|
Данный большой раздел содержит в себе все записи, адреса сайтов, IP-адреса, шаблоны и прочие элементы, которые используются при настройке правил UserGate NGFW.
Первоначальные данные библиотек поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Некоторые элементы библиотек являются нередактируемыми, потому что поставляются и поддерживаются разработчиками UserGate. Библиотеки элементов, поставляемые UserGate, имеют механизм автоматического обновления. Автоматическое обновление элементов требует наличия специальной лицензии. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Морфологический анализ — механизм, который распознает отдельные слова и словосочетания на веб-сайте. Если в тексте содержится достаточное для блокировки количество указанных слов и словосочетаний, то доступ к сайту блокируется.
Морфологический анализ выполняется как при проверке запроса пользователя, так и при получении ответа от веб-сервера и до его передачи пользователю. Получив ответ от веб-сервера, NGFW просматривает текст на странице и подсчитывает его суммарный «вес», исходя из «весов» слов, указанных в морфологических категориях. Если «вес» страницы превышает «вес» морфологической категории, правило срабатывает. При подсчете «веса» страницы учитываются все словоформы (леммы) запрещенных слов. Для поиска словоформ NGFW использует встроенные словари русского, английского, японского, арабского и немецкого языков.
Существует возможность подписки на словари, предоставляемые UserGate. Данные словари нельзя редактировать. Для использования этих словарей необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Наименование
|
Описание
|
Соответствие списку запрещенных материалов Министерством Юстиции Российской Федерации
|
Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции Российской Федерации.
|
Соответствие списку запрещенных материалов республики Казахстан
|
Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции республики Казахстан.
|
Суицид
|
Морфологический словарь, содержащий перечень слов и фраз суицидальной направленности.
|
Терроризм
|
Морфологический словарь, содержащий перечень слов и фраз террористической направленности.
|
Нецензурная лексика
|
Морфологический словарь, содержащий перечень слов и фраз, относящихся к нецензурной лексике.
|
Азартные игры
|
Морфологический словарь, содержащий перечень слов и фраз, относящихся к азартным играм.
|
Наркотики
|
Морфологический словарь, содержащий перечень слов и фраз наркотической направленности.
|
Соответствие ФЗ-436 (Защита детей)
|
Морфологический словарь, содержащий перечень слов и фраз тематик, нежелательных для детей.
|
Порнография
|
Морфологический словарь, содержащий перечень слов и фраз порнографической направленности.
|
Бухгалтерия (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в бухгалтерии.
|
Маркетинг (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в маркетинге.
|
Персональные данные (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, встречающихся в персональных данных.
|
Финансы (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в финансах.
|
Юридический (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в юриспруденции.
|
Для фильтрации по морфологическому содержанию страницы требуется:
Наименование
|
Описание
|
Шаг 1. Создать одну или несколько морфологических категорий и указать вес каждой категории.
|
Нажать на кнопку Добавить, задать название новой категории и ее вес.
|
Шаг 2. Указать список запрещенных фраз с весами.
|
Нажать на кнопку Добавить и указать необходимые слова или фразы. При добавлении слова в морфологический словарь можно использовать модификатор «!» перед словом, например, «!bassterd». В данном случае жаргонное слово не будет преобразовываться в словоформы, что может серьезно уменьшить вероятность ложной блокировки.
|
Шаг 3. Создать правило фильтрации контента, содержащее одну или несколько морфологических категорий.
|
Смотрите раздел Фильтрация контента.
|
Администратор имеет возможность создать свой словарь и централизованно распространять его на все межсетевые экраны UserGate, имеющиеся в организации. Для создания такой морфологической базы необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми фразами.
|
создать файл list.txt со списком слов в следующем формате:
!word1 !word2
!word3
word4 50
...
Lastword
Вес словаря в таком случае равен 100, вес слова можно указать. По умолчанию он равен 100.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией словаря.
|
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать морфологическую категорию указать URL для обновления словаря.
|
На каждом UserGate создать морфологическую базу. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
ПримечаниеПри создании морфологических словарей не рекомендуется добавлять фразы, содержащие более трех слов, без использования символа «!» перед словами. Необходимо помнить, что при построении морфологической базы каждое из слов будет преобразовано во все существующие формы (склонения, спряжения, множественные числа, времена и т.д.), и результирующее количество фраз будет достаточно большим. При добавлении длинных фраз необходимо использовать модификатор «!» перед словами, модификация которых не нужна, как правило, это различные предлоги и союзы. Например, фразу «как уйти из жизни безболезненно» правильно добавить в виде «!как уйти !из !жизни безболезненно». Это сократит количество возможных вариантов фраз, но при этом оставит все фразы с требуемым смыслом.
Раздел сервисы содержит список общеизвестных сервисов, основанных на протоколе TCP/IP, например, таких, как HTTP, HTTPS, FTP и другие. Данные сервисы могут быть использованы при построении правил NGFW. Первоначальный список сервисов поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового сервиса необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать сервис.
|
Нажать на кнопку Добавить, дать сервису название, ввести комментарий.
|
Шаг 2. Указать протокол и порт.
|
Нажать на кнопку Добавить, выбрать из списка необходимый протокол, указать порты назначения и, опционально, порты источника. Для указания диапазона портов можно использовать — (тире), например, 33333—33355.
|
В данном разделе пользователь может управлять (создавать/обновлять/удалять) группами объектов сервисов. Группы сервисов могут быть использованы при настройке политик безопасности NGFW.
Для создания группы сервисов:
Наименование
|
Описание
|
Шаг 1. Создать группу.
|
На панели Группы сервисов нажать на кнопку Добавить, указать название и, опционально, описание группы сервисов.
|
Шаг 2. Добавить сервисы в группу.
|
На панели Элементы нажать Добавить и выбрать сервисы для добавления в группу. Для добавления всех сервисов использовать кнопку Добавить все.
|
Раздел IP-адреса содержит список диапазонов IP-адресов, которые могут быть использованы при построении правил NGFW. Первоначальный список адресов поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового списка адресов необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать список.
|
На панели Группы нажать на кнопку Добавить:
-
Дать название списку IP-адресов.
-
Добавить описание списка (опционально).
-
Указать уровень угрозы адресов в списке (параметр для визуального отображения, какие адреса не представляют особой угрозы, а какие лучше запретить).
-
Выбрать тип списка (локальный или обновляемый по URL обновления).
|
Шаг 2. Указать адрес обновления списка (для обновляемых списков).
|
Указать адрес сервера, где находится обновляемый список. Более подробно об обновляемых списках смотрите далее в этой главе.
|
Шаг 3. Добавить IP-адреса.
|
На панели Адреса из выбранной группы нажать на кнопку Добавить и ввести адреса.
IP-адреса вводятся в виде IP-адрес, IP-адрес/маска сети или диапазон IP-адресов, например: 192.168.1.5, 192.168.1.0/24 или 192.168.1.5-192.168.2.100.
|
Администратор имеет возможность создавать свои списки IP-адресов и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми IP-адресами.
|
Создать файл list.txt со списком адресов.
Список адресов записывается в обычный текстовый файл, где адреса прописываются в столбик без знаков препинания. Например:
x.x.x.x
y.y.y.y
z.z.z.z
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список IP-адресов и указать URL для обновления.
|
На каждом NGFW создать список IP-адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений.
ПримечаниеURL списка задается в формате: http://x.x.x.x/ или ftp://x.x.x.x/.
Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
С помощью фильтрации по Useragent браузеров администратор может запретить или разрешить работу пользователей только с определенным типом браузеров.
Первоначальный список Useragent поставляется вместе с продуктом. Для фильтрации по типу Useragent необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать список Useragent.
|
В панели Категории нажать на кнопку Добавить и задать название нового списка UserAgent, опционально, описание списка и URL обновления.
|
Шаг 2. Добавить необходимые Useragent браузеров в новый список.
|
В панели Шаблоны useragent добавить необходимый Useragent. Исчерпывающий список строк Useragent представлен тут: http://www.useragentstring.com/pages/useragentstring.php
|
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков.
|
Смотрите раздел Фильтрация контента.
|
Администратор имеет возможность создавать свои списки Useragent и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми Useragent.
|
Создать файл list.txt со списком Useragent.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список Useragent и указать URL для обновления.
|
На каждом NGFW создать список Useragent. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
С помощью фильтрации типов контента можно блокировать загрузку файлов определенного типа, например, запретить все файлы типа *.doc.
Существует возможность подписки на типы контента, предоставляемые разработчиками UserGate. Данные списки типов контента нельзя редактировать, их можно использовать при определении правил фильтрации контента. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Для фильтрации по типу контента необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать список типов контента. Если используется предопределенный список UserGate, перейдите к шагу 3.
|
В панели Категории нажать на кнопку Добавить, задать название нового списка типа контента, опционально, описание списка и URL обновления.
|
Шаг 2. Добавить необходимые типы контента в новый список.
|
Добавить необходимый тип контента в данный список в формате MIME. Различные типы контента и их описание доступны по ссылке https://www.iana.org/assignments/media-types/media-types.xhtml.
Например, для блокировки документов типа *.doc необходимо добавить тип контента «application/msword».
|
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков.
|
Смотрите раздел Фильтрация контента.
|
Администратор имеет возможность создавать свои списки типов контента и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми типами контента.
|
Создать файл list.txt со списком типов контента.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список типа контента и указать URL для обновления.
|
На каждом NGFW создать список типа контента. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Страница предназначена для задания списков указателей URL, которые могут быть использованы в правилах контентной фильтрации в качестве черных и белых списков.
Компания UserGate предоставляет собственные обновляемые списки. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Наименование
|
Описание
|
Список поисковых систем без безопасного поиска
|
Список известных поисковых систем, на которых отсутствует возможность блокировки поисковых запросов взрослого содержания. Рекомендуется блокировать такие поисковики для целей родительского контроля.
|
Соответствие списку запрещенных URL Министерства Юстиции РФ
|
Данный список содержит URL, запрещенные Министерством Юстиции Российской Федерации.
|
Соответствие списку запрещенных URL Республики Казахстан
|
Единый реестр доменных имен, указателей страниц сайтов в сети интернет и сетевых адресов, содержащих информацию, распространение которой запрещено в Республике Казахстан.
|
Список образовательных учреждений
|
Список доменных имен образовательных учреждений РФ.
|
Список фишинговых сайтов
|
Данный список содержит URL фишинговых сайтов.
|
Соответствие реестру запрещенных сайтов Роскомнадзора (URL)
|
Единый реестр указателей страниц сайтов в сети интернет, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru.
|
Соответствие реестру запрещенных сайтов Роскомнадзора (домены)
|
Единый реестр доменных имен, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru.
|
Для фильтрации с помощью списков URL необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать список URL.
|
В разделе Библиотеки ➜ Списки URL нажать на кнопку Добавить, задать название нового списка.
Выбрать Тип списка — Локальный или Обновляемый. Для обновляемого списка указать URL обновления и настроить Расписание скачивания обновлений.
Установить категорию создаваемого списка в поле Чувствительность к регистру:
-
Чувствительный к регистру — список URL адресов, чувствительных к регистру букв в адресе.
-
Нечувствительный к регистру — список URL адресов, нечувствительных к регистру букв в адресе. Использование списка этой категории исключает необходимость перебора вариантов написания одного и того же выражения с буквами в различных регистрах.
-
Домен — список адресов доменов для использования в правилах DNS-фильтрации.
Категория списка задается при его создании. Изменить категорию после создания списка нельзя.
|
Шаг 2. Добавить необходимые записи в новый список.
|
Добавить записи URL в новый список. В списках можно использовать специальные символы «^», «$» и «*»:
«*» — любое количество любых символов
«^» — начало строки
«$» — конец строки
Символы «?» и «#» не могут быть использованы.
|
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков.
|
Смотрите раздел Фильтрация контента.
|
Если URL-запись начинается с http://, «https://», «ftp://» или содержит один или более символов «/», то это считается URL и применяется только для HTTP(S) фильтрации, к DNS-фильтрации такая запись не применяется. В противном случае строка рассматривается как имя домена и применяется для DNS-фильтрации и HTTP(S)-фильтрации.
Внимание! Спецсимволы не работают в списках-исключениях для блокировки рекламы. В этих списках применение спецсимволов не рекомендуется.
