Добавить в разделе Глобальный портал-->Правила reverse-прокси и заполнить необходимые поля.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Вверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Наименование | Описание |
|---|---|
Включено | Включает или отключает правило. |
Название | Название правила. |
Описание | Описание правила. |
Сервер reverse-прокси | Сервер reverse-прокси или балансировщик reverse-прокси, куда UserGate будет пересылать запросы. |
Порт | Порт, на котором UserGate будет слушать входящие запросы. |
Использовать HTTPS | Включает поддержку HTTPS. |
Сертификат | Сертификат, используемый для поддержки HTTPS-соединения. |
Авторизовать по сертификату | Если выбрано, то требует предъявления пользовательского сертификата браузером. Для этого пользовательский сертификат должен быть добавлен в список сертификатов UserGate, ему должна быть назначена роль Пользовательский сертификат и назначен соответствующий пользователь UserGate. Более подробно о пользовательских сертификатах читайте в разделе Управление сертификатами. |
Источник | Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса. |
Пользователи | Список пользователей и групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Данная вкладка доступна только при использовании HTTPS и авторизации пользователя по сертификату. |
Назначение | Один из внешних IP-адресов сервера UserGate, доступный из сети интернет, куда адресован трафик внешних клиентов. |
Useragent | UserAgent пользовательских браузеров, для которых будет применено данное правило. |
Подмена путей | Подмена домена и/или пути в URL в запросе пользователя. Например, позволяет преобразовать запросы, приходящие на http://www.example.com/path1 в http://www.example.loc/path2 Изменить с - домен и/или путь URL, которые требуется изменить. Изменить на - домен и/или путь URL, на которые требуется заменить старые. Если указан домен в поле Изменить с, то правило публикации будет применено только для запросов, которые пришли именно на этот домен. То есть в данном случае это будет являться условием срабатывания правила. |
10. Настройка VPN¶
VPN (Virtual Private Network - виртуальная частная сеть) - обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, интернет). UserGate позволяет создавать VPN-подключения следующих типов:
VPN-сервер для удаленного доступа клиентов (Remote access VPN). В данном случае UserGate выступает в качестве сервера, а пользователи других устройств выступают в качестве клиентов VPN. UserGate поддерживает работу со стандартными клиентами большинства популярных операционных систем, например, таких, как Windows, Linux, Mac OS X, iOS, Android и другие.
VPN для защищенного соединения офисов (Site-to-Site VPN). В данном случае один сервер UserGate выступает в качестве сервера, а другой UserGate-сервер выступает в роли клиента. Клиент инициирует соединение с сервером. Подключение сервер-сервер позволяет объединить разобщенные офисы компании в единую логическую сеть.
Для создания туннелей используется протокол Layer 2 Tunnelling Protocol (L2TP), а для защиты передаваемых данных - протокол IPSec. Поддерживается многофакторная авторизация пользователей при подключении к сервису VPN.
10.1. VPN для удаленного доступа клиентов (Remote access VPN)¶
Для подключения VPN-клиентов к корпоративной сети необходимо настроить UserGate для выполнения роли VPN-сервера. Для этого необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты | В разделе Сеть-->Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted. |
Шаг 2. Создать зону, в которую будут помещены подключаемые по VPN клиенты | В разделе Сеть-->Зоны создать зону, в которую будут помещены подключаемые по VPN клиенты. Эту зону в дальнейшем можно использовать в политиках безопасности. Рекомендуется использовать уже существующую по умолчанию зону VPN for remote access. |
Шаг 3. Создать правило NAT для созданной зоны | Клиенты подключаются к VPN с использованием Point-to-Point протокола. Чтобы трафик мог ходить из созданной на предыдущем шаге зоны, необходимо создать правило NAT из этой зоны во все необходимые зоны. Создайте соответствующее правило в разделе Политики сети-->NAT и маршрутизация. По умолчанию в UserGate создано правило NAT from VPN for remote access to Trusted and Untrusted, разрешающее наттирование из зоны VPN for remote access в зоны Trusted и Untrusted. |
Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны | В разделе Политики сети-->Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны. По умолчанию в UserGate создано правило межсетевого экрана VPN for remote access to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for remote access в зоны Trusted и Untrusted. |
Шаг 5. Создать профиль авторизации | В разделе Пользователи и устройства-->Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP. VPN поддерживает многофакторную авторизацию. Второй фактор авторизации может быть получен через одноразовые коды TOTP, sms или e-mail. Для ввода второго фактора авторизации пользователь при подключении к VPN серверу должен указать свой пароль в виде: пароль:одноразовый_код где пароль - это пароль пользователя : - разделитель одноразовый_код - второй фактор авторизации. Подробно о профилях авторизации смотрите в разделе данного руководства Профили авторизации. |
Шаг 6. Создать профиль безопасности VPN | Профиль безопасности VPN определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей и использовать их для построения соединений с разными типами клиентов. Для создания профиля необходимо перейти в раздел VPN-->Профили безопасности VPN, нажать кнопку Добавить и заполнить следующие поля:
По умолчанию в UserGate создан серверный профиль Remote access VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, то необходимо изменить общий ключ шифрования. |
Шаг 7. Создать VPN-интерфейс | VPN-интерфейс – это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений. В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:
По умолчанию в системе уже создан VPN-интерфейс tunnel1, который рекомендовано использовать для Remote access VPN. |
Шаг 8. Создать сеть VPN | VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и - опционально - маршруты, которые будут переданы клиентам для применения, если клиенты поддерживает применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов. Для создания туннеля VPN перейдите в раздел VPN-->Сети VPN, нажмите кнопку Добавить и заполните следующие поля:
В UserGate создана сеть Remote access VPN network с рекомендуемыми настройками. |
Шаг 9. Создать серверное правило VPN | Создать серверное правило VPN, используя в нем созданные ранее сеть VPN, интерфейс VPN и профиль VPN. Для создания правила необходимо перейти в раздел VPN-->Серверные правила, нажать кнопку Добавить и заполнить следующие поля:
По умолчанию в UserGate создано серверное правило Remote access VPN rule, в котором используются необходимые настройки для Remote Access VPN, а доступ к VPN разрешен членам локальной группы VPN users. Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Исходная зона и Адрес источника. Параметр Пользователь не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN. |
Шаг 10. Настроить VPN на клиентском компьютере | Для настройки клиентского подключения к VPN на компьютере пользователя необходимо указать следующие параметры:
Важно! Операционные системы Microsoft Windows требуют изменения параметров реестра для корректной работы с VPN-сервером L2TP/IPSec. Обратитесь к статье Microsoft https://support.microsoft.com/en-us/help/926179/how-to-configure-an-l2tp-ipsec-server-behind-a-nat-t-device-in-windows за подробной инструкцией. |
10.2. VPN для защищенного соединения офисов (Site-to-Site VPN)¶
Для создания Site-to-Site VPN необходимо настроить один UserGate для выполнения роли VPN-клиента, а другой - для выполнения роли VPN-сервера. Хотя настройка UserGate для выполнения роли VPN-сервера близка к настройке сервера для удаленного доступа, мы рекомендуем произвести все настройки отдельно, поскольку часть настроек может отличаться.
Настройка сервера, выполняющего роль VPN-сервера для объединения офисов:
Наименование | Описание |
|---|---|
Шаг 1. Создать локального пользователя для авторизации сервера, выступающего в роли VPN-клиента | В разделе Пользователи и устройства --> Пользователи создать пользователей для каждого из удаленных UserGate-серверов, выступающих в роли VPN-клиентов, задать пароли. Рекомендуется поместить всех созданных пользователей в группу, которой будет дан доступ для подключения по VPN. По умолчанию для этой цели в UserGate создана группа VPN servers. |
Шаг 2. Разрешить сервис VPN на зоне, к которой будут подключаться VPN-клиенты | В разделе Сеть-->Зоны отредактировать параметры контроля доступа для той зоны, к которой будут подключаться VPN-клиенты, разрешить сервис VPN. Как правило, это зона Untrusted. |
Шаг 3. Создать зону, в которую будут помещены подключаемые по VPN серверы | В разделе Сеть-->Зоны создать зону, в которую будут помещены подключаемые по VPN серверы. Эту зону в дальнейшем можно будет использовать в политиках безопасности. Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site . |
Шаг 4. Создать разрешающее правило межсетевого экрана для трафика из созданной зоны | В разделе Политики сети-->Межсетевой экран создать правило межсетевого экрана, разрешающее трафик из созданной зоны в другие зоны. По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик из зоны VPN for Site-to-Site в Trusted и Untrusted зоны. Правило выключено по умолчанию. |
Шаг 5. Создать профиль авторизации | В разделе Пользователи и устройства-->Профили авторизации создать профиль авторизации для пользователей VPN. Допускается использовать тот же профиль авторизации, что используется для авторизации пользователей, для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной авторизации, такие как Kerberos, NTLM, SAML IDP. Подробно о профилях авторизации смотрите в разделе данного руководства Профили авторизации. |
Шаг 6. Создать профиль безопасности VPN | Профиль безопасности определяет такие настройки, как общий ключ шифрования (Preshared key) и алгоритмы для шифрования и аутентификации. Допускается иметь несколько профилей безопасности и использовать их для построения соединений с разными типами клиентов. Для создания профиля безопасности необходимо перейти в раздел VPN-->Профили безопасности, нажать кнопку Добавить и заполнить следующие поля:
По умолчанию в UserGate создан профиль безопасности Site-to-Site VPN profile, задающий необходимые настройки. Если вы собираетесь использовать этот профиль, необходимо изменить общий ключ шифрования. |
Шаг 7. Создать VPN-интерфейс | VPN-интерфейс – это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений. В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:
По умолчанию в системе уже создан VPN-интерфейс tunnel2, который рекомендовано использовать для Site-to-Site VPN. |
Шаг 8. Создать Туннель VPN | VPN-сеть определяет сетевые настройки, которые будут использованы при подключении клиента к серверу. Это в первую очередь назначение IP-адресов клиентам внутри туннеля, настройки DNS и - опционально - маршруты, которые будут переданы клиентам для применения, если клиенты поддерживает применение назначенных ему маршрутов. Допускается иметь несколько туннелей с разными настройками для разных клиентов. Для создания туннеля VPN перейдите в раздел VPN-->Сети VPN, нажмите кнопку Добавить и заполните следующие поля:
В UserGate создана сеть Site-to-Site VPN network с настройками по умолчанию. Для использования этой сети в ней необходимо добавить маршруты, передаваемые на сервер-клиент. |
Шаг 9. Создать серверное правило VPN | Создать серверное правило VPN, используя в нем созданные ранее туннель VPN и профиль VPN. Для создания правила необходимо перейти в раздел VPN-->Серверные правила, нажать кнопку Добавить и заполнить следующие поля:
По умолчанию в UserGate создано серверное правило Site-to-Site VPN rule, в котором используются необходимые настройки для Site-to-Site VPN, а доступ к VPN разрешен членам локальной группе VPN servers. Важно! Для применения различных серверных правил к разным клиентам необходимо использовать параметры Исходная зона и Адрес источника. Параметр Пользователь не является условием выбора серверного правила, проверка пользователя происходит уже после установления соединения VPN. |
Для настройки сервера, выступающего в роли VPN-клиента, необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать зону, в которую будут помещен интерфейс, используемый для подключения по VPN | В разделе Сеть-->Зоны создать зону, в которую будут помещены интерфейсы, используемые для подключения по VPN. Эту зону в дальнейшем можно будет использовать в политиках безопасности. Рекомендуется использовать уже существующую по умолчанию зону VPN for Site-to-Site. |
Шаг 2. Создать разрешающее правило межсетевого экрана для трафика в созданную зону | Создать разрешающее правило межсетевого экрана в разделе Политики сети-->Межсетевой экран. По умолчанию в UserGate создано правило межсетевого экрана VPN for Site-to-Site to Trusted and Untrusted, разрешающее весь трафик между зонами VPN for Site-to-Site, Trusted и Untrusted. |
Шаг 3. Создать VPN-интерфейс | VPN-интерфейс – это виртуальный сетевой адаптер, который будет использоваться для подключения клиентов VPN. Данный тип интерфейса является кластерным, это означает, что он будет автоматически создаваться на всех узлах UserGate, входящих в кластер конфигурации. При наличии кластера отказоустойчивости клиенты VPN будут автоматически переключаться на запасной сервер в случае обнаружения проблем с активным сервером без разрыва существующих VPN-соединений. В разделе Сеть-->Интерфейсы нажмите кнопку Добавить, и выберите Добавить VPN. Задайте следующие параметры:
По умолчанию в системе уже создан VPN-интерфейс tunnel3, который рекомендовано использовать для клиентского подключения Site-to-Site VPN. |
Шаг 4. Создать клиентское правило VPN | Создать клиентское правило VPN, которое будет инициировать подключение к VPN-серверу. Для создания правила необходимо перейти в раздел VPN-->Клиентские правила, нажать кнопку Добавить и заполнить следующие поля:
|
После завершения настройки VPN-сервера и VPN-клиента клиент инициирует соединение на сервер, и в случае корректности настроек, поднимается VPN-туннель. Для отключения туннеля выключите клиентское (на клиенте) или серверное правило VPN (на сервере).
