|
Данный большой раздел содержит в себе все записи, адреса-сайтов, IP-адреса, шаблоны и прочие элементы, которые используются при настройке правил NGFW.
Первоначальные данные библиотек поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Некоторые элементы библиотек являются нередактируемыми, потому что поставляются и поддерживаются разработчиками UserGate. Библиотеки элементов, поставляемые UserGate, имеют механизм автоматического обновления. Автоматическое обновление элементов требует наличия специальной лицензии. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Морфологический анализ — механизм, который распознает отдельные слова и словосочетания на веб-сайте. Если в тексте содержится достаточное для блокировки количество указанных слов и словосочетаний, то доступ к сайту блокируется.
Морфологический анализ выполняется как при проверке запроса пользователя, так и при получении ответа от веб-сервера и до его передачи пользователю. Получив ответ от веб-сервера, NGFW просматривает текст на странице и подсчитывает его суммарный «вес», исходя из «весов» слов, указанных в морфологических категориях. Если «вес» страницы превышает «вес» морфологической категории, правило срабатывает. При подсчете «веса» страницы учитываются все словоформы (леммы) запрещенных слов. Для поиска словоформ NGFW использует встроенные словари русского, английского, японского, арабского и немецкого языков.
Существует возможность подписки на словари, предоставляемые UserGate. Данные словари нельзя редактировать. Для использования этих словарей необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Наименование
|
Описание
|
Соответствие списку запрещенных материалов Министерством Юстиции Российской Федерации
|
Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции Российской Федерации.
|
Соответствие списку запрещенных материалов республики Казахстан
|
Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции республики Казахстан.
|
Суицид
|
Морфологический словарь, содержащий перечень слов и фраз суицидальной направленности.
|
Терроризм
|
Морфологический словарь, содержащий перечень слов и фраз террористической направленности.
|
Нецензурная лексика
|
Морфологический словарь, содержащий перечень слов и фраз, относящихся к нецензурной лексике.
|
Азартные игры
|
Морфологический словарь, содержащий перечень слов и фраз, относящихся к азартным играм.
|
Наркотики
|
Морфологический словарь, содержащий перечень слов и фраз наркотической направленности.
|
Соответствие ФЗ-436 (Защита детей)
|
Морфологический словарь, содержащий перечень слов и фраз тематик, нежелательных для детей.
|
Порнография
|
Морфологический словарь, содержащий перечень слов и фраз порнографической направленности.
|
Бухгалтерия (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в бухгалтерии.
|
Маркетинг (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в маркетинге.
|
Персональные данные (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, встречающихся в персональных данных.
|
Финансы (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в финансах.
|
Юридический (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в юриспруденции.
|
Для фильтрации по морфологическому содержанию страницы требуется:
Наименование
|
Описание
|
Шаг 1. Создать одну или несколько морфологических категорий и указать вес каждой категории.
|
Нажать на кнопку Добавить, задать название новой категории и ее вес.
|
Шаг 2. Указать список запрещенных фраз с весами.
|
Нажать на кнопку Добавить и указать необходимые слова или фразы. При добавлении слова в морфологический словарь можно использовать модификатор «!» перед словом, например, «!bassterd». В данном случае жаргонное слово не будет преобразовываться в словоформы, что может серьезно уменьшить вероятность ложной блокировки.
|
Шаг 3. Создать правило фильтрации контента, содержащее одну или несколько морфологических категорий.
|
Смотрите раздел Фильтрация контента.
|
Администратор имеет возможность создать свой словарь и централизованно распространять его на все межсетевые экраны UserGate, имеющиеся в организации. Для создания такой морфологической базы необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми фразами.
|
создать файл list.txt со списком слов в следующем формате:
!word1 !word2
!word3
word4 50
...
Lastword
Вес словаря в таком случае равен 100, вес слова можно указать. По умолчанию он равен 100.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией словаря.
|
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать морфологическую категорию указать URL для обновления словаря.
|
На каждом UserGate создать морфологическую базу. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
ПримечаниеПри создании морфологических словарей не рекомендуется добавлять фразы, содержащие более трех слов, без использования символа «!» перед словами. Необходимо помнить, что при построении морфологической базы каждое из слов будет преобразовано во все существующие формы (склонения, спряжения, множественные числа, времена и т.д.), и результирующее количество фраз будет достаточно большим. При добавлении длинных фраз необходимо использовать модификатор «!» перед словами, модификация которых не нужна, как правило, это различные предлоги и союзы. Например, фразу «как уйти из жизни безболезненно» правильно добавить в виде «!как уйти !из !жизни безболезненно». Это сократит количество возможных вариантов фраз, но при этом оставит все фразы с требуемым смыслом.