Если вы хотите заблокировать точный адрес, используйте символы «^» и «$»:
^http://domain.com/exacturl$
Для блокирования точного URL всех дочерних папок используйте символ «^»:
^http://domain.com/exacturl/
Для блокирования домена со всеми возможными URL используйте запись такого вида:
domain.com
Пример интерпретации URL-записей:
Пример записи
|
Обработка DNS- запросов
|
Обработка HTTP-запросов
|
yahoo.com
или
*yahoo.com*
|
Блокируется весь домен и домены более высоких (3,4 и т.д.) уровней, например:
sport.yahoo.com
mail.yahoo.com
а также:
qweryahoo.com
|
Блокируется весь домен и все URL этого домена, а также домены более высоких (3,4 и т.д.) уровней, например:
http://sport.yahoo.com
http://mail.yahoo.com
https://mail.yahoo.com
http://sport.yahoo.com/123
http://qwertyahoo.com/
|
^mail.yahoo.com$
|
Заблокирован только mail.yahoo.com
|
Заблокированы только:
http://mail.yahoo.com
https://mail.yahoo.com
|
^mail.yahoo.com/$
|
Ничего не заблокировано
|
Ничего не заблокировано, так как последний символ слэш определяет URL, но не указаны «https» или «http»
|
^http://finance.yahoo.com/personal-finance/$
|
Ничего не заблокировано
|
Заблокирован только:
http://finance.yahoo.com/personal-finance/
|
^yahoo.com/12345/
|
Ничего не заблокировано
|
Заблокированы:
http://yahoo.com/12345/whatever/
https://yahoo.com/12345/whatever/
|
Администратор имеет возможность создавать собственные списки и централизованно распространять их на все межсетевые экраны UserGate. Для создания таких списков необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимым списком URL.
|
Создать текстовый файл list.txt со списком URL в следующем формате:
www.site1.com/url1
www.site2.com/url2
...
www.siteend.com/urlN
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список и указать URL для обновления.
|
На каждом NGFW создать список URL. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений.
ПримечаниеURL списка задается в формате: http://x.x.x.x/ или ftp://x.x.x.x/.
Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Календари позволяют создать временные интервалы, которые затем можно использовать в различных правилах NGFW. Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового календаря необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать календарь.
|
В панели Группы нажать на кнопку Добавить, указать название календаря и его описание.
|
Шаг 2. Добавить временные интервалы в календарь.
|
В панели Элементы нажать на кнопку Добавить и добавить интервал. Дать название интервалу и указать время.
|
Элемент библиотеки Полоса пропускания определяет скорость передачи данных, которую возможно в дальнейшем использовать в правилах управления полосой пропускания. Более подробно о правилах управления полосой пропускания смотрите в главе Пропускная способность.
Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления новой полосы пропускания необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать полосу пропускания.
|
Нажать на кнопку Добавить, дать название, описание.
|
Шаг 2. Указать скорость.
|
Указать скорость в Кбит/сек.
|
Шаг 3. Указать значение DCSP для QoS.
|
Необязательный параметр. Если установлен, то будет прописываться в каждый IP пакет. Диапазон от 0 до 63.
|
С помощью шаблонов страниц администратор может управлять видом страницы блокировки и страницы авторизации Captive-портала. Администратор может использовать разные шаблоны для разных правил фильтрации контента и правил Captive-портала.
NGFW поставляется с различными типами шаблонов — шаблоны страниц блокировки, Captive-портала, веб-портала, инициализации TOTP и др. Они могут использованы как образцы для создания пользовательских шаблонов, например, в фирменном стиле компании или на необходимом языке.
Наименование
|
Описание
|
Шаблоны Blockpage (EN) и Blockpage (RU)
|
Стандартные шаблоны блокировки на английском и русском языках.
|
Шаблоны Captive portal user auth (EN) и Captive portal user auth (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль). При успешной авторизации пользователь получает доступ в Интернет.
|
Шаблоны Captive portal user auth + policy (EN) и Captive portal user auth + policy (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль), правила пользования сетью (соглашение об использовании), а также требует принятия пользователем правил политики доступа. При успешной авторизации пользователь получает доступ в Интернет.
|
Шаблоны Captive portal: email auth (EN) и Captive portal: email auth (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя письмом по email. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле.
|
Шаблон Captive portal: SMS auth (EN) и Captive portal: SMS auth (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя с помощью SMS. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле.
|
Шаблон Captive portal policy (EN) и Captive portal policy (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон не требует ввода имени и пароля пользователя, а выводит правила пользования сетью (соглашение об использовании) и требует принятия пользователем правил политики доступа. При согласии с политикой доступа пользователь получает доступ в интернет. Для работы данного шаблона требуется установить метод Принять политику в качестве метода аутентификации в Captive-профиле.
|
Шаблоны Captive portal user session (EN) и Captive portal user session (RU)
|
Шаблоны на английском и русском языках, с помощью которых пользователь может завершить свою авторизованную сессию, перейдя на страницу http://logout.captive или http://USERGATE_IP/cps.
|
Шаблоны Content warning (EN) и Content warning (RU)
|
Шаблоны на английском и русском языках, содержащие страницу предупреждения, отображаемую при срабатывании правила контентной фильтрации с действием Предупредить.
|
Шаблоны FTP client (EN) и FTP client (RU)
|
Шаблоны на английском и русском языках для отображения контента FTP-серверов поверх HTTP.
|
Шаблоны SSL VPN (EN) и (RU)
|
Шаблоны на английском и русском языках для отображения страницы веб-портала.
|
Шаблоны SSL VPN RDP (EN) и (RU)
|
Шаблоны на английском и русском языках для отображения страницы аутентификации при подключении к ресурсам RDP через веб-портал.
|
Шаблоны SSL VPN SSH (EN) и (RU)
|
Шаблоны на английском и русском языках для отображения страницы аутентификации при подключении к ресурсам SSH через веб-портал.
|
Шаблоны TOTP INIT PAGE (EN) и TOTP INIT PAGE (RU)
|
Шаблоны на английском и русском языках для отображения страницы инициализации устройства TOTP для VPN-пользователей.
|
Для создания собственного шаблона необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Экспортировать существующий шаблон, поставляемый по умолчанию.
|
Выбрать один из существующих шаблонов, нажать на кнопку Экспорт и сохранить шаблон в файле.
|
Шаг 2. Изменить экспортированный шаблон.
|
Используя редактор, изменить содержание шаблона. Не рекомендуется использовать специальные редакторы, предназначенные для редактирования HTML-файлов, поскольку они могут испортить внутреннюю структуру шаблона. Используйте простые редакторы текста.
|
Шаг 3. Создать новый шаблон.
|
Нажать на кнопку Добавить, выбрать соответствующий тип шаблона, задать название шаблону и сохранить его.
|
Шаг 4. Импортировать измененный на шаге 2 шаблон.
|
Выделить вновь созданный шаблон, нажать на кнопку Импорт и выбрать файл с измененным шаблоном.
|
Элемент библиотеки Категории URL позволяет создать группы категорий UserGate URL filtering для более удобного использования в правилах фильтрации контента. Например, администратор может создать группу категорий «Бизнес категории» и поместить в нее необходимые категории.
Для использования категорий UserGate URL filtering требуется наличие специальной лицензии.
Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы.
Наименование
|
Описание
|
Threats
|
Набор категорий, рекомендованных для блокировки в целях обеспечения безопасности сети.
|
Parental Control
|
Набор категорий, рекомендованных для блокировки в целях защиты детей от нежелательного контента.
|
Productivity
|
Набор категорий, рекомендованных для блокировки в целях повышения эффективности работы сотрудников.
|
Safe categories
|
Набор категорий, считаемых безопасными для посещения. Рекомендуется отключать морфологическую проверку, перехват HTTPS-трафика для данной группы категорий в целях уменьшения количества ложных срабатываний.
|
Recommended for morphology checking
|
Набор категорий, рекомендованных для проверки с помощью морфологического анализа. Из этого набора исключены такие категории, как «Новости», «Финансы», «Правительство», «Информационная безопасность», «Детские сайты» и ряд других в целях уменьшения количества ложных срабатываний. Этот же набор категорий рекомендуется использовать для перехвата трафика HTTPS.
|
Recommended for virus check
|
Набор категорий, рекомендованных для антивирусной проверки.
|
Для добавления новой группы категорий необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать группу категорий.
|
В панели Группы URL категорий нажать на кнопку Добавить, дать название группе.
|
Шаг 2. Добавить категории.
|
Выделить созданную группу и в панели Категории, нажать на кнопку Добавить и выбрать необходимые категории из списка.
|
В системе определены следующие категории URL:
ID
|
Уровень риска
|
Название
|
Описание
|
0
|
Высокий (4)
|
Неизвестная тематика / Unknown
|
Сайты без принадлежности к какой-либо категории.
|
1
|
Высокий (4)
|
Реклама и всплывающие окна / Advertisements and Pop-Ups
|
Сайты, содержащие графическую рекламу (баннеры, всплывающие окна и прочее).
|
2
|
Низкий (2)
|
Алкоголь и табак / Alcohol and Tobacco
|
Сайты, посредством которых реализуется продвижение или продажа алкогольной и табачной продукции
|
3
|
Очень высокий (5)
|
Анонимайзеры / Anonymizers
|
Сайты, предоставляющие возможность анонимного посещения других сайтов и ресурсов интернета. Анонимайзеры также могут применяться для обхождения средств веб-фильтрации и т.д.
|
4
|
Очень низкий (1)
|
Искусство / Arts
|
Сайты, посвященные искусству, в том числе различным театрам, музеям, галереям, фотографии, танцевальным коллективам и т.д.
|
5
|
Очень низкий (1)
|
Бизнес / Business
|
К данной категории относятся корпоративные веб-сайты, а также интернет-ресурсы, содержащие информацию об услугах и продуктах, необходимых предприятиям любого размера для успешной деятельности.
|
6
|
Очень низкий (1)
|
Транспорт / Transportation
|
Сайты, посвященные автотранспорту и его покупке. Категория включает в себя интернет-ресурсы производителей, дилеров, сайты с обзорами, сообщества, клубы автолюбителей и т.д.
|
7
|
Средний (3)
|
Чаты / Chat
|
Сайты, позволяющие осуществлять общение в режиме реального времени.
|
8
|
Очень низкий (1)
|
Детские сайты / Kids sites
|
Сайты, ориентированные на детскую аудиторию
|
9
|
Низкий (2)
|
Форумы и новостные ленты / Forums and Newsgroups
|
Ленты новостей, форумы, доски объявлений. Категория не включает в себя персональные блоги.
|
10
|
Очень высокий (5)
|
Заражённые сайты / Compromised
|
Сайты, контроль над которыми был захвачен злоумышленниками для распространения вредоносных программ без ведома владельцев. В категорию также входят ресурсы из группы высокого риска заражения.
|
11
|
Очень низкий (1)
|
Компьютеры и технологии / Computers and Technology
|
Сайты, содержащие обзоры продуктов, новости и информация о компьютерах, программном обеспечении, оборудовании, периферийных устройствах, технологиях и услугах.
|
12
|
Средний (3)
|
Преступная деятельность / Criminal Activity
|
Сайты, предлагающие советы и рекомендации по совершению противоправных или преступных действий, а также содержащие информацию о том, как скрыть следы преступления. На подобных ресурсах можно узнать о том, как совершить убийство, создать бомбу, взломать замки и т.д. В данную категорию также включены сайты о незаконном использовании электронных устройств, хакерстве, мошенничестве и незаконном распространении программного обеспечения.
|
13
|
Средний (3)
|
Сайты знакомств / Dating and Personals
|
Сайты, способствующие налаживанию межличностных отношений, таких как знакомства и брак. Категория включает в себя сайты для сватовства, знакомств, ресурсы, предлагающие эскорт-услуги.
|
14
|
Высокий (4)
|
Download-архивы / Download Sites
|
Сайты, которые содержат доступное для скачивания программное обеспечение. Данная категория также включает в себя некоторые Peer-to-Peer сайты.
|
15
|
Очень низкий (1)
|
Образование / Education
|
Сайты, поддерживаемые учебными заведениями и школами всех типов, включая дистанционное обучение. Включает в себя общеобразовательные и справочные материалы, такие как словари, энциклопедии, интерактивные курсы, учебные пособия и методические материалы.
|
16
|
Низкий (2)
|
Развлечения / Entertainment
|
Сайты, предлагающие пользователю телеканалы, кино, музыку и видео (в том числе видео по запросу). Категория также включает в себя сайты знаменитостей и развлекательные новости.
|
17
|
Низкий (2)
|
Финансы / Finance
|
Сайты, связанные с банками, финансами, платежами или инвестициями. В категорию входят интернет-ресурсы банков, брокерских компаний, порталы для онлайн-торговли на бирже. На данных ресурсах также можно узнать котировки акций, информацию об управлении фондами, страховых компаниях, кредитных союзах и т.д.
|
18
|
Высокий (4)
|
Азартные игры / Gambling
|
Сайты, связанные с азартными играми, лотереями, казино и букмекерскими агентствами.
|
19
|
Низкий (2)
|
Игры / Games
|
Сайты, связанные с компьютерными или другими видами игр. Ресурсы содержат информацию о разработчиках игр, кодах и читах.
|
20
|
Очень низкий (1)
|
Правительство / Government
|
Сайты, находящиеся в ведении правительственных или военных организаций, ведомств или учреждений, в том числе отделений полиции, пожарной охраны, таможенных бюро, аварийных служб, гражданской обороны, служб борьбы с терроризмом и больниц.
|
21
|
Низкий (2)
|
Ненависть и нетерпимость / Hate and Intolerance
|
Интернет-ресурсы, посвященные вопросу поощрения ущемления прав людей в зависимости от расы, религии, пола, возраста, инвалидности, сексуальной ориентации или национальности.
|
22
|
Низкий (2)
|
Здоровье и медицина / Health and Medicine
|
Сайты, содержащие информацию, относящуюся к поддержанию здоровья, медицинским услугам, фитнесу и благополучию. В данную категорию также включены интернет-ресурсы, связанные с медицинским оборудованием, больницами, аптеками, сестринским делом, медициной, рецептами лекарств, и т.д.
