|
Данный большой раздел содержит в себе все записи, адреса-сайтов, IP-адреса, шаблоны и прочие элементы, которые используются при настройке правил UserGate NGFW.
Первоначальные данные библиотек поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Некоторые элементы библиотек являются нередактируемыми, потому что поставляются и поддерживаются разработчиками UserGate. Библиотеки элементов, поставляемые UserGate, имеют механизм автоматического обновления. Автоматическое обновление элементов требует наличия специальной лицензии. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Морфологический анализ — механизм, который распознает отдельные слова и словосочетания на веб-сайте. Если в тексте содержится достаточное для блокировки количество указанных слов и словосочетаний, то доступ к сайту блокируется.
Морфологический анализ выполняется как при проверке запроса пользователя, так и при получении ответа от веб-сервера и до его передачи пользователю. Получив ответ от веб-сервера, NGFW просматривает текст на странице и подсчитывает его суммарный «вес», исходя из «весов» слов, указанных в морфологических категориях. Если «вес» страницы превышает «вес» морфологической категории, правило срабатывает. При подсчете «веса» страницы учитываются все словоформы (леммы) запрещенных слов. Для поиска словоформ NGFW использует встроенные словари русского, английского, японского, арабского и немецкого языков.
Существует возможность подписки на словари, предоставляемые UserGate. Данные словари нельзя редактировать. Для использования этих словарей необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Наименование
|
Описание
|
Соответствие списку запрещенных материалов Министерством Юстиции Российской Федерации
|
Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции Российской Федерации.
|
Соответствие списку запрещенных материалов республики Казахстан
|
Морфологический словарь, содержащий перечень слов и фраз, запрещенных Министерством Юстиции республики Казахстан.
|
Суицид
|
Морфологический словарь, содержащий перечень слов и фраз суицидальной направленности.
|
Терроризм
|
Морфологический словарь, содержащий перечень слов и фраз террористической направленности.
|
Нецензурная лексика
|
Морфологический словарь, содержащий перечень слов и фраз, относящихся к нецензурной лексике.
|
Азартные игры
|
Морфологический словарь, содержащий перечень слов и фраз, относящихся к азартным играм.
|
Наркотики
|
Морфологический словарь, содержащий перечень слов и фраз наркотической направленности.
|
Соответствие ФЗ-436 (Защита детей)
|
Морфологический словарь, содержащий перечень слов и фраз тематик, нежелательных для детей.
|
Порнография
|
Морфологический словарь, содержащий перечень слов и фраз порнографической направленности.
|
Бухгалтерия (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в бухгалтерии.
|
Маркетинг (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в маркетинге.
|
Персональные данные (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, встречающихся в персональных данных.
|
Финансы (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в финансах.
|
Юридический (DLP)
|
Морфологический словарь, содержащий перечень терминов, слов и фраз, используемых в юриспруденции.
|
Для фильтрации по морфологическому содержанию страницы требуется:
Наименование
|
Описание
|
Шаг 1. Создать одну или несколько морфологических категорий и указать вес каждой категории.
|
Нажать на кнопку Добавить, задать название новой категории и ее вес.
|
Шаг 2. Указать список запрещенных фраз с весами.
|
Нажать на кнопку Добавить и указать необходимые слова или фразы. При добавлении слова в морфологический словарь можно использовать модификатор «!» перед словом, например, «!bassterd». В данном случае жаргонное слово не будет преобразовываться в словоформы, что может серьезно уменьшить вероятность ложной блокировки.
|
Шаг 3. Создать правило фильтрации контента, содержащее одну или несколько морфологических категорий.
|
Смотрите раздел Фильтрация контента.
|
Администратор имеет возможность создать свой словарь и централизованно распространять его на все межсетевые экраны UserGate, имеющиеся в организации. Для создания такой морфологической базы необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми фразами.
|
создать файл list.txt со списком слов в следующем формате:
!word1 !word2
!word3
word4 50
...
Lastword
Вес словаря в таком случае равен 100, вес слова можно указать. По умолчанию он равен 100.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией словаря.
|
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать морфологическую категорию указать URL для обновления словаря.
|
На каждом UserGate создать морфологическую базу. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. UserGate будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
ПримечаниеПри создании морфологических словарей не рекомендуется добавлять фразы, содержащие более трех слов, без использования символа «!» перед словами. Необходимо помнить, что при построении морфологической базы каждое из слов будет преобразовано во все существующие формы (склонения, спряжения, множественные числа, времена и т.д.), и результирующее количество фраз будет достаточно большим. При добавлении длинных фраз необходимо использовать модификатор «!» перед словами, модификация которых не нужна, как правило, это различные предлоги и союзы. Например, фразу «как уйти из жизни безболезненно» правильно добавить в виде «!как уйти !из !жизни безболезненно». Это сократит количество возможных вариантов фраз, но при этом оставит все фразы с требуемым смыслом.
Раздел сервисы содержит список общеизвестных сервисов, основанных на протоколе TCP/IP, например, таких, как HTTP, HTTPS, FTP и другие. Данные сервисы могут быть использованы при построении правил NGFW. Первоначальный список сервисов поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового сервиса необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать сервис.
|
Нажать на кнопку Добавить, дать сервису название, ввести комментарий.
|
Шаг 2. Указать протокол и порт.
|
Нажать на кнопку Добавить, выбрать из списка необходимый протокол, указать порты назначения и, опционально, порты источника. Для указания диапазона портов можно использовать — (тире), например, 33333—33355.
|
В данном разделе пользователь может управлять (создавать/обновлять/удалять) группами объектов сервисов. Группы сервисов могут быть использованы при настройке политик безопасности NGFW.
Для создания группы сервисов:
Наименование
|
Описание
|
Шаг 1. Создать группу.
|
На панели Группы сервисов нажать на кнопку Добавить, указать название и, опционально, описание группы сервисов.
|
Шаг 2. Добавить сервисы в группу.
|
На панели Элементы нажать Добавить и выбрать сервисы для добавления в группу. Для добавления всех сервисов использовать кнопку Добавить все.
|
Раздел IP-адреса содержит список диапазонов IP-адресов, которые могут быть использованы при построении правил NGFW. Первоначальный список адресов поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового списка адресов необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать список.
|
На панели Группы нажать на кнопку Добавить:
-
Дать название списку IP-адресов.
-
Добавить описание списка (опционально).
-
Указать уровень угрозы адресов в списке (параметр для визуального отображения, какие адреса не представляют особой угрозы, а какие лучше запретить).
-
Выбрать тип списка (локальный или обновляемый по URL обновления).
|
Шаг 2. Указать адрес обновления списка (для обновляемых списков).
|
Указать адрес сервера, где находится обновляемый список. Более подробно об обновляемых списках смотрите далее в этой главе.
|
Шаг 3. Добавить IP-адреса.
|
На панели Адреса из выбранной группы нажать на кнопку Добавить и ввести адреса.
IP-адреса вводятся в виде IP-адрес, IP-адрес/маска сети или диапазон IP-адресов, например: 192.168.1.5, 192.168.1.0/24 или 192.168.1.5-192.168.2.100.
|
Администратор имеет возможность создавать свои списки IP-адресов и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми IP-адресами.
|
Создать файл list.txt со списком адресов.
Список адресов записывается в обычный текстовый файл, где адреса прописываются в столбик без знаков препинания. Например:
x.x.x.x
y.y.y.y
z.z.z.z
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список IP-адресов и указать URL для обновления.
|
На каждом NGFW создать список IP-адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений.
ПримечаниеURL списка задается в формате: http://x.x.x.x/ или ftp://x.x.x.x/.
Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
С помощью фильтрации по Useragent браузеров администратор может запретить или разрешить работу пользователей только с определенным типом браузеров.
Первоначальный список Useragent поставляется вместе с продуктом. Для фильтрации по типу Useragent необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать список Useragent.
|
В панели Категории нажать на кнопку Добавить и задать название нового списка UserAgent, опционально, описание списка и URL обновления.
|
Шаг 2. Добавить необходимые Useragent браузеров в новый список.
|
В панели Шаблоны useragent добавить необходимый Useragent. Исчерпывающий список строк Useragent представлен тут: http://www.useragentstring.com/pages/useragentstring.php
|
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков.
|
Смотрите раздел Фильтрация контента.
|
Администратор имеет возможность создавать свои списки Useragent и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми Useragent.
|
Создать файл list.txt со списком Useragent.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список Useragent и указать URL для обновления.
|
На каждом NGFW создать список Useragent. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
С помощью фильтрации типов контента можно блокировать загрузку файлов определенного типа, например, запретить все файлы типа *.doc.
Существует возможность подписки на типы контента, предоставляемые разработчиками UserGate. Данные списки типов контента нельзя редактировать, их можно использовать при определении правил фильтрации контента. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Для фильтрации по типу контента необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать список типов контента. Если используется предопределенный список UserGate, перейдите к шагу 3.
|
В панели Категории нажать на кнопку Добавить, задать название нового списка типа контента, опционально, описание списка и URL обновления.
|
Шаг 2. Добавить необходимые типы контента в новый список.
|
Добавить необходимый тип контента в данный список в формате MIME. Различные типы контента и их описание доступны по ссылке https://www.iana.org/assignments/media-types/media-types.xhtml.
Например, для блокировки документов типа *.doc необходимо добавить тип контента «application/msword».
|
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков.
|
Смотрите раздел Фильтрация контента.
|
Администратор имеет возможность создавать свои списки типов контента и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми типами контента.
|
Создать файл list.txt со списком типов контента.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список типа контента и указать URL для обновления.
|
На каждом NGFW создать список типа контента. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Страница предназначена для задания списков указателей URL, которые могут быть использованы в правилах контентной фильтрации в качестве черных и белых списков.
Компания UserGate предоставляет собственные обновляемые списки. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Наименование
|
Описание
|
Список поисковых систем без безопасного поиска
|
Список известных поисковых систем, на которых отсутствует возможность блокировки поисковых запросов взрослого содержания. Рекомендуется блокировать такие поисковики для целей родительского контроля.
|
Соответствие списку запрещенных URL Министерства Юстиции РФ
|
Данный список содержит URL, запрещенные Министерством Юстиции Российской Федерации.
|
Соответствие списку запрещенных URL Республики Казахстан
|
Единый реестр доменных имен, указателей страниц сайтов в сети интернет и сетевых адресов, содержащих информацию, распространение которой запрещено в Республике Казахстан.
|
Список образовательных учреждений
|
Список доменных имен образовательных учреждений РФ.
|
Список фишинговых сайтов
|
Данный список содержит URL фишинговых сайтов.
|
Соответствие реестру запрещенных сайтов Роскомнадзора (URL)
|
Единый реестр указателей страниц сайтов в сети интернет, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru.
|
Соответствие реестру запрещенных сайтов Роскомнадзора (домены)
|
Единый реестр доменных имен, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru.
|
Для фильтрации с помощью списков URL необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать список URL.
|
В разделе Библиотеки ➜ Списки URL нажать на кнопку Добавить, задать название нового списка.
