Библиотеки элементов - UserGate :: Портал документации

Профиль СОВ позволяет создавать динамический набор сигнатур СОВ, предназначенный для обнаружения вторжений и защиты определенных сервисов. Динамичность профиля достигается за счет того, что профиль явно не содержит в себе никаких сигнатур, а содержит фильтры, с помощью которых собирается набор сигнатур. Для фильтрации используются как описательные поля сигнатур, так и настройки. В итоге получается, что при изменении библиотеки сигнатур профили динамически наберут новые наборы сигнатур, удовлетворяющих фильтрам профилей.

Помимо создания необходимого набора сигнатур в профиле могут определяться действия, которые будут выполняться над трафиком, отфильтрованным сигнатурами.

Создание профиля СОВ в веб-консоли администратора

В веб-консоли администратора профили СОВ создаются в разделе Библиотеки ➜ Профили СОВ.

Необходимо нажать Добавить и заполнить соответствующие поля в свойствах профиля:

1. В поле Название указать название создаваемого профиля.

2. В поле Описание опционально указать назначение профиля.

3. В области Фильтры добавляются фильтры для выбора необходимых сигнатур из библиотеки.

4. На вкладке Совпавшие сигнатуры отображается превью сигнатур СОВ, отобранных всеми фильтрами профиля, и настроенные действия, которые необходимо выполнить над трафиком, отфильтрованным этими сигнатурами.

Настройка фильтров сигнатур в профиле СОВ

Для создания фильтра сигнатур необходимо в области Фильтры нажать кнопку Добавить. Откроется окно свойств фильтра.

Фильтр можно создать, выбирая опции фильтрации в панели инструментов. В окне под панелью инструментов будут отображаться сигнатуры, отбираемые этим фильтром:

Также фильтр можно создать, описав его с помощью sql-подобного синтаксиса. Для этого необходимо нажать кнопку Расширенный в панели инструментов и в открывшейся строке описать свойства выбора фильтра:

Начиная с версии ПО 7.3.0 в свойствах фильтров доступна возможность перенастройки параметров всех сигнатур, отбираемых фильтром:

Можно перенастроить следующие параметры отфильтрованных сигнатур:

Состояние сигнатуры — возможность включить или выключить сигнатуры. Значение "По умолчанию" оставляет состояние всех сигнатур, как оно определено в самих сигнатурах по умолчанию.
Действие — предпринимаемое действие, если сигнатура сработала, т.е. была найдена в трафике. Действия могут быть следующие: пропустить пакет, отбросить пакет, сбросить пакет с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения. Значение "По умолчанию" оставляет для всех сигнатур то действие, которое было определено в самих сигнатурах по умолчанию.
Журналировать — включение/отключение журналирования срабатывания сигнатуры. Значение "По умолчанию" оставляет настройку журналирования для всех сигнатур, как она определена в самих сигнатурах по умолчанию.
Файл PCAP — включение/отключение записи в PCAP-файл, если сигнатура сработала. Значение "По умолчанию" оставляет настройку записи в PCAP-файл для всех сигнатур, как она определена в самих сигнатурах по умолчанию.
Применить к — настраивается, если параметр Действие выставлен в значения Сбросить или Блокировать IP. Параметр имеет следующие значения: Источник, Назначение, Оба.
Продолжительность — возможно настроить, если параметр Действие имеет значение Блокировать IP. Число, указывающее срок блокировки IP-адреса. Если значение равно нулю, IP-адрес блокируется бесконечно.

Для сохранения созданного фильтра необходимо нажать кнопку Сохранить.

В одном профиле можно использовать сразу несколько фильтров.

Фильтры в профиле работают по логическому ИЛИ. Например, если в профиле добавлено два фильтра: `category = injection` и `threat = low`, они эквивалентны одному фильтру: `category = injection OR threat = low`.

Если одна и та же сигнатура попала в несколько фильтров, то приоритет настроек параметров сигнатуры определяется настройками в верхнем фильтре в списке.

Фильтры в профиле можно двигать вверх-вниз:

Точечное переопределение параметров сигнатур в профиле СОВ

На вкладке профиля Совпавшие сигнатуры можно произвести точечное переопределение параметров сигнатуры. Для этого необходимо выбрать нужные сигнатуры в списке совпавших сигнатур и нажать кнопку Переопределить в панели инструментов:

Переопределение настроек сигнатур в профиле СОВ имеет более высокий приоритет, чем настройки этих же сигнатур в библиотеке сигнатур СОВ.

Измененные настройки сигнатур СОВ можно вернуть в первоначальное состояние, для этого нужно выделить сигнатуру в списке сигнатур профиля и нажать кнопку Восстановить по умолчанию в панели инструментов профиля:

Приоритет значений параметров сигнатуры СОВ

В настоящий момент значения параметров сигнатуры СОВ (такие как состояние, действие, журналирование, запись в файл PCAP итд.) могут быть определены в трёх местах:

В настройках сигнатуры в библиотеке сигнатур СОВ (Библиотеки ➜ Сигнатуры СОВ).
В настройках фильтров в профиле сигнатур СОВ (подробнее выше в главе Настройка фильтров сигнатур в профиле СОВ). Внимание! Эта опция доступна начиная с релиза ПО 7.3.0!
Точечное переопределение параметров сигнатур в списке совпавших сигнатур профиля СОВ (подробнее выше в главе Точечное переопределение параметров сигнатур в профиле СОВ).

Приоритет назначений параметров сигнатуры СОВ определяется согласно следующей диаграмме:

Применение профилей СОВ

Администратор может создать необходимое количество профилей. Рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты определенного сервиса. Большое количество сигнатур требует большего времени обработки трафика и загрузки процессора.

Профиль СОВ применяется в разрешающем правиле межсетевого экрана.

Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем. После попадания под правило с профилем СОВ, трафик начинает анализироваться с помощью определенного в профиле набора сигнатур. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в профиле и произведена соответствующая запись в Журнале СОВ, если была включена опция журналирования. Если ни одна из сигнатур профиля не была найдена, то трафик пропускается дальше.

Если срабатывает сигнатура с действием Блокировать IP, то тогда блокируется IP-адрес источника или назначения (в зависимости от настройки) на определенное в настройках время. Заблокированные сигнатурами IP-адреса отображаются на странице Диагностика и мониторинг в разделе Заблокированные СОВ/L7 IP-адреса (подробнее читайте в разделе Заблокированные СОВ/L7 IP-адреса).