|
23
|
Низкий (2)
|
Наркотики / Illegal Drug
|
Сайты с информацией о приобретении, производстве и использовании незаконных или рекреационных наркотиков, а также злоупотреблении отпускаемыми по рецепту лекарствами.
|
24
|
Очень низкий (1)
|
Поиск работы / Job Search
|
Сайты, содержащие списки вакансий, оказывающие помощь в поиске работы. В категорию входят интернет-ресурсы агентств по трудоустройству и рекрутинговых компаний.
|
25
|
Средний (3)
|
Военные сайты / Military
|
Информация о военных организациях, военной истории.
|
26
|
Высокий (4)
|
Потоковое мультимедиа и загрузки / Streaming Media and Downloads
|
Сайты, содержащие потоковый контент, например, интернет-радио, интернет-телевидение или MP3-live. Категория включает в себя фан- или официальные сайты музыкантов, групп или звукозаписывающих компаний.
|
27
|
Очень низкий (1)
|
Новости / News
|
Новостные сайты: онлайн-журналы, новостные ленты и т.д.
|
28
|
Низкий (2)
|
Некоммерческие и неправительственные организации / Non-profits and NGOs
|
Сайты, посвященные клубам, сообществам, союзам и некоммерческим организациям. Значительное число данных структур созданы в образовательных или благотворительных целях.
|
29
|
Низкий (2)
|
Нудизм / Nudity
|
Ресурсы, содержащие изображение частичной или полной наготы. Категория включает в себя сайты, рекламирующие или продающие нижнее белье, интимную одежду или купальные костюмы.
|
30
|
Средний (3)
|
Персональные сайты / Personal Sites
|
Персональные сайты, созданные отдельными людьми или группами лиц, блоги.
|
31
|
Очень высокий (5)
|
Фишинг и мошенничество / Phishing and Fraud
|
Сайты, которые используются для обмана или в мошеннических целях (например, фишинг), такие как кражи финансовой или другой информации посредством учетной записи пользователя. Эти сайты чаще всего являются искусно выполненной подделкой популярных законных ресурсов, что вводит в заблуждение пользователей.
|
32
|
Очень низкий (1)
|
Политика / Politics
|
Сайты, посвященные политическим партиям или занимающиеся политической пропагандой, а также предоставляющие информацию о группах интересов, выборах, законодательстве или вопросе лоббирования. Категория включает в себя сайты, которые предлагают сведения о правах и их защите.
|
33
|
Очень высокий (5)
|
Порнография и насилие / Pornography/Sexually Explicit
|
Сайты, которые содержат контент сексуального содержания. Категория включает в себя продукцию для взрослых, такую как секс-игрушки, компакт-диски и видео. Сайты из данной группы позволяют заказывать эскорт-услуги, получить сведения о стриптиз-клубах, почитать эротические рассказы и текстовые описания половых актов.
|
34
|
Низкий (2)
|
Недвижимость / Real Estate
|
Информация об аренде, покупке или продаже недвижимости или земельных участков. Рекомендации по покупке или продаже жилых помещений. Агентства недвижимости, услуги по аренде, переезду, улучшению жилищных условий.
|
35
|
Низкий (2)
|
Религия / Religion
|
Сайты, посвященные вопросу веры, человеческой духовности и религиозным убеждениям, в том числе сайты церквей, синагог, мечетей и других молитвенных домов.
|
36
|
Очень низкий (1)
|
Рестораны и еда / Restaurants and Dining
|
Сайты, содержащие списки, обзоры заведений общественного питания. Категория включает в себя сайты с рецептами, инструкциями и советами, продуктами питания и советами по выбору вина.
|
37
|
Очень низкий (1)
|
Поисковые системы и порталы / Search Engines and Portals
|
Сайты, позволяющие осуществлять поиск в интернете по новостям, изображениям, каталогам и другим видам онлайн-контента. Категория включает в себя порталы и каталоги сайтов, такие как белые/желтые страницы.
|
38
|
Низкий (2)
|
Покупки / Shopping
|
Интернет-магазины, каталоги, аукционы, рекламные объявления. Категория не включает в себя ресурсы, посвященные товарам и услугам из более узких категорий, таких как здравоохранение и медицина.
|
39
|
Средний (3)
|
Социальные сети / Social Networking
|
Сайты социальных сетей, пользователи которых могут общаться, взаимодействовать, обмениваться сообщениями, файлами.
|
40
|
Очень высокий (5)
|
Спам-сайты / Spam Sites
|
Сайты, продвижение которых основано на использовании спам-рассылок.
|
41
|
Очень низкий (1)
|
Спорт / Sports
|
Сайты команд или спортивных ассоциаций, международные и национальные, спортивные колледжи. Ресурсы, содержащие результаты и расписания игр, спортивные журналы и газеты, виртуальный спорт и спортивные лиги.
|
42
|
Очень высокий (5)
|
Вредоносное ПО / Malware
|
Сайты, содержащие нежелательные программы, автоматически загружающиеся и устанавливающиеся на ПК пользователей. Вирусы вносят изменения в систему и позволяют злоумышленникам получить данные с компьютера без ведома и согласия его владельца.
|
43
|
Низкий (2)
|
Фондовый рынок / Stock trading
|
Сайты по торговле ценными бумагами и управления инвестиционными активами. Также включает информацию о финансово-инвестиционной стратегии, котировкам и новостям.
|
44
|
Очень низкий (1)
|
Переводчики / Translators
|
Cайты, на которых возможен онлайн-перевод веб-страниц на другие языки. Данные ресурсы могут использоваться для обхода заданных ограничений, так как просмотр сайтов осуществляется с URL сайта онлайн-переводчика.
|
45
|
Очень низкий (1)
|
Путешествия / Travel
|
Авиакомпании, агентства по бронированию авиабилетов, планирование поездок, предварительные заказы, аренда транспортных средств, описания мест назначения, реклама гостиниц и казино.
|
46
|
Низкий (2)
|
Насилие / Violence
|
Сайты, содержащие изображения, текстовые описания и пропаганду физического насилия против людей, животных или организаций\сообществ. Категория включает в себя ресурсы с иллюстрациями ужасов природы, а также сайты, содержащие ненормативную лексику.
|
47
|
Низкий (2)
|
Оружие / Weapons
|
Сайты, содержащие изображения, обзоры и описания оружия. В категории также входят интернет-магазины орудий и оружия, в том числе для занятия спортом.
|
48
|
Высокий (4)
|
Веб-почта / Web-based Email
|
Порталы, позволяющие завести собственные почтовые аккаунты для написания, чтения, отправки и получения электронных писем.
|
49
|
Средний (3)
|
Общие / General
|
Сайты, которые не попадают в другие категории, например, пустые веб-страницы.
|
50
|
Низкий (2)
|
Отдых и оздоровление / Leisure and Recreation
|
Сайты, связанные с рекреационной деятельностью и увлечениями, включая ресурсы, посвященные зоопаркам, центрам общественного отдыха, бассейнам, паркам развлечениям и хобби, таким как садоводство, литература, искусства и ремесла, домашний декор и т.д.
|
51
|
Низкий (2)
|
Онлайн обучение / Online training and tools
|
Дистанционное образование, онлайн-курсы, профессиональное обучение, программы обучения, повышения квалификации.
|
52
|
Низкий (2)
|
Юриспруденция / Legal
|
Сайты юридических фирм, обсуждение и анализ юридических вопросов.
|
53
|
Низкий (2)
|
Местные достопримечательности / Local Information
|
Путеводители и информация для туристов, в том числе о ресторанах и местные достопримечательности.
|
54
|
Низкий (2)
|
Справочная информация / Reference and Research
|
Профессиональные или образовательные справочные материалы, в том числе онлайн-словари, карты, переписи, альманахи, каталоги библиотек, генеалогии, и научной информации.
|
55
|
Очень низкий (1)
|
Форумы с технической или бизнес информацией / Technical or business forums and news groups
|
Сайты с обсуждениями, относящимся к деловой или технической тематикам.
|
56
|
Очень низкий (1)
|
Техническая информация / Technical information and documentation
|
Сайты, которые предоставляют информацию к техической документации и информации.
|
57
|
Высокий (4)
|
Персональные хранилища / Personal Storage
|
Сайты, которые позволяют загружать файлы и резервные копии для удаленного хранения данных.
|
58
|
Низкий (2)
|
CDNs
|
Сети предоставления контента
|
59
|
Низкий (2)
|
Нецензурная лексика / Profanity
|
Сайты, содержащие нецензурную лексику
|
60
|
Низкий (2)
|
Профессиональные социальные сети / Professional social networks
|
Подмножество веб-сайтов социальных сетей, которое включает в себя контент, предназначенный исключительно для бизнеса и профессионалов.
|
61
|
Очень высокий (5)
|
Ботнеты / Botnets
|
Сайты, которые управляют сетями ботов через командно-контрольные центры.
|
62
|
Низкий (2)
|
Религиозные культы / Cults
|
Сайты, связанные с нетрадиционной религиозной практикой, обычно называемой культами. Подобные движения считаются ложными, неортодоксальными, экстремистскими. Члены культов зачастую живут под руководством харизматического лидера.
|
63
|
Низкий (2)
|
Мода и красота / Fashion and Beauty
|
Сайты о моде, ювелирных изделиях, гламуре, красоте, модельном бизнесе, косметике или связанных со всем перечисленным товарах или услугах. Включает отзывы, сравнения, а также общую информацию, полезную потребителю.
|
64
|
Низкий (2)
|
Поздравительные открытки / Greeting cards
|
Сайты, которые позволяют людям получать и отправлять поздравительные открытки.
|
65
|
Очень высокий (5)
|
Хакерство / Hacking
|
Сайты, которые способствуют или содержат рекомендации о том, как получить несанкционированный доступ к компьютерным системам с целью кражи информации, совершения мошеннических действий, советы по созданию вирусов или совершению других видов незаконной деятельности, связанной с кражей цифровой информации.
|
66
|
Очень высокий (5)
|
Криптомайнеры / Cryptocurrency Mining
|
Сайты, которые используют технологии майнинга криптовалют без разрешения пользователя.
|
67
|
Очень высокий (5)
|
Нелегальное ПО / Illegal Software
|
Сайты, которые незаконно распространяют программное обеспечение или защищенные авторским правом материалы, такие как фильмы, музыка, незаконные серийные номера, генераторы ключей.
|
68
|
Высокий (4)
|
Обмен картинками / Image Sharing
|
Порталы для размещения цифровых фотографий и изображений, фотоальбомы и фотообменники.
|
69
|
Низкий (2)
|
Информационная безопасность / Information Security
|
Сайты, которые предоставляют информацию о законной защите данных, в том числе о новых угрозах и способах борьбы с ними.
|
70
|
Средний (3)
|
Сервисы мгновенных сообщений / Instant Messaging
|
Сайты, которые позволяют создавать и использовать аккаунт в службах обмена мгновенными сообщениями, таких как ICQ, AOL Instant Messenger, IRC, MSN, Jabber, Yahoo Messenger, и т.п.
|
71
|
Очень низкий (1)
|
Сетевые ошибки / Network Errors
|
Сайты, которым не присвоен IP-адрес.
|
72
|
Средний (3)
|
Паркованные домены / Parked Domains
|
К паркованным доменам относятся URL-адреса с ограниченным контентом, конечные точки перехода с рекламных объявлений. Подобные ресурсы могут приносить прибыль, но, как правило, не несут в себе полезной для пользователя информации. Категория также включает в себя сайты, находящиеся на реконструкции, папки и базовые страницы веб-серверов.
|
73
|
Высокий (4)
|
Пиринговые сети / Peer-to-Peer
|
Сайты, которые позволяют осуществлять прямой обмен файлами между пользователями вне зависимости от центрального сервера.
|
74
|
Высокий (4)
|
Частные IP-адреса / Private IP Addresses
|
Включает наборы IP-адресов, определенные в RFC 1918.
|
75
|
Низкий (2)
|
Школьные мошенничества / School Cheating
|
Сайты с ответами на различные школьные тесты, написанными эссе, рефератами, исследовательскими или курсовыми работами.
|
76
|
Низкий (2)
|
Половое воспитание / Sex Education
|
Сайты, связанные с сексуальным образованием, включая такие темы, как уважение к партнеру, аборты, бисексуальный образ жизни, противозачаточные средства, заболевания, передаваемые половым путем и беременность.
|
77
|
Средний (3)
|
Сайты сомнительного содержания / Tasteless
|
Сайты с оскорбительным контентом, такого рода как юмор "ниже пояса", ужасный или даже пугающий контент, шокирующие изображения крови, ран или жестокого обращения с животными.
|
78
|
Низкий (2)
|
Жестокое обращение с детьми / Child Abuse Images
|
Сайты, содержащие фотографии, иллюстрирующие случаи жестокого обращения с детьми.
|
79
|
Очень низкий (1)
|
Нетрадиционная сексуальная ориентация / Gay, Lesbian or Bisexual
|
Сайты, содержащие материалы о геях, лесбиянках, трансгендерах.