Раздел сервисы содержит список общеизвестных сервисов, основанных на протоколе TCP/IP, например, таких, как HTTP, HTTPS, FTP и другие. Данные сервисы могут быть использованы при построении правил NGFW. Первоначальный список сервисов поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового сервиса необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать сервис.
|
Нажать на кнопку Добавить, дать сервису название, ввести комментарий.
|
Шаг 2. Указать протокол и порт.
|
Нажать на кнопку Добавить, выбрать из списка необходимый протокол, указать порты назначения и, опционально, порты источника. Для указания диапазона портов можно использовать — (тире), например, 33333—33355.
|
В данном разделе пользователь может управлять (создавать/обновлять/удалять) группами объектов сервисов. Группы сервисов могут быть использованы при настройке политик безопасности NGFW.
Для создания группы сервисов:
Наименование
|
Описание
|
Шаг 1. Создать группу.
|
На панели Группы сервисов нажать на кнопку Добавить, указать название и, опционально, описание группы сервисов.
|
Шаг 2. Добавить сервисы в группу.
|
На панели Элементы нажать Добавить и выбрать сервисы для добавления в группу. Для добавления всех сервисов использовать кнопку Добавить все.
|
Раздел IP-адреса содержит список диапазонов IP-адресов, которые могут быть использованы при построении правил NGFW. Первоначальный список адресов поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового списка адресов необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать список.
|
На панели Группы нажать на кнопку Добавить, дать название списку IP-адресов.
|
Шаг 2. Указать адрес обновления списка (не обязательно).
|
Указать адрес сервера, где находится обновляемый список. Более подробно об обновляемых списках смотрите далее в этой главе.
|
Шаг 3. Добавить IP-адреса.
|
На панели Адреса из выбранной группы нажать на кнопку Добавить и ввести адреса.
IP-адреса вводятся в виде IP-адрес, IP-адрес/маска сети или диапазон IP-адресов, например: 192.168.1.5, 192.168.1.0/24 или 192.168.1.5-192.168.2.100.
|
Администратор имеет возможность создавать свои списки IP-адресов и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми IP-адресами.
|
Создать файл list.txt со списком адресов.
Список адресов записывается в обычный текстовый файл, где адреса прописываются в столбик без знаков препинания. Например:
x.x.x.x
y.y.y.y
z.z.z.z
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список IP-адресов и указать URL для обновления.
|
На каждом NGFW создать список IP-адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений.
ПримечаниеURL списка задается в формате: http://x.x.x.x/ или ftp://x.x.x.x/.
Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
С помощью фильтрации по Useragent браузеров администратор может запретить или разрешить работу пользователей только с определенным типом браузеров.
Первоначальный список Useragent поставляется вместе с продуктом. Для фильтрации по типу Useragent необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать список Useragent.
|
В панели Категории нажать на кнопку Добавить и задать название нового списка UserAgent, опционально, описание списка и URL обновления.
|
Шаг 2. Добавить необходимые Useragent браузеров в новый список.
|
В панели Шаблоны useragent добавить необходимый Useragent. Исчерпывающий список строк Useragent представлен тут: http://www.useragentstring.com/pages/useragentstring.php
|
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков.
|
Смотрите раздел Фильтрация контента.
|
Администратор имеет возможность создавать свои списки Useragent и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми Useragent.
|
Создать файл list.txt со списком Useragent.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список Useragent и указать URL для обновления.
|
На каждом NGFW создать список Useragent. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
С помощью фильтрации типов контента можно блокировать загрузку файлов определенного типа, например, запретить все файлы типа *.doc.
Существует возможность подписки на типы контента, предоставляемые разработчиками UserGate. Данные списки типов контента нельзя редактировать, их можно использовать при определении правил фильтрации контента. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Для фильтрации по типу контента необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать список типов контента. Если используется предопределенный список UserGate, перейдите к шагу 3.
|
В панели Категории нажать на кнопку Добавить, задать название нового списка типа контента, опционально, описание списка и URL обновления.
|
Шаг 2. Добавить необходимые типы контента в новый список.
|
Добавить необходимый тип контента в данный список в формате MIME. Различные типы контента и их описание доступны по ссылке https://www.iana.org/assignments/media-types/media-types.xhtml.