Просмотреть как статью

к началу

Сигнатуры

Сигнатуры СОВ представляют собой некоторую совокупность строк (паттернов) и семантических выражений (фильтров, модификаторов, иных конструкций), которые позволяют идентифицировать/пометить сетевую атаку и предпринять определенные действия. Сигнатуры добавляются в профили СОВ и используются в правилах межсетевого экрана для обнаружения вторжений и защиты сети.

В UserGate могут использоваться два типа сигнатур СОВ:

Проприетарные сигнатуры.
Кастомизированные пользовательские сигнатуры.

Проприетарные сигнатуры СОВ создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. В списке сигнатур в библиотеке такие сигнатуры помечаются в колонке Владелец как: @UserGate.

В проприетарных сигнатурах пользователь может перенастроить следующие параметры:

Включение/отключение сигнатуры.
Предпринимаемое действие, если сигнатура сработала, т.е. была найдена в трафике. Действия могут быть следующие: пропустить пакет, отбросить пакет, сбросить пакет с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения.
Журналирование сигнатуры.
Запись в pcap-файл, если сигнатура сработала.

Дополнительные опциональные параметры проприетарных сигнатур:

Применить к — настраивается, если параметр Действие выставлен в значения Отбросить пакет с разрывом TCP соединения, Блокировать IP-адрес источника и/или назначения. Параметр имеет следующие значения: Источник, Назначение, Оба.
Продолжительность — возможно настроить, если параметр Действие имеет значение Блокировать IP-адрес источника и/или назначения. Число, указывающее длительность блокировки IP-адреса. Если значение равно нулю, IP-адрес блокируется бесконечно.

Некоторые сигнатуры также имеют настройку следующих дополнительных параметров:

Частота срабатывания — количество срабатываний за промежуток времени (секунды).
Направление — настройка агрегирования по IP-адресу источника или назначения.

Примеры сигнатур с такими настройками:

1064, 1672, 1711, 1732, 1738, 1740, 1741, 5315, 5611, 5612, 5657, 5699, 5701, 5757,

13003, 17002, 17003, 17004, 45022, 3029251, 3031043, 3031817, 3032798, 3032823,

3033202, 3033935, 3034466, 3035136, 3037395, 3037608, 3037708, 3037771, 3039602,

3039703, 3039876, 3039883, 3040088, 3040443, 3042187, 3046218, 3046453, 3046609,

3049480, 3050453, 3050940, 3051410, 3051613, 3051634, 90000000, 90000001, 90000002,

90000003, 90000004, 90000005, 90000006, 90000007, 90000008, 90000009, 90000010

ПримечаниеВ данном списке приведены примеры сигнатур, которые имеют дополнительные параметры настройки Частота срабатывания и Направление. По мере развития продукта количество таких сигнатур будет увеличиваться.

После изменения настроек параметров по умолчанию у проприетарных сигнатур в колонке Статус будет указано: Изменено:

Измененные пользователем настройки проприетарных сигнатур СОВ можно вернуть в первоначальное состояние, для этого в веб-консоли администратора в разделе Библиотеки ➜ Сигнатуры СОВ нужно выделить сигнатуру в списке и нажать кнопку Восстановить по умолчанию:

Кастомизированные сигнатуры СОВ создаются самим пользователем.

Для создания кастомизированной сигнатуры СОВ в веб-консоли администратора необходимо перейти в раздел Библиотеки ➜ Сигнатуры СОВ и нажать на кнопку Добавить. Далее заполняются поля с параметрами сигнатуры. Признаки сетевых уязвимостей описываются с помощью синтаксиса языка UASL (UserGate Application and Security Language).

При создании кастомизированной сигнатуры необходимо настроить ее параметры. На вкладке Общие:

Наименование	Описание
Включено	Индикатор включения/выключения сигнатуры.
Id	Идентификатор сигнатуры. Если поле оставить пустым, то будет выдан свободный id из пользовательского пула.
Название	Название сигнатуры.
Описание	Описание сигнатуры.
Угроза сигнатуры	Уровень угрозы, определяемый сигнатурой. Определены следующие значения: 1 – очень низкий. 2 – низкий. 3 – средний. 4 – высокий. 5 – очень высокий.
Класс	Класс сигнатуры определяет тип атаки, которая описывается данной сигнатурой. Определяются также общие события, которые не относятся к атаке, но могут быть интересны в определенных случаях, например, обнаружение установления сессии TCP. Список классов может быть пополнен. arbitrary-code-execution – попытка запуска произвольного кода. attempted-admin – попытка получения административных привилегий. attempted-dos – попытка совершения атаки Denial of Service. attempted-recon – попытка атаки, направленной на утечку данных. attempted-user – попытка получения пользовательских привилегий. bad-unknown – потенциально плохой трафик. buffer overflow – попытка атаки, использующей принцип перепонения буфера. command-and-control – попытка общения с C&C центром default-login-attempt – попытка логина с именем/паролем по умолчанию. denial-of-service – обнаружена атака Denial of Service. exploit-kit – обнаружен exploit kit information disclosure – утечка данных. memory corruption – попытка атаки, использующей принцип повреждения памяти. misc-activity – прочая активность. misc-attack – обнаружена атака. network-scan – сканирование сети. path traversal – попытка атаки, использующей принцип обхода пути к файлам на сервере, на котором работает приложение. policy-violation – нарушение сетевых политик. protocol-command-decode – обнаружение необычной команды протокола. shellcode-detect – обнаружен исполняемый код. string-detect – обнаружена подозрительная строка. successful-recon-limited – утечка информации suspicious-login – попытка логина с использованием подозрительного имени пользователя. system-call-detect – попытка использования системных вызовов. targeted-activity – обнаружение направленной активности. trojan-activity – обнаружен сетевой троян. uncaught exception – необрабатываемое приложением исключение.
Категория	Категория сигнатуры - группа сигнатур, объединенных общими параметрами. Список категорий может быть пополнен. adware pup – нежелательное рекламное ПО. attack_response – сигнатуры, определяющие ответы на известные сетевые атаки. bruteforce – атака типа brutr force. coinminer – скачивание, установка, деятельность известных майнеров. dns – известные уязвимости DNS. dos – сигнатуры известных Denial of services атак. exploit – сигнатуры известных эксплоитов. ftp – известные FTP-уязвимости. icmp – известные уязвимости протокола icmp. imap – известные IMAP-уязвимости. info – потенциальная утечка информации. ldap – известные LDAP-уязвимости. malware – скачивание, установка, деятельность известных malware. misc – другие известные сигнатуры. netbios – известные уязвимости протокола NETBIOS. p2p – идентификация трафика точка-точка (peer-to-peer). phishing – сигнатуры известных phishing атак. policy – нарушение информационной безопасности. pop3 – известные уязвимости протокола POP3. rpc – известные уязвимости протокола RPC. scada – известные уязвимости протокола SCADA. scan – сигнатуры, определяющие попытки сканирования сети на известные приложения. shellcode – сигнатуры, определяющие известные попытки запуска программных оболочек. sip – известные уязвимости протокола SIP. smb – известные уязвимости протокола SMB. smtp – известные уязвимости протокола SMTP. snmp – известные уязвимости протокола SNMP. sql – известные уязвимости SQL. telnet – известные попытки взлома по протоколу telnet. tftp – известные уязвимости протокола TFTP. user_agents – сигнатуры подозрительных Useragent. voip – известные уязвимости протокола VoIP. web_client – сигнатуры, определяющие известные попытки взлома различных веб-клиентов, например, Adobe Flash Player. web_server – сигнатуры, определяющие известные попытки взлома различных веб-серверов. web_specific_apps – сигнатуры, определяющие известные попытки взлома различных веб приложений. worm – сигнатуры, определяющие сетевую активность известных сетевых червей.
Операционная система сигнатуры	Операционная система, для которой разработана данная сигнатура. Windows Linux BSD Mac OS X BSD Solaris Cisco Android IOS Другие
CVE	Идентификатор уязвимости по реестру CVE.
BDU	Идентификатор уязвимости по реестру BDU.
URL	Опциональная ссылка на ресурс с описанием уязвимости.