|
80
|
Низкий (2)
|
Литература и книги / Literature and Books
|
Сайты, содержащие опубликованные книги, новеллы, рассказы, включая фантастику, биографии.
|
81
|
Низкий (2)
|
Здоровое питание и диеты / Nutrition and Diet
|
Сайты, посвященные правильному питанию, снижению веса, диетам.
|
82
|
Низкий (2)
|
Домашние животные / Pets and Animals
|
Сайты, посвященные продуктам и сервисам для домашних и других животных.
|
84
|
Низкий (2)
|
Обновления / Updates
|
Сайты обновлений программного обеспечения, обновлений операционных систем, обновлений
|
85
|
Средний (3)
|
Чат-боты искусственного интеллекта / Chat-bot AI
|
Сайты, предоставляющие доступ к чат-ботам искусственного интеллекта, подобным Chat GPT.
|
97
|
Низкий (2)
|
Репутация: Низкий риск / Reputation: Low risk
|
Сайты с низким репутационным риском. Как правило это сайты, не имеющие известных уязвимостей, но относящиеся к категориям, где риск нарушения безопасности возможен.
|
98
|
Средний (3)
|
Репутация: Средний риск / Reputation: Medium risk
|
Сайты со средним репутационным риском. Как правило это сайты, которые могут содержать уязвимости и относящиеся к категориям, где риск нарушения безопасности возможен.
|
99
|
Очень высокий (5)
|
Репутация: Высокий риск / Reputation: High risk
|
Сайты с высоким репутационным риском. Сайты с известными уязвимостями.
|
Элемент библиотеки Измененные категория URL позволяет администратору назначить определенным сайтам категории, отличные от категорий, назначенных техническими специалистами UserGate. Такая потребность может возникнуть в случае некорректного категорирования сайтов или в случае, если требуемый сайт не имеет назначенной ему категории. Для переопределения категории сайта необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Проверить первоначальную категорию сайта.
|
В разделе Библиотеки ➜ Измененные категории URL ввести требуемый адрес сайта в строку проверки и нажать на кнопку Проверить категорию.
|
Шаг 2. Назначить новую категорию.
|
Если полученная категория не совпадает с требуемой, то необходимо нажать на кнопку Добавить и назначить до двух новых категорий.
|
После успешного изменения категории сайт будет отображаться в списке сайтов с измененными категориями. Для него также будет указаны дата изменения категории, администратор, выполнивший данное изменение, его оригинальные и новые категории.
При последующей проверке категорий для данного сайта в качестве категорий будут возвращены только новые категории и специальная категория, в которую включаются все сайты с измененными категориями — Переопределенные пользователем категории.
Администратор может экспортировать списки сайтов с измененными категориями или импортировать любые списки сайтов и назначить им требуемые категории.
Сигнатуры приложений представляют собой совокупность семантических выражений, с помощью которых описываются характерные признаки определенных сетевых приложений. Они используются в межсетевом экране для анализа трафика на 7 уровне модели OSI для контроля сетевого трафика.
Типы сигнатур приложений
В UserGate могут использоваться два типа сигнатур приложений:
Проприетарные сигнатуры приложений создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. В списке сигнатур в библиотеке такие сигнатуры помечаются в колонке Владелец как: @UserGate.
Кастомизированные сигнатуры приложений создаются самим пользователем. Для создания пользовательской сигнатуры приложений в веб-консоли администратора необходимо перейти в раздел Библиотеки ➜ Приложения и нажать на кнопку Добавить. Далее заполняются поля с параметрами сигнатуры, описываются признаки сигнатуры с помощью синтаксиса UASL.
Необходимо заполнить следующие поля:
Наименование
|
Описание
|
Тип
|
Тип сигнатуры;
|
Id
|
ИИдентификатор сигнатуры. Если поле оставить пустым, то будет выдан свободный id из пользовательского пула.
|
Название
|
Название сигнатуры.
|
Описание
|
Описание сигнатуры.
|
Уровень угрозы
|
Уровень угрозы, определяемый сигнатурой. Определены следующие значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
Технология
|
Технология приложения:
-
browser-based — браузерное веб-приложение.
-
client-server — клиент-серверное приложение.
-
network-protocol — сетевой протокол.
-
peer-to-peer — приложение точка-точка.
|
Категория
|
Категория сигнатуры приложений — группа сигнатур, объединенных общими параметрами. Список категорий приложений может быть пополнен.
-
Media streaming
-
Email
-
Coin Miners
-
Tunneling
-
Games
-
Remote access
-
Conferencing
-
Trojan Horses
-
Business
-
Mobile
-
Proxies and anonymizers
-
Standard networks
-
VOIP
-
Web posting
-
Software update
-
File storage and backup
-
Web browsing
-
File sharing P2P
-
Instant messaging
-
Social networking
|
UASL
|
Описание признаков сигнатуры с помощью синтаксиса UASL.
|
Сигнатуры приложений, зависимые от типа протокола
Некоторые сигнатуры приложений для своей работы в профилях приложений требуют наличия сигнатур определенного протокола.
В следующей таблице представлены такие зависимости:
Сигнатура протокола
|
ID зависимых сигнатур
|
SSL/TLS (id=19)
|
185, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 217, 218, 219, 220, 221, 222, 223, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239, 240, 241, 242, 243, 244, 245, 246, 247, 248, 249, 250, 251, 252, 253, 254, 255, 256, 257, 258, 259, 260, 261, 262, 263, 264, 265, 267, 268, 269, 270, 271, 272, 273, 275, 276, 277, 278, 281, 282, 283, 284, 285, 286, 287, 288, 289, 290, 291, 292, 293, 294, 295, 296, 297, 298, 299, 300, 301, 302, 303, 304, 305, 306, 307, 308, 309, 310, 311, 312, 313, 314, 315, 316, 317, 318, 319, 320, 321, 322, 323, 324, 325, 326, 327, 328, 329, 330, 331, 437, 439, 440, 441, 443, 444, 445, 446, 449, 450, 451, 458, 459, 465, 466, 470, 471, 472, 474, 475, 477, 481, 482, 485, 486, 487, 490, 492, 494, 495, 496, 501, 502, 504, 505, 511, 512, 513, 515, 516, 517, 518, 521, 524, 525, 526, 527, 528, 531, 532, 535, 536, 537, 538, 539, 544, 549, 550, 552, 554, 556, 557, 560, 563, 564, 566, 567, 568, 576, 577, 579, 581, 585, 589, 590, 592, 595, 596, 597, 600, 601, 603, 604, 606, 607, 610, 612, 613, 617, 621, 622, 623, 625, 627, 632, 635, 636, 638, 710, 730, 731, 734, 738, 739, 744, 746, 748, 752, 753, 754, 755, 756, 759, 760, 761, 762, 763, 766, 769, 770, 771, 772, 773, 774, 775, 776, 781, 783, 785, 788, 790, 795, 797, 800, 801, 807, 808, 810, 811, 813, 815, 817, 818, 820, 822, 825, 826, 831, 832, 833, 835, 836, 837, 841, 842, 846, 847, 848, 850, 851, 852, 853, 854, 858, 859, 860, 863, 864, 867, 869, 872, 874, 875, 877, 878, 879, 880, 883, 885, 887, 888, 891, 893, 894, 895, 897, 898, 899, 902, 903, 904, 905, 908, 909, 1967, 2027, 4062, 4082, 4437, 4459, 5294, 5301, 5317, 5321, 5323, 5324, 5385, 5395, 5407, 5431, 5506, 5637, 5641, 5644, 5645, 5649, 5650, 5652, 5654, 5656, 5658, 5668, 5671, 5673, 5674, 5675, 5676, 5678, 5679, 5680, 5681, 5688, 5692, 5693, 5695, 5699, 5710, 5711, 5715, 5719, 5730, 5736, 5739, 5740, 5742, 5744, 5750, 5762, 5765, 5769, 5770, 5773, 5776, 5777, 5778, 5786, 5791, 5792, 5794, 5795, 5800, 5804, 5809, 5810, 5812, 5813, 5815, 5816, 5820, 5822, 5823, 5825, 5826, 5827, 5828, 7688, 7689, 7690, 7691, 7692, 7694, 7695, 7698, 7699, 7704, 7705, 7707, 7708, 7740, 7843, 7864, 7865, 7867, 7868, 8000, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8009, 8010, 8011, 8012, 8014, 8015, 8016, 8017, 8018, 8019, 8022, 8024, 8026, 8027, 8028, 8031, 8032, 8033, 8034, 8035, 8036, 8037, 8038, 8039, 8040, 8041, 8043, 8044, 8045, 8048, 8049, 8053, 8054, 8055, 8056, 8057, 8058, 8059, 8060, 8063, 8064, 8066, 8067, 8069, 8070, 8071, 8075, 8077, 8078, 8079, 8080, 8081, 8082, 8083, 8084, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8094, 8095, 8096, 8098, 8099, 8101, 8102, 8103, 8104, 8105, 8106, 8107, 9003, 9007, 9008, 9016, 9019, 9030, 9042, 9044, 9048, 9050, 9051, 9052, 9053, 9054, 9055, 9056, 9057, 9058, 9059, 9060, 9061, 9062, 9063, 9064, 9065, 9066, 9067, 9068, 9069, 9071, 9072, 9074, 9075, 9076, 9077, 9078, 9079, 9080, 9081, 9083, 9084, 9085, 9086, 9087, 9088, 9089, 9090, 9091, 9092, 9094, 9096, 9097, 9098, 9099, 9100, 9101, 9102, 9103, 9104, 9105, 9114, 9128, 9141, 9147, 9148, 9150, 9529, 9543, 9544, 9553, 9563, 9566, 9572, 9573, 9575, 9579, 9580, 9622, 9625, 9627, 9628, 9641, 9650, 9655, 9657, 9714, 9733, 10514, 11011, 11024, 11025, 11044, 11504, 12001, 12002, 12003, 12006, 12007, 12008, 12009, 12010, 12011, 12012, 12013, 12014, 12015, 12016, 12017, 12018, 12019, 12020, 12021, 12022, 12023, 12024, 12025, 12026, 12027, 12028, 12033, 12034, 12035, 12036, 12044, 12045, 12501, 14002, 14003
|
HTTP (id=3)
|
196, 239, 261, 475, 532, 535, 610, 612, 627, 710, 1967, 4133, 4340, 4441, 5323, 5395, 5506, 5655, 5672,
5674, 5676, 5693, 5728, 5730, 5750, 5754, 5763, 5769, 5770, 5773, 5778, 5788, 5792, 5823, 5830, 7867,
8002, 8013, 8048, 9777, 9823, 9824, 9845, 11027, 12032, 12033
|
DNS (id=5)
|
1967, 5395, 5672, 5815
|
IKE (id=11041)
|
11056
|
Связанные сигнатуры
Некоторые сигнатуры зависят не только от сигнатуры протокола, но и от связанных сигнатур.
Список связанных сигнатур приложений приведен в следующей таблице:
ID сигнатуры
|
Название сигнатуры
|
Зависит от протокола
|
Связана с сигнатурой
|
Примечание
|
218
|
Yandex.Disk
|
SSL/TLS (id=19)
|
—
|
Для работы данной сигнатуры в профиль необходимо добавить только сигнатуру протокола (id=19).
|
7707
|
Yandex.Disk download
|
SSL/TLS (id=19)
|
Yandex.Disk (id=218), Yandex Services (id=12044)
|
Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанные сигнатуры (id=218 и
id=12044).
|
7708
|
Yandex.Disk upload
|
SSL/TLS (id=19)
|
Yandex.Disk (id=218), Yandex Services (id=12044)
|
Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанные сигнатуры (id=218 и
id=12044).
|
12044
|
Yandex Services
|
SSL/TLS (id=19)
|
—
|
Для работы данной сигнатуры в профиль необходимо добавить только сигнатуру протокола (id=19).
|
16020
|
Yandex Tracker
|
SSL/TLS (id=19)
|
Yandex Services (id=12044)
|
Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанную сигнатуру (id=12044).
|
12045
|
Yandex Cloud
|
SSL/TLS (id=19)
|
Yandex Services (id=12044)
|
Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанную сигнатуру (id=12044).
|
Назначение профиля приложений
Профиль приложений позволяет создавать динамический набор сигнатур приложений, предназначенный для анализа трафика на 7 уровне модели OSI. Динамичность профиля достигается за счет того, что профиль явно не содержит в себе никаких сигнатур, а содержит фильтры, с помощью которых собирается набор сигнатур. При изменении библиотеки сигнатур приложений профили динамически наберут новые наборы сигнатур, удовлетворяющих фильтрам профилей.
Помимо создания необходимого набора сигнатур в профиле могут определятся действия, которые необходимо выполнить над приложениями, отфильтрованными сигнатурами и действия, которые должны быть применены к трафику, который не удалось идентифицировать.
Создание профиля приложений в веб-консоли администратора
В веб-консоли администратора профили приложений создаются в разделе Библиотеки ➜ Профили приложений.
Необходимо нажать Добавить и заполнить соответствующие поля в свойствах профиля приложений:
1. В поле Название указать название создаваемого профиля.
2. В поле Описание опционально указать назначение профиля.