11. Библиотеки элементов¶
Данный большой раздел содержит в себе все записи, адреса-сайтов, IP-адреса, шаблоны и прочие элементы, которые используются при настройке правил UserGate.
Первоначальные данные библиотек поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Некоторые элементы библиотек являются нередактируемыми потому, что поставляются и поддерживаются разработчиками UserGate. Библиотеки элементов, поставляемые UserGate, имеют механизм автоматического обновления. Автоматическое обновление элементов требует наличия специальной лицензии. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование UserGate.
11.1. Морфология¶
Морфологический анализ - механизм, который распознает отдельные слова и словосочетания на веб-сайте. Если в тексте содержится достаточное для блокировки количество указанных слов и словосочетаний, то доступ к сайту блокируется.
Морфологический анализ выполняется как при проверке запроса пользователя, так и при получении ответа от веб-сервера и до его передачи пользователю. Получив ответ от веб-сервера, UserGate просматривает текст на странице и подсчитывает его суммарный «вес», исходя из «весов» слов, указанных в морфологических категориях. Если «вес» страницы превышает «вес» морфологической категории, правило срабатывает. При подсчете «веса» страницы учитываются все словоформы (леммы) запрещенных слов. Для поиска словоформ UserGate использует встроенные словари русского, английского, японского, арабского и немецкого языков.
Существует возможность подписки на словари, предоставляемые UserGate. Данные словари нельзя редактировать. Для использования этих словарей необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование UserGate.
Наименование | Описание |
|---|---|
Соответствие списку запрещенных материалов Министерством Юстиции Российской Федерации | Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции Российской Федерации. |
Соответствие списку запрещенных материалов республики Казахстан | Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции республики Казахстан. |
Суицид | Морфологический словарь, содержащий перечень слов и фраз суицидальной направленности. |
Терроризм | Морфологический словарь, содержащий перечень слов и фраз террористической направленности. |
Нецензурная лексика | Морфологический словарь, содержащий перечень слов и фраз, относящихся к нецензурной лексике. |
Азартные игры | Морфологический словарь, содержащий перечень слов и фраз, относящихся к азартным играм. |
Наркотики | Морфологический словарь, содержащий перечень слов и фраз наркотической направленности. |
Соответствие ФЗ-436 (Защита детей) | Морфологический словарь, содержащий перечень слов и фраз тематик, нежелательных для детей. |
Порнография | Морфологический словарь, содержащий перечень слов и фраз порнографической направленности. |
Бухгалтерия (DLP) | Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в бухгалтерии. |
Маркетинг (DLP) | Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в маркетинге. |
Персональные данные (DLP) | Морфологический словарь, содержащий перечень терминов, слов и фраз, встречающихся в персональных данных. |
Финансы (DLP) | Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в финансах. |
Юридический (DLP) | Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в юриспруденции. |
Для фильтрации по морфологическому содержанию страницы требуется:
Наименование | Описание |
|---|---|
Шаг 1. Создать одну или несколько морфологических категорий и указать вес каждой категории | Нажать на кнопку Добавить, задать название новой категории и ее вес. |
Шаг 2. Указать список запрещенных фраз с весами | Нажать на кнопку Добавить и указать необходимые слова или фразы. При добавлении слова в морфологический словарь можно использовать модификатор «!» перед словом, например, «!bassterd». В данном случае жаргонное слово не будет преобразовываться в словоформы, что может серьезно уменьшить вероятность ложной блокировки. |
Шаг 3. Создать правило фильтрации контента, содержащее одну или несколько морфологических категорий | Смотрите раздел Фильтрация контента. |
Администратор имеет возможность создать свой словарь и централизованно распространять его на все устройства UserGate имеющиеся в организации. Для создания такой морфологической базы необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать файл с необходимыми фразами | создать файл list.txt со списком слов в следующем формате: !word1 !word2 !word3 word4 50 … Lastword Вес словаря в таком случае равен 100, вес слова можно указать. По умолчанию он равен 100. |
Шаг 2. Создать архив, содержащий этот файл | Поместить файл в архив zip с именем list.zip. |
Шаг 3. Создать файл с версией словаря | Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря |
Шаг 4. Разместить файлы на веб-сервере | Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания. |
Шаг 5. Создать морфологическую категорию указать URL для обновления словаря | На каждом UserGate создать морфологическую базу. При создании указать адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять словарь при наличии новой версии. |
Примечание
При создании морфологических словарей не рекомендуется добавлять фразы, содержащие более трех слов, без использования символа «!» перед словами. Необходимо помнить, что при построении морфологической базы каждое из слов будет преобразовано во все существующие формы (склонения, спряжения, множественные числа, времена и т.д.), и результирующее количество фраз будет достаточно большим. При добавлении длинных фраз необходимо использовать модификатор «!» перед словами, модификация которых не нужна, как правило это различные предлоги и союзы. Например, фразу «как уйти из жизни безболезненно» правильно добавить в виде «!как уйти !из !жизни безболезненно». Это сократит количество возможных вариантов фраз, но при этом оставит все фразы с требуемым смыслом.
11.2. Сервисы¶
Раздел сервисы содержит список общеизвестных сервисов, основанных на протоколе TCP/IP, например, таких, как HTTP, HTTPS, FTP и другие. Данные сервисы могут быть использованы при построении правил UserGate. Первоначальный список сервисов поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового сервиса необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать сервис | Нажать на кнопку Добавить, дать сервису название, ввести комментарий. |
Шаг 2. Указать протокол и порт | Нажать на кнопку Добавить, выбрать из списка необходимый протокол, указать порты назначения и, опционально, порты источника. Для указания диапазона портов можно использовать - (тире), например, 33333-33355. |
11.3. IP-адреса¶
Раздел IP-адреса содержит список диапазонов IP-адресов, которые могут быть использованы при построении правил UserGate. Первоначальный список адресов поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового списка адресов необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать список | На панели Группы нажать на кнопку Добавить, дать название списку IP-адресов. |
Шаг 2. Указать адрес обновления списка (не обязательно) | Указать адрес сервера, где находится обновляемый список. Более подробно об обновляемых списках смотрите далее в этой главе. |
Шаг 3. Добавить IP-адреса | На панели Адреса из выбранной группы нажать на кнопку Добавить и ввести адреса. Адреса вводятся в виде IP-адрес или IP-адрес/маска сети, например, 192.168.1.5 192.168.1.0/24. |
Администратор имеет возможность создавать свои списки IP-адресов и централизованно распространять их на все компьютеры с установленным UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать файл с необходимыми IP-адресами | Создать файл list.txt со списком адресов. |
Шаг 2. Создать архив, содержащий этот файл | Поместить файл в архив zip с именем list.zip. |
Шаг 3. Создать файл с версией списка | Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка. |
Шаг 4. Разместить файлы на веб-сервере | Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания. |
Шаг 5. Создать список IP-адресов и указать URL для обновления | На каждом UserGate создать список IP-адресов. При создании указать адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии. |
11.4. Useragent браузеров¶
С помощью фильтрации по Useragent браузеров администратор может запретить или разрешить работу пользователей только с определенным типом браузеров.
Первоначальный список Useragent поставляется вместе с продуктом. Для фильтрации по типу Useragent необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать список Useragent | В панели Категории нажать на кнопку Добавить и задать название нового списка UserAgent и, опционально, описание списка и URL обновления. |
Шаг 2. Добавить необходимые Useragent браузеров в новый список | В панели Шаблоны useragent добавить необходимый Useragent. Исчерпывающий список строк Useragent представлен тут: http://www.useragentstring.com/pages/useragentstring.php |
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков | Смотрите раздел Фильтрация контента. |
Администратор имеет возможность создавать свои списки Useragent и централизованно распространять их на все компьютеры с установленным UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать файл с необходимыми Useragent | Создать файл list.txt со списком Useragent. |
Шаг 2. Создать архив, содержащий этот файл | Поместить файл в архив zip с именем list.zip. |
Шаг 3. Создать файл с версией списка | Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка. |
Шаг 4. Разместить файлы на веб-сервере | Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания. |
Шаг 5. Создать список Useragent и указать URL для обновления | На каждом UserGate создать список Useragent. При создании указать адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии. |
11.5. Типы контента¶
С помощью фильтрации типов контента можно блокировать загрузку файлов определенного типа, например, запретить все файлы типа *.doc.