На вкладке UASL и настройки:

Наименование

Описание

UASL

Описание признаков сигнатуры с помощью синтаксиса UASL.

Настройки

Действие – реакция на срабатывание сигнатуры. Определены следующие значения::
- Нет – действие используется, как вспомогательное действие для сигнатур, которые связаны через конструкцию .mark set|test (Подробнее читайте в статье Работа с метками). Сигнатура с этим действием, например, может проставить mark, а mark может проверяться уже в других сигнатурах.
- Пропустить – пропустить пакет.
- Отбросить – отбросить пакет.
- Сбросить – отбросить пакет с разрывом TCP соединения (отправка TCP reset).
- Блокировать IP – блокировать IP-адрес источника и/или назначения.
Журналировать:
- Включить – включить запись событий в журнал.
- Отключить – отключить запись событий в журнал.
Файл pcap – трассировка срабатывания сигнатуры с записью в файл формата pcap.
- Включить – включить трассировку.
- Отключить – отключить трассировку.
Применить к – применимость действий типа Ресет или Блокировать IP на срабатыване сигнатуры:
- Источник – действия Ресет или Блокировать IP применяются к адресу источника отправления пакетов.
- Назначание – действия Ресет или Блокировать IP применяются к адресу назначения отправления пакетов.
- Оба – действия Ресет или Блокировать IP применяются и к источнику, и к назначению.
Блокировка – настройка длительности блокировки для действия Блокировать IP.

С помощью кнопки Проверить сигнатуру можно проверить корректность синтаксиса UASL в описании сигнатуры. Если описание корректно, появится окно с подтверждением:

Если в описании сигнатуры с помощью синтаксиса UASL были допущены ошибки, появится окно с результатом проверки и указанием места, где допущена ошибка:

Просмотреть как статью

к началу

Описание

Данный большой раздел содержит в себе все записи, адреса сайтов, IP-адреса, шаблоны и прочие элементы, которые используются при настройке правил UserGate NGFW.

Первоначальные данные библиотек поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Некоторые элементы библиотек являются нередактируемыми, потому что поставляются и поддерживаются разработчиками UserGate. Библиотеки элементов, поставляемые UserGate, имеют механизм автоматического обновления. Автоматическое обновление элементов требует наличия специальной лицензии. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.

Просмотреть как статью

к началу

Профили приложений

Назначение профиля приложений

Профиль приложений позволяет создавать динамический набор сигнатур приложений, предназначенный для анализа трафика на 7 уровне модели OSI. Динамичность профиля достигается за счет того, что профиль явно не содержит в себе никаких сигнатур, а содержит фильтры, с помощью которых собирается набор сигнатур. При изменении библиотеки сигнатур приложений профили динамически наберут новые наборы сигнатур, удовлетворяющих фильтрам профилей.

Помимо создания необходимого набора сигнатур в профиле могут определятся действия, которые необходимо выполнить над приложениями, отфильтрованными сигнатурами и действия, которые должны быть применены к трафику, который не удалось идентифицировать.

Создание профиля приложений в веб-консоли администратора

В веб-консоли администратора профили приложений создаются в разделе Библиотеки ➜ Профили приложений.

Необходимо нажать Добавить и заполнить соответствующие поля в свойствах профиля приложений:

1. В поле Название указать название создаваемого профиля.

2. В поле Описание опционально указать назначение профиля.

3. В области Фильтры добавляются фильтры для выбора необходимых сигнатур из библиотеки и настраиваются действия, которые необходимо выполнить над приложениями, отфильтрованными сигнатурами.

4. В области Настройки сигнатуры неопределенных приложений определяются действия с трафиком, который не был определен сигнатурами данного профиля.

5. На вкладке Совпавшие сигнатуры отображается превью сигнатур приложений, отобранных всеми фильтрами профиля, и настроенные действия, которые необходимо выполнить над приложениями, отфильтрованными этими сигнатурами.

Настройка фильтров сигнатур в профиле приложений

Для создания фильтра сигнатур приложений необходимо в области Фильтры нажать кнопку Добавить. Откроется окно свойств фильтра.

Фильтр можно создать, выбирая опции отбора в панели инструментов. Ниже в окне будут отображаться сигнатуры из библиотеки, попадающие под действие этого фильтра:

В каждом фильтре могут настраиваться состояния сигнатур и действия, которые применяются ко всем сигнатурам, попадающим под него:

Включение/отключение сигнатуры.
Включение/отключение журналирования сигнатуры.
Запись в pcap-файл, если сигнатура сработала.
Предпринимаемое действие над трафиком, если сигнатура сработала, т.е. приложение было найдена в трафике. Действия могут быть следующие: пропустить, отбросить, отбросить с разрывом TCP соединения, блокировать IP-адрес источника и/или назначения.