Выбрать Тип списка — Локальный или Обновляемый. Для обновляемого списка указать URL обновления и настроить Расписание скачивания обновлений.
Установить категорию создаваемого списка в поле Чувствительность к регистру:
-
Чувствительный к регистру — список URL адресов, чувствительных к регистру букв в адресе.
-
Нечувствительный к регистру — список URL адресов, нечувствительных к регистру букв в адресе. Использование списка этой категории исключает необходимость перебора вариантов написания одного и того же выражения с буквами в различных регистрах.
-
Домен — список адресов доменов для использования в правилах DNS-фильтрации.
Категория списка задается при его создании. Изменить категорию после создания списка нельзя.
|
Шаг 2. Добавить необходимые записи в новый список.
|
Добавить записи URL в новый список. В списках можно использовать специальные символы «^», «$» и «*»:
«*» — любое количество любых символов
«^» — начало строки
«$» — конец строки
Символы «?» и «#» не могут быть использованы.
|
Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков.
|
Смотрите раздел Фильтрация контента.
|
Если URL-запись начинается с http://, «https://», «ftp://» или содержит один или более символов «/», то это считается URL и применяется только для HTTP(S) фильтрации, к DNS-фильтрации такая запись не применяется. В противном случае строка рассматривается как имя домена и применяется для DNS-фильтрации и HTTP(S)-фильтрации.
Внимание! Спецсимволы не работают в списках-исключениях для блокировки рекламы. В этих списках применение спецсимволов не рекомендуется.
Если вы хотите заблокировать точный адрес, используйте символы «^» и «$»:
^http://domain.com/exacturl$
Для блокирования точного URL всех дочерних папок используйте символ «^»:
^http://domain.com/exacturl/
Для блокирования домена со всеми возможными URL используйте запись такого вида:
domain.com
Пример интерпретации URL-записей:
Пример записи
|
Обработка DNS- запросов
|
Обработка HTTP-запросов
|
yahoo.com
или
*yahoo.com*
|
Блокируется весь домен и домены более высоких (3,4 и т.д.) уровней, например:
sport.yahoo.com
mail.yahoo.com
а также:
qweryahoo.com
|
Блокируется весь домен и все URL этого домена, а также домены более высоких (3,4 и т.д.) уровней, например:
http://sport.yahoo.com
http://mail.yahoo.com
https://mail.yahoo.com
http://sport.yahoo.com/123
http://qwertyahoo.com/
|
^mail.yahoo.com$
|
Заблокирован только mail.yahoo.com
|
Заблокированы только:
http://mail.yahoo.com
https://mail.yahoo.com
|
^mail.yahoo.com/$
|
Ничего не заблокировано
|
Ничего не заблокировано, так как последний символ слэш определяет URL, но не указаны «https» или «http»
|
^http://finance.yahoo.com/personal-finance/$
|
Ничего не заблокировано
|
Заблокирован только:
http://finance.yahoo.com/personal-finance/
|
^yahoo.com/12345/
|
Ничего не заблокировано
|
Заблокированы:
http://yahoo.com/12345/whatever/
https://yahoo.com/12345/whatever/
|
Администратор имеет возможность создавать собственные списки и централизованно распространять их на все межсетевые экраны UserGate. Для создания таких списков необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимым списком URL.
|
Создать текстовый файл list.txt со списком URL в следующем формате:
www.site1.com/url1
www.site2.com/url2
...
www.siteend.com/urlN
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список и указать URL для обновления.
|
На каждом NGFW создать список URL. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений.
ПримечаниеURL списка задается в формате: http://x.x.x.x/ или ftp://x.x.x.x/.
Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Календари позволяют создать временные интервалы, которые затем можно использовать в различных правилах NGFW. Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового календаря необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать календарь.
|
В панели Группы нажать на кнопку Добавить, указать название календаря и его описание.
|
Шаг 2. Добавить временные интервалы в календарь.
|
В панели Элементы нажать на кнопку Добавить и добавить интервал. Дать название интервалу и указать время.
|
Элемент библиотеки Полоса пропускания определяет скорость передачи данных, которую возможно в дальнейшем использовать в правилах управления полосой пропускания. Более подробно о правилах управления полосой пропускания смотрите в главе Пропускная способность.
Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления новой полосы пропускания необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать полосу пропускания.
|
Нажать на кнопку Добавить, дать название, описание.
|
Шаг 2. Указать скорость.
|
Указать скорость в Кбит/сек.
|
Шаг 3. Указать значение DCSP для QoS.
|
Необязательный параметр. Если установлен, то будет прописываться в каждый IP пакет. Диапазон от 0 до 63.
|
С помощью шаблонов страниц администратор может управлять видом страницы блокировки и страницы авторизации Captive-портала. Администратор может использовать разные шаблоны для разных правил фильтрации контента и правил Captive-портала.
NGFW поставляется с различными типами шаблонов — шаблоны страниц блокировки, Captive-портала, веб-портала, инициализации TOTP и др. Они могут использованы как образцы для создания пользовательских шаблонов, например, в фирменном стиле компании или на необходимом языке.
Наименование
|
Описание
|
Шаблоны Blockpage (EN) и Blockpage (RU)
|
Стандартные шаблоны блокировки на английском и русском языках.
|
Шаблоны Captive portal user auth (EN) и Captive portal user auth (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль). При успешной авторизации пользователь получает доступ в Интернет.
|
Шаблоны Captive portal user auth + policy (EN) и Captive portal user auth + policy (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон выводит форму авторизации пользователя (имя и пароль), правила пользования сетью (соглашение об использовании), а также требует принятия пользователем правил политики доступа. При успешной авторизации пользователь получает доступ в Интернет.
|
Шаблоны Captive portal: email auth (EN) и Captive portal: email auth (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя письмом по email. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле.
|
Шаблон Captive portal: SMS auth (EN) и Captive portal: SMS auth (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках, позволяющие пользователю самостоятельно зарегистрироваться в системе с подтверждением пользователя с помощью SMS. Для корректной работы данных шаблонов необходимо настроить раздел Оповещения в Captive-профиле.
|
Шаблон Captive portal policy (EN) и Captive portal policy (RU)
|
Шаблоны для авторизации пользователя с помощью Captive-портала на английском и русском языках. Шаблон не требует ввода имени и пароля пользователя, а выводит правила пользования сетью (соглашение об использовании) и требует принятия пользователем правил политики доступа. При согласии с политикой доступа пользователь получает доступ в интернет. Для работы данного шаблона требуется установить метод Принять политику в качестве метода аутентификации в Captive-профиле.
|
Шаблоны Captive portal user session (EN) и Captive portal user session (RU)
|
Шаблоны на английском и русском языках, с помощью которых пользователь может завершить свою авторизованную сессию, перейдя на страницу http://logout.captive или http://USERGATE_IP/cps.
|
Шаблоны Content warning (EN) и Content warning (RU)
|
Шаблоны на английском и русском языках, содержащие страницу предупреждения, отображаемую при срабатывании правила контентной фильтрации с действием Предупредить.
|
Шаблоны FTP client (EN) и FTP client (RU)
|
Шаблоны на английском и русском языках для отображения контента FTP-серверов поверх HTTP.
|
Шаблоны SSL VPN (EN) и (RU)
|
Шаблоны на английском и русском языках для отображения страницы веб-портала.
|
Шаблоны SSL VPN RDP (EN) и (RU)
|
Шаблоны на английском и русском языках для отображения страницы аутентификации при подключении к ресурсам RDP через веб-портал.
|
Шаблоны SSL VPN SSH (EN) и (RU)
|
Шаблоны на английском и русском языках для отображения страницы аутентификации при подключении к ресурсам SSH через веб-портал.
|
Шаблоны TOTP INIT PAGE (EN) и TOTP INIT PAGE (RU)
|
Шаблоны на английском и русском языках для отображения страницы инициализации устройства TOTP для VPN-пользователей.
|
Для создания собственного шаблона необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Экспортировать существующий шаблон, поставляемый по умолчанию.
|
Выбрать один из существующих шаблонов, нажать на кнопку Экспорт и сохранить шаблон в файле.
|
Шаг 2. Изменить экспортированный шаблон.
|
Используя редактор, изменить содержание шаблона. Не рекомендуется использовать специальные редакторы, предназначенные для редактирования HTML-файлов, поскольку они могут испортить внутреннюю структуру шаблона. Используйте простые редакторы текста.
|
Шаг 3. Создать новый шаблон.
|
Нажать на кнопку Добавить, выбрать соответствующий тип шаблона, задать название шаблону и сохранить его.
|
Шаг 4. Импортировать измененный на шаге 2 шаблон.
|
Выделить вновь созданный шаблон, нажать на кнопку Импорт и выбрать файл с измененным шаблоном.
|
Элемент библиотеки Категории URL позволяет создать группы категорий UserGate URL filtering для более удобного использования в правилах фильтрации контента. Например, администратор может создать группу категорий «Бизнес категории» и поместить в нее необходимые категории.
Для использования категорий UserGate URL filtering требуется наличие специальной лицензии.
Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы.