Существует возможность подписки на типы контента, предоставляемые разработчиками UserGate. Данные списки типов контента нельзя редактировать, их можно использовать при определении правил фильтрации контента. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование UserGate.
Для фильтрации по типу контента необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать список типов контента. Если используется предопределенный список UserGate, перейдите к шагу 3. | В панели Категории нажать на кнопку Добавить, задать название нового списка типа контента и, опционально, описание списка и URL обновления. |
Шаг 2. Добавить необходимые MIME-типы в новый список | Добавить необходимый тип контента в данный список в формате MIME. Различные типы MIME описаны в интернете, например, здесь - http://www.webmaster-toolkit.com/mime-types.shtml. Например, для блокировки документов типа *.doc необходимо добавить MIME-тип «application/msword». |
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков | Смотрите раздел Фильтрация контента. |
Администратор имеет возможность создавать свои списки типов контента и централизованно распространять их на все компьютеры с установленным UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать файл с необходимыми типами контента | Создать файл list.txt со списком типов контента. |
Шаг 2. Создать архив, содержащий этот файл | Поместить файл в архив zip с именем list.zip. |
Шаг 3. Создать файл с версией списка | Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка. |
Шаг 4. Разместить файлы на веб-сервере | Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания. |
Шаг 5. Создать список типа контента и указать URL для обновления | На каждом UserGate создать список типа контента. При создании указать адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии. |
11.6. Списки URL¶
Страница предназначена для задания списков указателей URL, которые могут быть использованы в правилах контентной фильтрации в качестве черных и белых списков.
Компания UserGate предоставляет собственные обновляемые списки. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование UserGate.
Наименование | Описание |
|---|---|
Список поисковых систем без безопасного поиска | Список известных поисковых систем, на которых отсутствует возможность блокировки поисковых запросов взрослого содержания. Рекомендуется блокировать такие поисковики для целей родительского контроля. |
Соответствие списку запрещенных URL Министерства Юстиции РФ | Данный список содержит URL, запрещенные Министерством Юстиции Российской Федерации. |
Соответствие списку запрещенных URL Республики Казахстан | Единый реестр доменных имен, указателей страниц сайтов в сети интернет и сетевых адресов, содержащих информацию, распространение которой запрещено в Республике Казахстан. |
Список образовательных учреждений | Список доменных имен образовательных учреждений РФ. |
Список фишинговых сайтов | Данный список содержит URL фишинговых сайтов. |
Соответствие реестру запрещенных сайтов Роскомнадзора (URL) | Единый реестр указателей страниц сайтов в сети интернет, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru. |
Соответствие реестру запрещенных сайтов Роскомнадзора (домены) | Единый реестр доменных имен, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru. |
Для фильтрации с помощью списков URL необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать список URL | В панели Списки URL нажать на кнопку Добавить, задать название нового списка. |
Шаг 2. Добавить необходимые записи в новый список | Добавить записи URL в новый список. В списках можно использовать специальные символы «^», «$» и «*»: «*» - любое количество любых символов «^» - начало строки «$» - конец строки Символы «?» и «#» не могут быть использованы. |
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков | Смотрите раздел Фильтрация контента. |
Если URL-запись начинается с «:guielement:` http:// », «:guielement: https:// », :guielement:`ftp:// или содержит один или более символов «:guielement:` / `», то это считается URL и применяется только для HTTP(S) фильтрации, к DNS-фильтрации такая запись не применяется. В противном случае строка рассматривается как имя домена и применяется для DNS-фильтрации и HTTP(S)-фильтрации.
Если вы хотите заблокировать точный адрес, используйте символы «:guielement:` ^ » и «:guielement: $ `»:
«:guielement:` ^http://domain.com/exacturl$ `»
Для блокирования точного URL всех дочерних папок используйте символ «:guielement:` ^ `»:
«:guielement:` ^http://domain.com/exacturl/ `»
Для блокирования домена со всеми возможными URL используйте запись такого вида:
«:guielement:` domain.com `»
Пример интерпретации URL-записей:
Пример записи | Обработка DNS- запросов | Обработка HTTP-запросов |
|---|---|---|
yahoo.com или *yahoo.com* | Блокируется весь домен и домены 3 уровня, например: sport.yahoo.com mail.yahoo.com а также: qweryahoo.com | блокируется весь домен и все URL этого домена и домены 3 уровня, например: |
^mail.yahoo.com$ | Заблокирован только mail.yahoo.com | заблокированы только http://mail.yahoo.com |
^mail.yahoo.com/$ | Ничего не заблокировано | Ничего не заблокировано, так как последний символ слэш определяет URL, но не указаны «https» или «http» |
^http://finance.yahoo.com/personal-finance/$ | Ничего не заблокировано | заблокирован только |
^yahoo.com/12345/ | Ничего не заблокировано | заблокированы |
Администратор имеет возможность создавать собственные списки и централизованно распространять их на все компьютеры с установленным UserGate. Для создания таких списков необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать файл с необходимым списком URL | Создать текстовый файл list.txt со списком URL в следующем формате: www.site1.com/url1 www.site2.com/url2 … www.siteend.com/urlN |
Шаг 2. Создать архив, содержащий этот файл | Поместить файл в архив zip с именем list.zip. |
Шаг 3. Создать файл с версией списка | Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка. |
Шаг 4. Разместить файлы на веб-сервере | Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания. |
Шаг 5. Создать список типа контента и указать URL для обновления | На каждом UserGate создать список URL. При создании указать адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте каждые 4 часа и обновлять список при наличии новой версии. |
11.7. Календари¶
Календари позволяют создать временные интервалы, которые затем можно использовать в различных правилах UserGate. Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового календаря необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать календарь | В панели Группы нажать на кнопку Добавить, указать название календаря и его описание. |
Шаг 2. Добавить временные интервалы в календарь | В панели Элементы нажать на кнопку Добавить и добавить интервал. Дать название интервалу и указать время. |
11.8. Полосы пропускания¶
Элемент библиотеки Полоса пропускания определяет скорость передачи данных, которую возможно в дальнейшем использовать в правилах управления полосой пропускания. Более подробно о правилах управления полосой пропускания смотрите в главе Пропускная способность.
Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления новой полосы пропускания необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать полосу пропускания | Нажать на кнопку Добавить, дать название, описание. |
Шаг 2. Указать скорость | Указать скорость в Кбит/сек. |
Шаг 3. Указать значение DCSP для QoS | Необязательный параметр. Если установлен, то будет прописываться в каждый IP пакет. Диапазон от 0 до 63. |
11.9. Профили АСУ ТП¶
Профиль АСУ ТП - это набор элементов, каждый из которых состоит из определенной команды АСУ ТП и адреса. Профиль АСУ ТП используется в правилах АСУ ТП. Более подробно о фильтрации трафика АСУ ТП читайте в разделе Правила АСУ ТП.
11.10. Шаблоны страниц¶
С помощью шаблонов страниц администратор может управлять видом страницы блокировки и страницы авторизации Captive-портала. Администратор может использовать разные шаблоны для разных правил фильтрации контента и правил Captive-портала.
UserGate поставляется с различными типами шаблонов - шаблоны страниц блокировки, Captive-портала, веб-портала, инициализации TOTP и др. Они могут использованы как образцы для создания пользовательских шаблонов, например, в фирменном стиле компании или на необходимом языке.
Наименование | Описание |
|---|---|
Шаблоны Blockpage (EN) и Blockpage (RU) | Стандартные шаблоны блокировки на английском и русском языках. |
Шаблоны Captive portal user auth (EN) и Captive portal user auth (RU) | Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль). При успешной авторизации пользователь получает доступ в интернет. |
Шаблоны Captive portal user auth + policy (EN) и Captive portal user auth + policy (RU) | Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль), правила пользования сетью (соглашение об использовании), а также требует принятия пользователем правил политики доступа. При успешной авторизации пользователь получает доступ в интернет. |
Шаблоны Captive portal: email auth (EN) и Captive portal: email auth (RU) | Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя письмом по e-mail. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле. |
Шаблон Captive portal: SMS auth (EN) и Captive portal: SMS auth (RU) | Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя с помощью SMS. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле. |
Шаблон Captive portal policy (EN) и Captive portal policy (RU) | Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон не требует ввода имени и пароля пользователя, а выводит правила пользования сетью (соглашение об использовании) и требует принятия пользователем правил политики доступа. При согласии с политикой доступа пользователь получает доступ в интернет. Для работы данного шаблона требуется установить метод Принять политику в качестве метода аутентификации в Captive-профиле. |
Шаблоны Captive portal user session (EN) и Captive portal user session (RU) | Шаблоны на английском и русском языках, с помощью которых пользователь может завершить свою авторизованную сессию, перейдя на страницу http://logout.captive или http://USERGATE_IP/cps . |
Шаблоны Content warning (EN) и Content warning (RU) | Шаблоны на английском и русском языках, содержащие страницу предупреждения, отображаемую при срабатывании правила контентной фильтрации с действием Предупредить. |
Шаблоны FTP client (EN) и FTP client (RU) | Шаблоны на английском и русском языках для отображения контента FTP-серверов поверх HTTP. |
Шаблоны SSL VPN (EN) и (RU) | Шаблоны на английском и русском языках для отображения страницы веб-портала. |
Шаблоны SSL VPN RDP (EN) и (RU) | Шаблоны на английском и русском языках для отображения страницы аутентификации при подключении к ресурсам RDP через веб-портал. |
Шаблоны SSL VPN SSH (EN) и (RU) | Шаблоны на английском и русском языках для отображения страницы аутентификации при подключении к ресурсам SSH через веб-портал. |
Шаблоны TOTP INIT PAGE (EN) и TOTP INIT PAGE (RU) | Шаблоны на английском и русском языках для отображения страницы инициализации устройства TOTP для VPN-пользователей. |
Для создания собственного шаблона необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Экспортировать существующий шаблон, поставляемый по умолчанию | Выбрать один из существующих шаблонов, нажать на кнопку Экспорт и сохранить шаблон в файле. |
Шаг 2. Изменить экспортированный шаблон | Используя редактор, изменить содержание шаблона. Не рекомендуется использовать специальные редакторы, предназначенные для редактирования HTML-файлов, поскольку они могут испортить внутреннюю структуру шаблона. Используйте простые редакторы текста. |
Шаг 3. Создать новый шаблон | Нажать на кнопку Добавить, выбрать соответствующий тип шаблона, задать название шаблону и сохранить его. |
Шаг 4. Импортировать измененный на шаге 2 шаблон | Выделить вновь созданный шаблон, нажать на кнопку Импорт и выбрать файл с измененным шаблоном. |
11.11. Категории URL¶
Элемент библиотеки Категории URL позволяет создать группы категорий UserGate URL filtering для более удобного использования в правилах фильтрации контента. Например, администратор может создать группу категорий «Бизнес категории» и поместить в нее необходимые категории.