Для сохранения созданного фильтра необходимо нажать кнопку Сохранить.

В одном профиле может быть создано сразу несколько фильтров.

Фильтры в профиле работают по правилу логического ИЛИ.

Порядок фильтров сигнатур в профиле важен – настройки верхнего фильтра имеют высший приоритет. Например, если в библиотеку сигнатур приложений будут добавлены новые сигнатуры и они попадут под действие сразу нескольких фильтров одного профиля, им будет присвоено настроенное действие первого фильтра, под который они попадают.

Настройка действий для трафика, который не удалось идентифицировать

В профиле приложений может быть настроено действие, которое применяется к трафику, который не удалось идентифицировать с помощью набора сигнатур профиля.

В области Настройки сигнатуры неопределенных приложений настраивается действие, включается/отключается журналирование и запись в файл pcap.

Действия могут быть следующие: пропустить, отбросить, отбросить с разрывом TCP соединения.

Примеры настроек профилей приложений

Пример 1. Профиль приложения с сигнатурой, зависимой от сигнатуры протокола

Списки сигнатур, зависимых от сигнатур протоколов, приведены в разделе Приложения.

Создадим профиль для приложения Kontur Talk, которое определяется соответствующей сигнатурой (id=14002). Чтобы запретить весь трафик, кроме трафика приложения Kontur Talk, профиль приложений должен выглядеть следующим образом:

Сигнатура SSL/TLS (id=19) необходима для работы сигнатуры Kontur Talk, поэтому она добавляется в профиль, но для нее выставляется действие Отбросить, чтобы не пропускать посторонний трафик по протоколам SSL/TLS. Для неидентифицированного трафика также устанавливается действие Отбросить.

Пример 2. Профиль для белого списка со связанными сигнатурами

Списки связанных сигнатур приведены в разделе Приложения.

Создадим профиль для случая, когда необходимо разрешить загрузку файлов на Yandex Disk. Для того, чтобы сигнатура Yandex.Disk upload работала, необходимо учесть её зависимость от сигнатуры протокола SSL/TLS (id=19) и связанность с сигнатурами Yandex.Disk (id=218) и Yandex Services (id=12044). В данном примере профиль приложений будет выглядеть следующим образом:

Таким образом разрешается доступ и загрузка файлов на Yandex Disk, а весь остальной трафик помечается как неидентифицированный и отбрасываться либо действием сигнатуры SSL/TLS, либо действием для сигнатур неопределенных приложений.

Пример 3. Профиль для черного списка со связанными сигнатурами

В данном примере разрешается весь трафик, кроме попадающего под сигнатуру Yandex.Disk upload (id=7708). Для этого случая необходимо учесть зависимость сигнатуры Yandex.Disk upload от сигнатуры протокола SSL/TLS (id=19). Связанность с сигнатурами Yandex.Disk и Yandex Services в случае блокировки не учитывается. Профиль приложений в данном примере будет выглядеть следующим образом:

Таким образом запрещается загрузка файлов на Yandex Disk, а весь остальной трафик разрешается либо действием сигнатуры SSL/TLS, либо действием для сигнатур неопределенных приложений.

Применение профилей приложений

Профиль приложения применяется в разрешающем правиле межсетевого экрана.

Правила межсетевого экрана обрабатываются сверху вниз и сессия попадает в первое правило, которое удовлетворяет всем условиям в нем (адреса/зоны источника/назначения, пользователи итд.). После попадания под разрешающее правило с профилем приложений, трафик начинает анализироваться с помощью сигнатур профиля. При этом анализируются как прямые, так и обратные пакеты согласно условий в фильтре, независимо от того, откуда устанавливается соединение. При срабатывании сигнатур профиля будет выполнено действие, настроенное в фильтрах профиля и произведена соответствующая запись в Журнале трафика, если была включена опция журналирования. Если ни одна из сигнатур не была найдена, то к трафику будет применено действие, настроенное в профиле для неидентифицированного трафика.

Просмотреть как статью

к началу

Приложения

Сигнатуры приложений представляют собой совокупность семантических выражений, с помощью которых описываются характерные признаки определенных сетевых приложений. Они используются в межсетевом экране для анализа трафика на 7 уровне модели OSI для контроля сетевого трафика.

Типы сигнатур приложений

В UserGate могут использоваться два типа сигнатур приложений:

Проприетарные сигнатуры приложений.
Кастомизированные сигнатуры приложений.

Проприетарные сигнатуры приложений создаются разработчиками UserGate и автоматически добавляются в библиотеку системы при наличии соответствующей лицензии. В списке сигнатур в библиотеке такие сигнатуры помечаются в колонке Владелец как: @UserGate.

Кастомизированные сигнатуры приложений создаются самим пользователем. Для создания пользовательской сигнатуры приложений в веб-консоли администратора необходимо перейти в раздел Библиотеки ➜ Приложения и нажать на кнопку Добавить. Далее заполняются поля с параметрами сигнатуры, описываются признаки сигнатуры с помощью синтаксиса UASL.

Необходимо заполнить следующие поля:

Наименование	Описание
Тип	Тип сигнатуры; Приложение. Протокол. Поддержка — вспомогательная сигнатура.
Id	ИИдентификатор сигнатуры. Если поле оставить пустым, то будет выдан свободный id из пользовательского пула.
Название	Название сигнатуры.
Описание	Описание сигнатуры.
Уровень угрозы	Уровень угрозы, определяемый сигнатурой. Определены следующие значения: 1 — очень низкий. 2 — низкий. 3 — средний. 4 — высокий. 5 — очень высокий.
Технология	Технология приложения: browser-based — браузерное веб-приложение. client-server — клиент-серверное приложение. network-protocol — сетевой протокол. peer-to-peer — приложение точка-точка.
Категория	Категория сигнатуры приложений — группа сигнатур, объединенных общими параметрами. Список категорий приложений может быть пополнен. Media streaming Email Coin Miners Tunneling Games Remote access Conferencing Trojan Horses Business Mobile Proxies and anonymizers Standard networks VOIP Web posting Software update File storage and backup Web browsing File sharing P2P Instant messaging Social networking
UASL	Описание признаков сигнатуры с помощью синтаксиса UASL.

Сигнатуры приложений, зависимые от типа протокола

Некоторые сигнатуры приложений для своей работы в профилях приложений требуют наличия сигнатур определенного протокола.