Наименование
|
Описание
|
Threats
|
Набор категорий, рекомендованных для блокировки в целях обеспечения безопасности сети.
|
Parental Control
|
Набор категорий, рекомендованных для блокировки в целях защиты детей от нежелательного контента.
|
Productivity
|
Набор категорий, рекомендованных для блокировки в целях повышения эффективности работы сотрудников.
|
Safe categories
|
Набор категорий, считаемых безопасными для посещения. Рекомендуется отключать морфологическую проверку, перехват HTTPS-трафика для данной группы категорий в целях уменьшения количества ложных срабатываний.
|
Recommended for morphology checking
|
Набор категорий, рекомендованных для проверки с помощью морфологического анализа. Из этого набора исключены такие категории, как «Новости», «Финансы», «Правительство», «Информационная безопасность», «Детские сайты» и ряд других в целях уменьшения количества ложных срабатываний. Этот же набор категорий рекомендуется использовать для перехвата трафика HTTPS.
|
Recommended for virus check
|
Набор категорий, рекомендованных для антивирусной проверки.
|
Для добавления новой группы категорий необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать группу категорий.
|
В панели Группы URL категорий нажать на кнопку Добавить, дать название группе.
|
Шаг 2. Добавить категории.
|
Выделить созданную группу и в панели Категории, нажать на кнопку Добавить и выбрать необходимые категории из списка.
|
Элемент библиотеки Измененные категория URL позволяет администратору назначить определенным сайтам категории, отличные от категорий, назначенных техническими специалистами UserGate. Такая потребность может возникнуть в случае некорректного категорирования сайтов или в случае, если требуемый сайт не имеет назначенной ему категории. Для переопределения категории сайта необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Проверить первоначальную категорию сайта.
|
В разделе Библиотеки ➜ Измененные категории URL ввести требуемый адрес сайта в строку проверки и нажать на кнопку Проверить категорию.
|
Шаг 2. Назначить новую категорию.
|
Если полученная категория не совпадает с требуемой, то необходимо нажать на кнопку Добавить и назначить до двух новых категорий.
|
После успешного изменения категории сайт будет отображаться в списке сайтов с измененными категориями. Для него также будет указаны дата изменения категории, администратор, выполнивший данное изменение, его оригинальные и новые категории.
При последующей проверке категорий для данного сайта в качестве категорий будут возвращены только новые категории и специальная категория, в которую включаются все сайты с измененными категориями — Переопределенные пользователем категории.
Администратор может экспортировать списки сайтов с измененными категориями или импортировать любые списки сайтов и назначить им требуемые категории.
Сигнатуры приложений представляют собой совокупность семантических выражений, с помощью которых описываются характерные признаки определенных сетевых приложений. Они используются в межсетевом экране для анализа трафика на 7 уровне модели OSI для контроля сетевого трафика.
Типы сигнатур приложений
В UserGate могут использоваться два типа сигнатур приложений:
Проприетарные сигнатуры приложений создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. В списке сигнатур в библиотеке такие сигнатуры помечаются в колонке Владелец как: @UserGate.
Кастомизированные сигнатуры приложений создаются самим пользователем. Для создания пользовательской сигнатуры приложений в веб-консоли администратора необходимо перейти в раздел Библиотеки ➜ Приложения и нажать на кнопку Добавить. Далее заполняются поля с параметрами сигнатуры, описываются признаки сигнатуры с помощью синтаксиса UASL.
Необходимо заполнить следующие поля:
Наименование
|
Описание
|
Тип
|
Тип сигнатуры;
|
Id
|
ИИдентификатор сигнатуры. Если поле оставить пустым, то будет выдан свободный id из пользовательского пула.
|
Название
|
Название сигнатуры.
|
Описание
|
Описание сигнатуры.
|
Уровень угрозы
|
Уровень угрозы, определяемый сигнатурой. Определены следующие значения:
-
1 — очень низкий.
-
2 — низкий.
-
3 — средний.
-
4 — высокий.
-
5 — очень высокий.
|
Технология
|
Технология приложения:
-
browser-based — браузерное веб-приложение.
-
client-server — клиент-серверное приложение.
-
network-protocol — сетевой протокол.
-
peer-to-peer — приложение точка-точка.
|
Категория
|
Категория сигнатуры приложений — группа сигнатур, объединенных общими параметрами. Список категорий приложений может быть пополнен.
-
Media streaming
-
Email
-
Coin Miners
-
Tunneling
-
Games
-
Remote access
-
Conferencing
-
Trojan Horses
-
Business
-
Mobile
-
Proxies and anonymizers
-
Standard networks
-
VOIP
-
Web posting
-
Software update
-
File storage and backup
-
Web browsing
-
File sharing P2P
-
Instant messaging
-
Social networking
|
UASL
|
Описание признаков сигнатуры с помощью синтаксиса UASL.
|
Сигнатуры приложений, зависимые от типа протокола
Некоторые сигнатуры приложений для своей работы в профилях приложений требуют наличия сигнатур определенного протокола.
В следующей таблице представлены такие зависимости:
Сигнатура протокола
|
ID зависимых сигнатур
|
SSL/TLS (id=19)
|
185, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 217, 218, 219, 220, 221, 222, 223, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239, 240, 241, 242, 243, 244, 245, 246, 247, 248, 249, 250, 251, 252, 253, 254, 255, 256, 257, 258, 259, 260, 261, 262, 263, 264, 265, 267, 268, 269, 270, 271, 272, 273, 275, 276, 277, 278, 281, 282, 283, 284, 285, 286, 287, 288, 289, 290, 291, 292, 293, 294, 295, 296, 297, 298, 299, 300, 301, 302, 303, 304, 305, 306, 307, 308, 309, 310, 311, 312, 313, 314, 315, 316, 317, 318, 319, 320, 321, 322, 323, 324, 325, 326, 327, 328, 329, 330, 331, 437, 439, 440, 441, 443, 444, 445, 446, 449, 450, 451, 458, 459, 465, 466, 470, 471, 472, 474, 475, 477, 481, 482, 485, 486, 487, 490, 492, 494, 495, 496, 501, 502, 504, 505, 511, 512, 513, 515, 516, 517, 518, 521, 524, 525, 526, 527, 528, 531, 532, 535, 536, 537, 538, 539, 544, 549, 550, 552, 554, 556, 557, 560, 563, 564, 566, 567, 568, 576, 577, 579, 581, 585, 589, 590, 592, 595, 596, 597, 600, 601, 603, 604, 606, 607, 610, 612, 613, 617, 621, 622, 623, 625, 627, 632, 635, 636, 638, 710, 730, 731, 734, 738, 739, 744, 746, 748, 752, 753, 754, 755, 756, 759, 760, 761, 762, 763, 766, 769, 770, 771, 772, 773, 774, 775, 776, 781, 783, 785, 788, 790, 795, 797, 800, 801, 807, 808, 810, 811, 813, 815, 817, 818, 820, 822, 825, 826, 831, 832, 833, 835, 836, 837, 841, 842, 846, 847, 848, 850, 851, 852, 853, 854, 858, 859, 860, 863, 864, 867, 869, 872, 874, 875, 877, 878, 879, 880, 883, 885, 887, 888, 891, 893, 894, 895, 897, 898, 899, 902, 903, 904, 905, 908, 909, 1967, 2027, 4062, 4082, 4437, 4459, 5294, 5301, 5317, 5321, 5323, 5324, 5385, 5395, 5407, 5431, 5506, 5637, 5641, 5644, 5645, 5649, 5650, 5652, 5654, 5656, 5658, 5668, 5671, 5673, 5674, 5675, 5676, 5678, 5679, 5680, 5681, 5688, 5692, 5693, 5695, 5699, 5710, 5711, 5715, 5719, 5730, 5736, 5739, 5740, 5742, 5744, 5750, 5762, 5765, 5769, 5770, 5773, 5776, 5777, 5778, 5786, 5791, 5792, 5794, 5795, 5800, 5804, 5809, 5810, 5812, 5813, 5815, 5816, 5820, 5822, 5823, 5825, 5826, 5827, 5828, 7688, 7689, 7690, 7691, 7692, 7694, 7695, 7698, 7699, 7704, 7705, 7707, 7708, 7740, 7843, 7864, 7865, 7867, 7868, 8000, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8009, 8010, 8011, 8012, 8014, 8015, 8016, 8017, 8018, 8019, 8022, 8024, 8026, 8027, 8028, 8031, 8032, 8033, 8034, 8035, 8036, 8037, 8038, 8039, 8040, 8041, 8043, 8044, 8045, 8048, 8049, 8053, 8054, 8055, 8056, 8057, 8058, 8059, 8060, 8063, 8064, 8066, 8067, 8069, 8070, 8071, 8075, 8077, 8078, 8079, 8080, 8081, 8082, 8083, 8084, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8094, 8095, 8096, 8098, 8099, 8101, 8102, 8103, 8104, 8105, 8106, 8107, 9003, 9007, 9008, 9016, 9019, 9030, 9042, 9044, 9048, 9050, 9051, 9052, 9053, 9054, 9055, 9056, 9057, 9058, 9059, 9060, 9061, 9062, 9063, 9064, 9065, 9066, 9067, 9068, 9069, 9071, 9072, 9074, 9075, 9076, 9077, 9078, 9079, 9080, 9081, 9083, 9084, 9085, 9086, 9087, 9088, 9089, 9090, 9091, 9092, 9094, 9096, 9097, 9098, 9099, 9100, 9101, 9102, 9103, 9104, 9105, 9114, 9128, 9141, 9147, 9148, 9150, 9529, 9543, 9544, 9553, 9563, 9566, 9572, 9573, 9575, 9579, 9580, 9622, 9625, 9627, 9628, 9641, 9650, 9655, 9657, 9714, 9733, 10514, 11011, 11024, 11025, 11044, 11504, 12001, 12002, 12003, 12006, 12007, 12008, 12009, 12010, 12011, 12012, 12013, 12014, 12015, 12016, 12017, 12018, 12019, 12020, 12021, 12022, 12023, 12024, 12025, 12026, 12027, 12028, 12033, 12034, 12035, 12036, 12044, 12045, 12501, 14002, 14003
|
HTTP (id=3)
|
196, 239, 261, 475, 532, 535, 610, 612, 627, 710, 1967, 4133, 4340, 4441, 5323, 5395, 5506, 5655, 5672,
5674, 5676, 5693, 5728, 5730, 5750, 5754, 5763, 5769, 5770, 5773, 5778, 5788, 5792, 5823, 5830, 7867,
8002, 8013, 8048, 9777, 9823, 9824, 9845, 11027, 12032, 12033
|
DNS (id=5)
|
1967, 5395, 5672, 5815
|
IKE (id=11041)
|
11056
|
Связанные сигнатуры
Некоторые сигнатуры зависят не только от сигнатуры протокола, но и от связанных сигнатур.
