8.8. Работа с внешними ICAP-серверами

UserGate позволяет передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для проверки передаваемых пользователями данных DLP-системами. В данном случае UserGate будет выступать в роли ICAP-клиента.

UserGate поддерживает гибкие настройки при работе с ICAP-серверами, например, администратор может задать правила, согласно которым на ICAP-серверы будет направляться только выборочный трафик, или настроить работу с фермой ICAP-серверов.

Для того, чтобы настроить работу UserGate c внешними серверами ICAP, необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать ICAP-сервер.

В разделе Политики безопасности --> ICAP-серверы нажать на кнопку Добавить и создать один или более ICAP-серверов.

Шаг 2. Создать правило балансировки на ICAP-серверы (опционально).

В случае, если требуется балансировка на ферму ICAP-серверов, создать в разделе Политики сети --> Балансировка нагрузки балансировщик ICAP-серверов. В качестве серверов используются ICAP-серверы, созданные на предыдущем шаге.

Шаг 3. Создать правило ICAP.

В разделе Политики безопасности --> Правила ICAP создать правило, которое будет задавать условия пересылки трафика на ICAP-серверы или фермы серверов.

Важно! Правила ICAP применяются сверху вниз в списке правил. Срабатывает только первое правило, для которого совпали все условия, указанные в настройках правила.

Для создания ICAP-сервера в разделе Политики безопасности --> ICAP-серверы необходимо нажать на кнопку Добавить и заполнить следующие поля:

Наименование

Описание

Название

Название ICAP-сервера.

Описание

Описание ICAP-сервера.

Адрес сервера

IP-адрес ICAP-сервера.

Порт

TCP-порт ICAP-сервера, значение по умолчанию 1344.

Максимальный размер сообщения

Определяет максимальный размер сообщения, передаваемого на ICAP-сервер в килобайтах. По умолчанию 0 (отключено).

Период проверки доступности сервера ICAP

Устанавливает время в секундах, через которое UserGate посылает OPTIONS-запрос на ICAP-сервер, чтобы убедиться, что сервер доступен.

Пропускать при ошибках

Если эта опция включена, то UserGate не будет посылать данные на сервер ICAP в случаях, когда ICAP-сервер недоступен (не отвечает на запрос OPTIONS).

Reqmod путь

  • Включено - включает использование режима Reqmod.

  • Путь на сервере ICAP для работы в режиме Reqmod. Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах:

  • /path - путь на сервере ICAP;

  • icap://icap-server:port/path - указание полного URI для режима reqmod.

Respmod путь

  • Включено - включает использование режима Reqmod.

  • Путь на сервере ICAP для работы в режиме Respmod. Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах:

  • /path - путь на сервере ICAP;

  • icap://icap-server:port/path - указание полного URI для режима respmod.

Посылать имя пользователя

  • Включено - включает отсылку имени пользователя на ICAP-сервер.

  • Кодировать в base64 - кодировать имя пользователя в base64, это может потребоваться, если имена пользователей содержат символы национальных алфавитов.

  • Название заголовка, которое будет использоваться для отправки имени пользователя на ICAP-сервер. Значение по умолчанию - X-Authenticated-User.

Посылать IP-адрес

  • Включено - включает отсылку IP-адреса пользователя на ICAP-сервер.

  • Название заголовка, которое будет использоваться для отправки IP-адреса пользователя на ICAP-сервер. Значение по умолчанию - X-Client-Ip.

Посылать MAC-адрес

  • Включено - включает отсылку MAC-адреса пользователя на ICAP-сервер.

  • Название заголовка, которое будет использоваться для отправки MAC-адреса пользователя на ICAP-сервер. Значение по умолчанию - X-Client-Mac.

Для создания правила балансировки на серверы ICAP в разделе Политики сети --> Балансировка нагрузки необходимо выбрать Добавить --> Балансировщик ICAP и заполнить следующие поля:

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

ICAP-серверы

Список серверов ICAP, на которые будет распределяться нагрузка, созданный на предыдущем шаге.

Для создания ICAP-правила необходимо нажать Добавить в разделе Политики безопасности --> ICAP-правила и заполнить необходимые поля.

Примечание

Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Примечание

Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Наименование

Описание

Включено

Включает или отключает правило.

Название

Название правила.

Описание

Описание правила.

Действие

Возможны следующие варианты:

  • Пропустить - не посылать данные на ICAP-сервер. Создав правило с таким действием, администратор может явно исключить определенный трафик из пересылки на серверы ICAP.

  • Переслать - переслать данные на ICAP-сервер и ожидать ответа ICAP-сервера. Это стандартный режим работы большинства ICAP-серверов.

  • Переслать и игнорировать - переслать данные на ICAP-сервер и игнорировать ответ от ICAP-сервера. В этом случае, вне зависимости от ответа ICAP-сервера, данные к пользователю уходят без модификации, но сервер ICAP получает полную копию пользовательского трафика.

ICAP-серверы

ICAP-сервер или балансировщик серверов ICAP, куда UserGate будет пересылать запросы.

Источник

Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика.

Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса.

Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

Пользователи

Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей.

Адрес назначения

IP-адреса, GeoIP или списки URL (хостов) назначения трафика.

Важно! Обработка трафика происходит по следующей логике:

  • условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;

  • условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.

Типы контента

Списки типов контента. Предусмотрена возможность управления видеоконтентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы типов контента. Более подробно о работе с типами контента читайте в главе Типы контента.

Категории

Списки категорий UserGate URL filtering.

URL

Списки URL.

HTTP метод

Метод, используемый в HTTP-запросах, как правило, это POST или GET.

Сервис

Возможны варианты:

  • HTTP - веб-трафик.

  • SMTP - почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа.

  • POP3 - почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа.

Важно! Перед использованием сервисов SMTP и POP3 в правилах ICAP необходимо создать правило защиты почтового трафика для данных сервисов. Подробнее о защите почтового трафика смотрите в разделе Защита почтового трафика.