В следующей таблице представлены такие зависимости:

Сигнатура протокола	ID зависимых сигнатур
SSL/TLS (id=19)	185, 187, 188, 189, 190, 191, 192, 193, 194, 195, 196, 198, 199, 200, 201, 204, 205, 206, 207, 208, 209, 210, 211, 212, 213, 214, 215, 217, 218, 219, 220, 221, 222, 223, 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239, 240, 241, 242, 243, 244, 245, 246, 247, 248, 249, 250, 251, 252, 253, 254, 255, 256, 257, 258, 259, 260, 261, 262, 263, 264, 265, 267, 268, 269, 270, 271, 272, 273, 275, 276, 277, 278, 281, 282, 283, 284, 285, 286, 287, 288, 289, 290, 291, 292, 293, 294, 295, 296, 297, 298, 299, 300, 301, 302, 303, 304, 305, 306, 307, 308, 309, 310, 311, 312, 313, 314, 315, 316, 317, 318, 319, 320, 321, 322, 323, 324, 325, 326, 327, 328, 329, 330, 331, 437, 439, 440, 441, 443, 444, 445, 446, 449, 450, 451, 458, 459, 465, 466, 470, 471, 472, 474, 475, 477, 481, 482, 485, 486, 487, 490, 492, 494, 495, 496, 501, 502, 504, 505, 511, 512, 513, 515, 516, 517, 518, 521, 524, 525, 526, 527, 528, 531, 532, 535, 536, 537, 538, 539, 544, 549, 550, 552, 554, 556, 557, 560, 563, 564, 566, 567, 568, 576, 577, 579, 581, 585, 589, 590, 592, 595, 596, 597, 600, 601, 603, 604, 606, 607, 610, 612, 613, 617, 621, 622, 623, 625, 627, 632, 635, 636, 638, 710, 730, 731, 734, 738, 739, 744, 746, 748, 752, 753, 754, 755, 756, 759, 760, 761, 762, 763, 766, 769, 770, 771, 772, 773, 774, 775, 776, 781, 783, 785, 788, 790, 795, 797, 800, 801, 807, 808, 810, 811, 813, 815, 817, 818, 820, 822, 825, 826, 831, 832, 833, 835, 836, 837, 841, 842, 846, 847, 848, 850, 851, 852, 853, 854, 858, 859, 860, 863, 864, 867, 869, 872, 874, 875, 877, 878, 879, 880, 883, 885, 887, 888, 891, 893, 894, 895, 897, 898, 899, 902, 903, 904, 905, 908, 909, 1967, 2027, 4062, 4082, 4437, 4459, 5294, 5301, 5317, 5321, 5323, 5324, 5385, 5395, 5407, 5431, 5506, 5637, 5641, 5644, 5645, 5649, 5650, 5652, 5654, 5656, 5658, 5668, 5671, 5673, 5674, 5675, 5676, 5678, 5679, 5680, 5681, 5688, 5692, 5693, 5695, 5699, 5710, 5711, 5715, 5719, 5730, 5736, 5739, 5740, 5742, 5744, 5750, 5762, 5765, 5769, 5770, 5773, 5776, 5777, 5778, 5786, 5791, 5792, 5794, 5795, 5800, 5804, 5809, 5810, 5812, 5813, 5815, 5816, 5820, 5822, 5823, 5825, 5826, 5827, 5828, 7688, 7689, 7690, 7691, 7692, 7694, 7695, 7698, 7699, 7704, 7705, 7707, 7708, 7740, 7843, 7864, 7865, 7867, 7868, 8000, 8001, 8002, 8003, 8004, 8005, 8006, 8007, 8009, 8010, 8011, 8012, 8014, 8015, 8016, 8017, 8018, 8019, 8022, 8024, 8026, 8027, 8028, 8031, 8032, 8033, 8034, 8035, 8036, 8037, 8038, 8039, 8040, 8041, 8043, 8044, 8045, 8048, 8049, 8053, 8054, 8055, 8056, 8057, 8058, 8059, 8060, 8063, 8064, 8066, 8067, 8069, 8070, 8071, 8075, 8077, 8078, 8079, 8080, 8081, 8082, 8083, 8084, 8086, 8087, 8088, 8089, 8090, 8091, 8092, 8094, 8095, 8096, 8098, 8099, 8101, 8102, 8103, 8104, 8105, 8106, 8107, 9003, 9007, 9008, 9016, 9019, 9030, 9042, 9044, 9048, 9050, 9051, 9052, 9053, 9054, 9055, 9056, 9057, 9058, 9059, 9060, 9061, 9062, 9063, 9064, 9065, 9066, 9067, 9068, 9069, 9071, 9072, 9074, 9075, 9076, 9077, 9078, 9079, 9080, 9081, 9083, 9084, 9085, 9086, 9087, 9088, 9089, 9090, 9091, 9092, 9094, 9096, 9097, 9098, 9099, 9100, 9101, 9102, 9103, 9104, 9105, 9114, 9128, 9141, 9147, 9148, 9150, 9529, 9543, 9544, 9553, 9563, 9566, 9572, 9573, 9575, 9579, 9580, 9622, 9625, 9627, 9628, 9641, 9650, 9655, 9657, 9714, 9733, 10514, 11011, 11024, 11025, 11044, 11504, 12001, 12002, 12003, 12006, 12007, 12008, 12009, 12010, 12011, 12012, 12013, 12014, 12015, 12016, 12017, 12018, 12019, 12020, 12021, 12022, 12023, 12024, 12025, 12026, 12027, 12028, 12033, 12034, 12035, 12036, 12044, 12045, 12501, 14002, 14003
HTTP (id=3)	196, 239, 261, 475, 532, 535, 610, 612, 627, 710, 1967, 4133, 4340, 4441, 5323, 5395, 5506, 5655, 5672, 5674, 5676, 5693, 5728, 5730, 5750, 5754, 5763, 5769, 5770, 5773, 5778, 5788, 5792, 5823, 5830, 7867, 8002, 8013, 8048, 9777, 9823, 9824, 9845, 11027, 12032, 12033
DNS (id=5)	1967, 5395, 5672, 5815
IKE (id=11041)	11056

Связанные сигнатуры

Некоторые сигнатуры зависят не только от сигнатуры протокола, но и от связанных сигнатур.