Список связанных сигнатур приложений приведен в следующей таблице:
ID сигнатуры
|
Название сигнатуры
|
Зависит от протокола
|
Связана с сигнатурой
|
Примечание
|
218
|
Yandex.Disk
|
SSL/TLS (id=19)
|
—
|
Для работы данной сигнатуры в профиль необходимо добавить только сигнатуру протокола (id=19).
|
7707
|
Yandex.Disk download
|
SSL/TLS (id=19)
|
Yandex.Disk (id=218), Yandex Services (id=12044)
|
Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанные сигнатуры (id=218 и
id=12044).
|
7708
|
Yandex.Disk upload
|
SSL/TLS (id=19)
|
Yandex.Disk (id=218), Yandex Services (id=12044)
|
Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанные сигнатуры (id=218 и
id=12044).
|
12044
|
Yandex Services
|
SSL/TLS (id=19)
|
—
|
Для работы данной сигнатуры в профиль необходимо добавить только сигнатуру протокола (id=19).
|
16020
|
Yandex Tracker
|
SSL/TLS (id=19)
|
Yandex Services (id=12044)
|
Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанную сигнатуру (id=12044).
|
12045
|
Yandex Cloud
|
SSL/TLS (id=19)
|
Yandex Services (id=12044)
|
Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанную сигнатуру (id=12044).
|
Назначение профиля приложений
Профиль приложений позволяет создавать динамический набор сигнатур приложений, предназначенный для анализа трафика на 7 уровне модели OSI. Динамичность профиля достигается за счет того, что профиль явно не содержит в себе никаких сигнатур, а содержит фильтры, с помощью которых собирается набор сигнатур. При изменении библиотеки сигнатур приложений профили динамически наберут новые наборы сигнатур, удовлетворяющих фильтрам профилей.
Помимо создания необходимого набора сигнатур в профиле могут определятся действия, которые необходимо выполнить над приложениями, отфильтрованными сигнатурами и действия, которые должны быть применены к трафику, который не удалось идентифицировать.
Создание профиля приложений в веб-консоли администратора
В веб-консоли администратора профили приложений создаются в разделе Библиотеки ➜ Профили приложений.
Необходимо нажать Добавить и заполнить соответствующие поля в свойствах профиля приложений:
1. В поле Название указать название создаваемого профиля.
2. В поле Описание опционально указать назначение профиля.
3. В области Фильтры добавляются фильтры для выбора необходимых сигнатур из библиотеки и настраиваются действия, которые необходимо выполнить над приложениями, отфильтрованными сигнатурами.
4. В области Настройки сигнатуры неопределенных приложений определяются действия с трафиком, который не был определен сигнатурами данного профиля.
5. На вкладке Совпавшие сигнатуры отображается превью сигнатур приложений, отобранных всеми фильтрами профиля, и настроенные действия, которые необходимо выполнить над приложениями, отфильтрованными этими сигнатурами.
Настройка фильтров сигнатур в профиле приложений
Для создания фильтра сигнатур приложений необходимо в области Фильтры нажать кнопку Добавить. Откроется окно свойств фильтра.
Фильтр можно создать, выбирая опции отбора в панели инструментов. Ниже в окне будут отображаться сигнатуры из библиотеки, попадающие под действие этого фильтра:
Также фильтр можно создать, описав его с помощью sql-подобного синтаксиса. Для этого необходимо нажать кнопку Расширенный в панели инструментов и в открывшейся строке описать свойства выбора фильтра:
В каждом фильтре могут настраиваться состояния сигнатур и действия, которые применяются ко всем сигнатурам, попадающим под него:
-
Включение/отключение сигнатуры.
-
Включение/отключение журналирования сигнатуры.
-
Запись в pcap-файл, если сигнатура сработала.
-
Предпринимаемое действие над трафиком, если сигнатура сработала, т.е. приложение было найдена в трафике. Действия могут быть следующие: пропустить, отбросить, отбросить с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения.
Для сохранения созданного фильтра необходимо нажать кнопку Сохранить.
В одном профиле может быть создано сразу несколько фильтров.
Фильтры в профиле работают по правилу логического ИЛИ.
Порядок фильтров сигнатур в профиле важен – настройки верхнего фильтра имеют высший приоритет. Например, если в библиотеку сигнатур приложений будут добавлены новые сигнатуры и они попадут под действие сразу нескольких фильтров одного профиля, им будет присвоено настроенное действие первого фильтра, под который они попадают.
Настройка действий для трафика, который не удалось идентифицировать
В профиле приложений может быть настроено действие, которое применяется к трафику, который не удалось идентифицировать с помощью набора сигнатур профиля.
В области Настройки сигнатуры неопределенных приложений настраивается действие, включается/отключается журналирование и запись в файл pcap.
Действия могут быть следующие: пропустить, отбросить, отбросить с разрывом TCP соединения.
Примеры настроек профилей приложений
Пример 1. Профиль приложения с сигнатурой, зависимой от сигнатуры протокола
Списки сигнатур, зависимых от сигнатур протоколов, приведены в разделе Приложения.
Создадим профиль для приложения Kontur Talk, которое определяется соответствующей сигнатурой (id=14002). Чтобы запретить весь трафик, кроме трафика приложения Kontur Talk, профиль приложений должен выглядеть следующим образом:
Сигнатура SSL/TLS (id=19) необходима для работы сигнатуры Kontur Talk, поэтому она добавляется в профиль, но для нее выставляется действие Отбросить, чтобы не пропускать посторонний трафик по протоколам SSL/TLS. Для неидентифицированного трафика также устанавливается действие Отбросить.
Пример 2. Профиль для белого списка со связанными сигнатурами
Списки связанных сигнатур приведены в разделе Приложения.
Создадим профиль для случая, когда необходимо разрешить загрузку файлов на Yandex Disk. Для того, чтобы сигнатура Yandex.Disk upload работала, необходимо учесть её зависимость от сигнатуры протокола SSL/TLS (id=19) и связанность с сигнатурами Yandex.Disk (id=218) и Yandex Services (id=12044). В данном примере профиль приложений будет выглядеть следующим образом:
Таким образом разрешается доступ и загрузка файлов на Yandex Disk, а весь остальной трафик помечается как неидентифицированный и отбрасываться либо действием сигнатуры SSL/TLS, либо действием для сигнатур неопределенных приложений.
Пример 3. Профиль для черного списка со связанными сигнатурами
В данном примере разрешается весь трафик, кроме попадающего под сигнатуру Yandex.Disk upload (id=7708). Для этого случая необходимо учесть зависимость сигнатуры Yandex.Disk upload от сигнатуры протокола SSL/TLS (id=19). Связанность с сигнатурами Yandex.Disk и Yandex Services в случае блокировки не учитывается. Профиль приложений в данном примере будет выглядеть следующим образом:
Таким образом запрещается загрузка файлов на Yandex Disk, а весь остальной трафик разрешается либо действием сигнатуры SSL/TLS, либо действием для сигнатур неопределенных приложений.
Применение профилей приложений
Администратор может создать необходимое количество профилей. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты определенного сервиса. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.
Профиль приложения применяется в разрешающем правиле межсетевого экрана.
Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем (адреса/зоны источника/назначения, пользователи итд.). После попадания под разрешающее правило с профилем приложений, трафик начинает анализироваться с помощью сигнатур профиля. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в фильтрах профиля и произведена соответствующая запись в Журнале трафика, если была включена опция журналирования. Если ни одна из сигнатур не была найдена, то к трафику будет применено действие, настроенное в профиле для неидентифицированного трафика.
Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).
В данном разделе пользователь может управлять (создавать/обновлять/удалять) группами приложений. Группы приложений могут быть использованы при настройке правил управления пропускной способности.
Для создания группы приложений:
Наименование
|
Описание
|
Шаг 1. Создать группу.
|
В разделе Библиотеки ➜ Группы приложений нажать на кнопку Добавить, указать название и, опционально, описание группы приложений.
|
Шаг 2. Добавить сигнатуры приложений в группу.
|
На панели Приложения нажать Добавить и выбрать сигнатуры приложений для добавления в группу. Для добавления всех сигнатур приложений использовать кнопку Добавить все.
|
Элемент библиотеки Почтовые адреса позволяет создать группы почтовых адресов, которые впоследствии можно использовать в правилах фильтрации почтового трафика и для использования в оповещениях.
Для добавления новой группы почтовых адресов необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать группу почтовых адресов.
|
В панели Группы почтовых адресов нажать на кнопку Добавить, дать название группе.
|
Шаг 2. Добавить почтовые адреса в группу.
|
Выделить созданную группу, в панели Почтовые адреса нажать на кнопку Добавить и добавить необходимые почтовые адреса.
|
Администратор имеет возможность создавать списки почтовых адресов и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми списком почтовых адресов.
|
Создать файл list.txt со списком почтовых адресов.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список почтовых адресов и указать URL для обновления.
|
На каждом NGFW создать список адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Элемент библиотеки Номера телефонов позволяет создать группы номеров, которые впоследствии можно использовать в правилах оповещения SMPP.
Для добавления новой группы телефонных номеров необходимо выполнить следующие шаги:
Наименование
|
Описание
|
Шаг 1. Создать группу телефонных номеров.
|
В панели Группы телефонных номеров нажать на кнопку Добавить, дать название группе.
|
Шаг 2. Добавить номера телефонов в группу.
|
Выделить созданную группу, в панели Группа телефонных номеров нажать на кнопку Добавить и добавить необходимые номера.
|
Администратор имеет возможность создавать списки телефонных номеров и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:
Наименование
|
Описание
|
Шаг 1. Создать файл с необходимыми списком номеров.
|
Создать файл list.txt со списком номеров.
|
Шаг 2. Создать архив, содержащий этот файл.
|
Поместить файл в архив zip с именем list.zip.
|
Шаг 3. Создать файл с версией списка.
|
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря.
|
Шаг 4. Разместить файлы на веб-сервере.
|
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
|
Шаг 5. Создать список телефонных номеров и указать URL для обновления.
|
На каждом NGFW создать список адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
-
Звездочка (*) — обозначает весь диапазон (от первого до последнего).
-
Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7.
-
Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23".
-
Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "*/2" в поле "часы" будет означать "каждые два часа".
|
Сигнатуры СОВ представляют собой некоторую совокупность строк (паттернов) и семантических выражений (фильтров, модификаторов, иных конструкций), которые позволяют идентифицировать/пометить сетевую атаку и предпринять определенные действия. Сигнатуры добавляются в профили СОВ и используются в правилах межсетевого экрана для обнаружения вторжений и защиты сети.
В UserGate могут использоваться два типа сигнатур СОВ:
Проприетарные сигнатуры СОВ создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. В списке сигнатур в библиотеке такие сигнатуры помечаются в колонке Владелец как: @UserGate. В проприетарных сигнатурах пользователь может перенастроить следующие параметры:
-
Включение/отключение сигнатуры.
-
Журналирование сигнатуры.
-
Запись в pcap-файл, если сигнатура сработала.
-
Предпринимаемое действие, если сигнатура сработала, т.е. была найдена в трафике. Действия могут быть следующие: пропустить пакет, отбросить пакет, отбросить пакет с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения.