Для использования категорий UserGate URL filtering требуется наличие специальной лицензии.
Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы.
Наименование | Описание |
|---|---|
Threats | Набор категорий, рекомендованных для блокировки в целях обеспечения безопасности сети. |
Parental Control | Набор категорий, рекомендованных для блокировки в целях защиты детей от нежелательного контента. |
Productivity | Набор категорий, рекомендованных для блокировки в целях повышения эффективности работы сотрудников. |
Safe categories | Набор категорий, считаемых безопасными для посещения. Рекомендуется отключать морфологическую проверку, перехват HTTPS-трафика для данной группы категорий в целях уменьшения количества ложных срабатываний. |
Recommended for morphology checking | Набор категорий, рекомендованных для проверки с помощью морфологического анализа. Из этого набора исключены такие категории, как «Новости», «Финансы», «Правительство», «Информационная безопасность», «Детские сайты» и ряд других в целях уменьшения количества ложных срабатываний. Этот же набор категорий рекомендуется использовать для перехвата трафика HTTPS. |
Recommended for virus check | Набор категорий, рекомендованных для антивирусной проверки. |
Для добавления новой группы категорий необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать группу категорий | В панели Группы URL категорий нажать на кнопку Добавить, дать название группе. |
Шаг 2. Добавить категории | Выделить созданную группу и в панели Категории нажать на кнопку Добавить и выбрать необходимые категории из списка. |
11.12. Измененные категории URL¶
Элемент библиотеки Измененные категория URL позволяет администратору назначить определенным сайтам категории, отличные от категорий, назначенных техническими специалистами UserGate. Такая потребность может возникнуть в случае некоррекного категорирования сайтов или в случае, если требуемый сайт не имеет назначенной ему категории. Для переопределения категории сайта необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Проверить первоначальную категорию сайта | В разделе Билиотеки --> Измененные категории URL ввести требуемый адрес сайта в строку проверки и нажать на кнопку Проверить категорию. |
Шаг 2. Назначить новую категорию | Если полученная категория не совпадает с требуемой, то необходимо нажать на кнопку Добавить и назначить до двух новых категорий. |
После успешного изменения категории сайт будет отображаться в списке сайтов с измененными категориями. Для него также будет указаны дата изменения категории, администратор, выполнивший данное изменение, его оригинальные и новые категории.
При последующей проверке категорий для данного сайта в качестве категорий будут возвращены только новые категории и специальная категория, в которую включаются все сайты с измененными категориями - Переопределенные пользователем категории.
Администратор может экспортировать списки сайтов с измененными категориями или импортировать любые списки сайтов и назначить им требуемые категории.
11.13. Приложения¶
Элемент библиотеки Приложения позволяет создать группы приложений для более удобного использования в правилах фильтрации сетевого трафика. Например, администратор может создать группу приложений «Бизнес приложения» и поместить в нее необходимые приложения.
Для добавления новой группы приложений необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать группу приложений | В панели Группы приложений нажать на кнопку Добавить, дать название группе. |
Шаг 2. Добавить приложения | Выделить созданную группу и в панели Приложения нажать на кнопку Добавить и выбрать необходимые приложения из списка. |
11.14. Почтовые адреса¶
Элемент библиотеки Почтовые адреса позволяет создать группы почтовых адресов, которые впоследствии можно использовать в правилах фильтрации почтового трафика и для использования в оповещениях.
Для добавления новой группы почтовых адресов необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать группу почтовых адресов | В панели Группы почтовых адресов нажать на кнопку Добавить, дать название группе. |
Шаг 2. Добавить почтовые адреса в группу | Выделить созданную группу и в панели Почтовые адреса нажать на кнопку Добавить и добавить необходимые почтовые адреса. |
11.15. Номера телефонов¶
Элемент библиотеки Номера телефонов позволяет создать группы номеров, которые впоследствии можно использовать в правилах оповещения SMPP.
Для добавления новой группы телефонных номеров необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать группу телефонных номеров | В панели Группы телефонных номеров нажать на кнопку Добавить, дать название группе. |
Шаг 2. Добавить номера телефонов в группу | Выделить созданную группу и в панели Группа телефонных номеров нажать на кнопку Добавить и добавить необходимые номера. |
11.16. Профили СОВ¶
Профиль СОВ - это набор сигнатур, релевантных для защиты определенных сервисов. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты сервиса. Например, для защиты сервиса, работающего по протоколу TCP, не стоит добавлять сигнатуры, разработанные для протокола UDP. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора. Более подробно о создании и использовании профилей СОВ смотрите в разделе Система обнаружения и предотвращения вторжений.
11.17. Профили оповещений¶
Профиль оповещения указывает транспорт, с помощью которого оповещения могут быть доставлены получателям. Поддерживается 2 типа транспорта:
SMTP, доставка сообщений с помощью e-mail
SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки
Для создания профиля сообщений SMTP необходимо нажать на кнопку Добавить в разделе Оповещения--> Профили оповещений, выбрать вариант Добавить профиль оповещения SMTP и заполнить необходимые поля:
Наименование | Описание |
|---|---|
Название | Название профиля. |
Описание | Описание профиля. |
Хост | IP-адрес или FQDN сервера SMTP, который будет использоваться для отсылки почтовых сообщений. |
Порт | Порт TCP, используемый сервером SMTP. Обычно для протокола SMTP используется порт 25, для SMTP с использованием SSL - 465. Уточните данное значение у администратора почтового сервера . |
Безопасность | Варианты безопасности отправки почты, возможны варианты: Нет, STARTTLS, SSL. |
Авторизация | Включает авторизацию при подключении к SMTP-серверу. |
Логин | Имя учетной записи для подключения к SMTP-серверу. |
Пароль | Пароль учетной записи для подключения к SMTP-серверу. |
Для создания профиля сообщений SMPP необходимо нажать на кнопку Добавить в разделе Оповещения-->Профили оповещений, выбрать вариант Добавить профиль оповещения SMPP и заполнить необходимые поля:
Наименование | Описание |
|---|---|
Название | Название профиля. |
Описание | Описание профиля. |
Хост | IP-адрес или FQDN сервера SMPP, который будет использоваться для отсылки SMS сообщений. |
Порт | Порт TCP, используемый сервером SMPP. Обычно для протокола SMPP используется порт 2775, для SMPP с использованием SSL – 3550. |
SSL | Использовать или нет шифрацию с помощью SSL. |
Логин | Имя учетной записи для подключения к SMPP-серверу. |
Пароль | Пароль учетной записи для подключения к SMPP-серверу. |
Правила трансляции номеров | В некоторых случаях SMPP-провайдер ожидает номер телефона в определенном формате, например, в виде 89123456789. Для соответствия требованиям провайдера можно указать замену первых символов номеров с одних на другие. Например, заменить все номера, начинающиеся на +7, на 8. |
11.18. Профили Netflow¶
Профиль Netflow позволяет указать параметры необходимые для отсылки информации на коллектор Netflow. Для создания профиля Netflow необходимо нажать на кнопку Добавить в разделе Библиотеки-->Профили Netflow и указать необходимые параметры:
Наименование | Описание |
|---|---|
Название | Название профиля Netflow |
Описание | Описание профиля Netflow |
IP-адрес Netflow коллектора | IP-адрес сервера, куда сенсор будет отправлять статистику. |
Порт Netflow коллектора | UDP порт, на котором коллектор будет принимать статистику. |
Версия протокола | Версия протокола Netflow, которую следует использовать. Версия протокола должна совпадать на сенсоре и на коллекторе. |
Таймаут активного потока (сек) | При длительных потоках, например, передача большого файла через сеть, время, через которое будет отправляться статистика на коллектор, не дожидаясь завершения потока. Значение по умолчанию – 1800 секунд. |
Таймаут неактивного потока (сек.) | Время, резервируемое на завершение неактивного потока. Значение по умолчанию – 15 секунд. |
Количество потоков | Максимальное количество учитываемых потоков, с которых собирается и отправляется статистика. Ограничение необходимо для защиты от DoS-атак. После достижения данного количества потоков, все последующие не будут учитываться. Значение по умолчанию - 2000000, установите 0 для снятия ограничения. |
Отправлять информацию NAT | Отправлять информацию о NAT преобразованиях в статистику Netflow. |
Частота отправки шаблона (пакетов) | Количество пакетов, после которых шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию – 20 пакетов. |
Период отправки старого шаблона (сек.) | Время, через которое старый шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию – 1800 секунд. |
11.19. Профили SSL¶
Профиль SSL позволяет указать протоколы SSL или отдельные алгоритмы шифрования и цифровой подписи, которые в дальнейшем могут быть использованы в правилах инспектирования SSL, в настройках веб-консоли, страницы авторизации, страницы блокировки, веб-портале.