3. В области Фильтры добавляются фильтры для выбора необходимых сигнатур из библиотеки и настраиваются действия, которые необходимо выполнить над приложениями, отфильтрованными сигнатурами.
4. В области Настройки сигнатуры неопределенных приложений определяются действия с трафиком, который не был определен сигнатурами данного профиля.
5. На вкладке Совпавшие сигнатуры отображается превью сигнатур приложений, отобранных всеми фильтрами профиля, и настроенные действия, которые необходимо выполнить над приложениями, отфильтрованными этими сигнатурами.
Настройка фильтров сигнатур в профиле приложений
Для создания фильтра сигнатур приложений необходимо в области Фильтры нажать кнопку Добавить. Откроется окно свойств фильтра.
Фильтр можно создать, выбирая опции отбора в панели инструментов. Ниже в окне будут отображаться сигнатуры из библиотеки, попадающие под действие этого фильтра:
Также фильтр можно создать, описав его с помощью sql-подобного синтаксиса. Для этого необходимо нажать кнопку Расширенный в панели инструментов и в открывшейся строке описать свойства выбора фильтра:
В каждом фильтре могут настраиваться состояния сигнатур и действия, которые применяются ко всем сигнатурам, попадающим под него:
-
Включение/отключение сигнатуры.
-
Включение/отключение журналирования сигнатуры.
-
Запись в pcap-файл, если сигнатура сработала.
-
Предпринимаемое действие над трафиком, если сигнатура сработала, т.е. приложение было найдена в трафике. Действия могут быть следующие: пропустить, отбросить, отбросить с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения.
Для сохранения созданного фильтра необходимо нажать кнопку Сохранить.
В одном профиле может быть создано сразу несколько фильтров.
Фильтры в профиле работают по правилу логического ИЛИ.
Порядок фильтров сигнатур в профиле важен – настройки верхнего фильтра имеют высший приоритет. Например, если в библиотеку сигнатур приложений будут добавлены новые сигнатуры и они попадут под действие сразу нескольких фильтров одного профиля, им будет присвоено настроенное действие первого фильтра, под который они попадают.
Настройка действий для трафика, который не удалось идентифицировать
В профиле приложений может быть настроено действие, которое применяется к трафику, который не удалось идентифицировать с помощью набора сигнатур профиля.
В области Настройки сигнатуры неопределенных приложений настраивается действие, включается/отключается журналирование и запись в файл pcap.
Действия могут быть следующие: пропустить, отбросить, отбросить с разрывом TCP соединения.
Примеры настроек профилей приложений
Пример 1. Профиль приложения с сигнатурой, зависимой от сигнатуры протокола
Списки сигнатур, зависимых от сигнатур протоколов, приведены в разделе Приложения.
Создадим профиль для приложения Kontur Talk, которое определяется соответствующей сигнатурой (id=14002). Чтобы запретить весь трафик, кроме трафика приложения Kontur Talk, профиль приложений должен выглядеть следующим образом:
Сигнатура SSL/TLS (id=19) необходима для работы сигнатуры Kontur Talk, поэтому она добавляется в профиль, но для нее выставляется действие Отбросить, чтобы не пропускать посторонний трафик по протоколам SSL/TLS. Для неидентифицированного трафика также устанавливается действие Отбросить.
Пример 2. Профиль для белого списка со связанными сигнатурами
Списки связанных сигнатур приведены в разделе Приложения.
Создадим профиль для случая, когда необходимо разрешить загрузку файлов на Yandex Disk. Для того, чтобы сигнатура Yandex.Disk upload работала, необходимо учесть её зависимость от сигнатуры протокола SSL/TLS (id=19) и связанность с сигнатурами Yandex.Disk (id=218) и Yandex Services (id=12044). В данном примере профиль приложений будет выглядеть следующим образом:
Таким образом разрешается доступ и загрузка файлов на Yandex Disk, а весь остальной трафик помечается как неидентифицированный и отбрасываться либо действием сигнатуры SSL/TLS, либо действием для сигнатур неопределенных приложений.
Пример 3. Профиль для черного списка со связанными сигнатурами
В данном примере разрешается весь трафик, кроме попадающего под сигнатуру Yandex.Disk upload (id=7708). Для этого случая необходимо учесть зависимость сигнатуры Yandex.Disk upload от сигнатуры протокола SSL/TLS (id=19). Связанность с сигнатурами Yandex.Disk и Yandex Services в случае блокировки не учитывается. Профиль приложений в данном примере будет выглядеть следующим образом:
Таким образом запрещается загрузка файлов на Yandex Disk, а весь остальной трафик разрешается либо действием сигнатуры SSL/TLS, либо действием для сигнатур неопределенных приложений.
Применение профилей приложений
Администратор может создать необходимое количество профилей. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты определенного сервиса. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.
Профиль приложения применяется в разрешающем правиле межсетевого экрана.
Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем (адреса/зоны источника/назначения, пользователи итд.). После попадания под разрешающее правило с профилем приложений, трафик начинает анализироваться с помощью сигнатур профиля. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в фильтрах профиля и произведена соответствующая запись в Журнале трафика, если была включена опция журналирования. Если ни одна из сигнатур не была найдена, то к трафику будет применено действие, настроенное в профиле для неидентифицированного трафика.
Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).
В данном разделе пользователь может управлять (создавать/обновлять/удалять) группами приложений. Группы приложений могут быть использованы при настройке правил управления пропускной способности.
Для создания группы приложений:
Наименование
|
Описание
|
Шаг 1. Создать группу.
|
В разделе Библиотеки ➜ Группы приложений нажать на кнопку Добавить, указать название и, опционально, описание группы приложений.
|
Шаг 2. Добавить сигнатуры приложений в группу.
|
На панели Приложения нажать Добавить и выбрать сигнатуры приложений для добавления в группу. Для добавления всех сигнатур приложений использовать кнопку Добавить все.
|
Элемент библиотеки Почтовые адреса позволяет создать группы почтовых адресов, которые впоследствии можно использовать в правилах фильтрации почтового трафика и для использования в оповещениях.
Для добавления новой группы почтовых адресов необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать группу почтовых адресов.
|
В панели Группы почтовых адресов нажать на кнопку Добавить, дать название группе.
|
Шаг 2. Добавить почтовые адреса в группу.
|
Выделить созданную группу, в панели Почтовые адреса нажать на кнопку Добавить и добавить необходимые почтовые адреса.
|
Администратор имеет возможность создавать списки почтовых адресов и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми списком почтовых адресов.
|
Создать файл list.txt со списком почтовых адресов.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список почтовых адресов и указать URL для обновления.
|
На каждом NGFW создать список адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Элемент библиотеки Номера телефонов позволяет создать группы номеров, которые впоследствии можно использовать в правилах оповещения SMPP.
Для добавления новой группы телефонных номеров необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать группу телефонных номеров.
|
В панели Группы телефонных номеров нажать на кнопку Добавить, дать название группе.
|
Шаг 2. Добавить номера телефонов в группу.
|
Выделить созданную группу, в панели Группа телефонных номеров нажать на кнопку Добавить и добавить необходимые номера.
|
Администратор имеет возможность создавать списки телефонных номеров и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми списком номеров.
|
Создать файл list.txt со списком номеров.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список телефонных номеров и указать URL для обновления.
|
На каждом NGFW создать список адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Сигнатуры СОВ представляют собой некоторую совокупность строк (паттернов) и семантических выражений (фильтров, модификаторов, иных конструкций), которые позволяют идентифицировать/пометить сетевую атаку и предпринять определенные действия. Сигнатуры добавляются в профили СОВ и используются в правилах межсетевого экрана для обнаружения вторжений и защиты сети.
В UserGate могут использоваться два типа сигнатур СОВ:
Проприетарные сигнатуры СОВ создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. В списке сигнатур в библиотеке такие сигнатуры помечаются в колонке Владелец как: @UserGate.
В проприетарных сигнатурах пользователь может перенастроить следующие параметры:
-
Включение/отключение сигнатуры.
-
Предпринимаемое действие, если сигнатура сработала, т.е. была найдена в трафике. Действия могут быть следующие: пропустить пакет, отбросить пакет, сбросить пакет с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения.
-
Журналирование сигнатуры.
-
Запись в pcap-файл, если сигнатура сработала.
Дополнительные опциональные параметры проприетарных сигнатур:
-
Применить к — настраивается, если параметр Действие выставлен в значения Отбросить пакет с разрывом TCP соединения, Блокировать IP-адрес источника и/или назначения. Параметр имеет следующие значения: Источник, Назначение, Оба.
-
Продолжительность — возможно настроить, если параметр Действие имеет значение Блокировать IP-адрес источника и/или назначения. Число, указывающее длительность блокировки IP-адреса. Если значение равно нулю, IP-адрес блокируется бесконечно.
Некоторые сигнатуры также имеют настройку следующих дополнительных параметров:
Примеры сигнатур с такими настройками:
1064, 1672, 1711, 1732, 1738, 1740, 1741, 5315, 5611, 5612, 5657, 5699, 5701, 5757,
13003, 17002, 17003, 17004, 45022, 3029251, 3031043, 3031817, 3032798, 3032823,
3033202, 3033935, 3034466, 3035136, 3037395, 3037608, 3037708, 3037771, 3039602,
3039703, 3039876, 3039883, 3040088, 3040443, 3042187, 3046218, 3046453, 3046609,
3049480, 3050453, 3050940, 3051410, 3051613, 3051634, 90000000, 90000001, 90000002,
90000003, 90000004, 90000005, 90000006, 90000007, 90000008, 90000009, 90000010
ПримечаниеВ данном списке приведены примеры сигнатур, которые имеют дополнительные параметры настройки Частота срабатывания и Направление. По мере развития продукта количество таких сигнатур будет увеличиваться.
После изменения настроек параметров по умолчанию у проприетарных сигнатур в колонке Статус будет указано: Изменено:
Измененные пользователем настройки проприетарных сигнатур СОВ можно вернуть в первоначальное состояние, для этого в веб-консоли администратора в разделе Библиотеки ➜ Сигнатуры СОВ нужно выделить сигнатуру в списке и нажать кнопку Восстановить по умолчанию:
Кастомизированные сигнатуры СОВ создаются самим пользователем.
Для создания кастомизированной сигнатуры СОВ в веб-консоли администратора необходимо перейти в раздел Библиотеки ➜ Сигнатуры СОВ и нажать на кнопку Добавить. Далее заполняются поля с параметрами сигнатуры. Признаки сетевых уязвимостей описываются с помощью синтаксиса языка UASL (UserGate Application and Security Language).
При создании кастомизированной сигнатуры необходимо настроить ее параметры. На вкладке Общие:
Наименование
|
Описание
|
Включено
|
Индикатор включения/выключения сигнатуры.
|
Id
|
Идентификатор сигнатуры. Если поле оставить пустым, то будет выдан свободный id из пользовательского пула.
|
Название
|
Название сигнатуры.
|
Описание
|
Описание сигнатуры.
|
Угроза сигнатуры
|
Уровень угрозы, определяемый сигнатурой. Определены следующие значения:
-
1 – очень низкий.
-
2 – низкий.
-
3 – средний.
-
4 – высокий.
-
5 – очень высокий.
|
Класс
|
Класс сигнатуры определяет тип атаки, которая описывается данной сигнатурой. Определяются также общие события, которые не относятся к атаке, но могут быть интересны в определенных случаях, например, обнаружение установления сессии TCP. Список классов может быть пополнен.
-
arbitrary-code-execution – попытка запуска произвольного кода.
-
attempted-admin – попытка получения административных привилегий.
-
attempted-dos – попытка совершения атаки Denial of Service.
-
attempted-recon – попытка атаки, направленной на утечку данных.
-
attempted-user – попытка получения пользовательских привилегий.
-
bad-unknown – потенциально плохой трафик.
-
buffer overflow – попытка атаки, использующей принцип перепонения буфера.
-
command-and-control – попытка общения с C&C центром
-
default-login-attempt – попытка логина с именем/паролем по умолчанию.
-
denial-of-service – обнаружена атака Denial of Service.
-
exploit-kit – обнаружен exploit kit
-
information disclosure – утечка данных.
-
memory corruption – попытка атаки, использующей принцип повреждения памяти.
-
misc-activity – прочая активность.
-
misc-attack – обнаружена атака.
-
network-scan – сканирование сети.
-
path traversal – попытка атаки, использующей принцип обхода пути к файлам на сервере, на котором работает приложение.
-
policy-violation – нарушение сетевых политик.
-
protocol-command-decode – обнаружение необычной команды протокола.
-
shellcode-detect – обнаружен исполняемый код.
-
string-detect – обнаружена подозрительная строка.
-
successful-recon-limited – утечка информации
-
suspicious-login – попытка логина с использованием подозрительного имени пользователя.
-
system-call-detect – попытка использования системных вызовов.
-
targeted-activity – обнаружение направленной активности.
-
trojan-activity – обнаружен сетевой троян.
-
uncaught exception – необрабатываемое приложением исключение.
|
Категория
|
Категория сигнатуры - группа сигнатур, объединенных общими параметрами. Список категорий может быть пополнен.
-
adware pup – нежелательное рекламное ПО.