Дополнительные опциональные параметры проприетарных сигнатур:
-
Применить к — настраивается, если параметр Действие выставлен в значения Отбросить пакет с разрывом TCP соединения, Блокировать IP-адрес источника и/или назначения. Параметр имеет следующие значения: Источник, Назначение, Оба.
-
Продолжительность — возможно настроить, если параметр Действие имеет значение Блокировать IP-адрес источника и/или назначения. Число, указывающее время блокировки ip-адреса.
Некоторые сигнатуры также имеют настройку следующих дополнительных параметров:
Примеры сигнатур с такими настройками:
1064, 1672, 1711, 1732, 1738, 1740, 1741, 5315, 5611, 5612, 5657, 5699, 5701, 5757,
13003, 17002, 17003, 17004, 45022, 3029251, 3031043, 3031817, 3032798, 3032823,
3033202, 3033935, 3034466, 3035136, 3037395, 3037608, 3037708, 3037771, 3039602,
3039703, 3039876, 3039883, 3040088, 3040443, 3042187, 3046218, 3046453, 3046609,
3049480, 3050453, 3050940, 3051410, 3051613, 3051634, 90000000, 90000001, 90000002,
90000003, 90000004, 90000005, 90000006, 90000007, 90000008, 90000009, 90000010
ПримечаниеВ данном списке приведены примеры сигнатур, которые имеют дополнительные параметры настройки Частота срабатывания и Направление. По мере развития продукта количество таких сигнатур будет увеличиваться.
После изменения настроек параметров по умолчанию у проприетарных сигнатур в колонке Статус будет указано: Изменено. Измененные пользователем настройки проприетарных сигнатур СОВ можно вернуть в первоначальное состояние, для этого в веб-консоли администратора в разделе Библиотеки ➜ Сигнатуры СОВ нужно выделить сигнатуру в списке и нажать кнопку Восстановить по умолчанию.
Кастомизированные сигнатуры СОВ создаются самим пользователем.
Для создания кастомизированной сигнатуры СОВ в веб-консоли администратора необходимо перейти в раздел Библиотеки ➜ Сигнатуры СОВ и нажать на кнопку Добавить. Далее заполняются поля с параметрами сигнатуры. Признаки сетевых уязвимостей описываются с помощью синтаксиса языка UASL (UserGate Application and Security Language).
При создании кастомизированной сигнатуры необходимо заполнить следующие поля:
Наименование
|
Описание
|
Включено
|
Индикатор включения/выключения сигнатуры.
|
Id
|
Идентификатор сигнатуры. Если поле оставить пустым, то будет выдан свободный id из пользовательского пула.
|
Название
|
Название сигнатуры.
|
Описание
|
Описание сигнатуры.
|
Уровень угрозы
|
Уровень угрозы, определяемый сигнатурой. Определены следующие значения:
-
1 – очень низкий.
-
2 – низкий.
-
3 – средний.
-
4 – высокий.
-
5 – очень высокий.
|
Класс
|
Класс сигнатуры определяет тип атаки, которая описывается данной сигнатурой. Определяются также общие события, которые не относятся к атаке, но могут быть интересны в определенных случаях, например, обнаружение установления сессии TCP. Список классов может быть пополнен.
-
arbitrary-code-execution – попытка запуска произвольного кода.
-
attempted-admin – попытка получения административных привилегий.
-
attempted-dos – попытка совершения атаки Denial of Service.
-
attempted-recon – попытка атаки, направленной на утечку данных.
-
attempted-user – попытка получения пользовательских привилегий.
-
bad-unknown – потенциально плохой трафик.
-
buffer overflow – попытка атаки, использующей принцип перепонения буфера.
-
command-and-control – попытка общения с C&C центром
-
default-login-attempt – попытка логина с именем/паролем по умолчанию.
-
denial-of-service – обнаружена атака Denial of Service.
-
exploit-kit – обнаружен exploit kit
-
information disclosure – утечка данных.
-
memory corruption – попытка атаки, использующей принцип повреждения памяти.
-
misc-activity – прочая активность.
-
misc-attack – обнаружена атака.
-
network-scan – сканирование сети.
-
path traversal – попытка атаки, использующей принцип обхода пути к файлам на сервере, на котором работает приложение.
-
policy-violation – нарушение сетевых политик.
-
protocol-command-decode – обнаружение необычной команды протокола.
-
shellcode-detect – обнаружен исполняемый код.
-
string-detect – обнаружена подозрительная строка.
-
successful-recon-limited – утечка информации
-
suspicious-login – попытка логина с использованием подозрительного имени пользователя.
-
system-call-detect – попытка использования системных вызовов.
-
targeted-activity – обнаружение направленной активности.
-
trojan-activity – обнаружен сетевой троян.
-
uncaught exception – необрабатываемое приложением исключение.
|
Категория
|
Категория сигнатуры - группа сигнатур, объединенных общими параметрами. Список категорий может быть пополнен.
-
adware pup – нежелательное рекламное ПО.
-
attack_response – сигнатуры, определяющие ответы на известные сетевые атаки.
-
bruteforce – атака типа brutr force.
-
coinminer – скачивание, установка, деятельность известных майнеров.
-
dns – известные уязвимости DNS.
-
dos – сигнатуры известных Denial of services атак.
-
exploit – сигнатуры известных эксплоитов.
-
ftp – известные FTP-уязвимости.
-
icmp – известные уязвимости протокола icmp.
-
imap – известные IMAP-уязвимости.
-
info – потенциальная утечка информации.
-
ldap – известные LDAP-уязвимости.
-
malware – скачивание, установка, деятельность известных malware.
-
misc – другие известные сигнатуры.
-
netbios – известные уязвимости протокола NETBIOS.
-
p2p – идентификация трафика точка-точка (peer-to-peer).
-
phishing – сигнатуры известных phishing атак.
-
policy – нарушение информационной безопасности.
-
pop3 – известные уязвимости протокола POP3.
-
rpc – известные уязвимости протокола RPC.
-
scada – известные уязвимости протокола SCADA.
-
scan – сигнатуры, определяющие попытки сканирования сети на известные приложения.
-
shellcode – сигнатуры, определяющие известные попытки запуска программных оболочек.
-
sip – известные уязвимости протокола SIP.
-
smb – известные уязвимости протокола SMB.
-
smtp – известные уязвимости протокола SMTP.
-
snmp – известные уязвимости протокола SNMP.
-
sql – известные уязвимости SQL.
-
telnet – известные попытки взлома по протоколу telnet.
-
tftp – известные уязвимости протокола TFTP.
-
user_agents – сигнатуры подозрительных Useragent.
-
voip – известные уязвимости протокола VoIP.
-
web_client – сигнатуры, определяющие известные попытки взлома различных веб-клиентов, например, Adobe Flash Player.
-
web_server – сигнатуры, определяющие известные попытки взлома различных веб-серверов.
-
web_specific_apps – сигнатуры, определяющие известные попытки взлома различных веб приложений.
-
worm – сигнатуры, определяющие сетевую активность известных сетевых червей.
|
Операционная система сигнатуры
|
Операционная система, для которой разработана данная сигнатура.
-
Windows
-
Linux
-
BSD
-
Mac OS
-
Solaris
-
Cisco
-
IOS
-
Android
-
Other
|
CVE
|
Идентификатор уязвимоси по реестру CVE.
|
BDU
|
Идентификатор уязвимости по реестру BDU.
|
URL
|
Опциональная ссылка на ресурс с описанием уязвимости.
|
UASL
|
Описание признаков сигнатуры с помощью синтаксиса UASL.
|
Настройки
|
-
Действие – реакция на срабатывание сигнатуры. Определены следующие значения::
-
Нет – действие не определено.
-
Пропустить – пропустить пакет.
-
Отбросить – отбросить пакет.
-
Сбросить – отбросить пакет с разрывом TCP соединения (отправка TCP reset).
-
Блокировать IP – блокировать IP-адрес источника и/или назначения.
-
Журналировать:
-
Файл pcap – трассировка срабатывания сигнатуры с записью в файл формата pcap.
-
Применить к – применимость действий типа Ресет или Блокировать IP на срабатыване сигнатуры:
-
Источник – действия Ресет или Блокировать IP применяются к адресу источника отправления пакетов.
-
Назначание – действия Ресет или Блокировать IP применяются к адресу назначения отправления пакетов.
-
Оба – действия Ресет или Блокировать IP применяются и к источнику, и к назначению.
-
Продолжительность – длительность блокировки для действия Блокировать IP.
|
Назначение профиля СОВ
Профиль СОВ позволяет создавать динамический набор сигнатур СОВ, предназначенный для обнаружения вторжений и защиты определенных сервисов. Динамичность профиля достигается за счет того, что профиль явно не содержит в себе никаких сигнатур, а содержит фильтры, с помощью которых собирается набор сигнатур. Для фильтрации используются как описательные поля сигнатур, так и настройки. В итоге получается, что при изменении библиотеки сигнатур профили динамически наберут новые наборы сигнатур, удовлетворяющих фильтрам профилей.
Помимо создания необходимого набора сигнатур в профиле могут определяться действия, которые будут выполняться над трафиком, отфильтрованным сигнатурами.
Создание профиля СОВ в веб-консоли администратора
В веб-консоли администратора профили СОВ создаются в разделе Библиотеки ➜ Профили СОВ.
Необходимо нажать Добавить и заполнить соответствующие поля в свойствах профиля:
1. В поле Название указать название создаваемого профиля.
2. В поле Описание опционально указать назначение профиля.
3. В области Фильтры добавляются фильтры для выбора необходимых сигнатур из библиотеки.
4. На вкладке Совпавшие сигнатуры отображается превью сигнатур СОВ, отобранных всеми фильтрами профиля, и настроенные действия, которые необходимо выполнить над трафиком, отфильтрованным этими сигнатурами.
Настройка фильтров сигнатур в профиле СОВ
Для создания фильтра сигнатур необходимо в области Фильтры нажать кнопку Добавить. Откроется окно свойств фильтра.
Фильтр можно создать, выбирая опции в панели инструментов. В окне под панелью инструментов будут отображаться сигнатуры, отбираемые этим фильтром:
Также фильтр можно создать, описав его с помощью sql-подобного синтаксиса. Для этого необходимо нажать кнопку Расширенный в панели инструментов и в открывшейся строке описать свойства выбора фильтра:
Для сохранения созданного фильтра необходимо нажать кнопку Сохранить.
В одном профиле можно использовать сразу несколько фильтров.