Для создания профиля SSL необходимо нажать на кнопку Добавить в разделе Библиотеки --> Профили SSL и указать необходимые параметры:
Наименование | Описание |
|---|---|
Название | Название профиля SSL |
Описание | Описание профиля SSL |
Протоколы SSL | Минимальная версия TLS - устанавливает минимальную версию TLS, которая может быть использована в данном профиле. Максимальная версия TLS - устанавливает максимальную версию TLS, которая может быть использована в данном профиле. Оба эти параметра определяют диапазон версий TLS, которые будут поддерживаться данным профилем. |
Наборы алгоритмов шифрования | Данный раздел позволяет выбрать необходимые алгоритмы шифрования и цифровой подписи. Возможные значения указаны в виде строк, в которых перечислены алгоритм и подпись. Администратор может указать только те наборы алгоритмов и подписей, которые считает нужным для безопасной работы организации. Список поддерживаемых комбинаций следующий:
|
Установка алгоритмов шифрования для стандартных протоколов | Данный раздел можно использовать для облегчения выбора необходимых алгоритмов шифрования и подписи для стандартных протоколов TLS. Администратор может указать в поле Выберите протокол для установки алгоритмов необходимые версии протоколов TLS, нажать на кнопку Применить, и алгоритмы, соответствующие выбранной версии протокола автоматически будут отмечены. Можно последовательно добавить несколько версий протокола TLS. |
По умолчанию в продукте создано несколько профилей SSL, которые могут быть использованы администратором как есть, либо изменены/удалены при необходимости. Созданы следующие профили SSL:
Наименование | Описание |
|---|---|
Default SSL profile | Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.1 до TLS v.1.2. Это наиболее распространенные версии протоколов, используемые в сети интернет в данное время. Данный профиль используется по умолчанию в:
|
Default SSL profile (TLSv1.3) | Содержит алгоритмы и подписи, соответствующие версии TLS v.1.3. По умолчанию не используется. |
Default SSL profile (GOST) | Содержит алгоритмы и подписи, соответствующие TLS с ГОСТ-алгоритмами (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT). Может быть использован в организациях, где требуется использование данных алгоритмов, например, для веб-портала. Поддержка данных протоколов должна также быть обеспечена со стороны используемых браузеров. По умолчанию не используется. |
Default SSL profile (web console) | Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.0 до TLS v.1.2. Данный профиль используется по умолчанию для предоставления SSL-доступа в веб-консоль. Важно! Изменение данного профиля следует производить с осторожностью. Указание алгоритмов, не поддерживаемых вашим браузером, может привести к потере доступа в веб-консоль! |
12. Дашборд¶
Данный раздел позволяет посмотреть текущее состояние сервера, его загрузку, количество пользователей, объемы трафика, проходящего через сервер, работу систем фильтрации, статус лицензии и так далее. Отчеты предоставлены в виде виджетов, которые могут быть настроены администратором системы в соответствии с его требованиями. Виджеты можно добавлять, удалять, изменять расположение и размер на странице Дашборд. По умолчанию созданы страницы с виджетами NOC (Network Operation Center) и SOC (Security Operation Center).
Некоторые виджеты позволяют настроить отображение, указать фильтрацию данных и настроить прочие параметры. Для настройки виджета необходимо кликнуть по символу шестеренки в правом верхнем углу. Не все параметры, перечисленные ниже, доступны для каждого типа виджетов.
Наименование | Описание |
|---|---|
Название | Название виджета, которое будет отображаться в Дашборд. |
Описание | Опциональное описание виджета. |
Количество записей | Максимальное количество записей для отображения. |
Группировать по | Поле данных, по которому будут сгруппированы данные в виджете. |
Диаграмма | Выбор типа представления данных. Доступны значения:
|
Запрос фильтра | SQL-подобная строка запроса, позволяющая ограничить объем информации, используемой при построении виджета. Для формирования запросов используются названия полей, значения полей, ключевые слова и операторы. Ключевые слова и операторы, а так же примеры их использования можно посмотреть в разделе документации Поиск и фильтрация данных. |
13. Диагностика и мониторинг¶
13.1. Маршруты¶
Раздел Маршруты позволяет получить список всех маршрутов, указанных на определенном узле UserGate и на определенном виртуальном маршрутезаторе на узле кластера. Для просмотра маршрутов необходимо нажать на кнопку Фильтр и указать типы маршрутов, которые необходимо отобразить. Возможно указать следующие типы маршрутов:
Подключенные к интерфейсам - маршруты к сетям, которые подключены непосредственно к интерфейсам UserGate. Данные маршруты будут помечены символом С в списке маршрутов.
Заданные статически - маршруты, заданные статически в разделе Сеть-->Маршруты. Данные маршруты будут помечены символом S в списке маршрутов.
OSPF - маршруты, полученные по протоколу OSPF. Данные маршруты будут помечены символом O в списке маршрутов.
BGP - маршруты, полученные по протоколу BGP. Данные маршруты будут помечены символом B в списке маршрутов.
Отображаемый список маршрутов можно скачать в виде текстового файла с помощью кнопки Скачать все маршруты.
13.2. VPN¶
Раздел VPN отображает всех пользователей и все серверы, подключенные по VPN к данному серверу. Для каждого соединения отображается следующая информация:
Пользователь - имя пользователя, под которым произошла авторизация соединения.
Роль этого сервера - клиент или сервер.
Время сессии - продолжительность установленного соединения.
Туннельный IP - адрес, назначенный данному клиенту в виртуальной частной сети.
IP-адрес - адрес, с которого инициировано соединение VPN.
Geo IP - страна по Geo IP, откуда установлено соединение.
Шифрование - тип шифрования.
13.3. Веб-портал¶
Раздел веб-портал отображает всех пользователей и все серверы, подключенные через веб-портал к данному серверу. Для каждого соединения отображается следующая информация:
Имя - имя пользователя, под которым произошла авторизация соединения.
Начало сессии - время, когда пользователь подключился к сервису.
Продолжительность - продолжительность соединения.
IP источника - IP-адрес пользователя.
Useragent - useragent пользовательского браузера.
Можно задать период обновления данного окна от 3-х секунд до одной минуты или установить обновление вручную.
Администратор имеет возможность принудительно закрыть определённую сессию. Для этого надо выделить её и нажать кнопку Закрыть сессию.
13.4. Захват пакетов¶
Раздел Захват пакетов позволяет записать трафик, удовлетворяющий заданным условиям, в pcap-файл для дальнейшего анализа с помощью сторонних средств, например, wireshark. Это бывает необходимо для диагностирования сетевых проблем.
Раздел состоит из трех частей:
Фильтры - здесь определяются условия, по которым будет записываться трафик. В качестве условий могут выступать адрес источника, порт источника, адрес назначения, порт назначения, протокол Ethernet, протокол IPv4. Список протоколов IPv4 можно посмотреть по ссылке http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml.
Правила - в правилах указываются интерфейсы UserGate, на которых необходимо записывать трафик, фильтры, созданные ранее, имя и размер файла, в который записывается перехваченный трафик.
Файлы - сюда помещаются файлы с записанным трафиком. Их можно скачать для анализа или удалить.
Чтобы записать трафик, необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать необходимый фильтр | Опционально. Можно воспользоваться предустановленными фильтрами или писать весь трафик, не фильтруя его. |
Шаг 2. Создать правило | Создать правило, в котором указать имя правила, имя файла, максимальный размер записываемого файла и необходимые фильтры. |
Шаг 3. Выбрать необходимое правило и начать запись | Выбрать необходимое правило и нажать на кнопку Начать запись. По окончании прекратить запись, нажав на кнопку Остановить запись. |
Шаг 4. В разделе Файлы, скачать полученный файл | Скачать pcap-файл для анализа. |
13.5. Запросы в белый список¶
При блокировке сайтов с помощью правил контентной фильтрации пользователь получает страницу блокировки с указанием причины блокировки, на которой указаны имя правила, категория сайта и/или морфологическая база, черный список, из-за которых сайт был заблокирован. Кроме этого, страница блокировки предлагает пользователю сделать запрос на добавление данного сайта в белый список в случае, если пользователь не согласен с блокировкой ресурса. При нажатии на кнопку Добавить в белый список запрос на добавление появляется в списке запросов в разделе Запросы в белый список. Администратор может осуществить следующие действия с запросом пользователя:
Наименование | Описание |
|---|---|
Добавить в белый список | Добавить данный URL в белый список. Администратору будет предложено изменить URL и выбрать белый список, в который необходимо добавить данный ресурс. |
Удалить | Удалить данный запрос из списка запросов. |
Отклонить URL | Добавить запрошенный URL в список отклоненных запросов. При последующих блокировках данного URL страница блокировки не будет содержать кнопки Добавить в белый список. Список отклоненных доменов и URL отображается в Окне отклоненных запросов. |
Отклонить домен | Добавить домен запрошенного URL в список отклоненных запросов. При последующих блокировках любого URL данного домена страница блокировки не будет содержать кнопки Добавить в белый список. Список отклоненных доменов и URL отображается в Окне отклоненных запросов. |
Администратор может проверить категорию интернет-ресурса с помощью формы Проверить URL. В случае, если ресурс относится к некорректной категории, администратор может сделать запрос на смену категории или изменить категорию самостоятельно локально на своем устройстве.
Для того, чтобы сделать запрос на смену категории, необходимо нажать на кнопку Предложить категорию. Запрос на смену категории будет отправлен в компанию UserGate, где будет проверен, и в случае подтверждения будет внесен в ближайшее обновление базы категорий сайтов UserGate URL filtering.
Для того, чтобы сменить категории локально, необходимо нажать на кнопку Изменить категорию и назначить до двух новых категорий. Посмотреть все сайты с измененными категориями можно в разделе Библиотеки --> Измененные категории URL. При последующей проверке категорий для данного сайта в качестве категорий будут возвращены только новые категории и специальная категория, в которую включаются все сайты с измененными категориями - Переопределенные пользователем категории. Более подробно об изменении категорий для определенных сайтов описано в разделе руководства Запросы в белый список.
13.6. Трассировка правил¶
С помощью трассировки правил администратор может посмотреть, какие правила срабатывают при обработке пользовательских HTTP(S)-запросов. Это может быть крайне полезно при определении проблем с доступом к определенным сайтам. Для трассировки правил необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать необходимый фильтр | Нажать на кнопку Настроить в разделе Диагностика и мониторинг-->Трассировка правил и указать параметры фильтра:
Фильтр необходим для ограничения вывода диагностической информации. Если его не задать, то могут быть так же отображены результаты обработки запросов других пользователей. |
Шаг 2. Запустить трассировку | Нажать на кнопку Начать. |
Шаг 3. Открыть проблемный сайт | Попросить пользователя открыть проблемный сайт и наблюдать, какие правила срабатывают при открытии сайта. Будут указаны все правила, которые выполняются во время обработки пользовательского запроса. |
Администратор может проверить содержание отображаемого в трассировке Интернет-ресурса с помощью формы Открыть сайт. С помощью формы Добавить в белый список администратор может поместить выбранный ресурс в один из существующих в системе списков URL.