Список связанных сигнатур приложений приведен в следующей таблице:

ID сигнатуры	Название сигнатуры	Зависит от протокола	Связана с сигнатурой	Примечание
218	Yandex.Disk	SSL/TLS (id=19)	—	Для работы данной сигнатуры в профиль необходимо добавить только сигнатуру протокола (id=19).
7707	Yandex.Disk download	SSL/TLS (id=19)	Yandex.Disk (id=218), Yandex Services (id=12044)	Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанные сигнатуры (id=218 и id=12044).
7708	Yandex.Disk upload	SSL/TLS (id=19)	Yandex.Disk (id=218), Yandex Services (id=12044)	Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанные сигнатуры (id=218 и id=12044).
12044	Yandex Services	SSL/TLS (id=19)	—	Для работы данной сигнатуры в профиль необходимо добавить только сигнатуру протокола (id=19).
16020	Yandex Tracker	SSL/TLS (id=19)	Yandex Services (id=12044)	Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанную сигнатуру (id=12044).
12045	Yandex Cloud	SSL/TLS (id=19)	Yandex Services (id=12044)	Для работы данной сигнатуры в профиль необходимо добавить сигнатуру протокола (id=19), а также связанную сигнатуру (id=12044).

Просмотреть как статью

к началу

IP-адреса

Раздел IP-адреса содержит список диапазонов IP-адресов, которые могут быть использованы при построении правил NGFW. Первоначальный список адресов поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового списка адресов необходимо выполнить следующие шаги:

Наименование

Описание

Шаг 1. Создать список.

На панели Группы нажать на кнопку Добавить:

Дать название списку IP-адресов.
Добавить описание списка (опционально).
Указать уровень угрозы адресов в списке (параметр для визуального отображения, какие адреса не представляют особой угрозы, а какие лучше запретить).
Выбрать тип списка (локальный или обновляемый по URL обновления).

Шаг 2. Указать адрес обновления списка (для обновляемых списков).

Указать адрес сервера, где находится обновляемый список. Более подробно об обновляемых списках смотрите далее в этой главе.

Шаг 3. Добавить IP-адреса.

На панели Адреса из выбранной группы нажать на кнопку Добавить и ввести адреса.

IP-адреса вводятся в виде IP-адрес, IP-адрес/маска сети или диапазон IP-адресов, например: 192.168.1.5, 192.168.1.0/24 или 192.168.1.5-192.168.2.100.

Администратор имеет возможность создавать свои списки IP-адресов и централизованно распространять их на все межсетевые экраны UserGate. Для создания такого списка необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Создать файл с необходимыми IP-адресами.	Создать файл list.txt со списком адресов. Список адресов записывается в обычный текстовый файл, где адреса прописываются в столбик без знаков препинания. Например: `x.x.x.x y.y.y.y z.z.z.z`
Шаг 2. Создать архив, содержащий этот файл.	Поместить файл в архив zip с именем list.zip.
Шаг 3. Создать файл с версией списка.	Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
Шаг 4. Разместить файлы на веб-сервере.	Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
Шаг 5. Создать список IP-адресов и указать URL для обновления.	На каждом NGFW создать список IP-адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. ПримечаниеURL списка задается в формате: http://x.x.x.x/ или ftp://x.x.x.x/. Расписание можно настроить в свойствах списка; возможно указать следующие варианты: Отключено. Проверка наличия обновлений для выбранного элемента производиться не будет. Ежедневно. Еженедельно. Ежемесячно. Каждые ... часов. Каждые ... минут. Задать вручную. При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом: Звездочка () — обозначает весь диапазон (от первого до последнего). Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7. Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23". Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "/2" в поле "часы" будет означать "каждые два часа".

Просмотреть как статью

к началу

Профили LLDP

Link Layer Discovery Protocol (LLDP) — протокол канального уровня, позволяющий сетевым устройствам, работающим в локальной сети, объявлять о своём существовании и передавать свои характеристики и получать аналогичные сведения. Информация, собранная при помощи операции LLDP, хранится в сетевом устройстве.

Для создания профиля безопасности необходимо нажать Добавить в разделе Библиотеки ➜ Профили LLDP и указать следующие параметры:

Наименование

Описание

Название

Название профиля LLDP.

Описание

Описание профиля LLDP.

Статус порта

Режим:

Приём и передача данных LLDP — NGFW будет посылать информацию LLDP и будет анализировать информацию LLDP, полученную от соседей.
Только приём данных LLDP — NGFW не будет посылать информацию LLDP, но будет анализировать информацию LLDP от соседей.
Только передача данных LLDP — NGFW будет посылать информацию LLDP, но будет отбрасывать информацию LLDP, полученную от соседей.

Просмотреть как статью

к началу

Syslog-фильтры UserID агента

При использовании syslog в качестве источников событий UserGate производит фильтрацию событий в соответствии с указанными syslog-фильтрами UserID агента. Фильтры syslog представляют из себя стандартные Regexp выражения, которые пользователь может писать и сам. В стандартной поставке представлены три вида фильтров:

Наименование	Описание
SSH Authentication	Фильтр, предназначенный для отслеживания событий входа\выхода пользователей по протоколу SSH в журналах syslog.
Unix PAM Authentication	Фильтр, предназначенный для отслеживания событий входа\выхода пользователей посредством технологии Pluggable Authentication Modules (PAM) в журналах syslog.
UserGate WEC Agent	Фильтр, предназначенный для отслеживания событий, переданных через syslog из UserID агента для AD/WEC-серверов. (Доступно начиная с релиза ПО 7.2.0).

ПримечаниеИспользуя правила Regexp, возможно написание дополнительных правил. Таким образом фильтры syslog представляют из себя универсальный инструмент, который можно использовать практически в любых случаях.

Найденные события отображаются во вкладке Журналы и отчёты, в разделе Журналы —> Агент UserID —> Syslog.

Просмотреть как статью

к началу

Сценарии

Для чего нужны сценарии

UserGate NGFW позволяет существенно сократить время между обнаружением атаки и реакцией на нее благодаря концепции SOAR (Security Orchestration, Automation and Response). NGFW реализует данную концепцию с помощью механизма сценариев. Сценарий является дополнительным условием в правилах межсетевого экрана, пропускной способности, контентной фильтрации, PBR, правилах защиты DoS, позволяя администратору настроить реакцию NGFW на определенные события, произошедшие за некое продолжительное время.

Примером работы сценариея может быть задача по ограничению на определенное время пропускной спообности для пользователя, который выбрал установленный лимит трафика.