-
attack_response – сигнатуры, определяющие ответы на известные сетевые атаки.
-
bruteforce – атака типа brutr force.
-
coinminer – скачивание, установка, деятельность известных майнеров.
-
dns – известные уязвимости DNS.
-
dos – сигнатуры известных Denial of services атак.
-
exploit – сигнатуры известных эксплоитов.
-
ftp – известные FTP-уязвимости.
-
icmp – известные уязвимости протокола icmp.
-
imap – известные IMAP-уязвимости.
-
info – потенциальная утечка информации.
-
ldap – известные LDAP-уязвимости.
-
malware – скачивание, установка, деятельность известных malware.
-
misc – другие известные сигнатуры.
-
netbios – известные уязвимости протокола NETBIOS.
-
p2p – идентификация трафика точка-точка (peer-to-peer).
-
phishing – сигнатуры известных phishing атак.
-
policy – нарушение информационной безопасности.
-
pop3 – известные уязвимости протокола POP3.
-
rpc – известные уязвимости протокола RPC.
-
scada – известные уязвимости протокола SCADA.
-
scan – сигнатуры, определяющие попытки сканирования сети на известные приложения.
-
shellcode – сигнатуры, определяющие известные попытки запуска программных оболочек.
-
sip – известные уязвимости протокола SIP.
-
smb – известные уязвимости протокола SMB.
-
smtp – известные уязвимости протокола SMTP.
-
snmp – известные уязвимости протокола SNMP.
-
sql – известные уязвимости SQL.
-
telnet – известные попытки взлома по протоколу telnet.
-
tftp – известные уязвимости протокола TFTP.
-
user_agents – сигнатуры подозрительных Useragent.
-
voip – известные уязвимости протокола VoIP.
-
web_client – сигнатуры, определяющие известные попытки взлома различных веб-клиентов, например, Adobe Flash Player.
-
web_server – сигнатуры, определяющие известные попытки взлома различных веб-серверов.
-
web_specific_apps – сигнатуры, определяющие известные попытки взлома различных веб приложений.
-
worm – сигнатуры, определяющие сетевую активность известных сетевых червей.
|
Операционная система сигнатуры
|
Операционная система, для которой разработана данная сигнатура.
-
Windows
-
Linux
-
BSD
-
Mac OS X
-
BSD
-
Solaris
-
Cisco
-
Android
-
IOS
|
CVE
|
Идентификатор уязвимости по реестру CVE.
|
BDU
|
Идентификатор уязвимости по реестру BDU.
|
URL
|
Опциональная ссылка на ресурс с описанием уязвимости.
|
На вкладке UASL и настройки:
Наименование
|
Описание
|
UASL
|
Описание признаков сигнатуры с помощью синтаксиса UASL.
|
Настройки
|
-
Действие – реакция на срабатывание сигнатуры. Определены следующие значения::
-
Нет – действие используется, как вспомогательное действие для сигнатур, которые связаны через конструкцию .mark set|test (Подробнее читайте в статье Работа с метками). Сигнатура с этим действием, например, может проставить mark, а mark может проверяться уже в других сигнатурах.
-
Пропустить – пропустить пакет.
-
Отбросить – отбросить пакет.
-
Сбросить – отбросить пакет с разрывом TCP соединения (отправка TCP reset).
-
Блокировать IP – блокировать IP-адрес источника и/или назначения.
-
Журналировать:
-
Файл pcap – трассировка срабатывания сигнатуры с записью в файл формата pcap.
-
Применить к – применимость действий типа Ресет или Блокировать IP на срабатыване сигнатуры:
-
Источник – действия Ресет или Блокировать IP применяются к адресу источника отправления пакетов.
-
Назначание – действия Ресет или Блокировать IP применяются к адресу назначения отправления пакетов.
-
Оба – действия Ресет или Блокировать IP применяются и к источнику, и к назначению.
-
Блокировка – настройка длительности блокировки для действия Блокировать IP.
|
С помощью кнопки Проверить сигнатуру можно проверить корректность синтаксиса UASL в описании сигнатуры. Если описание корректно, появится окно с подтверждением:
Если в описании сигнатуры с помощью синтаксиса UASL были допущены ошибки, появится окно с результатом проверки и указанием места, где допущена ошибка:
Назначение профиля СОВ
Профиль СОВ позволяет создавать динамический набор сигнатур СОВ, предназначенный для обнаружения вторжений и защиты определенных сервисов. Динамичность профиля достигается за счет того, что профиль явно не содержит в себе никаких сигнатур, а содержит фильтры, с помощью которых собирается набор сигнатур. Для фильтрации используются как описательные поля сигнатур, так и настройки. В итоге получается, что при изменении библиотеки сигнатур профили динамически наберут новые наборы сигнатур, удовлетворяющих фильтрам профилей.
Помимо создания необходимого набора сигнатур в профиле могут определяться действия, которые будут выполняться над трафиком, отфильтрованным сигнатурами.
Создание профиля СОВ в веб-консоли администратора
В веб-консоли администратора профили СОВ создаются в разделе Библиотеки ➜ Профили СОВ.
Необходимо нажать Добавить и заполнить соответствующие поля в свойствах профиля:
1. В поле Название указать название создаваемого профиля.
2. В поле Описание опционально указать назначение профиля.
3. В области Фильтры добавляются фильтры для выбора необходимых сигнатур из библиотеки.
4. На вкладке Совпавшие сигнатуры отображается превью сигнатур СОВ, отобранных всеми фильтрами профиля, и настроенные действия, которые необходимо выполнить над трафиком, отфильтрованным этими сигнатурами.
Настройка фильтров сигнатур в профиле СОВ
Для создания фильтра сигнатур необходимо в области Фильтры нажать кнопку Добавить. Откроется окно свойств фильтра.
Фильтр можно создать, выбирая опции фильтрации в панели инструментов. В окне под панелью инструментов будут отображаться сигнатуры, отбираемые этим фильтром:
Также фильтр можно создать, описав его с помощью sql-подобного синтаксиса. Для этого необходимо нажать кнопку Расширенный в панели инструментов и в открывшейся строке описать свойства выбора фильтра:
Начиная с версии ПО 7.3.0 в свойствах фильтров доступна возможность перенастройки параметров всех сигнатур, отбираемых фильтром:
Можно перенастроить следующие параметры отфильтрованных сигнатур:
-
Состояние сигнатуры — возможность включить или выключить сигнатуры. Значение "По умолчанию" оставляет состояние всех сигнатур, как оно определено в самих сигнатурах по умолчанию.
-
Действие — предпринимаемое действие, если сигнатура сработала, т.е. была найдена в трафике. Действия могут быть следующие: пропустить пакет, отбросить пакет, сбросить пакет с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения. Значение "По умолчанию" оставляет для всех сигнатур то действие, которое было определено в самих сигнатурах по умолчанию.
-
Журналировать — включение/отключение журналирования срабатывания сигнатуры. Значение "По умолчанию" оставляет настройку журналирования для всех сигнатур, как она определена в самих сигнатурах по умолчанию.
-
Файл PCAP — включение/отключение записи в PCAP-файл, если сигнатура сработала. Значение "По умолчанию" оставляет настройку записи в PCAP-файл для всех сигнатур, как она определена в самих сигнатурах по умолчанию.
-
Применить к — настраивается, если параметр Действие выставлен в значения Сбросить или Блокировать IP. Параметр имеет следующие значения: Источник, Назначение, Оба.
-
Продолжительность — возможно настроить, если параметр Действие имеет значение Блокировать IP. Число, указывающее срок блокировки IP-адреса. Если значение равно нулю, IP-адрес блокируется бесконечно.
Для сохранения созданного фильтра необходимо нажать кнопку Сохранить.
В одном профиле можно использовать сразу несколько фильтров.
Фильтры в профиле работают по логическому ИЛИ. Например, если в профиле добавлено два фильтра: `category = injection` и `threat = low`, они эквивалентны одному фильтру: `category = injection OR threat = low`.
Если одна и та же сигнатура попала в несколько фильтров, то приоритет настроек параметров сигнатуры определяется настройками в верхнем фильтре в списке.
Фильтры в профиле можно двигать вверх-вниз:
Точечное переопределение параметров сигнатур в профиле СОВ
На вкладке профиля Совпавшие сигнатуры можно произвести точечное переопределение параметров сигнатуры. Для этого необходимо выбрать нужные сигнатуры в списке совпавших сигнатур и нажать кнопку Переопределить в панели инструментов:
Переопределение настроек сигнатур в профиле СОВ имеет более высокий приоритет, чем настройки этих же сигнатур в библиотеке сигнатур СОВ.
Измененные настройки сигнатур СОВ можно вернуть в первоначальное состояние, для этого нужно выделить сигнатуру в списке сигнатур профиля и нажать кнопку Восстановить по умолчанию в панели инструментов профиля:
Приоритет значений параметров сигнатуры СОВ
В настоящий момент значения параметров сигнатуры СОВ (такие как состояние, действие, журналирование, запись в файл PCAP итд.) могут быть определены в трёх местах:
Приоритет назначений параметров сигнатуры СОВ определяется согласно следующей диаграмме:
Применение профилей СОВ
Администратор может создать необходимое количество профилей. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты определенного сервиса. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.
Профиль СОВ применяется в разрешающем правиле межсетевого экрана.
Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем. После попадания под правило с профилем СОВ, трафик начинает анализироваться с помощью определенного в профиле набора сигнатур. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования. Если ни одна из сигнатур профиля не была найдена, то трафик пропускается дальше.
Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).
Профиль оповещения указывает транспорт, с помощью которого оповещения могут быть доставлены получателям. Поддерживается 2 типа транспорта:
-
SMTP, доставка сообщений с помощью e-mail.
-
SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки.
Для создания профиля сообщений SMTP необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили оповещений, выбрать вариант Добавить профиль оповещения SMTP и заполнить необходимые поля:
Наименование
|
Описание
|
Название
|
Название профиля.
|
Описание
|
Описание профиля.
|
Хост
|
IP-адрес или FQDN сервера SMTP, который будет использоваться для отсылки почтовых сообщений.
|
Порт
|
Порт TCP, используемый сервером SMTP. Обычно для протокола SMTP используется порт 25, для SMTP с использованием SSL - 465. Уточните данное значение у администратора почтового сервера.
|
Безопасность
|
Варианты безопасности отправки почты, возможны варианты: Нет, STARTTLS, SSL.
|
Авторизация
|
Включает авторизацию при подключении к SMTP-серверу.
|
Логин
|
Имя учетной записи для подключения к SMTP-серверу.
|
Пароль
|
Пароль учетной записи для подключения к SMTP-серверу.
|
Для создания профиля сообщений SMPP необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили оповещений, выбрать вариант Добавить профиль оповещения SMPP и заполнить необходимые поля:
Наименование
|
Описание
|
Название
|
Название профиля.
|
Описание
|
Описание профиля.
|
Хост
|
IP-адрес или FQDN сервера SMPP, который будет использоваться для отсылки SMS сообщений.
|
Порт
|
Порт TCP, используемый сервером SMPP. Обычно для протокола SMPP используется порт 2775, для SMPP с использованием SSL -- 3550.
|
SSL
|
Использовать или нет шифрацию с помощью SSL.
|
Логин
|
Имя учетной записи для подключения к SMPP-серверу.
|
Пароль
|
Пароль учетной записи для подключения к SMPP-серверу.
|
Правила трансляции номеров
|
В некоторых случаях SMPP-провайдер ожидает номер телефона в определенном формате, например, в виде 89123456789. Для соответствия требованиям провайдера можно указать замену первых символов номеров с одних на другие. Например, заменить все номера, начинающиеся на +7, на 8.
|
Netflow — сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems, поддерживаемый в настоящее время многими вендорами. Для сбора информации о трафике по протоколу Netflow требуются следующие компоненты:
-
Сенсор — собирает статистику по проходящему через него трафику и передает ее на коллектор.
-
Коллектор — получает от сенсора данные и помещает их в хранилище.
-
Анализатор — анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков).
NGFW может выступать в качестве сенсора. Для сбора и отправки статистики о трафике, проходящем через определенный сетевой интерфейс NGFW, необходимо выполнить следующие действия:
-
Создать профиль Netflow.
-
Назначить созданный профиль Netflow сетевому интерфейсу, на котором необходимо собирать статистику.