13.7. Ping¶
C помощью утилиты ping можно диагностировать доступность сетевых ресурсов. Параметры команды ping:
Наименование | Описание |
|---|---|
Ping host | Хост, который необходимо проверить. |
TTL | Максимальное количество промежуточных хостов, которое разрешено пройти на пути к проверяемому хосту. |
Интерфейс | С какого сетевого интерфейса выполнять ping. |
Счетчик | Количество повторов. |
Показывать timestamp | Добавляет timestamp в вывод команды. |
Не резолвить имена | Оперировать IP-адресами, не преобразовывая их в доменные имена. |
13.8. Traceroute¶
C помощью утилиты traceroute можно проверить путь следования сетевых пакетов к определенному хосту. Параметры команды traceroute:
Наименование | Описание |
|---|---|
Traceroute host | Хост, который необходимо проверить. |
Использовать ICMP | Использовать протокол ICMP для выполнения команды traceroute. Если не указано, то используется протокол UDP. |
Интерфейс | С какого сетевого интерфейса выполнять команду. |
Не резолвить имена | Оперировать IP-адресами, не преобразовывая их в доменные имена. |
13.9. Запрос DNS¶
Используя запрос DNS администратор может проверить работу DNS-серверов.
Наименование | Описание |
|---|---|
DNS-запрос (хост) | DNS имя для проверки. |
IP источника запроса | Один из IP-адресов, назначенных UserGate. |
DNS сервер | DNS сервер, куда посылать запрос. |
Порт | UDP порт, используемый для запроса. |
Тип DNS-запроса | Тип запроса. |
13.10. Оповещения¶
13.10.1. Правила оповещений¶
Данный раздел позволяет определить правила оповещений, которые в дальнейшем можно использовать для отсылки оповещений о различных типах событий, например, высокой загрузке CPU или отправке пароля пользователю по SMS. Для создания правила оповещений необходимо выполнить следующие шаги:
Наименование | Описание |
|---|---|
Шаг 1. Создать один или несколько профилей оповещения | Смотрите раздел Профили оповещений. |
Шаг 2. Создать группы получателей оповещений | Смотрите разделы Почтовые адреса и Номера телефонов. |
Шаг 3. Создать правило оповещения | В разделе Оповещения-->Правила оповещений добавить правило. |
При добавлении правила необходимо указать следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включает или отключает данное правило. |
Название | Название правила. |
Описание | Описание правила. |
Профиль оповещения | Созданный ранее профиль оповещения. Для профилей SMPP появится закладка для указания адресатов в виде телефонных номеров, для SMTP появится закладка для указания адресатов в виде e-mail-адресов. |
От | От кого будет приходить оповещение. |
Тема | Тема оповещения. |
Таймаут перед повторной отправкой, секунд | Укажите таймаут, в течение которого сервер не будет отправлять сообщение при повторном срабатывании данного правила. Данная настройка позволяет предотвратить шторм сообщений при частом срабатывании правила оповещения. |
События | Укажите события, для которых необходимо получать оповещения. |
Телефоны | Для SMPP-профиля. Укажите группы номеров телефонов, куда отправлять SMS-оповещения. |
Emails | Для SMTP-профиля. Укажите группы адресов e-mail, на которые будут отправляться почтовые оповещения. |
13.10.2. SNMP¶
UserGate поддерживает мониторинг с помощью протоколов SNMP v2c и SNMP v3. Поддерживается управление как с помощью запросов (SNMP queries), так и с помощью отсылки оповещений (SNMP traps). Это позволяет наблюдать за критическими параметрами UserGate с помощью программного обеспечения SMNP-управления, используемого в компании.
Для настройки мониторинга с помощью SNMP необходимо создать правила SNMP. Для создания правила SNMP необходимо в разделе SNMP нажать на кнопку Добавить и указать следующие параметры:
Наименование | Описание |
|---|---|
Название правила | Название правила. |
IP-адрес сервера для трапов | IP-адрес сервера для трапов и порт, на котором сервер слушает оповещения. Обычно это порт UDP 162. Данная настройка необходима только в случае, если необходимо отправлять трапы на сервер оповещений. |
Комьюнити | SNMP community - строка для идентификации сервера UserGate и сервера управления SNMP для версии SNMP v2c. Используйте только латинские буквы и цифры. |
Контекст | Необязательный параметр, определяющий SNMP context. Можно использовать только латинские буквы и цифры. |
Версия | Указывает версию протокола SNMP, которая будет использоваться в данном правиле. Возможны варианты SNMP v2c и SNMP v3. |
Разрешить SNMP-запросы | При включении разрешает получение и обработку SNMP-запросов от SNMP-менеджера. |
Разрешить SNMP-трапы | При включении разрешает отправку SNMP-трапов на сервер, настроенный для приема оповещений. |
Пользователь | Только для SNMP v3. Имя пользователя для авторизации SNMP-менеджера. |
Тип аутентификации | Выбор режима аутентификации SNMP-менеджера. Возможны варианты:
Наиболее безопасным считается режим работы authPriv. |
Алгоритм аутентификации | Алгоритм, используемый для аутентификации. |
Пароль аутентификации | Пароль, используемый для аутентификации. |
Алгоритм шифрования | Алгоритм, используемый для шифрования. Возможно использовать DES и AES. |
Пароль шифрования | Пароль, используемый для шифрования. |
События | Параметры, значения которых будут доступны для считывания SNMP-менеджером. Если отсылка трапов была разрешена, то при достижении критичного значения параметра на сервер будет отправлен трап. |
Примечание
Настройки аутентификации для SNMP v2c (community) и для SNMP v3 (пользователь, тип аутентификации, алгоритм аутентификации, пароль аутентификации, алгоритм шифрования, пароль шифрования) на SNMP-менеджере должны совпадать с настройками SNMP в UserGate.
Информацию по настройке параметров аутентификации для вашего SNMP-менеджера смотрите в руководстве по настройке выбранного вами программного обеспечения для управления SNMP.
Кнопка Скачать MIB позволяет скачать mib-файлы с параметрами мониторинга UserGate для последующего использования их в SNMP-менеджере. UserGate выделен уникальный идентификатор SNMP PEN (Private Enterprise Number) 45741.
14. Журналы и отчеты¶
14.1. Журналы¶
Usergate журналирует все события, которые происходят во время его работы, и записывает их в следующие журналы:
Журнал событий – события, связанные с изменением настроек сервера UserGate, авторизация пользователей, администраторов, обновлений различных списков и т.п.
Журнал веб-доступа – подробный журнал всех веб-запросов, обработанных UserGate.
Журнал трафика – подробный журнал срабатывания правил межсетевого экрана, NAT, DNAT, Port forwarding, Policy based routing. Для регистрации данных событий необходимо включить журналирование в необходимых правилах межсетевого экрана, NAT, DNAT, Port forwarding, Policy based routing.
Журнал СОВ – события, регистрируемые системой обнаружения и предотвращения событий.
История поиска – поисковые запросы пользователей в популярных поисковых системах.
14.1.1. Журнал событий¶
Журнал событий отображает события, связанные с изменением настроек сервера UserGate, например, добавление/удаление/изменение данных учетной записи, правила или любого другого элемента. Здесь же отображаются все события входа в веб-консоль, авторизации пользователей через Captive-портал или VPN, старта, выключения, перезагрузки сервера и т.п.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как диапазон дат, компоненте, важности, типу события.
Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.
С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
14.1.2. Журнал веб-доступа¶
Журнал веб-доступа отображает все запросы пользователей в интернет по протоколам HTTP и HTTPS. Выводятся события срабатывания правил фильтрации контента, инспектирования SSL, Веб-безопасности, Captive-портала в настройках которых включено логирование пакетов. Отображается следующая информация:
Узел UserGate, на котором произошло событие.
Время события.
Пользователь.
Действия.
Правило.
Причины (при блокировке сайта).
URL назначения.
Зона источника.
IP-адрес источника.
Порт источника.
Зона назначения.
IP назначения.
Порт назначения.
Категории.
Протокол (HTTP).
Метод (HTTP).
Код ответа (HTTP).
MIME (если присутствует).
Байт передано/получено.
Пакетов отправлено.
Реферер (при наличии).
Операционная система.
Браузер.
Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как учетная запись пользователя, правило, действие и т.д.
С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
14.1.3. Журнал трафика¶
Журнал трафика отображает события срабатывания правил межсетевого экрана и правил NAT, в настройках которых включено логирование пакетов. Отображается следующая информация:
Узел UserGate, на котором произошло событие.
Время события.
Пользователь.
Действие.
Правило.
Приложение.
Протокол.
Зона источника.
Адрес источника.
Порт источника.
Зона назначения.
IP-назначения.
Порт назначения.
NAT IP-источника (если это правило NAT).
NAT порт источника (если это правило NAT).
NAT IP назначения (если это правило NAT).
NAT порт назначения (если это правило NAT).
Байт отправлено/получено.
Пакетов.
Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как учетная запись пользователя, правило, действие и т.д.
С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
14.1.4. Журнал СОВ¶
Журнал системы обнаружения вторжений отображает сработавшие сигнатуры СОВ, для которых установлено действие журналировать или блокировать. Отображается следующая информация:
Узел UserGate, на котором произошло событие.
Время.
Пользователь.
Действие.
Правило.
Сигнатуры.
Приложение.
Протокол.
Зона источника.
IP источника.
Порт источника.
Зона назначения.
IP назначения.
Порт назначения.
Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как протокол, диапазон дат, действие и т.д.
С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
14.1.5. История поиска¶
В разделе История поиска отображаются все поисковые запросы пользователей, для которых настроено журналирование в политиках веб-безопасности. Администратор может выбрать только те столбцы для показа, которые ему необходимы. Для этого следует кликнуть указателем мыши на любой из столбцов, и в появившемся контекстном меню оставить галочки только для тех столбцов, которые необходимо отображать.
Для удобства поиска необходимых событий записи могут быть отфильтрованы по различным критериям, например таким, как пользователи, диапазон дат, поисковые системы и т.д.
С помощью кнопки Экспортировать в CSV администратор может скачать отфильтрованные данные журнала в csv-файл для дальнейшего анализа.
Нажатие на кнопку Показать выведет окно с подробным описанием события.
14.1.6. Поиск и фильтрация данных¶
Количество записей, регистрируемых в журналах, как правило, очень велико, и не все поля доступны в базовом режиме просмотра. UserGate предоставляет удобные способы поиска и фильтрации необходимой информации. Администратор может использовать простой и расширенный поиск по содержимому журналов.
При использовании простого поиска администратор использует графический интерфейс, чтобы задать фильтрацию по значениям требуемых полей журналов, отфильтровывая таким образом ненужную информацию. Например, администратор может задать интересующий его диапазон времени, список пользователей, категорий и т.п. Задание критериев поиска интуитивно понятно и не требует специальных знаний.