Например, для блокировки документов типа *.doc необходимо добавить тип контента «application/msword».
|
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков.
|
Смотрите раздел Фильтрация контента.
|
Администратор имеет возможность создавать свои списки типов контента и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми типами контента.
|
Создать файл list.txt со списком типов контента.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список типа контента и указать URL для обновления.
|
На каждом NGFW создать список типа контента. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Страница предназначена для задания списков указателей URL, которые могут быть использованы в правилах контентной фильтрации в качестве черных и белых списков.
Компания UserGate предоставляет собственные обновляемые списки. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Наименование
|
Описание
|
Список поисковых систем без безопасного поиска
|
Список известных поисковых систем, на которых отсутствует возможность блокировки поисковых запросов взрослого содержания. Рекомендуется блокировать такие поисковики для целей родительского контроля.
|
Соответствие списку запрещенных URL Министерства Юстиции РФ
|
Данный список содержит URL, запрещенные Министерством Юстиции Российской Федерации.
|
Соответствие списку запрещенных URL Республики Казахстан
|
Единый реестр доменных имен, указателей страниц сайтов в сети интернет и сетевых адресов, содержащих информацию, распространение которой запрещено в Республике Казахстан.
|
Список образовательных учреждений
|
Список доменных имен образовательных учреждений РФ.
|
Список фишинговых сайтов
|
Данный список содержит URL фишинговых сайтов.
|
Соответствие реестру запрещенных сайтов Роскомнадзора (URL)
|
Единый реестр указателей страниц сайтов в сети интернет, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru.
|
Соответствие реестру запрещенных сайтов Роскомнадзора (домены)
|
Единый реестр доменных имен, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru.
|
Для фильтрации с помощью списков URL необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать список URL.
|
В панели Списки URL нажать на кнопку Добавить, задать название нового списка.
Выбрать Тип списка — Локальный или Обновляемый. Для обновляемого списка указать URL обновления и настроить Расписание скачивания обновлений.
Установить категорию создаваемого списка в поле Чувствительность к регистру (доступно начиная с релиза 6.1.9.12143R HF8):
-
Чувствительный к регистру — список URL адресов, чувствительных к регистру букв в адресе.
-
Нечувствительный к регистру — список URL адресов, нечувствительных к регистру букв в адресе. Использование списка этой категории исключает необходимость перебора вариантов написания одного и того же выражения с буквами в различных регистрах.
-
Домен — список адресов доменов для использования в правилах DNS-фильтрации.
Категория списка задается при его создании. Изменить категорию после создания списка нельзя.
|
Шаг 2. Добавить необходимые записи в новый список.
|
Добавить записи URL в новый список. В списках можно использовать специальные символы «^», «$» и «*»:
«*» — любое количество любых символов
«^» — начало строки
«$» — конец строки
Символы «?» и «#» не могут быть использованы.
|
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков.
|
Смотрите раздел Фильтрация контента.
|
Если URL-запись начинается с http://, «https://», «ftp://» или содержит один или более символов «/», то это считается URL и применяется только для HTTP(S) фильтрации, к DNS-фильтрации такая запись не применяется. В противном случае строка рассматривается как имя домена и применяется для DNS-фильтрации и HTTP(S)-фильтрации.
Если вы хотите заблокировать точный адрес, используйте символы «^» и «$»:
Внимание! Спецсимволы не работают в списках-исключениях для блокировки рекламы. В этих списках применение спецсимволов не рекомендуется
^http://domain.com/exacturl$
Для блокирования точного URL всех дочерних папок используйте символ «^»:
^http://domain.com/exacturl/
Для блокирования домена со всеми возможными URL используйте запись такого вида:
domain.com
Пример интерпретации URL-записей:
Администратор имеет возможность создавать собственные списки и централизованно распространять их на все межсетевые экраны UserGate. Для создания таких списков необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимым списком URL.
|
Создать текстовый файл list.txt со списком URL в следующем формате:
www.site1.com/url1
www.site2.com/url2
...
www.siteend.com/urlN
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список и указать URL для обновления.
|
На каждом NGFW создать список URL. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений.
ПримечаниеURL списка задается в формате: http://x.x.x.x/ или ftp://x.x.x.x/.
Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Календари позволяют создать временные интервалы, которые затем можно использовать в различных правилах NGFW. Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового календаря необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать календарь.
|
В панели Группы нажать на кнопку Добавить, указать название календаря и его описание.
|
Шаг 2. Добавить временные интервалы в календарь.
|
В панели Элементы нажать на кнопку Добавить и добавить интервал. Дать название интервалу и указать время.
|
Элемент библиотеки Полоса пропускания определяет скорость передачи данных, которую возможно в дальнейшем использовать в правилах управления полосой пропускания. Более подробно о правилах управления полосой пропускания смотрите в главе Пропускная способность.
Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления новой полосы пропускания необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать полосу пропускания.
|
Нажать на кнопку Добавить, дать название, описание.
|
Шаг 2. Указать скорость.
|
Указать скорость в Кбит/сек.
|
Шаг 3. Указать значение DCSP для QoS.
|
Необязательный параметр. Если установлен, то будет прописываться в каждый IP пакет. Диапазон от 0 до 63.
|
С помощью шаблонов страниц администратор может управлять видом страницы блокировки и страницы авторизации Captive-портала. Администратор может использовать разные шаблоны для разных правил фильтрации контента и правил Captive-портала.
NGFW поставляется с различными типами шаблонов — шаблоны страниц блокировки, Captive-портала, веб-портала, инициализации TOTP и др. Они могут использованы как образцы для создания пользовательских шаблонов, например, в фирменном стиле компании или на необходимом языке.
Наименование
|
Описание
|
Шаблоны Blockpage (EN) и Blockpage (RU)
|
Стандартные шаблоны блокировки на английском и русском языках.
|
Шаблоны Captive portal user auth (EN) и Captive portal user auth (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль). При успешной авторизации пользователь получает доступ в Интернет.
|
Шаблоны Captive portal user auth + policy (EN) и Captive portal user auth + policy (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль), правила пользования сетью (соглашение об использовании), а также требует принятия пользователем правил политики доступа. При успешной авторизации пользователь получает доступ в Интернет.
|
Шаблоны Captive portal: email auth (EN) и Captive portal: email auth (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя письмом по email. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле.
|
Шаблон Captive portal: SMS auth (EN) и Captive portal: SMS auth (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя с помощью SMS. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле.
|
Шаблон Captive portal policy (EN) и Captive portal policy (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон не требует ввода имени и пароля пользователя, а выводит правила пользования сетью (соглашение об использовании) и требует принятия пользователем правил политики доступа. При согласии с политикой доступа пользователь получает доступ в интернет. Для работы данного шаблона требуется установить метод Принять политику в качестве метода аутентификации в Captive-профиле.
|
Шаблоны Captive portal user session (EN) и Captive portal user session (RU)
|
Шаблоны на английском и русском языках, с помощью которых пользователь может завершить свою авторизованную сессию, перейдя на страницу http://logout.captive или http://USERGATE_IP/cps.
|
Шаблоны Content warning (EN) и Content warning (RU)
|
Шаблоны на английском и русском языках, содержащие страницу предупреждения, отображаемую при срабатывании правила контентной фильтрации с действием Предупредить.
|
Шаблоны FTP client (EN) и FTP client (RU)
|
Шаблоны на английском и русском языках для отображения контента FTP-серверов поверх HTTP.
|
Шаблоны SSL VPN (EN) и (RU)
|
Шаблоны на английском и русском языках для отображения страницы веб-портала.
|
Шаблоны SSL VPN RDP (EN) и (RU)
|
Шаблоны на английском и русском языках для отображения страницы аутентификации при подключении к ресурсам RDP через веб-портал.
|
Шаблоны SSL VPN SSH (EN) и (RU)
|
Шаблоны на английском и русском языках для отображения страницы аутентификации при подключении к ресурсам SSH через веб-портал.
|
Шаблоны TOTP INIT PAGE (EN) и TOTP INIT PAGE (RU)
|
Шаблоны на английском и русском языках для отображения страницы инициализации устройства TOTP для VPN-пользователей.
|
Для создания собственного шаблона необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Экспортировать существующий шаблон, поставляемый по умолчанию.
|
Выбрать один из существующих шаблонов, нажать на кнопку Экспорт и сохранить шаблон в файле.
|
Шаг 2. Изменить экспортированный шаблон.
|
Используя редактор, изменить содержание шаблона. Не рекомендуется использовать специальные редакторы, предназначенные для редактирования HTML-файлов, поскольку они могут испортить внутреннюю структуру шаблона. Используйте простые редакторы текста.
|
Шаг 3. Создать новый шаблон.
|
Нажать на кнопку Добавить, выбрать соответствующий тип шаблона, задать название шаблону и сохранить его.
|
Шаг 4. Импортировать измененный на шаге 2 шаблон.
|
Выделить вновь созданный шаблон, нажать на кнопку Импорт и выбрать файл с измененным шаблоном.
|
Элемент библиотеки Категории URL позволяет создать группы категорий UserGate URL filtering для более удобного использования в правилах фильтрации контента. Например, администратор может создать группу категорий «Бизнес категории» и поместить в нее необходимые категории.