Фильтры в профиле работают по логическому ИЛИ. Например, если в профиле добавлено два фильтра `category = injection` и `threat = low`, они эквивалентны одному фильтру `category = injection OR threat = low`.
Настройка параметров сигнатур в профиле СОВ
В рамках профиля можно переопределить параметры сигнатур, такие как действие, журналирование, запись в файл pcap, включение/отключение сигнатуры. Для этого необходимо выбрать нужные сигнатуры в списке совпавших сигнатур и нажать кнопку Переопределить в панели инструментов.
Изменение настроек сигнатур в профиле СОВ имеет более высокий приоритет, чем настройки этих же сигнатур на странице сигнатур СОВ. Измененные настройки сигнатур СОВ можно вернуть в первоначальное состояние, для этого нужно выделить сигнатуру в списке сигнатур профиля и нажать кнопку Восстановить по умолчанию в панели инструментов профиля.
Применение профилей СОВ
Администратор может создать необходимое количество профилей. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты определенного сервиса. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.
Профиль СОВ применяется в разрешающем правиле межсетевого экрана.
Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем. После попадания под правило с профилем СОВ, трафик начинает анализироваться с помощью определенного в профиле набора сигнатур. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования. Если ни одна из сигнатур профиля не была найдена, то трафик пропускается дальше.
Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).
Профиль оповещения указывает транспорт, с помощью которого оповещения могут быть доставлены получателям. Поддерживается 2 типа транспорта:
-
SMTP, доставка сообщений с помощью e-mail.
-
SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки.
Для создания профиля сообщений SMTP необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили оповещений, выбрать вариант Добавить профиль оповещения SMTP и заполнить необходимые поля:
Наименование
|
Описание
|
Название
|
Название профиля.
|
Описание
|
Описание профиля.
|
Хост
|
IP-адрес или FQDN сервера SMTP, который будет использоваться для отсылки почтовых сообщений.
|
Порт
|
Порт TCP, используемый сервером SMTP. Обычно для протокола SMTP используется порт 25, для SMTP с использованием SSL - 465. Уточните данное значение у администратора почтового сервера.
|
Безопасность
|
Варианты безопасности отправки почты, возможны варианты: Нет, STARTTLS, SSL.
|
Авторизация
|
Включает авторизацию при подключении к SMTP-серверу.
|
Логин
|
Имя учетной записи для подключения к SMTP-серверу.
|
Пароль
|
Пароль учетной записи для подключения к SMTP-серверу.
|
Для создания профиля сообщений SMPP необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили оповещений, выбрать вариант Добавить профиль оповещения SMPP и заполнить необходимые поля:
Наименование
|
Описание
|
Название
|
Название профиля.
|
Описание
|
Описание профиля.
|
Хост
|
IP-адрес или FQDN сервера SMPP, который будет использоваться для отсылки SMS сообщений.
|
Порт
|
Порт TCP, используемый сервером SMPP. Обычно для протокола SMPP используется порт 2775, для SMPP с использованием SSL -- 3550.
|
SSL
|
Использовать или нет шифрацию с помощью SSL.
|
Логин
|
Имя учетной записи для подключения к SMPP-серверу.
|
Пароль
|
Пароль учетной записи для подключения к SMPP-серверу.
|
Правила трансляции номеров
|
В некоторых случаях SMPP-провайдер ожидает номер телефона в определенном формате, например, в виде 89123456789. Для соответствия требованиям провайдера можно указать замену первых символов номеров с одних на другие. Например, заменить все номера, начинающиеся на +7, на 8.
|
Netflow — сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems, поддерживаемый в настоящее время многими вендорами. Для сбора информации о трафике по протоколу Netflow требуются следующие компоненты:
-
Сенсор — собирает статистику по проходящему через него трафику и передает ее на коллектор.
-
Коллектор — получает от сенсора данные и помещает их в хранилище.
-
Анализатор — анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков).
NGFW может выступать в качестве сенсора. Для сбора и отправки статистики о трафике, проходящем через определенный сетевой интерфейс NGFW, необходимо выполнить следующие действия:
-
Создать профиль Netflow.
-
Назначить созданный профиль Netflow сетевому интерфейсу, на котором необходимо собирать статистику.
Для создания профиля Netflow необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили Netflow и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Название профиля Netflow.
|
Описание
|
Описание профиля Netflow.
|
IP-адрес Netflow коллектора
|
IP-адрес сервера, куда сенсор будет отправлять статистику.
|
Порт Netflow коллектора
|
UDP порт, на котором коллектор будет принимать статистику.
|
Версия протокола
|
Версия протокола Netflow, которую следует использовать. Версия протокола должна совпадать на сенсоре и на коллекторе.
|
Таймаут активного потока (сек)
|
При длительных потоках, например, передача большого файла через сеть, время, через которое будет отправляться статистика на коллектор, не дожидаясь завершения потока. Значение по умолчанию — 1800 секунд.
|
Таймаут неактивного потока (сек.)
|
Время, резервируемое на завершение неактивного потока. Значение по умолчанию — 15 секунд.
|
Количество потоков
|
Максимальное количество учитываемых потоков, с которых собирается и отправляется статистика. Ограничение необходимо для защиты от DoS-атак. После достижения данного количества потоков, все последующие не будут учитываться. Значение по умолчанию — 2000000, установите 0 для снятия ограничения.
|
Отправлять информацию NAT
|
Отправлять информацию о NAT преобразованиях в статистику Netflow.
|
Частота отправки шаблона (пакетов)
|
Количество пакетов, после которых шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию — 20 пакетов.
|
Период отправки старого шаблона (сек.)
|
Время, через которое старый шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию — 1800 секунд.
|
Link Layer Discovery Protocol (LLDP) — протокол канального уровня, позволяющий сетевым устройствам, работающим в локальной сети, объявлять о своём существовании и передавать свои характеристики и получать аналогичные сведения. Информация, собранная при помощи операции LLDP, хранится в сетевом устройстве.
Для создания профиля безопасности необходимо нажать Добавить в разделе Библиотеки ➜ Профили LLDP и указать следующие параметры:
Наименование
|
Описание
|
Название
|
Название профиля LLDP.
|
Описание
|
Описание профиля LLDP.
|
Статус порта
|
Режим:
-
Приём и передача данных LLDP — NGFW будет посылать информацию LLDP и будет анализировать информацию LLDP, полученную от соседей.
-
Только приём данных LLDP — NGFW не будет посылать информацию LLDP, но будет анализировать информацию LLDP от соседей.
-
Только передача данных LLDP — NGFW будет посылать информацию LLDP, но будет отбрасывать информацию LLDP, полученную от соседей.
|
Профиль SSL позволяет указать протоколы SSL или отдельные алгоритмы шифрования и цифровой подписи, которые в дальнейшем могут быть использованы в правилах инспектирования SSL, в настройках веб-консоли, страницы авторизации, страницы блокировки, веб-портале.
Для создания профиля SSL необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили SSL и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Название профиля SSL.
|
Описание
|
Описание профиля SSL.
|
Протоколы SSL
|
Минимальная версия TLS — устанавливает минимальную версию TLS, которая может быть использована в данном профиле.
Максимальная версия TLS — устанавливает максимальную версию TLS, которая может быть использована в данном профиле.
Оба эти параметра определяют диапазон версий TLS, которые будут поддерживаться данным профилем.
|
Наборы алгоритмов шифрования
|
Данный раздел позволяет выбрать необходимые алгоритмы шифрования и цифровой подписи. Возможные значения указаны в виде строк, в которых перечислены алгоритм и подпись. Администратор может указать только те наборы алгоритмов и подписей, которые считает нужным для безопасной работы организации. Список поддерживаемых комбинаций следующий:
-
TLS AES 128 CCM SHA256
-
TLS AES 128 GCM SHA256
-
TLS AES 256 GCM SHA384
-
TLS DHE DSS WITH 3DES EDE CBC SHA
-
TLS DHE DSS WITH AES 128 CBC SHA
-
TLS DHE DSS WITH AES 128 CBC SHA256
-
TLS DHE DSS WITH AES 128 GCM SHA256
-
TLS DHE DSS WITH AES 256 CBC SHA
-
TLS DHE DSS WITH AES 256 CBC SHA256
-
TLS DHE DSS WITH AES 256 GCM SHA384
-
TLS DHE RSA WITH 3DES EDE CBC SHA
-
TLS DHE RSA WITH AES 128 CBC SHA
-
TLS DHE RSA WITH AES 128 CBC SHA256
-
TLS DHE RSA WITH AES 128 GCM SHA256
-
TLS DHE RSA WITH AES 256 CBC SHA
-
TLS DHE RSA WITH AES 256 CBC SHA256
-
TLS DHE RSA WITH AES 256 GCM SHA384
-
TLS ECDH ECDSA WITH 3DES EDE CBC SHA
-
TLS ECDH ECDSA WITH AES 128 CBC SHA
-
TLS ECDH ECDSA WITH AES 128 CBC SHA256
-
TLS ECDH ECDSA WITH AES 128 GCM SHA256
-
TLS ECDH ECDSA WITH AES 256 CBC SHA
-
TLS ECDH ECDSA WITH AES 256 CBC SHA384
-
TLS ECDH ECDSA WITH AES 256 GCM SHA384
-
TLS ECDH RSA WITH 3DES EDE CBC SHA
-
TLS ECDH RSA WITH AES 128 CBC SHA
-
TLS ECDH RSA WITH AES 128 CBC SHA256
-
TLS ECDH RSA WITH AES 128 GCM SHA256
-
TLS ECDH RSA WITH AES 256 CBC SHA
-
TLS ECDH RSA WITH AES 256 CBC SHA384
-
TLS ECDH RSA WITH AES 256 GCM SHA384
-
TLS ECDHE ECDSA WITH 3DES EDE CBC SHA
-
TLS ECDHE ECDSA WITH AES 128 CBC SHA
-
TLS ECDHE ECDSA WITH AES 128 CBC SHA256
-
TLS ECDHE ECDSA WITH AES 128 GCM SHA256
-
TLS ECDHE ECDSA WITH AES 256 CBC SHA
-
TLS ECDHE ECDSA WITH AES 256 CBC SHA384
-
TLS ECDHE ECDSA WITH AES 256 GCM SHA384
-
TLS ECDHE RSA WITH 3DES EDE CBC SHA
-
TLS ECDHE RSA WITH AES 128 CBC SHA
-
TLS ECDHE RSA WITH AES 128 CBC SHA256
-
TLS ECDHE RSA WITH AES 128 GCM SHA256
-
TLS ECDHE RSA WITH AES 256 CBC SHA
-
TLS ECDHE RSA WITH AES 256 CBC SHA384
-
TLS ECDHE RSA WITH AES 256 GCM SHA384
-
TLS GOST2012256 WITH 28147 CNT IMIT
-
TLS GOSTR341001 WITH 28147 CNT IMIT
-
TLS RSA WITH 3DES EDE CBC SHA
-
TLS RSA WITH AES 128 CBC SHA
-
TLS RSA WITH AES 128 CBC SHA256
-
TLS RSA WITH AES 128 GCM SHA256
-
TLS RSA WITH AES 256 CBC SHA
-
TLS RSA WITH AES 256 CBC SHA256
-
TLS RSA WITH AES 256 GCM SHA384
|
Установка алгоритмов шифрования для стандартных протоколов
|
Данный раздел можно использовать для облегчения выбора необходимых алгоритмов шифрования и подписи для стандартных протоколов TLS. Администратор может указать в поле Выберите протокол для установки алгоритмов необходимые версии протоколов TLS, нажать на кнопку Применить, и алгоритмы, соответствующие выбранной версии протокола автоматически будут отмечены. Можно последовательно добавить несколько версий протокола TLS.