Построение более сложных фильтров возможно в режиме расширенного поиска с использованием специального языка запросов. В режиме расширенного поиска можно строить запросы с использованием полей журналов, которые недоступны в базовом режиме. Для формирования запросов используются названия полей, значения полей, ключевые слова и операторы. Значения полей могут быть введены с использованием одинарных или двойных кавычек, или без них, если значения не содержат пробелов. Для группировки нескольких условий можно использовать круглые скобки.
Ключевые слова отделяются пробелами и могут быть следующими:
Наименование | Описание |
|---|---|
AND или and | Логическое И, требует выполнения всех условий, заданных в запросе. |
OR или or | Логическое ИЛИ, достаточно выполнения одного из условий запроса. |
Операторы определяют условия фильтра и могут быть следующими:
Наименование | Описание |
|---|---|
= | Равно. Требует полного совпадения значения поля указанному значению, например, ip=172.16.31.1 будут отображены все записи журнала, в котором поле IP будет точно соответствовать значению 172.16.31.1. |
!= | Не равно. Значение указанного поля не должно совпадать с указанным значением, например, ip!=172.16.31 будут отображены все записи журнала, в котором поле IP не будет равно значению 172.16.31.1. |
<= | Меньше либо равно. Значение поля должно быть меньше либо равны указанному в запросе значению. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например, date <= '2019-03-28T20:59:59' AND statusCode=303 |
>= | Больше либо равно. Значение поля должно быть больше либо равны указанному в запросе значению. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например, date >= "2019-03-13T21:00:00" AND statusCode=200 |
< | Меньше. Значение поля должно быть меньше указанного в запросе значения. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например, date < '2019-03-28T20:59:59' AND statusCode=404 |
> | Больше. Значение поля должно быть больше указанного в запросе значения. Может быть применимо только для полей, поддерживающих сравнения, например, поля даты, portSource, portDest, statusCode и т.п., например, (statusCode>200 AND statusCode <300) OR (statusCode=404) |
IN | Позволяет указать несколько значений поля в запросе. Список значений необходимо указывать в круглых скобках, например, например, category IN (botnets, compromised, 'illegal software', 'phishing and fraud','reputation high risk','unknown category') |
~ | Содержит. Позволяет указать подстроку, которая должна находиться в указанном поле, например, browser ~ "Mozilla/5.0" Данный оператор может быть применен только к полям, в которых хранятся строковые данные. |
!~ | Не содержит. Позволяет указать подстроку, которая не должна присутствовать в указанном поле, например, browser !~ "Mozilla/5.0" Данный оператор может быть применен только к полям, в которых хранятся строковые данные. |
При составлении расширенного запроса UserGate показывает возможные варианты названия полей, применимых к ним операторов и возможных значений, облегчая оператору системы формирование сложных запросов. Список полей и их возможных значений может отличаться для каждого из журналов.
При переключении режима поиска с основного на расширенный UserGate автоматически формирует строку с поисковым запросом, которая соответствует фильтру, указанному в основном режиме поиска.
14.1.7. Экспорт журналов¶
Функция экспортирования журналов UserGate позволяет выгружать информацию на внешние серверы для последующего анализа или для обработки в системах SIEM (Security information and event management).
UserGate поддерживает выгрузку следующих журналов:
Журнал событий.
Журнал веб-доступа.
Журнал СОВ.
Журнал трафика.
Журнал АСУ ТП.
Поддерживается отправка журналов на серверы SSH (SFTP), FTP и Syslog. Отправка на серверы SSH и FTP проводится по указанному в конфигурации расписанию. Отправка на серверы Syslog происходит сразу же при добавлении записи в журнал.
Для отправки журналов необходимо создать конфигурации экспорта журналов в разделе Экспорт журналов.
При создании конфигурации требуется указать следующие параметры:
Наименование | Описание |
|---|---|
Название правила | Название правила экспорта журналов. |
Описание | Опциональное поле для описания правила. |
Журналы для экспорта | Выбор файлов журналов, которые необходимо экспортировать:
Для каждого из журналов возможно указать синтаксис выгрузки:
Обратитесь к документации на используемую у вас систему SIEM для выбора необходимого формата выгрузки журналов. |
Тип сервера | SSH (SFTP), FTP, Syslog. |
Адрес сервера | IP-адрес или доменное имя сервера. |
Транспорт | Только для типа серверов Syslog - TCP или UDP. |
Порт | Порт сервера, на который следует отправлять данные. |
Протокол | Только для типа серверов Syslog – RFC5424 или BSD syslog RFC 3164. Выберите протокол, совместимый с используемой у вас системой SIEM. |
Критичность | Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения: 1 - Alert: action must be taken immediately. 2 - Critical: critical conditions. 3 - Error: error conditions. 4 - Warning: warning conditions. 5 - Notice: normal but significant condition. 6 - Informational: informational messages. |
Facility | Только для типа серверов Syslog. Необязательное поле, проконсультируйтесь с документацией на используемую у вас систему SIEM. Возможны следующие значения: 1 - User-level messages. 3 - System daemons. 10 - Security/authorization messages. 13 - Log audit. 14 - Log alert. 16 - Local use 0 (local0). 17 - Local use 1 (local1). 18 - Local use 2 (local2). 19 - Local use 3 (local3). 20 - Local use 4 (local4). 21 - Local use 5 (local5). 22 - Local use 6 (local6). 23 - Local use 7 (local7). |
Имя хоста | Только для типа серверов Syslog. Уникальное имя хоста, идентифицирующее сервер, отправляющий данные на сервер syslog, в формате Fully Qualified Domain Name (FQDN). |
App-Name | Только для типа серверов Syslog. Уникальное имя приложения, которое отправляет данные на сервер syslog. |
Логин | Имя учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog. |
Пароль | Пароль учетной записи для подключения к удаленному серверу. Не применяется к методу отправки Syslog. |
Путь на сервере | Каталог на сервере для копирования файлов журналов. Не применяется к методу отправки Syslog. |
Расписание | Выбор расписания для отправки логов. Не применяется к методу отправки Syslog. Возможны варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 0-31) (месяц: 0-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
|
Управление журналами | Управление временными файлами журналов, подготавливаемых для отправки на удаленные серверы ssh и ftp. При отправке журналов на сервера ssh и ftp UserGate сохраняет данные для отправки во временные файлы. По указанному расписанию все созданные для отправки файлы копируются на удаленный сервер, при этом файлы не очищаются и не удаляются. Данная настройка позволяет указать период ротации временных файлов (в днях) или удалить любой из временных файлов вручную. Ротация файлов происходит один раз в сутки. Всего хранятся N архивов журналов за предыдущие дни (по количеству дней ротации) и один журнал за текущий день. |
14.2. Отчеты¶
С помощью отчетов администратор может предоставить различные срезы данных о событиях безопасности, конфигурирования или действиях пользователей. Отчеты могут создаваться по созданным ранее правилам и шаблонам в автоматическом режиме и отправляться адресатам по электронной почте.
Раздел отчеты состоит из трех подразделов - шаблоны, правила и созданные отчеты. Что бы создать отчет необходимо выполнить следующие действия:
Наименование | Описание |
|---|---|
Шаг 1. Создать правило создания отчета | Создать правило создания отчета, в котором указать необходимые параметры создания отчета. |
Шаг 2. Запустить отчет | Запустить отчет в ручном режиме или дождаться времени, когда он запустится в автоматическом режиме по указанному в правиле расписанию. |
Шаг 3. Получить отчет | Получить отчет по почте, если в правиле была настроена отправка отчета по почте, или скачать полученный отчет в разделе Созданные отчеты. |
Примечание
Процесс создания отчета может продолжаться достаточно длительное время и может потреблять большое количество вычислительных ресурсов.
14.2.1. Шаблоны отчетов¶
Шаблон определяет внешний вид и поля, которые будут использоваться в отчете. Шаблоны отчетов предоставляются компанией разработчиком UserGate.
Список шаблонов отчетов, сгруппированных по категориям:
События - группа шаблонов по событиям, регистрируемым в журнале событий.
СОВ - группа шаблонов по событиям, регистрируемым в журнале СОВ.
Сетевая активность - группа шаблонов по событиям, регистрируемым в журнале трафика.
Трафик - группа шаблонов по событиям, регистрируемым в журнале трафика и относящимся к объему потребленного трафика пользователями, приложениями и т.п.
Веб-активность - группа шаблонов по событиям, регистрируемым в журнале веб-доступа.
Веб-портал - группа шаблонов по событиям, относящимся к работе веб-портала.
Captive-портал - группа шаблонов по событиям, авторизации пользователей с помощью Captive-портала.
Каждый шаблон содержит название, описание отчета и тип отображения отчета (таблица, гистограмма, пирог).
14.2.2. Правила отчетов¶
Правило отчета задает параметры создаваемого отчета, а также расписание запуска отчетов и способы доставки отчета пользователям. При создании правила отчета администратор указывает следующие параметры:
Наименование | Описание |
|---|---|
Вкл | Включение/отключения отчета. |
Название | Название правила. |
Описание | Опциональное поле для описания правила. |
Язык отчета | Выбор языка, который будет использован в отчете. |
Диапазон | Диапазон времени, за который необходимо подготовить отчет. |
Формат отчета | Формат отчета (PDF, HTML, XML, CSV), в котором будет создаваться данный отчет. Важно! Создание отчета в формате PDF создает высокую нагрузку на процессор и память. Чем объемнее отчет, тем более высокая нагрузка. Для шаблонов Подробный список всех посещенных URL и Подробный список всех посещенных сайтов автоматически используется формат CSV, независимо от выбранного формата. |
Количество записей | Задание ограничения числа записей, которые будут выводиться в отчетах, в которых присутствует ограничение по количеству топ записей, например, топ 20 пользователей с ошибочной авторизацией в веб-консоль. |
Количество в группировке (если применимо) | Задание ограничения числа записей, которые будут выводиться в отчетах, в которых присутствует ограничение по количеству сгруппированных записей, например, топ 10 пользователей по категориям - для каждой категории будет указано не более 10 пользователей. Данное ограничение применимо только для тех шаблонов отчетов, которые содержат группирование. |
Пользователи | Задает пользователей или группы пользователей, для которых будет создаваться отчет. Если оставить поле пустым, то отчет будет создаваться для всех пользователей. |
Шаблоны | Список шаблонов, которые будут использоваться для построения отчета. Обязательно необходимо добавить хотя бы один шаблон. |
Расписание | Выбор расписания для создания отчетов. Возможны варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 0-31) (месяц: 0-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа. |
Доставка | Возможность задать опциональную отправку созданного отчета получателям по протоколу SMTP. Необходимо задать:
|
Примечание
Процесс создания отчета может продолжаться достаточно длительное время и может потреблять большое количество вычислительных ресурсов. Особенно важно учитывать загрузку ресурсов при запуске отчетов за большой диапазон времени.