Для использования категорий UserGate URL filtering требуется наличие специальной лицензии.
Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы.
Наименование
|
Описание
|
Threats
|
Набор категорий, рекомендованных для блокировки в целях обеспечения безопасности сети.
|
Parental Control
|
Набор категорий, рекомендованных для блокировки в целях защиты детей от нежелательного контента.
|
Productivity
|
Набор категорий, рекомендованных для блокировки в целях повышения эффективности работы сотрудников.
|
Safe categories
|
Набор категорий, считаемых безопасными для посещения. Рекомендуется отключать морфологическую проверку, перехват HTTPS-трафика для данной группы категорий в целях уменьшения количества ложных срабатываний.
|
Recommended for morphology checking
|
Набор категорий, рекомендованных для проверки с помощью морфологического анализа. Из этого набора исключены такие категории, как «Новости», «Финансы», «Правительство», «Информационная безопасность», «Детские сайты» и ряд других в целях уменьшения количества ложных срабатываний. Этот же набор категорий рекомендуется использовать для перехвата трафика HTTPS.
|
Recommended for virus check
|
Набор категорий, рекомендованных для антивирусной проверки.
|
Для добавления новой группы категорий необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать группу категорий.
|
В панели Группы URL категорий нажать на кнопку Добавить, дать название группе.
|
Шаг 2. Добавить категории.
|
Выделить созданную группу и в панели Категории, нажать на кнопку Добавить и выбрать необходимые категории из списка.
|
Элемент библиотеки Измененные категория URL позволяет администратору назначить определенным сайтам категории, отличные от категорий, назначенных техническими специалистами UserGate. Такая потребность может возникнуть в случае некорректного категорирования сайтов или в случае, если требуемый сайт не имеет назначенной ему категории. Для переопределения категории сайта необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Проверить первоначальную категорию сайта.
|
В разделе Библиотеки ➜ Измененные категории URL ввести требуемый адрес сайта в строку проверки и нажать на кнопку Проверить категорию.
|
Шаг 2. Назначить новую категорию.
|
Если полученная категория не совпадает с требуемой, то необходимо нажать на кнопку Добавить и назначить до двух новых категорий.
|
После успешного изменения категории сайт будет отображаться в списке сайтов с измененными категориями. Для него также будет указаны дата изменения категории, администратор, выполнивший данное изменение, его оригинальные и новые категории.
При последующей проверке категорий для данного сайта в качестве категорий будут возвращены только новые категории и специальная категория, в которую включаются все сайты с измененными категориями — Переопределенные пользователем категории.
Администратор может экспортировать списки сайтов с измененными категориями или импортировать любые списки сайтов и назначить им требуемые категории.
Элемент библиотеки Приложения позволяет создать группы приложений для более удобного использования в правилах фильтрации сетевого трафика. Например, администратор может создать группу приложений «Бизнес приложения» и поместить в нее необходимые приложения.
Для добавления новой группы приложений необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать группу приложений.
|
В панели Группы приложений нажать на кнопку Добавить, дать название группе.
|
Шаг 2. Добавить приложения.
|
Выделить созданную группу и в панели Приложения, нажать на кнопку Добавить и выбрать необходимые приложения из списка.
|
Элемент библиотеки Почтовые адреса позволяет создать группы почтовых адресов, которые впоследствии можно использовать в правилах фильтрации почтового трафика и для использования в оповещениях.
Для добавления новой группы почтовых адресов необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать группу почтовых адресов.
|
В панели Группы почтовых адресов нажать на кнопку Добавить, дать название группе.
|
Шаг 2. Добавить почтовые адреса в группу.
|
Выделить созданную группу, в панели Почтовые адреса нажать на кнопку Добавить и добавить необходимые почтовые адреса.
|
Администратор имеет возможность создавать списки почтовых адресов и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми списком почтовых адресов.
|
Создать файл list.txt со списком почтовых адресов.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список почтовых адресов и указать URL для обновления.
|
На каждом NGFW создать список адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Элемент библиотеки Номера телефонов позволяет создать группы номеров, которые впоследствии можно использовать в правилах оповещения SMPP.
