Для публикации серверов HTTP/HTTPS рекомендуется использовать публикацию с помощью правил reverse-прокси.
В отличие от публикации с помощью правил DNAT, публикация с использованием reverse-прокси предоставляет следующие преимущества:
-
Публикация по HTTPS серверов, работающих по HTTP и наоборот.
-
Балансировка запросов на ферму веб-серверов.
-
Возможность ограничения доступа к публикуемым серверам с определенных Useragent.
-
Возможность подмены доменов и путей публикуемых серверов.
Чтобы опубликовать сервер, используя reverse-прокси, необходимо выполнить следующие шаги:
Наименование |
Описание |
---|---|
Шаг 1. Создать сервер reverse-прокси. |
В разделе Глобальный портал --> Серверы reverse-прокси нажать на кнопку Добавить и создать один или более публикуемых веб-серверов. |
Шаг 2. Создать правило балансировки на серверы reverse-прокси (опционально). |
В случае, если требуется балансировка на ферму публикуемых серверов, создать в разделе Политики сети --> Балансировка нагрузки балансировщик reverse-прокси. В качестве серверов используются серверы reverse-прокси, созданные на предыдущем шаге. |
Шаг 3. Создать правило reverse-прокси. |
В разделе Глобальный портал --> Правила reverse-прокси создать правило, которое будет задавать условия публикации серверов или фермы серверов. Важно! Правила публикации применяются сверху вниз в списке правил. Срабатывает только первое правило публикации, для которого совпали все условия, указанные в настройках правила. |
Шаг 4. Разрешить сервис Reverse-прокси на зоне, с которой необходимо разрешить доступ к внутренним ресурсам. |
В разделе Сеть --> Зоны разрешите сервис Reverse-прокси для зоны, с которой необходимо разрешить доступ к внутренним ресурсам (обычно зона Untrusted). |
Для создания сервера reverse-прокси разделе Глобальный портал --> Серверы reverse-прокси необходимо нажать на кнопку Добавить и заполнить следующие поля:
Наименование |
Описание |
---|---|
Название |
Название публикуемого сервера. |
Описание |
Описание публикуемого сервера. |
Адрес сервера |
IP-адрес публикуемого сервера. |
Порт |
TCP-порт публикуемого сервера. |
HTTPS до сервера |
Определяет, требуется ли использовать протокол HTTPS до публикуемого сервера. |
Проверять SSL-сертификат |
Включает/отключает проверку валидности SSL-сертификата, установленного на публикуемом сервере. |
Не изменять IP-адрес источника |
Оставляет оригинальный IP-адрес источника в пакетах, пересылаемых на публикуемый сервер. Если отключено, то IP-адрес источника заменяется на IP-адрес UserGate. |
Для создания правила балансировки на серверы reverse-прокси в разделе Политики сети --> Балансировка нагрузки необходимо выбрать Добавить --> Балансировщик reverse-прокси и заполнить следующие поля:
Наименование |
Описание |
---|---|
Включено |
Включает или отключает правило. |
Название |
Название правила. |
Описание |
Описание правила. |
Серверы reverse-прокси |
Созданный на предыдущем шаге список серверов reverse-прокси, на которые будет распределяться нагрузка. |
Для создания правила reverse-прокси необходимо нажать на кнопку Добавить в разделе Глобальный портал --> Правила reverse-прокси и заполнить необходимые поля.
Примечание
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Примечание
Чекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Наименование |
Описание |
---|---|
Включено |
Включает или отключает правило. |
Название |
Название правила. |
Описание |
Описание правила. |
Сервер reverse-прокси |
Сервер reverse-прокси или балансировщик reverse-прокси, куда UserGate будет пересылать запросы. |
Порт |
Порт, на котором UserGate будет слушать входящие запросы. |
Использовать HTTPS |
Включает поддержку HTTPS. |
Сертификат |
Сертификат, используемый для поддержки HTTPS-соединения. |
Авторизовать по сертификату |
Если выбрано, то требует предъявления пользовательского сертификата браузером. Для этого пользовательский сертификат должен быть добавлен в список сертификатов UserGate, ему должна быть назначена роль Пользовательский сертификат и назначен соответствующий пользователь UserGate. Более подробно о пользовательских сертификатах читайте в разделе Управление сертификатами. |
Источник |
Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика. Список URL должен включать только имена доменов. Каждые 5 минут UserGate производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate автоматически обновляет значение IP-адреса. Важно! Обработка трафика происходит по следующей логике:
|
Пользователи |
Список пользователей и групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Данная вкладка доступна только при использовании HTTPS и авторизации пользователя по сертификату. |
Назначение |
Один из внешних IP-адресов сервера UserGate, доступный из сети интернет, куда адресован трафик внешних клиентов. Важно! Обработка трафика происходит по следующей логике:
|
Useragent |
UserAgent пользовательских браузеров, для которых будет применено данное правило. |
Подмена путей |
Подмена домена и/или пути в URL в запросе пользователя. Например, позволяет преобразовать запросы, приходящие на http://www.example.com/path1 в http://www.example.loc/path2 Изменить с - домен и/или путь URL, которые требуется изменить. Изменить на - домен и/или путь URL, на которые требуется заменить старые. Если указан домен в поле Изменить с, то правило публикации будет применено только для запросов, которые пришли именно на этот домен. То есть в данном случае это будет являться условием срабатывания правила. |