Примечание
Для того, чтобы запустить правило отчета не обязательно включать его и указывать время запуска правила. В ручном режиме можно запустить любой, в том числе отключенный отчет, для этого в списке правил необходимо выбрать требуемое правило и нажать на кнопку Запустить сейчас. Готовый отчет после создания будет доступен в разделе Созданные отчеты.
14.2.3. Созданные отчеты¶
В разделе Созданные отчеты хранятся все полученные отчеты. Отчеты создаются в формате pdf или csv. Для каждого отчета указывается название отчета, которое совпадает с названием правила отчета, которое было использовано для создания данного отчета, время создания отчета и размер отчета.
Для скачивания отчета необходимо кликнуть на файл с созданным отчетом, для удаления - Удалить.
Время хранения готовых отчетов (ротация) настраивается по нажатию на кнопку Настроить. Значение по умолчанию - 60 дней.
15. Гостевой портал¶
Данный раздел предназначен для управления временными (гостевыми) учетными записями пользователей. Подробное описание данного раздела описано в главе Управление гостевыми пользователями.
16. Помощь¶
Раздел предоставляет ссылки на полезные ресурсы портала технической поддержки UserGate:
Наименование | Описание |
|---|---|
Помощь | Ссылка на актуальную версию руководства администратора. |
Обучающее видео | Ссылка на список видеороликов, объясняющих настройку различных служб UserGate. |
Поддержка | Ссылка на портал службы технической поддержки UserGate на сайте компании https://www.usergate.com/ru/support содержит дополнительную информацию по настройке UserGate. Кроме этого, здесь же вы можете оставить заявку на решение вашей проблемы. |
17. Admin¶
Данный раздел позволяет зарегистрированному администратору сменить свой пароль, изменить некоторые настройки профиля и выйти из системы.
Наименование | Описание |
|---|---|
Сменить пароль | Для смены пароля необходимо указать свой текущий пароль и два раза указать новый пароль. |
Предпочтения |
|
Выход | Завершение сеанса работы в веб-консоли устройства. |
18. Приложение 1. Установка сертификата локального удостоверяющего центра¶
Скачайте сертификат центра авторизации, который вы используете для перехвата HTTPS-трафика, как это описано в главе Управление сертификатами, и следуйте инструкциям по установке сертификата ниже в этом разделе.
18.1. Установка сертификата в браузеры Internet Explorer, Chrome в ОС Windows¶
Откройте папку, куда вы скачали pem-сертификат, переименуйте его в user.der и дважды нажмите на него:
Рисунок 5 Выбор файла сертификата
Откроется информация о сертификате. Нажмите на кнопку Установить сертификат:
Рисунок 6 Установка сертификата
Запустится мастер импорта сертификатов. Выполните импорт, следуя всем рекомендациям, предлагаемым мастером импорта сертификатов:
Рисунок 7 Мастер импорта сертификатов
Выберите хранилище сертификата и нажмите кнопку Обзор:
Рисунок 8 Выбор хранилища
Выберите Доверенные корневые центры сертификации и нажмите кнопку ОК:
Рисунок 9 Выбор хранилища (продолжение)
Нажмите кнопку «Готово»:
Рисунок 10 Завершение импорта
Когда появится предупреждение системы безопасности, нажмите кнопку Да:
Рисунок 11 Согласие на установку сертификата
Рисунок 12 Установка завершена
Установка сертификата завершена.
18.2. Установка сертификата в браузер Safari, Chrome в ОС MacOSX¶
Перейдите в папку, куда вы скачали pem-сертификат и дважды нажмите на него:
Рисунок 13 Выбор файла сертификата
Запустится программа Связка ключей. Выберите Всегда доверять данному сертификату:
Рисунок 14 Доверие сертификату
Введите свой пароль для подтверждения данной операции:
Рисунок 15 Ввод пароля
Сертификат установлен.
18.3. Установка сертификата в браузер Firefox¶
Установка сертификата в браузер Firefox выполняется аналогично для всех операционных систем. Рассмотрим установку на примере ОС Windows.
Откройте настройки браузера Firefox (Инструменты-->Настройки):
Рисунок 16 Вход в режим Настройки
Перейдите в раздел Дополнительные и выберите закладку Сертификаты. Нажмите на кнопку Просмотр сертификатов:
Рисунок 17 Раздел Сертификаты
Нажмите кнопку Импортировать и укажите путь к скачанному pem-сертификату:
Рисунок 18 Список установленных сертификатов
Рисунок 19 Выбор файла сертификата
Установите галочку Доверять при идентификации веб-сайтов и нажмите OK:
Рисунок 20 Выбор типа доверия
Установка сертификата завершена.
19. Приложение №2. Таблица соответствия категорий, указанных в требованиях Министерства Образования РФ к СКФ для образовательных учреждений, с категориями UserGate URL filtering 4.0.¶
Категории Министерства Образования РФ | Категории UserGate URL filtering 4.0 |
|---|---|
Peer-To-Peer | Пиринговые сети |
Алкоголь. Реклама алкоголя, пропаганда потребления алкоголя. Сайты компаний, производящих алкогольную продукцию | Алкоголь и табак |
Баннеры и рекламные программы Баннерные сети, всплывающая реклама, рекламные программы | Реклама и всплывающие окна |
Библиотеки | Искусство |
Вождение и автомобили | Транспорт |
Вредоносное программное обеспечение | Нелегальное ПО |
Вредоносные программы | Ботнеты |
Сайты сомнительного содержания | |
Вредоносное ПО | |
Сетевые ошибки | |
Фишинг и мошенничество | |
Спам-сайты | |
Хакерство | |
Досуг и развлечение | Поздравительные открытки |
Развлечения | |
Мода и красота | |
Отдых и оздоровление | |
Рестораны и еда | |
Спорт | |
Путешествия | |
Здоровье и медицина | Здоровье и медицина |
Половое воспитание | |
Злоупотребление свободой СМИ - информация с ограниченным доступом. Сведения о специальных средствах, технических приемах и тактике проведения контртеррористических операций | Оружие |
Злоупотребление свободой СМИ - информация, содержащая скрытые вставки и иные технические способы воздействия на под-104№ п/п Тематическая категория Содержание скрытое воздействие сознание людей и (или) оказывающая вредное влияние на их здоровье | Сайты сомнительного содержания |
Злоупотребление свободой СМИ - наркотические средства, сведения о способах, методах разработки, изготовления и использования, местах приобретения наркотических средств, психотропных веществ и их прекурсоров, пропаганда каких-либо преимуществ использования отдельных наркотических средств, психотропных веществ, их аналогов и прекурсоров | Ненависть и нетерпение |
Насилие | |
Злоупотребление свободой СМИ -экстремизм Информация, содержащая публичные призывы к осуществлению террористической деятельности, оправдывающая терроризм, содержащая другие экстремистские материалы | Ненависть и нетерпение |
Насилие | |
Знакомства | Знакомства |
Информация с ограниченным доступом. Информация, составляющая государственную или иную охраняемую законом тайну | Политика |
Правительство | |
Информация, пропагандирующая порнографию | Порнография и насилие |
Компьютерные игры | Игры |
Корпоративные сайты | Бизнес |
Финансы | |
Общие | |
Недвижимость | |
Корпоративные сайты, интернет-представительства негосударственных учреждений | Некоммерческие и неправительственные организации |
Личная и немодерируемая информация. Немодерируемые форумы, доски объявлений и конференции, гостевые книги, базы данных, содержащие личную информацию (адреса, телефоны и т. п.), личные странички, дневники, блоги | Персональные сайты |
Частные IP-адреса | |
Социальные сети | |
Потоковое мультимедиа и загрузки | |
Веб-почта | |
Модерируемые доски объявлений (ресурсы данной категории, содержащие информацию, не имеющую отношения к образовательному процессу, модерируемые доски сообщений/объявлений, а также модерируемые чаты | Социальные сети |
Чаты | |
Наркотические средства. Сведения о способах, методах разработки, изготовления и использования, местах приобретения наркотических средств, психотропных веществ и их прекурсоров, пропаганда каких-либо преимуществ использования отдельных наркотических средств, психотропных веществ, их аналогов и прекурсоров | Наркотики |
Нелегальная помощь школьникам и студентам. Банки готовых рефератов, эссе, дипломных работ и пр. | Школьные мошенничества |
Ненадлежащая реклама. Информация, содержащая рекламу алкогольной продукции и табачных изделий | Алкоголь и табак |
Неприличный и грубый юмор. Неэтичные анекдоты и шутки, в частности обыгрывающие особенности физиологии человека | Сайты сомнительного содержания |
Нижнее белье, купальники | Нудизм |
Обеспечение анонимности пользователя, обход контентных фильтров. Сайты, предлагающие инструкции по обходу прокси и доступу к запрещенным страницам | Анонимайзеры |
Переводчики | |
Образовательные ресурсы | Образование |
Онлайн-казино и тотализаторы | Азартные игры |
Отправка SMS с использованием интернет-ресурсов. Сайты, предлагающие услуги по отправке SMS-сообщений | Реклама и всплывающие окна |
Платные сайты | Паркованные домены |
Поиск работы, резюме, вакансии | Поиск работы |
Преступления - Клевета (распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию) | Преступная деятельность |
Преступления-клевета, экстремизм | Преступная деятельность |
Программное обеспечение | Компьютеры и технологии |
Нелегальное ПО | |
Информационная безопасность | |
Пропаганда войны, разжигание ненависти и вражды, пропаганда порнографии и антиобщественного поведения. Информация, направленная на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды; информация, пропагандирующая порнографию, культ насилия и жестокости, наркоманию, токсикоманию, антиобщественное поведение | Ненависть и нетерпение |
Религии и атеизм | Религиозные культы |
Религия | |
Система поиска изображений | Обмен картинками |
Поисковые системы и порталы | |
СМИ | Форумы и новостные ленты |
Новости | |
Табак, реклама табака, пропаганда потребления табака. Сайты, пропагандирующие потребление табака; реклама табака и изделий из него | Алкоголь и табак |
Торговля и реклама | Реклама и всплывающие окна |
Покупки | |
Убийства, насилие | Жестокое обращение с детьми |
Насилие | |
Чаты | Чаты |
Сервисы мгновенных сообщений | |
Экстремистские материалы или экстремистская деятельность (экстремизм) | Ненависть и нетерпение |