Для добавления новой группы телефонных номеров необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать группу телефонных номеров.
|
В панели Группы телефонных номеров нажать на кнопку Добавить, дать название группе.
|
Шаг 2. Добавить номера телефонов в группу.
|
Выделить созданную группу, в панели Группа телефонных номеров нажать на кнопку Добавить и добавить необходимые номера.
|
Администратор имеет возможность создавать списки телефонных номеров и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми списком номеров.
|
Создать файл list.txt со списком номеров.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список телефонных номеров и указать URL для обновления.
|
На каждом NGFW создать список адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Профиль СОВ — это набор сигнатур, релевантных для защиты определенных сервисов. Администратор может создать необходимое количество профилей СОВ для защиты различных сервисов. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты сервиса. Например, для защиты сервиса, работающего по протоколу TCP, не стоит добавлять сигнатуры, разработанные для протокола UDP. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора. Более подробно о создании и использовании профилей СОВ смотрите в разделе Система обнаружения и предотвращения вторжений.
Профиль оповещения указывает транспорт, с помощью которого оповещения могут быть доставлены получателям. Поддерживается 2 типа транспорта:
-
SMTP, доставка сообщений с помощью e-mail.
-
SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки.
Для создания профиля сообщений SMTP необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили оповещений, выбрать вариант Добавить профиль оповещения SMTP и заполнить необходимые поля:
Наименование
|
Описание
|
Название
|
Название профиля.
|
Описание
|
Описание профиля.
|
Хост
|
IP-адрес или FQDN сервера SMTP, который будет использоваться для отсылки почтовых сообщений.
|
Порт
|
Порт TCP, используемый сервером SMTP. Обычно для протокола SMTP используется порт 25, для SMTP с использованием SSL - 465. Уточните данное значение у администратора почтового сервера.
|
Безопасность
|
Варианты безопасности отправки почты, возможны варианты: Нет, STARTTLS, SSL.
|
Авторизация
|
Включает авторизацию при подключении к SMTP-серверу.
|
Логин
|
Имя учетной записи для подключения к SMTP-серверу.
|
Пароль
|
Пароль учетной записи для подключения к SMTP-серверу.
|
Для создания профиля сообщений SMPP необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили оповещений, выбрать вариант Добавить профиль оповещения SMPP и заполнить необходимые поля:
Наименование
|
Описание
|
Название
|
Название профиля.
|
Описание
|
Описание профиля.
|
Хост
|
IP-адрес или FQDN сервера SMPP, который будет использоваться для отсылки SMS сообщений.
|
Порт
|
Порт TCP, используемый сервером SMPP. Обычно для протокола SMPP используется порт 2775, для SMPP с использованием SSL -- 3550.
|
SSL
|
Использовать или нет шифрацию с помощью SSL.
|
Логин
|
Имя учетной записи для подключения к SMPP-серверу.
|
Пароль
|
Пароль учетной записи для подключения к SMPP-серверу.
|
Правила трансляции номеров
|
В некоторых случаях SMPP-провайдер ожидает номер телефона в определенном формате, например, в виде 89123456789. Для соответствия требованиям провайдера можно указать замену первых символов номеров с одних на другие. Например, заменить все номера, начинающиеся на +7, на 8.
|
Профиль Netflow позволяет указать параметры необходимые для отсылки информации на коллектор Netflow. Для создания профиля Netflow необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили Netflow и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Название профиля Netflow.
|
Описание
|
Описание профиля Netflow.
|
IP-адрес Netflow коллектора
|
IP-адрес сервера, куда сенсор будет отправлять статистику.
|
Порт Netflow коллектора
|
UDP порт, на котором коллектор будет принимать статистику.
|
Версия протокола
|
Версия протокола Netflow, которую следует использовать. Версия протокола должна совпадать на сенсоре и на коллекторе.
|
Таймаут активного потока (сек)
|
При длительных потоках, например, передача большого файла через сеть, время, через которое будет отправляться статистика на коллектор, не дожидаясь завершения потока. Значение по умолчанию — 1800 секунд.
|
Таймаут неактивного потока (сек.)
|
Время, резервируемое на завершение неактивного потока. Значение по умолчанию — 15 секунд.
|
Количество потоков
|
Максимальное количество учитываемых потоков, с которых собирается и отправляется статистика. Ограничение необходимо для защиты от DoS-атак. После достижения данного количества потоков, все последующие не будут учитываться. Значение по умолчанию — 2000000, установите 0 для снятия ограничения.
|
Отправлять информацию NAT
|
Отправлять информацию о NAT преобразованиях в статистику Netflow.
|
Частота отправки шаблона (пакетов)
|
Количество пакетов, после которых шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию — 20 пакетов.
|
Период отправки старого шаблона (сек.)
|
Время, через которое старый шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию — 1800 секунд.
|
Link Layer Discovery Protocol (LLDP) — протокол канального уровня, позволяющий сетевым устройствам, работающим в локальной сети, объявлять о своём существовании и передавать свои характеристики и получать аналогичные сведения. Информация, собранная при помощи операции LLDP, хранится в сетевом устройстве.