Для создания профиля Netflow необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили Netflow и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Название профиля Netflow.
|
Описание
|
Описание профиля Netflow.
|
IP-адрес Netflow коллектора
|
IP-адрес сервера, куда сенсор будет отправлять статистику.
|
Порт Netflow коллектора
|
UDP порт, на котором коллектор будет принимать статистику.
|
Версия протокола
|
Версия протокола Netflow, которую следует использовать. Версия протокола должна совпадать на сенсоре и на коллекторе.
|
Таймаут активного потока (сек)
|
При длительных потоках, например, передача большого файла через сеть, время, через которое будет отправляться статистика на коллектор, не дожидаясь завершения потока. Значение по умолчанию — 1800 секунд.
|
Таймаут неактивного потока (сек.)
|
Время, резервируемое на завершение неактивного потока. Значение по умолчанию — 15 секунд.
|
Количество потоков
|
Максимальное количество учитываемых потоков, с которых собирается и отправляется статистика. Ограничение необходимо для защиты от DoS-атак. После достижения данного количества потоков, все последующие не будут учитываться. Значение по умолчанию — 2000000, установите 0 для снятия ограничения.
|
Отправлять информацию NAT
|
Отправлять информацию о NAT преобразованиях в статистику Netflow.
|
Частота отправки шаблона (пакетов)
|
Количество пакетов, после которых шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию — 20 пакетов.
|
Период отправки старого шаблона (сек.)
|
Время, через которое старый шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию — 1800 секунд.
|
Link Layer Discovery Protocol (LLDP) — протокол канального уровня, позволяющий сетевым устройствам, работающим в локальной сети, объявлять о своём существовании и передавать свои характеристики и получать аналогичные сведения. Информация, собранная при помощи операции LLDP, хранится в сетевом устройстве.
Для создания профиля безопасности необходимо нажать Добавить в разделе Библиотеки ➜ Профили LLDP и указать следующие параметры:
Наименование
|
Описание
|
Название
|
Название профиля LLDP.
|
Описание
|
Описание профиля LLDP.
|
Статус порта
|
Режим:
-
Приём и передача данных LLDP — NGFW будет посылать информацию LLDP и будет анализировать информацию LLDP, полученную от соседей.
-
Только приём данных LLDP — NGFW не будет посылать информацию LLDP, но будет анализировать информацию LLDP от соседей.
-
Только передача данных LLDP — NGFW будет посылать информацию LLDP, но будет отбрасывать информацию LLDP, полученную от соседей.
|
Профиль SSL позволяет указать протоколы SSL или отдельные алгоритмы шифрования и цифровой подписи, которые в дальнейшем могут быть использованы в правилах инспектирования SSL, в настройках веб-консоли, страницы авторизации, страницы блокировки, веб-портале.
Для создания профиля SSL необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили SSL и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Название профиля SSL.
|
Описание
|
Описание профиля SSL.
|
Протоколы SSL
|
Минимальная версия TLS — устанавливает минимальную версию TLS, которая может быть использована в данном профиле.
Максимальная версия TLS — устанавливает максимальную версию TLS, которая может быть использована в данном профиле.
Оба эти параметра определяют диапазон версий TLS, которые будут поддерживаться данным профилем.
|
Наборы алгоритмов шифрования
|
Данный раздел позволяет выбрать необходимые алгоритмы шифрования и цифровой подписи. Возможные значения указаны в виде строк, в которых перечислены алгоритм и подпись. Администратор может указать только те наборы алгоритмов и подписей, которые считает нужным для безопасной работы организации. Список поддерживаемых комбинаций следующий:
-
TLS AES 128 CCM SHA256
-
TLS AES 128 GCM SHA256
-
TLS AES 256 GCM SHA384
-
TLS DHE DSS WITH 3DES EDE CBC SHA
-
TLS DHE DSS WITH AES 128 CBC SHA
-
TLS DHE DSS WITH AES 128 CBC SHA256
-
TLS DHE DSS WITH AES 128 GCM SHA256
-
TLS DHE DSS WITH AES 256 CBC SHA
-
TLS DHE DSS WITH AES 256 CBC SHA256
-
TLS DHE DSS WITH AES 256 GCM SHA384
-
TLS DHE RSA WITH 3DES EDE CBC SHA
-
TLS DHE RSA WITH AES 128 CBC SHA
-
TLS DHE RSA WITH AES 128 CBC SHA256
-
TLS DHE RSA WITH AES 128 GCM SHA256
-
TLS DHE RSA WITH AES 256 CBC SHA
-
TLS DHE RSA WITH AES 256 CBC SHA256
-
TLS DHE RSA WITH AES 256 GCM SHA384
-
TLS ECDH ECDSA WITH 3DES EDE CBC SHA
-
TLS ECDH ECDSA WITH AES 128 CBC SHA
-
TLS ECDH ECDSA WITH AES 128 CBC SHA256
-
TLS ECDH ECDSA WITH AES 128 GCM SHA256
-
TLS ECDH ECDSA WITH AES 256 CBC SHA
-
TLS ECDH ECDSA WITH AES 256 CBC SHA384
-
TLS ECDH ECDSA WITH AES 256 GCM SHA384
-
TLS ECDH RSA WITH 3DES EDE CBC SHA
-
TLS ECDH RSA WITH AES 128 CBC SHA
-
TLS ECDH RSA WITH AES 128 CBC SHA256
-
TLS ECDH RSA WITH AES 128 GCM SHA256
-
TLS ECDH RSA WITH AES 256 CBC SHA
-
TLS ECDH RSA WITH AES 256 CBC SHA384
-
TLS ECDH RSA WITH AES 256 GCM SHA384
-
TLS ECDHE ECDSA WITH 3DES EDE CBC SHA
-
TLS ECDHE ECDSA WITH AES 128 CBC SHA
-
TLS ECDHE ECDSA WITH AES 128 CBC SHA256
-
TLS ECDHE ECDSA WITH AES 128 GCM SHA256
-
TLS ECDHE ECDSA WITH AES 256 CBC SHA
-
TLS ECDHE ECDSA WITH AES 256 CBC SHA384
-
TLS ECDHE ECDSA WITH AES 256 GCM SHA384
-
TLS ECDHE RSA WITH 3DES EDE CBC SHA
-
TLS ECDHE RSA WITH AES 128 CBC SHA
-
TLS ECDHE RSA WITH AES 128 CBC SHA256
-
TLS ECDHE RSA WITH AES 128 GCM SHA256
-
TLS ECDHE RSA WITH AES 256 CBC SHA
-
TLS ECDHE RSA WITH AES 256 CBC SHA384
-
TLS ECDHE RSA WITH AES 256 GCM SHA384
-
TLS GOST2012256 WITH 28147 CNT IMIT
-
TLS GOSTR341001 WITH 28147 CNT IMIT
-
TLS RSA WITH 3DES EDE CBC SHA
-
TLS RSA WITH AES 128 CBC SHA
-
TLS RSA WITH AES 128 CBC SHA256
-
TLS RSA WITH AES 128 GCM SHA256
-
TLS RSA WITH AES 256 CBC SHA
-
TLS RSA WITH AES 256 CBC SHA256
-
TLS RSA WITH AES 256 GCM SHA384
|
Установка алгоритмов шифрования для стандартных протоколов
|
Данный раздел можно использовать для облегчения выбора необходимых алгоритмов шифрования и подписи для стандартных протоколов TLS. Администратор может указать в поле Выберите протокол для установки алгоритмов необходимые версии протоколов TLS, нажать на кнопку Применить, и алгоритмы, соответствующие выбранной версии протокола автоматически будут отмечены. Можно последовательно добавить несколько версий протокола TLS.
|
По умолчанию в продукте создано несколько профилей SSL, которые могут быть использованы администратором как есть, либо изменены/удалены при необходимости. Созданы следующие профили SSL:
Наименование
|
Описание
|
Default SSL profile
|
Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.1 до TLS v.1.2. Это наиболее распространенные версии протоколов, используемые в сети интернет в данное время. Данный профиль используется по умолчанию в:
|
Default SSL profile (TLSv1.3)
|
Содержит алгоритмы и подписи, соответствующие версии TLS v.1.3. По умолчанию не используется.
|
Default SSL profile (GOST)
|
Содержит алгоритмы и подписи, соответствующие TLS с ГОСТ-алгоритмами (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT). Может быть использован в организациях, где требуется использование данных алгоритмов, например, для веб-портала. Поддержка данных протоколов должна также быть обеспечена со стороны используемых браузеров. По умолчанию не используется.
|
Default SSL profile (web console)
|
Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.0 до TLS v.1.2. Данный профиль используется по умолчанию для предоставления SSL-доступа в веб-консоль.
Важно! Изменение данного профиля следует производить с осторожностью. Указание алгоритмов, не поддерживаемых вашим браузером, может привести к потере доступа в веб-консоль!
|
Профили пересылки SSL работают совместно с правилами инспектирования SSL и позволяют указать устройства, на которые необходимо отправить копию расшифрованного трафика. Копия трафика будет отправлена в случае успешной расшифровки передаваемого трафика в соответствии с правилом инспектирования и выбранным профилем SSL.
Для создания профиля пересылки необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили пересылки SSL и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Название профиля пересылки SSL.
|
Описание
|
Описание профиля пересылки SSL.
|
Тип пересылки
|
Доступные типы пересылки:
-
L2. При настройке необходимо указать MAC-адрес устройства и название интерфейса, на который необходимо переслать копию трафика.
-
L3 туннель: копия расшифрованного трафика передаётся по GRE-туннелю. При настройке необходимо указать GRE IP-адреса источника и назначения.
|
MAC-адрес назначения
|
MAC-адрес устройства, на которое необходимо переслать копию расшифрованного трафика. Параметр указывается при выборе типа пересылки L2.
|
Пересылать на интерфейс
|
Название интерфейса, на который необходимо пересылать копию расшифрованного трафика. Параметр указывается при выборе типа пересылки L2.
|
GRE IP-адрес источника
|
IP-адрес источника туннеля GRE. Параметр указывается при выборе типа пересылки L3.
|
GRE IP-адрес назначения
|
IP-адрес назначения туннеля GRE. Параметр указывается при выборе типа пересылки L3.
|
Объекты HIP позволяют настроить критерии соответствия для конечных устройств и могут быть использованы в качестве одного из условий при настройке политик безопасности.
ПримечаниеПосле подключения к NGFW конечное устройство будет отсылать телеметрию с периодичностью в 1 минуту.
ПримечаниеДля указания некоторых условий требуется наличие лицензированного модуля Security Updates, необходимого для скачивания обновлений библиотек.
Для добавления объекта необходимо указать:
Наименование
|
Описание
|
Название
|
Название объекта HIP.
|
Описание
|
Описание объекта HIP (опционально).
|
Версия ОС
|
Версия операционной системы устройства пользователя.
При использовании операторов = и != необходимо указывать полную версию Windows.
|
Версия UserGate Client
|
Версия ПО UserGate Client.
|
Безопасность
|
Статусы компонентов безопасности конечного устройства:
Важно! BitLocker считается включенным, если он включен хотя бы на одном из дисков.
|
Продукты
|
Проверка соответствия программного обеспечения, установленного на конечном устройстве:
-
Антивирус. Проверка соответствия антивирусного ПО на устройстве пользователя.
-
Включено: проверка статуса ПО (да, нет, не проверять);
-
Базы антивируса обновлены: проверка актуальности баз (да, нет, не проверять) — производится только в случае, когда в предыдущем пункте включена проверка статуса антивируса в явном виде;
-
Версия ПО;
-
Вендор: производитель и название продукта.
-
Межсетевой экран. Проверка соответствия межсетевого экрана на конечном устройстве. При настройке необходимо указать:
-
Установлен: проверка наличия установленного ПО;
-
Включено: проверка статуса ПО (да, нет, не проверять);
-
Версия ПО;
-
Вендор: производитель и название продукта;
-
Резервное копирование. Проверка ПО для резервного копирования:
-
Шифрование диска. Проверка установленных на конечном устройстве программ для шифрования диска:
-
DLP. Проверка соответствия системы предотвращения утечек информации.
-
Управление обновлениями. Проверка актуальности обновлений.
|
Процессы
|
Проверка процессов, запущенных на конечном устройстве.
|
Запущенные службы
|
Проверка служб, запущенных на конечном устройстве.
|
Ключи реестра
|
Ключ реестра Microsoft Windows - каталог, в котором хранятся настройки и параметры операционной системы.
Поддерживаются следующие типы параметров реестра:
-
REG_SZ: строка Unicode или ANSI с нулевым символом в конце.
-
REG_BINARY: двоичные данные в любой форме.
-
REG_DWORD: 32-разрядное число.
Доступна проверка ключей следующих разделов реестра:
-
HKEY_LOCAL_MACHINE
-
HKEY_USERS
Важно! Путь указывается с использованием обратного слэша (\), например, \HKEY_LOCAL_MACHINE, после которых через (\) указывается полный путь к параметру.
Описание ключей реестра читайте в документации Microsoft (https://docs.microsoft.com/ru-ru/troubleshoot/developer/webapps/iis/general/use-registry-keys).
|
Установленные обновления
|
Проверка наличия указанного обновления на конечном устройстве. Необходимо указать номер статьи базы знаний Microsoft (KB), например, KB5013624.
|
Host Information Profile (HIP) позволяет производить сбор и анализ информации о степени защиты конечного устройства с установленным ПО UserGate Client. HIP профили представляют собой набор объектов HIP и предназначены для проверки соответствия конечного устройства требованиям безопасности (комплаенса). С использованием профилей HIP можно настроить гибкие политики доступа к зоне сети или приложению.
ПримечаниеДля проверки комплаенса и работы правил межсетевого экрана, в которых в качестве одного из условий указан профиль HIP, необходимо наличие лицензии на модуль Контроль доступа в сеть на уровне МЭ.
При создании профиля необходимо указать:
Наименование
|
Описание
|
Включено
|
Включение/отключение использования профиля.
Если профиль используется в правилах межсетевого экрана, то в случае его выключения, он будет помечен серым цветом.