|
По умолчанию в продукте создано несколько профилей SSL, которые могут быть использованы администратором как есть, либо изменены/удалены при необходимости. Созданы следующие профили SSL:
Наименование
|
Описание
|
Default SSL profile
|
Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.1 до TLS v.1.2. Это наиболее распространенные версии протоколов, используемые в сети интернет в данное время. Данный профиль используется по умолчанию в:
|
Default SSL profile (TLSv1.3)
|
Содержит алгоритмы и подписи, соответствующие версии TLS v.1.3. По умолчанию не используется.
|
Default SSL profile (GOST)
|
Содержит алгоритмы и подписи, соответствующие TLS с ГОСТ-алгоритмами (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT). Может быть использован в организациях, где требуется использование данных алгоритмов, например, для веб-портала. Поддержка данных протоколов должна также быть обеспечена со стороны используемых браузеров. По умолчанию не используется.
|
Default SSL profile (web console)
|
Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.0 до TLS v.1.2. Данный профиль используется по умолчанию для предоставления SSL-доступа в веб-консоль.
Важно! Изменение данного профиля следует производить с осторожностью. Указание алгоритмов, не поддерживаемых вашим браузером, может привести к потере доступа в веб-консоль!
|
Профили пересылки SSL работают совместно с правилами инспектирования SSL и позволяют указать устройства, на которые необходимо отправить копию расшифрованного трафика. Копия трафика будет отправлена в случае успешной расшифровки передаваемого трафика в соответствии с правилом инспектирования и выбранным профилем SSL.
Для создания профиля пересылки необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили пересылки SSL и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Название профиля пересылки SSL.
|
Описание
|
Описание профиля пересылки SSL.
|
Тип пересылки
|
Доступные типы пересылки:
-
L2. При настройке необходимо указать MAC-адрес устройства и название интерфейса, на который необходимо переслать копию трафика.
-
L3 туннель: копия расшифрованного трафика передаётся по GRE-туннелю. При настройке необходимо указать GRE IP-адреса источника и назначения.
|
MAC-адрес назначения
|
MAC-адрес устройства, на которое необходимо переслать копию расшифрованного трафика. Параметр указывается при выборе типа пересылки L2.
|
Пересылать на интерфейс
|
Название интерфейса, на который необходимо пересылать копию расшифрованного трафика. Параметр указывается при выборе типа пересылки L2.
|
GRE IP-адрес источника
|
IP-адрес источника туннеля GRE. Параметр указывается при выборе типа пересылки L3.
|
GRE IP-адрес назначения
|
IP-адрес назначения туннеля GRE. Параметр указывается при выборе типа пересылки L3.
|
Объекты HIP позволяют настроить критерии соответствия для конечных устройств и могут быть использованы в качестве одного из условий при настройке политик безопасности.
ПримечаниеПосле подключения к NGFW конечное устройство будет отсылать телеметрию с периодичностью в 1 минуту.
ПримечаниеДля указания некоторых условий требуется наличие лицензированного модуля Security Updates, необходимого для скачивания обновлений библиотек.
Для добавления объекта необходимо указать:
Наименование
|
Описание
|
Название
|
Название объекта HIP.
|
Описание
|
Описание объекта HIP (опционально).
|
Версия ОС
|
Версия операционной системы устройства пользователя.
При использовании операторов = и != необходимо указывать полную версию Windows.
|
Версия UserGate Client
|
Версия ПО UserGate Client.
|
Безопасность
|
Статусы компонентов безопасности конечного устройства:
Важно! BitLocker считается включенным, если он включен хотя бы на одном из дисков.
|
Продукты
|
Проверка соответствия программного обеспечения, установленного на конечном устройстве:
-
Антивирус. Проверка соответствия антивирусного ПО на устройстве пользователя.
-
Включено: проверка статуса ПО (да, нет, не проверять);
-
Базы антивируса обновлены: проверка актуальности баз (да, нет, не проверять) — производится только в случае, когда в предыдущем пункте включена проверка статуса антивируса в явном виде;
-
Версия ПО;
-
Вендор: производитель и название продукта.
-
Межсетевой экран. Проверка соответствия межсетевого экрана на конечном устройстве. При настройке необходимо указать:
-
Установлен: проверка наличия установленного ПО;
-
Включено: проверка статуса ПО (да, нет, не проверять);
-
Версия ПО;
-
Вендор: производитель и название продукта;
-
Резервное копирование. Проверка ПО для резервного копирования:
-
Шифрование диска. Проверка установленных на конечном устройстве программ для шифрования диска:
-
DLP. Проверка соответствия системы предотвращения утечек информации.
-
Управление обновлениями. Проверка актуальности обновлений.
|
Процессы
|
Проверка процессов, запущенных на конечном устройстве.
|
Запущенные службы
|
Проверка служб, запущенных на конечном устройстве.
|
Ключи реестра
|
Ключ реестра Microsoft Windows - каталог, в котором хранятся настройки и параметры операционной системы.
Поддерживаются следующие типы параметров реестра:
-
REG_SZ: строка Unicode или ANSI с нулевым символом в конце.
-
REG_BINARY: двоичные данные в любой форме.
-
REG_DWORD: 32-разрядное число.
Доступна проверка ключей следующих разделов реестра:
-
HKEY_LOCAL_MACHINE
-
HKEY_USERS
Важно! Путь указывается с использованием обратного слэша (\), например, \HKEY_LOCAL_MACHINE, после которых через (\) указывается полный путь к параметру.
Описание ключей реестра читайте в документации Microsoft (https://docs.microsoft.com/ru-ru/troubleshoot/developer/webapps/iis/general/use-registry-keys).
|
Установленные обновления
|
Проверка наличия указанного обновления на конечном устройстве. Необходимо указать номер статьи базы знаний Microsoft (KB), например, KB5013624.
|
Host Information Profile (HIP) позволяет производить сбор и анализ информации о степени защиты конечного устройства с установленным ПО UserGate Client. HIP профили представляют собой набор объектов HIP и предназначены для проверки соответствия конечного устройства требованиям безопасности (комплаенса). С использованием профилей HIP можно настроить гибкие политики доступа к зоне сети или приложению.
ПримечаниеДля проверки комплаенса и работы правил межсетевого экрана, в которых в качестве одного из условий указан профиль HIP, необходимо наличие лицензии на модуль Контроль доступа в сеть на уровне МЭ.
При создании профиля необходимо указать:
Наименование
|
Описание
|
Включено
|
Включение/отключение использования профиля.
Если профиль используется в правилах межсетевого экрана, то в случае его выключения, он будет помечен серым цветом.
Важно! В случае выключения профиля правило межсетевого экрана продолжает работать без условия проверки комплаенса.
|
Название
|
Название профиля HIP.
|
Описание
|
Описание профиля HIP (опционально).
|
Объекты HIP
|
Выбор логического элемента (И, ИЛИ, И НЕ, ИЛИ НЕ) и объектов HIP.
Подробнее о создании объектов читайте в разделе Объекты HIP.
|
ПримечаниеМаксимальное количество одновременно активных профилей не может превышать 32.
BFD (Bidirectional Forwarding Detection) — протокол, работающий на уровне интерфейса и протокола маршрутизации и предназначенный для быстрого обнаружения сбоев между двумя соседними маршрутизаторами, включая интерфейсы, каналы передачи данных и механизмы пересылки. BFD работает поверх любого протокола передачи данных (сетевой уровень, канальный уровень, туннели и т.д.), передаваемого между двумя системами. Пакеты BFD передаются в качестве полезной нагрузки инкапсулирующего протокола, который подходит для данной среды и сети. BFD может работать на нескольких уровнях в системе.
Маршрутизаторы с BFD отправляют пакеты друг другу с согласованной скоростью. Если пакеты от маршрутизатора, поддерживающего BFD, не поступают, то этот маршрутизатор объявляется неработающим. BFD передает эту информацию соответствующим протоколам маршрутизации, и информация о маршрутизации обновляется. BFD помогает обнаружить односторонний отказ устройства и используется для быстрой конвергенции протоколов маршрутизации.
Профиль BFD — это конфигурация или набор параметров, используемых в протоколах динамической маршрутизации (BGP, OSPF), для определения работы функции обнаружения двунаправленной переадресации. Профиль обычно включает такие параметры, как желаемое время обнаружения, время удержания и другие параметры, определяющие скорость обнаружения и реагирования сетевых устройств на сбой в канале связи.
Настройка и использование профилей обеспечивают оперативное обнаружение сбоев в сети, что позволяет ускорить перенаправление трафика на интерфейсы и повысить надежность сети.
Настройка BFD для OSPF позволяет соответствующим событиям подключения сеанса BFD мгновенно обновлять статус интерфейса OSPF.
В случае протокола BGP, BFD также может быть использован для регулирования времени обнаружения сбоев. Настройка BFD на более быстрое обнаружение неисправностей соединений позволяет оперативней реагировать и улучшать конвергенцию маршрутизации BGP.
Чтобы создать профиль BFD, необходимо в разделе Библиотеки ➜ Bfd profiles нажать на кнопку Добавить и указать необходимые параметры:
Наименование
|
Описание
|
Название
|
Задать имя профиля BFD.
|
Detect multiplier
|
Определить множитель времени обнаружения. Локальная система рассчитывает время обнаружения неисправностей соединения как произведение множителя времения обнаружения, полученного от удаленной системы, и согласованного интервала передачи удалённой системы. Если BFD не получит управляющий пакет до истечения времени обнаружения, то считается, что произошел сбой соединения.