Для создания профиля безопасности необходимо нажать Добавить в разделе Библиотеки ➜ Профили LLDP и указать следующие параметры:
Наименование
|
Описание
|
Название
|
Название профиля LLDP.
|
Описание
|
Описание профиля LLDP.
|
Статус порта
|
Режим:
-
Приём и передача данных LLDP — NGFWe будет посылать информацию LLDP и будет анализировать информацию LLDP, полученную от соседей.
-
Только приём данных LLDP — NGFW не будет посылать информацию LLDP, но будет анализировать информацию LLDP от соседей.
-
Только передача данных LLDP — NGFW будет посылать информацию LLDP, но будет отбрасывать информацию LLDP, полученную от соседей.
|
Профиль SSL позволяет указать протоколы SSL или отдельные алгоритмы шифрования и цифровой подписи, которые в дальнейшем могут быть использованы в правилах инспектирования SSL, в настройках веб-консоли, страницы авторизации, страницы блокировки, веб-портале.
Для создания профиля SSL необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили SSL и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Название профиля SSL.
|
Описание
|
Описание профиля SSL.
|
Протоколы SSL
|
Минимальная версия TLS — устанавливает минимальную версию TLS, которая может быть использована в данном профиле.
Максимальная версия TLS — устанавливает максимальную версию TLS, которая может быть использована в данном профиле.
Оба эти параметра определяют диапазон версий TLS, которые будут поддерживаться данным профилем.
|
Наборы алгоритмов шифрования
|
Данный раздел позволяет выбрать необходимые алгоритмы шифрования и цифровой подписи. Возможные значения указаны в виде строк, в которых перечислены алгоритм и подпись. Администратор может указать только те наборы алгоритмов и подписей, которые считает нужным для безопасной работы организации. Список поддерживаемых комбинаций следующий:
-
TLS AES 128 CCM SHA256
-
TLS AES 128 GCM SHA256
-
TLS AES 256 GCM SHA384
-
TLS DHE DSS WITH 3DES EDE CBC SHA
-
TLS DHE DSS WITH AES 128 CBC SHA
-
TLS DHE DSS WITH AES 128 CBC SHA256
-
TLS DHE DSS WITH AES 128 GCM SHA256
-
TLS DHE DSS WITH AES 256 CBC SHA
-
TLS DHE DSS WITH AES 256 CBC SHA256
-
TLS DHE DSS WITH AES 256 GCM SHA384
-
TLS DHE RSA WITH 3DES EDE CBC SHA
-
TLS DHE RSA WITH AES 128 CBC SHA
-
TLS DHE RSA WITH AES 128 CBC SHA256
-
TLS DHE RSA WITH AES 128 GCM SHA256
-
TLS DHE RSA WITH AES 256 CBC SHA
-
TLS DHE RSA WITH AES 256 CBC SHA256
-
TLS DHE RSA WITH AES 256 GCM SHA384
-
TLS ECDH ECDSA WITH 3DES EDE CBC SHA
-
TLS ECDH ECDSA WITH AES 128 CBC SHA
-
TLS ECDH ECDSA WITH AES 128 CBC SHA256
-
TLS ECDH ECDSA WITH AES 128 GCM SHA256
-
TLS ECDH ECDSA WITH AES 256 CBC SHA
-
TLS ECDH ECDSA WITH AES 256 CBC SHA384
-
TLS ECDH ECDSA WITH AES 256 GCM SHA384
-
TLS ECDH RSA WITH 3DES EDE CBC SHA
-
TLS ECDH RSA WITH AES 128 CBC SHA
-
TLS ECDH RSA WITH AES 128 CBC SHA256
-
TLS ECDH RSA WITH AES 128 GCM SHA256
-
TLS ECDH RSA WITH AES 256 CBC SHA
-
TLS ECDH RSA WITH AES 256 CBC SHA384
-
TLS ECDH RSA WITH AES 256 GCM SHA384
-
TLS ECDHE ECDSA WITH 3DES EDE CBC SHA
-
TLS ECDHE ECDSA WITH AES 128 CBC SHA
-
TLS ECDHE ECDSA WITH AES 128 CBC SHA256
-
TLS ECDHE ECDSA WITH AES 128 GCM SHA256
-
TLS ECDHE ECDSA WITH AES 256 CBC SHA
-
TLS ECDHE ECDSA WITH AES 256 CBC SHA384
-
TLS ECDHE ECDSA WITH AES 256 GCM SHA384
-
TLS ECDHE RSA WITH 3DES EDE CBC SHA
-
TLS ECDHE RSA WITH AES 128 CBC SHA
-
TLS ECDHE RSA WITH AES 128 CBC SHA256
-
TLS ECDHE RSA WITH AES 128 GCM SHA256
-
TLS ECDHE RSA WITH AES 256 CBC SHA
-
TLS ECDHE RSA WITH AES 256 CBC SHA384
-
TLS ECDHE RSA WITH AES 256 GCM SHA384
-
TLS GOST2012256 WITH 28147 CNT IMIT