Настройка сценариев

Для начала работы со сценариями необходимо выполнить следующие шаги:

Создать сценарий.
Применить созданный сценарий в правилах межсетевого экрана, пропускной способности, контентной фильтрации, PBR, правилах защиты DoS.

В веб-консоли администратора сценарии создаются в разделе Библиотеки элементов ➜ Сценарии.

При создании сценария необходимо указать следующие параметры:

Включено — Включает или отключает сценарий.
Название — Название сценария.
Описание — Описание сценария.
Применить для — Параметр, отвечающий за количество пользователей в правиле, к которым будет применен сценарий. Возможны варианты:
- Одного пользователя — при срабатывании сценария, правило, в котором используется сценарий, будет применено только к тому пользователю, для которого сработал сценарий.
- Всех пользователей — при срабатывании сценария, правило в котором используется сценарий, будет применено ко всем пользователям, указанным в поле Пользователи/Группы правила.
Продолжительность — длительность работы ограничивающего правила, в котором сработал сценарий.

На вкладке Условия задаются условия срабатывания сценария. Для каждого условия можно указать количество срабатываний за определенное время, необходимое для срабатывания сценария. Если выбрано несколько условий, то необходимо указать механизм срабатывания сценария — совпадение хотя бы одного из указанных условий, или всех условий.

Настройка условий срабатывания сценариев

Возможны следующие условия срабатывания для использования в сценарии:

Категория URL — совпадения указанных категорий UserGate URL в трафике пользователя.
Обнаружен вирус — факт обнаружения вируса.
Приложение — обнаружено указанное приложение в трафике пользователя.
СОВ — срабатывание системы обнаружения вторжений.
Типы контента — обнаружены указанные типы контента в трафике пользователя.
Объем трафика — объем трафика пользователя превысил определенный лимит за указанную единицу времени.
Проверка состояния — проверка состояния какого-либо ресурса, который должен быть доступен с NGFW. Проверка может осуществляться с помощью команды icmp ping, запроса DNS или выполнения HTTP GET.

Категория URL

Условием срабатывания в данном случае является совпадения указанных категорий UserGate URL в трафике пользователя.

В данном условии настраиваются следующие параметры:

Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
За интервал — интервал, в течение которого будет считаться количество срабатываний.
Выбор категорий сайтов из библиотеки элементов или создание списка с категориями сайтов из имеющихся в библиотеке элементов.
Проверить URL — возможность проверки конкретного URL на соответствие той или иной категории.

Обнаружен вирус

Условием срабатывания в данном случае является обнаружение вируса в трафике пользователя.

Приложение

Условием срабатывания в данном случае является обнаружение определенных приложений в трафике пользователя.

В данном условии настраиваются следующие параметры:

Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
За интервал — интервал, в течение которого будет считаться количество срабатываний.
Выбор групп или категорий приложений из библиотеки элементов.

СОВ

Условием срабатывания в данном случае является детектирование системой СОВ угрозы определенного уровня.

Типы контента

В данном условии настраиваются следующие параметры:

Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
За интервал — интервал, в течение которого будет считаться количество срабатываний.
Выбор типов контента из библиотеки элементов.

Объем трафика

Условие срабатывания сценария по объему прошедшего трафика через NGFW.

В данном условии настраиваются параметры:

Введите размер — предельный объем трафика, прошедшего через NGFW, при котором сработает сценарий.
Период — промежуток времени за который будет посчитан объем проходящего трафика.

Т.е. если будет выбран 5 ГБ за день, то при превышении 5 ГБ трафика пользователем за 1 день, сработает данный сценарий.

Проверка состояния

Условия срабатывания сценарии зависят от состояния сервера, запрос к которому идет с NGFW.

Возможны следующие методы проверки состояния сервера:

Ping;
DNS;
HTTP GET.

Метод Ping.

В данном условии настраиваются следующие параметры:

Адрес — IP-адрес для выполнения ICMP ping c NGFW.
Шлюз — шлюз.
Результат — отрицательный или положительный. Определяет, какой результат будет ожидаться от пинга сервера. Отрицательный — нет ответа по ping, положительный — ответ есть.
Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.
Количество срабатываний — количество срабатываний, после которых активируется условие сценария;
За интервал — интервал, в течение которого будет считаться количество срабатываний.

Метод DNS.

В данном условии настраиваются следующие параметры:

Адрес — это ip адрес DNS сервера, на который посылаем DNS запросы с NGFW.
FQDN запроса — доменное имя сервера, которое разрешается в рамках проверки доступности.
Шлюз — шлюз.
Результат — положительный или отрицательный. Определяет, какой результат будет ожидаться от запроса сервера. Отрицательный — нет ответа, положительный — ответ есть.
Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.
Тип DNS-запроса — тип DNS-запроса (a, aaaa, cname, ns, ptr).
Количество срабатываний — количество срабатываний, после которых активируется условие сценария.
За интервал — интервал, в течение которого будет считаться количество срабатываний.

Тип HTTP GET

В данном условии настраиваются следующие параметры:

Адрес — домен для выполнения HTTP GET c NGFW.
Шлюз — шлюз.
Результат — положительный или отрицательный. Определяет, какой результат будет ожидаться от запроса сервера. Отрицательный — нет ответа, положительный — ответ есть.
Тайм-аут подключения — максимальное время, в течение которого клиент готов ждать ответа от сервера после успешного установления соединения.
Тайм-аут ответа — тайм-аут ответа для проверки выполнением HTTP GET.
Количество срабатываний — количество срабатываний, после которых активируется условие сценария.
За интервал — интервал, в течение которого будет считаться количество срабатываний.

Пример использования сценариев

Как пример, сценарии могут использоваться в правилах межсетевого экрана для ограничения доступа в сеть, если происходит какое-либо событие, описанное в сценарии.

В данном примере реализуется следующий сценарий: для подключенных к NGFW узлов должно работать правило межсетевого экрана, блокирующее доступ в сеть на 5 минут, если на этом узле было скачано за 1 минуту 250 МБ трафика и более. В ином случае доступ в сеть через NGFW должен быть разрешен.

Создан сценарий с условием срабатывания по объему прошедшего трафика:

В межсетевом экране создано блокирующее правило, в которое добавлен созданный сценарий:

Верхнее блокирующее правило Block by traffic в межсетевом экране имеет более высокий приоритет по отношению к нижнему разрешающему правилу Allow all, но оно сработает только в случае срабатывания сценария по объему прошедшего трафика. В остальных случаях трафик будет разрешен правилом Allow all.