Например, если интервал передачи равен 300 мс, а множитель — 3, то локальная система будет обнаруживать сбои только через 900 мс отсутствия приема пакетов.
|
Receive interval
|
Настроить интервал приема управляющих пакетов BFD (минимальное время, которое требуется между пакетами). Интервал не согласовывается между узлами. Для определения интервала каждый из узлов сравнивает свой интервал передачи с интервалом приема соседа — большее из двух значений принимается в качестве интервала передачи для этого узла.
Значение по умолчанию — 50 мс.
|
Transmit Interval
|
Указать интервал передачи управляющих пакетов BFD; интервал должен быть согласован между узлами.
Значение по умолчанию — 50 мс.
|
Echo receive Interval
|
Настроить минимальный интервал, через который данная система способна принимать echo-пакеты.
Значение по умолчанию — 50 мс.
|
Echo transmit interval
|
Настроить минимальный интервал передачи, через который эта система будет способна отправлять echo-пакетов BFD.
Значение по умолчанию — 50 мс.
|
Echo mode
|
Включить или выключить режим передачи Echo mode. По умолчанию этот режим отключен.
Когда функция Echo активна, поток пакетов BFD Echo передается на удалённую систему, которая возвращает их обратно по тому же маршруту пересылки. Если некоторое количество пакетов эхо-потока данных не получено, сессия объявляется нерабочей.
Преимущество Echo mode состоит в том, что она тестирует только путь пересылки на удаленной системе. Это позволяет уменьшить задержку при прохождении маршрута и уменьшить время, затрачиваемое на обнаружения сбоев.
Эхо-режим не поддерживается в многоуровневых сетях (см. RFC-5883).
|
Passive mode
|
Включить или выключить режим Passive.
При работе в режиме Passive система ждет управляющие пакеты от соседей и отвечает на них в случае их получения.
Эта функция полезна, когда маршрутизатор выступает в роли центрального узла звездообразной сети, и вы хотите избежать отправки ненужных управляющих пакетов BFD.
По умолчанию используется режим Active.
В случае работы в режиме Active — узел отправляет управляющие пакеты соседнему узлу.
Важно! Оба узла не могут работать в режиме Passive; хотя бы один из них (или оба) должен работать в режиме Active.
|
Minimum-ttl
|
Только для сеансов с несколькими переходами: настроить минимальное значение времени жизни (количество переходов), которое BFD будет принимать в управляющем пакете BFD. Может принимать значения от 1 до 254. Все пакеты с меньшим значением TTL будут отброшены.
Установка данного значения необходима для ужесточения требований к проверке пакетов во избежание получения управляющих пакетов BFD от других сессий.
Значение по умолчанию равно 254 (это означает, что мы ожидаем только один прыжок между этой системой и аналогом).
|
Syslog-фильтры UserID агента
При использовании syslog в качестве источников событий UserGate производит фильтрацию событий в соответствии с указанными syslog-фильтрами UserID агента. Фильтры syslog представляют из себя стандартные Regexp выражения, которые пользователь может писать и сам. В стандартной поставке представлены три вида фильтров:
Наименование
|
Описание
|
SSH Authentication
|
Фильтр, предназначенный для отслеживания событий входа\выхода пользователей по протоколу SSH в журналах syslog.
|
Unix PAM Authentication
|
Фильтр, предназначенный для отслеживания событий входа\выхода пользователей посредством технологии Pluggable Authentication Modules (PAM) в журналах syslog.
|
UserGate WEC Agent
|
Фильтр, предназначенный для отслеживания событий, переданных через syslog из UserID агента для AD/WEC-серверов. (Доступно начиная с релиза ПО 7.2.0).
|
ПримечаниеИспользуя правила Regexp, возможно написание дополнительных правил. Таким образом фильтры syslog представляют из себя универсальный инструмент, который можно использовать практически в любых случаях.
Найденные события отображаются во вкладке Журналы и отчёты, в разделе Журналы —> Агент UserID —> Syslog.
Для чего нужны сценарии
UserGate NGFW позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря концепции SOAR (Security Orchestration, Automation and Response). NGFW реализует данную концепцию с помощью механизма сценариев. Сценарий является дополнительным условием в правилах межсетевого экрана, пропускной способности, контентной фильтрации, PBR, правилах защиты DoS, позволяя администратору настроить реакцию NGFW на определенные события, произошедшие за некое продолжительное время.
Примером работы сценариея может быть задача по ограничению на определенное время пропускной спообности для пользователя, который выбрал установленный лимит трафика.
Настройка сценариев
Для начала работы со сценариями необходимо выполнить следующие шаги:
-
Создать сценарий.
-
Применить созданный сценарий в правилах межсетевого экрана, пропускной способности, контентной фильтрации, PBR, правилах защиты DoS.
В веб-консоли администратора сценарии создаются в разделе Библиотеки элементов ➜ Сценарии.
При создании сценария необходимо указать следующие параметры:
-
Включено — Включает или отключает сценарий.
-
Название — Название сценария.
-
Описание — Описание сценария.
-
Применить для — Параметр, отвечающий за количество пользователей в правиле, к которым будет применен сценарий. Возможны варианты:
-
Одного пользователя — при срабатывании сценария, правило, в котором используется сценарий, будет применено только к тому пользователю, для которого сработал сценарий.
-
Всех пользователей — при срабатывании сценария, правило в котором используется сценарий, будет применено ко всем пользователям, указанным в поле Пользователи/Группы правила.
-
Продолжительность — длительность работы ограничивающего правила, в котором сработал сценарий.
На вкладке Условия задаются условия срабатывания сценария. Для каждого условия можно указать количество срабатываний за определенное время, необходимое для срабатывания сценария. Если выбрано несколько условий, то необходимо указать механизм срабатывания сценария — совпадение хотя бы одного из указанных условий, или всех условий.
Настройка условий срабатывания сценариев
Возможны следующие условия срабатывания для использования в сценарии:
-
Категория URL — совпадения указанных категорий UserGate URL в трафике пользователя.
-
Обнаружен вирус — факт обнаружения вируса.
-
Приложение — обнаружено указанное приложение в трафике пользователя.
-
СОВ — срабатывание системы обнаружения вторжений.
-
Типы контента — обнаружены указанные типы контента в трафике пользователя.
-
Объем трафика — объем трафика пользователя превысил определенный лимит за указанную единицу времени.
-
Проверка состояния — проверка состояния какого-либо ресурса, который должен быть доступен с NGFW. Проверка может осуществляться с помощью команды icmp ping, запроса DNS или выполнения HTTP GET.
Категория URL
Условием срабатывания в данном случае является совпадения указанных категорий UserGate URL в трафике пользователя.
В данном условии настраиваются следующие параметры:
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
-
Выбор категорий сайтов из библиотеки элементов или создание списка с категориями сайтов из имеющихся в библиотеке элементов.
-
Проверить URL — возможность проверки конкретного URL на соответствие той или иной категории.
Обнаружен вирус
Условием срабатывания в данном случае является обнаружение вируса в трафике пользователя.
Приложение
Условием срабатывания в данном случае является обнаружение определенных приложений в трафике пользователя.
В данном условии настраиваются следующие параметры:
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
-
Выбор групп или категорий приложений из библиотеки элементов.
СОВ
Условием срабатывания в данном случае является детектирование системой СОВ угрозы определенного уровня.
Типы контента
В данном условии настраиваются следующие параметры:
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
-
Выбор типов контента из библиотеки элементов.
Объем трафика
Условие срабатывания сценария по объему прошедшего трафика через NGFW.
В данном условии настраиваются параметры:
-
Введите размер — предельный объем трафика, прошедшего через NGFW, при котором сработает сценарий.
-
Период — промежуток времени за который будет посчитан объем проходящего трафика.
Т.е. если будет выбран 5 ГБ за день, то при превышении 5 ГБ трафика пользователем за 1 день, сработает данный сценарий.
Проверка состояния
Условия срабатывания сценарии зависят от состояния сервера, запрос к которому идет с NGFW.
Возможны следующие методы проверки состояния сервера:
Метод Ping.
В данном условии настраиваются следующие параметры:
-
Адрес — IP-адрес для выполнения ICMP ping c NGFW.
-
Шлюз — шлюз.
-
Результат — отрицательный или положительный. Определяет, какой результат будет ожидаться от пинга сервера. Отрицательный — нет ответа по ping, положительный — ответ есть.
-
Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
Метод DNS.
В данном условии настраиваются следующие параметры:
-
Адрес — это ip адрес DNS сервера, на который посылаем DNS запросы с NGFW.
-
FQDN запроса — доменное имя сервера, которое разрешается в рамках проверки доступности.
-
Шлюз — шлюз.
-
Результат — положительный или отрицательный. Определяет, какой результат будет ожидаться от запроса сервера. Отрицательный — нет ответа, положительный — ответ есть.
-
Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.
-
Тип DNS-запроса — тип DNS-запроса (a, aaaa, cname, ns, ptr).
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария.
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
Тип HTTP GET
В данном условии настраиваются следующие параметры:
-
Адрес — домен для выполнения HTTP GET c NGFW.
-
Шлюз — шлюз.
-
Результат — положительный или отрицательный. Определяет, какой результат будет ожидаться от запроса сервера. Отрицательный — нет ответа, положительный — ответ есть.
-
Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.
-
Тайм-аут ответа — тайм-аут ответа для проверки выполнением HTTP GET.
-
Количество срабатываний — количество срабатываний, после которых активируется условие сценария.
-
За интервал — интервал, в течение которого будет считаться количество срабатываний.
Пример использования сценариев
Как пример, сценарии могут использоваться в правилах межсетевого экрана для ограничения доступа в сеть, если происходит какое-либо событие, описанное в сценарии.
В данном примере реализуется следующий сценарий: для подключенных к NGFW узлов должно работать правило межсетевого экрана, блокирующее доступ в сеть на 5 минут, если на этом узле было скачано за 1 минуту 250 МБ трафика и более. В ином случае доступ в сеть через NGFW должен быть разрешен.
Создан сценарий с условием срабатывания по объему прошедшего трафика:
В межсетевом экране создано блокирующее правило, в которое добавлен созданный сценарий:
Верхнее блокирующее правило Block by traffic в межсетевом экране имеет более высокий приоритет по отношению к нижнему разрешающему правилу Allow all, но оно сработает только в случае срабатывания сценария по объему прошедшего трафика. В остальных случаях трафик будет разрешен правилом Allow all.
|