Важно! В случае выключения профиля правило межсетевого экрана продолжает работать без условия проверки комплаенса.
|
Название
|
Название профиля HIP.
|
Описание
|
Описание профиля HIP (опционально).
|
Объекты HIP
|
Выбор логического элемента (И, ИЛИ, И НЕ, ИЛИ НЕ) и объектов HIP.
Подробнее о создании объектов читайте в разделе Объекты HIP.
|
ПримечаниеМаксимальное количество одновременно активных профилей не может превышать 32.
BFD (Bidirectional Forwarding Detection) — протокол, работающий на уровне интерфейса и протокола маршрутизации и предназначенный для быстрого обнаружения сбоев между двумя соседними маршрутизаторами, включая интерфейсы, каналы передачи данных и механизмы пересылки. BFD работает поверх любого протокола передачи данных (сетевой уровень, канальный уровень, туннели и т.д.), передаваемого между двумя системами. Пакеты BFD передаются в качестве полезной нагрузки инкапсулирующего протокола, который подходит для данной среды и сети. BFD может работать на нескольких уровнях в системе.
Маршрутизаторы с BFD отправляют пакеты друг другу с согласованной скоростью. Если пакеты от маршрутизатора, поддерживающего BFD, не поступают, то этот маршрутизатор объявляется неработающим. BFD передает эту информацию соответствующим протоколам маршрутизации, и информация о маршрутизации обновляется. BFD помогает обнаружить односторонний отказ устройства и используется для быстрой конвергенции протоколов маршрутизации.
Профиль BFD — это конфигурация или набор параметров, используемых в протоколах динамической маршрутизации (BGP, OSPF), для определения работы функции обнаружения двунаправленной переадресации. Профиль обычно включает такие параметры, как желаемое время обнаружения, время удержания и другие параметры, определяющие скорость обнаружения и реагирования сетевых устройств на сбой в канале связи.
Настройка и использование профилей обеспечивают оперативное обнаружение сбоев в сети, что позволяет ускорить перенаправление трафика на интерфейсы и повысить надежность сети.
Настройка BFD для OSPF позволяет соответствующим событиям подключения сеанса BFD мгновенно обновлять статус интерфейса OSPF.
В случае протокола BGP, BFD также может быть использован для регулирования времени обнаружения сбоев. Настройка BFD на более быстрое обнаружение неисправностей соединений позволяет оперативней реагировать и улучшать конвергенцию маршрутизации BGP.
Чтобы создать профиль BFD, необходимо в разделе Библиотеки ➜ Bfd profiles нажать на кнопку Добавить и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Задать имя профиля BFD.
|
Detect multiplier
|
Определить множитель времени обнаружения. Локальная система рассчитывает время обнаружения неисправностей соединения как произведение множителя времения обнаружения, полученного от удаленной системы, и согласованного интервала передачи удалённой системы. Если BFD не получит управляющий пакет до истечения времени обнаружения, то считается, что произошел сбой соединения.
Например, если интервал передачи равен 300 мс, а множитель — 3, то локальная система будет обнаруживать сбои только через 900 мс отсутствия приема пакетов.
|
Receive interval
|
Настроить интервал приема управляющих пакетов BFD (минимальное время, которое требуется между пакетами). Интервал не согласовывается между узлами. Для определения интервала каждый из узлов сравнивает свой интервал передачи с интервалом приема соседа — большее из двух значений принимается в качестве интервала передачи для этого узла.
Значение по умолчанию — 50 мс.
|
Transmit Interval
|
Указать интервал передачи управляющих пакетов BFD; интервал должен быть согласован между узлами.
Значение по умолчанию — 50 мс.
|
Echo receive Interval
|
Настроить минимальный интервал, через который данная система способна принимать echo-пакеты.
Значение по умолчанию — 50 мс.
|
Echo transmit interval
|
Настроить минимальный интервал передачи, через который эта система будет способна отправлять echo-пакетов BFD.
Значение по умолчанию — 50 мс.
|
Echo mode
|
Включить или выключить режим передачи Echo mode. По умолчанию этот режим отключен.
Когда функция Echo активна, поток пакетов BFD Echo передается на удалённую систему, которая возвращает их обратно по тому же маршруту пересылки. Если некоторое количество пакетов эхо-потока данных не получено, сессия объявляется нерабочей.
Преимущество Echo mode состоит в том, что она тестирует только путь пересылки на удаленной системе. Это позволяет уменьшить задержку при прохождении маршрута и уменьшить время, затрачиваемое на обнаружения сбоев.
Эхо-режим не поддерживается в многоуровневых сетях (см. RFC-5883).
|
Passive mode
|
Включить или выключить режим Passive.
При работе в режиме Passive система ждет управляющие пакеты от соседей и отвечает на них в случае их получения.
Эта функция полезна, когда маршрутизатор выступает в роли центрального узла звездообразной сети, и вы хотите избежать отправки ненужных управляющих пакетов BFD.
По умолчанию используется режим Active.
В случае работы в режиме Active — узел отправляет управляющие пакеты соседнему узлу.
Важно! Оба узла не могут работать в режиме Passive; хотя бы один из них (или оба) должен работать в режиме Active.
|
Minimum-ttl
|
Только для сеансов с несколькими переходами: настроить минимальное значение времени жизни (количество переходов), которое BFD будет принимать в управляющем пакете BFD. Может принимать значения от 1 до 254. Все пакеты с меньшим значением TTL будут отброшены.
Установка данного значения необходима для ужесточения требований к проверке пакетов во избежание получения управляющих пакетов BFD от других сессий.
Значение по умолчанию равно 254 (это означает, что мы ожидаем только один прыжок между этой системой и аналогом).
|
Syslog-фильтры UserID агента
При использовании syslog в качестве источников событий UserGate производит фильтрацию событий в соответствии с указанными syslog-фильтрами UserID агента. Фильтры syslog представляют из себя стандартные Regexp выражения, которые пользователь может писать и сам. В стандартной поставке представлены три вида фильтров:
Наименование
|
Описание
|
SSH Authentication
|
Фильтр, предназначенный для отслеживания событий входа\выхода пользователей по протоколу SSH в журналах syslog.
|
Unix PAM Authentication
|
Фильтр, предназначенный для отслеживания событий входа\выхода пользователей посредством технологии Pluggable Authentication Modules (PAM) в журналах syslog.
|
UserGate WEC Agent
|
Фильтр, предназначенный для отслеживания событий, переданных через syslog из UserID агента для AD/WEC-серверов. (Доступно начиная с релиза ПО 7.2.0).
|
ПримечаниеИспользуя правила Regexp, возможно написание дополнительных правил. Таким образом фильтры syslog представляют из себя универсальный инструмент, который можно использовать практически в любых случаях.
Найденные события отображаются во вкладке Журналы и отчёты, в разделе Журналы —> Агент UserID —> Syslog.
Для чего нужны сценарии
UserGate NGFW позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря концепции SOAR (Security Orchestration, Automation and Response). NGFW реализует данную концепцию с помощью механизма сценариев. Сценарий является дополнительным условием в правилах межсетевого экрана, пропускной способности, контентной фильтрации, PBR, правилах защиты DoS, позволяя администратору настроить реакцию NGFW на определенные события, произошедшие за некое продолжительное время.
Примером работы сценариея может быть задача по ограничению на определенное время пропускной спообности для пользователя, который выбрал установленный лимит трафика.
Настройка сценариев
Для начала работы со сценариями необходимо выполнить следующие шаги:
-
Создать сценарий.
-
Применить созданный сценарий в правилах межсетевого экрана, пропускной способности, контентной фильтрации, PBR, правилах защиты DoS.
В веб-консоли администратора сценарии создаются в разделе Библиотеки элементов ➜ Сценарии.
При создании сценария необходимо указать следующие параметры:
-
Включено — Включает или отключает сценарий.
-
Название — Название сценария.
-
Описание — Описание сценария.
-
Применить для — Параметр, отвечающий за количество пользователей в правиле, к которым будет применен сценарий. Возможны варианты:
-
Одного пользователя — при срабатывании сценария, правило, в котором используется сценарий, будет применено только к тому пользователю, для которого сработал сценарий.
-
Всех пользователей — при срабатывании сценария, правило в котором используется сценарий, будет применено ко всем пользователям, указанным в поле Пользователи/Группы правила.
-
Продолжительность — длительность работы ограничивающего правила, в котором сработал сценарий.
На вкладке Условия задаются условия срабатывания сценария. Для каждого условия можно указать количество срабатываний за определенное время, необходимое для срабатывания сценария. Если выбрано несколько условий, то необходимо указать механизм срабатывания сценария — совпадение хотя бы одного из указанных условий, или всех условий.
Настройка условий срабатывания сценариев
Возможны следующие условия срабатывания для использования в сценарии:
-
Категория URL — совпадения указанных категорий UserGate URL в трафике пользователя.
-
Обнаружен вирус — факт обнаружения вируса.
-
Приложение — обнаружено указанное приложение в трафике пользователя.
-
СОВ — срабатывание системы обнаружения вторжений.
-
Типы контента — обнаружены указанные типы контента в трафике пользователя.
-
Объем трафика — объем трафика пользователя превысил определенный лимит за указанную единицу времени.
-
Проверка состояния — проверка состояния какого-либо ресурса, который должен быть доступен с NGFW. Проверка может осуществляться с помощью команды icmp ping, запроса DNS или выполнения HTTP GET.
Категория URL
Условием срабатывания в данном случае является совпадения указанных категорий UserGate URL в трафике пользователя.
В данном условии настраиваются следующие параметры:
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
-
Выбор категорий сайтов из библиотеки элементов или создание списка с категориями сайтов из имеющихся в библиотеке элементов.
-
Проверить URL — возможность проверки конкретного URL на соответствие той или иной категории.
Обнаружен вирус
Условием срабатывания в данном случае является обнаружение вируса в трафике пользователя.
Приложение
Условием срабатывания в данном случае является обнаружение определенных приложений в трафике пользователя.
В данном условии настраиваются следующие параметры:
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
-
Выбор групп или категорий приложений из библиотеки элементов.
СОВ
Условием срабатывания в данном случае является детектирование системой СОВ угрозы определенного уровня.
Типы контента
В данном условии настраиваются следующие параметры:
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
-
Выбор типов контента из библиотеки элементов.
Объем трафика
Условие срабатывания сценария по объему прошедшего трафика через NGFW.
В данном условии настраиваются параметры:
-
Введите размер — предельный объем трафика, прошедшего через NGFW, при котором сработает сценарий.
-
Период — промежуток времени за который будет посчитан объем проходящего трафика.
Т.е. если будет выбран 5 ГБ за день, то при превышении 5 ГБ трафика пользователем за 1 день, сработает данный сценарий.
Проверка состояния
Условия срабатывания сценарии зависят от состояния сервера, запрос к которому идет с NGFW.
Возможны следующие методы проверки состояния сервера:
Метод Ping.
В данном условии настраиваются следующие параметры:
-
Адрес — IP-адрес для выполнения ICMP ping c NGFW.
-
Шлюз — шлюз.
-
Результат — отрицательный или положительный. Определяет, какой результат будет ожидаться от пинга сервера. Отрицательный — нет ответа по ping, положительный — ответ есть.
-
Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
Метод DNS.
В данном условии настраиваются следующие параметры:
-
Адрес — это ip адрес DNS сервера, на который посылаем DNS запросы с NGFW.
-
FQDN запроса — доменное имя сервера, которое разрешается в рамках проверки доступности.
-
Шлюз — шлюз.
-
Результат — положительный или отрицательный. Определяет, какой результат будет ожидаться от запроса сервера. Отрицательный — нет ответа, положительный — ответ есть.
-
Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.
-
Тип DNS-запроса — тип DNS-запроса (a, aaaa, cname, ns, ptr).
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария.
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
Тип HTTP GET
В данном условии настраиваются следующие параметры:
-
Адрес — домен для выполнения HTTP GET c NGFW.
-
Шлюз — шлюз.
-
Результат — положительный или отрицательный. Определяет, какой результат будет ожидаться от запроса сервера. Отрицательный — нет ответа, положительный — ответ есть.
-
Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.
-
Тайм-аут ответа — тайм-аут ответа для проверки выполнением HTTP GET.
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария.
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
Пример использования сценариев
Как пример, сценарии могут использоваться в правилах межсетевого экрана для ограничения доступа в сеть, если происходит какое-либо событие, описанное в сценарии.
В данном примере реализуется следующий сценарий: для подключенных к NGFW узлов должно работать правило межсетевого экрана, блокирующее доступ в сеть на 5 минут, если на этом узле было скачано за 1 минуту 250 МБ трафика и более. В ином случае доступ в сеть через NGFW должен быть разрешен.
Создан сценарий с условием срабатывания по объему прошедшего трафика:
В межсетевом экране создано блокирующее правило, в которое добавлен созданный сценарий:
Верхнее блокирующее правило Block by traffic в межсетевом экране имеет более высокий приоритет по отношению к нижнему разрешающему правилу Allow all, но оно сработает только в случае срабатывания сценария по объему прошедшего трафика. В остальных случаях трафик будет разрешен правилом Allow all.
|