Просмотреть как статью

к началу

Списки

Страница предназначена для задания списков указателей URL, которые могут быть использованы в правилах контентной фильтрации в качестве черных и белых списков.

Компания UserGate предоставляет собственные обновляемые списки. Для использования этих списков необходима соответствующая лицензия. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.

Наименование	Описание
Список поисковых систем без безопасного поиска	Список известных поисковых систем, на которых отсутствует возможность блокировки поисковых запросов взрослого содержания. Рекомендуется блокировать такие поисковики для целей родительского контроля.
Соответствие списку запрещенных URL Министерства Юстиции РФ	Данный список содержит URL, запрещенные Министерством Юстиции Российской Федерации.
Соответствие списку запрещенных URL Республики Казахстан	Единый реестр доменных имен, указателей страниц сайтов в сети интернет и сетевых адресов, содержащих информацию, распространение которой запрещено в Республике Казахстан.
Список образовательных учреждений	Список доменных имен образовательных учреждений РФ.
Список фишинговых сайтов	Данный список содержит URL фишинговых сайтов.
Соответствие реестру запрещенных сайтов Роскомнадзора (URL)	Единый реестр указателей страниц сайтов в сети интернет, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru.
Соответствие реестру запрещенных сайтов Роскомнадзора (домены)	Единый реестр доменных имен, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru.

Для фильтрации с помощью списков URL необходимо выполнить следующие действия:

Наименование

Описание

Шаг 1. Создать список URL.

В разделе Библиотеки ➜ Списки URL нажать на кнопку Добавить, задать название нового списка.

Выбрать Тип списка — Локальный или Обновляемый. Для обновляемого списка указать URL обновления и настроить Расписание скачивания обновлений.

Установить категорию создаваемого списка в поле Чувствительность к регистру:

Чувствительный к регистру — список URL адресов, чувствительных к регистру букв в адресе.
Нечувствительный к регистру — список URL адресов, нечувствительных к регистру букв в адресе. Использование списка этой категории исключает необходимость перебора вариантов написания одного и того же выражения с буквами в различных регистрах.
Домен — список адресов доменов для использования в правилах DNS-фильтрации.

Категория списка задается при его создании. Изменить категорию после создания списка нельзя.

Шаг 2. Добавить необходимые записи в новый список.

Добавить записи URL в новый список. В списках можно использовать специальные символы «^», «$» и «*»:

«*» — любое количество любых символов

«^» — начало строки

«$» — конец строки

Символы «?» и «#» не могут быть использованы.

Шаг 3. Создать правило фильтрации контента, содержащее один или несколько списков.

Смотрите раздел Фильтрация контента.

Если URL-запись начинается с http://, «https://», «ftp://» или содержит один или более символов «/», то это считается URL и применяется только для HTTP(S) фильтрации, к DNS-фильтрации такая запись не применяется. В противном случае строка рассматривается как имя домена и применяется для DNS-фильтрации и HTTP(S)-фильтрации.

Внимание! Спецсимволы не работают в списках-исключениях для блокировки рекламы. В этих списках применение спецсимволов не рекомендуется.

Если вы хотите заблокировать точный адрес, используйте символы «^» и «$»:

^http://domain.com/exacturl$

Для блокирования точного URL всех дочерних папок используйте символ «^»:

^http://domain.com/exacturl/

Для блокирования домена со всеми возможными URL используйте запись такого вида:

domain.com

Пример интерпретации URL-записей:

Пример записи	Обработка DNS- запросов	Обработка HTTP-запросов
yahoo.com или yahoo.com	Блокируется весь домен и домены более высоких (3,4 и т.д.) уровней, например: sport.yahoo.com mail.yahoo.com а также: qweryahoo.com	Блокируется весь домен и все URL этого домена, а также домены более высоких (3,4 и т.д.) уровней, например: http://sport.yahoo.com http://mail.yahoo.com https://mail.yahoo.com http://sport.yahoo.com/123 http://qwertyahoo.com/
^mail.yahoo.com$	Заблокирован только mail.yahoo.com	Заблокированы только: http://mail.yahoo.com https://mail.yahoo.com
^mail.yahoo.com/$	Ничего не заблокировано	Ничего не заблокировано, так как последний символ слэш определяет URL, но не указаны «https» или «http»
^http://finance.yahoo.com/personal-finance/$	Ничего не заблокировано	Заблокирован только: http://finance.yahoo.com/personal-finance/
^yahoo.com/12345/	Ничего не заблокировано	Заблокированы: http://yahoo.com/12345/whatever/ https://yahoo.com/12345/whatever/

Администратор имеет возможность создавать собственные списки и централизованно распространять их на все межсетевые экраны UserGate. Для создания таких списков необходимо выполнить следующие действия:

Наименование	Описание
Шаг 1. Создать файл с необходимым списком URL.	Создать текстовый файл list.txt со списком URL в следующем формате: www.site1.com/url1 www.site2.com/url2 ... www.siteend.com/urlN
Шаг 2. Создать архив, содержащий этот файл.	Поместить файл в архив zip с именем list.zip.
Шаг 3. Создать файл с версией списка.	Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка.
Шаг 4. Разместить файлы на веб-сервере.	Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания.
Шаг 5. Создать список и указать URL для обновления.	На каждом NGFW создать список URL. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. NGFW будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. ПримечаниеURL списка задается в формате: http://x.x.x.x/ или ftp://x.x.x.x/. Расписание можно настроить в свойствах списка; возможно указать следующие варианты: Отключено. Проверка наличия обновлений для выбранного элемента производиться не будет. Ежедневно. Еженедельно. Ежемесячно. Каждые ... часов. Каждые ... минут. Задать вручную. При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом: Звездочка () — обозначает весь диапазон (от первого до последнего). Дефис (-) — обозначает диапазон чисел. Например, "5-7" будет означать 5,6 и 7. Списки. Это числа (или диапазоны), разделенные запятыми. Например, "1,5,10,11" или "1-11,19-23". Звездочка или диапазон с шагом. Используется для пропусков в диапазонах. Шаг указывается после косой черты. Например, "2-10/2" будет значить "2,4,6,8,10", а выражение "/2" в поле "часы" будет означать "каждые два часа".

Просмотреть как статью

к началу

О компании

Продукты

Поддержка

Техническая документация

Условия использования

Конфиденциальность