-
TLS GOSTR341001 WITH 28147 CNT IMIT
-
TLS RSA WITH 3DES EDE CBC SHA
-
TLS RSA WITH AES 128 CBC SHA
-
TLS RSA WITH AES 128 CBC SHA256
-
TLS RSA WITH AES 128 GCM SHA256
-
TLS RSA WITH AES 256 CBC SHA
-
TLS RSA WITH AES 256 CBC SHA256
-
TLS RSA WITH AES 256 GCM SHA384
|
Установка алгоритмов шифрования для стандартных протоколов
|
Данный раздел можно использовать для облегчения выбора необходимых алгоритмов шифрования и подписи для стандартных протоколов TLS. Администратор может указать в поле Выберите протокол для установки алгоритмов необходимые версии протоколов TLS, нажать на кнопку Применить, и алгоритмы, соответствующие выбранной версии протокола автоматически будут отмечены. Можно последовательно добавить несколько версий протокола TLS.
|
По умолчанию в продукте создано несколько профилей SSL, которые могут быть использованы администратором как есть, либо изменены/удалены при необходимости. Созданы следующие профили SSL:
Наименование
|
Описание
|
Default SSL profile
|
Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.1 до TLS v.1.2. Это наиболее распространенные версии протоколов, используемые в сети интернет в данное время. Данный профиль используется по умолчанию в:
|
Default SSL profile (TLSv1.3)
|
Содержит алгоритмы и подписи, соответствующие версии TLS v.1.3. По умолчанию не используется.
|
Default SSL profile (GOST)
|
Содержит алгоритмы и подписи, соответствующие TLS с ГОСТ-алгоритмами (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT). Может быть использован в организациях, где требуется использование данных алгоритмов, например, для веб-портала. Поддержка данных протоколов должна также быть обеспечена со стороны используемых браузеров. По умолчанию не используется.
|
Default SSL profile (web console)
|
Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.0 до TLS v.1.2. Данный профиль используется по умолчанию для предоставления SSL-доступа в веб-консоль.
Важно! Изменение данного профиля следует производить с осторожностью. Указание алгоритмов, не поддерживаемых вашим браузером, может привести к потере доступа в веб-консоль!
|
Профили пересылки SSL работают совместно с правилами инспектирования SSL и позволяют указать устройства, на которые необходимо отправить копию расшифрованного трафика. Копия трафика будет отправлена в случае успешной расшифровки передаваемого трафика в соответствии с правилом инспектирования и выбранным профилем SSL.
Для создания профиля пересылки необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили пересылки SSL и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Название профиля пересылки SSL.
|
Описание
|
Описание профиля пересылки SSL.
|
Тип пересылки
|
Доступные типы пересылки:
-
L2. При настройке необходимо указать MAC-адрес устройства и название интерфейса, на который необходимо переслать копию трафика.
-
L3 туннель: копия расшифрованного трафика передаётся по GRE-туннелю. При настройке необходимо указать GRE IP-адреса источника и назначения.
|
MAC-адрес назначения
|
MAC-адрес устройства, на которое необходимо переслать копию расшифрованного трафика. Параметр указывается при выборе типа пересылки L2.
|
Пересылать на интерфейс
|
Название интерфейса, на который необходимо пересылать копию расшифрованного трафика. Параметр указывается при выборе типа пересылки L2.
|
GRE IP-адрес источника
|
IP-адрес источника туннеля GRE. Параметр указывается при выборе типа пересылки L3.
|
GRE IP-адрес назначения
|
IP-адрес назначения туннеля GRE. Параметр указывается при выборе типа пересылки L3.
|
|