С помощью правил межсетевого экрана администратор может разрешить или запретить любой тип транзитного сетевого трафика, проходящего через UserGate SWG. В качестве условий правила могут выступать зоны и IP-адреса источника/назначения, пользователи, группы, сервисы.

События срабатывания правил межсетевого экрана отображаются в журнале трафика (Журналы и отчёты ➜ Журнал трафика) при включении опции Журналирование в параметрах правил.

ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Срабатывает только первое правило, в котором выполняются все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Вы можете изменить порядок правил в списке с помощью мыши или с помощью значков «Выше», «Ниже», «Наверх», «Вниз» в панели инструментов.

ПримечаниеФлажок «Инвертировать» меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

ПримечаниеЕсли не создано ни одного правила, любой транзитный трафик через UserGate SWG запрещен.

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Чтобы создать правило межсетевого экрана, перейдите в раздел Настройки ➜ Политики сети ➜ Межсетевой экран, нажмите Добавить и указать необходимые параметры.

Параметр	Описание
Включено	Включает или отключает правило
Название	Название правила
Теги	Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги»
Описание	Описание правила
Действие	Запретить: блокирует трафик. Разрешить: разрешает трафик
Отбросить и	Параметр доступен для правил, блокирующих трафик (выбрано действие Запретить). Параметр может принимать одно из следующих значений: Не выбран. Посылать ICMP host unreachable — блокировка трафика с отправкой ICMP-сообщения. Посылать TCP reset — блокировка трафика с отправкой сообщения о разрыве TCP-соединения. Важно! При выборе действия «Посылать TCP reset» необходимо указать сервис (вкладка «Сервис»), использующий протокол TCP. Посылать TCP reset в обе стороны — блокировка трафика с отправкой сообщения о разрыве TCP-соединения клиенту и серверу
Журналирование	Запись в журнал информации о трафике при срабатывании правила. Возможные варианты: Журналировать начало сессии — в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования. Журналировать каждый пакет — в журнал трафика будет записываться информация о каждом передаваемом сетевом пакете. Для этого режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства. Нет — в этом случае информация не будет записываться
Применить правило к	Указать, к каким пакетам будет применяться правило: Все пакеты. Только фрагментированные пакеты. Только нефрагментированные пакеты
Вставить	Указать расположение правила в списке
Источник	Зона, списки IP-адресов, списки GeoIP-адресов, списки URL источника трафика. Список URL должен включать только имена доменов. Важно! Строки с символом `*` в таких списках не работают (игнорируются). Каждые 5 минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутренней кэш-памяти на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи	Список пользователей или групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known настройте идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства»
Назначение	Зона, списки IP-адресов, списки GeoIP-адресов, списки URL назначения трафика. Список URL должен включать только имена доменов. Важно! Строки с символом `*` в таких списках не работают (игнорируются). Каждые 5 минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутренней кэш-памяти на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса Обработка трафика происходит по следующей логике: Уссловия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Сервис	Тип сервиса, например HTTP или HTTPS
Время	Интервалы времени, когда правило активно
Использование	Статистика срабатывания правила: общее количество срабатываний, время первого и последнего срабатываний, а также таблица срабатываний по приложениям. Чтобы сбросить счётчик срабатываний, выделите правила в списке и нажмите Сбросить счётчики
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к этому правилу

Расширенный поиск в разделе Настройки ➜ Политики сети ➜ Межсетевой экран доступен по следующим параметрам.

Параметр	Описание
`enabled`	Поиск включенных или выключенных правил. Может принимать значения: `true` — для отображения всех включенных правил. `false` — для отображения все выключенных правил
`pos`	Поиск по позиции правила в списке (1, 2 и т. д.)
`log`	Поиск правила по включенной или выключенной функции журналирования. Возможны следующие значения: `true` или `enabled` — отображение правил, в которых включена функция журналирования (журналировать начало сессии или журналировать все сетевые пакеты). `false` или `disabled` — отображение правил, в которых журналирование отключено. `all` — отображение правил, в которых настроено журналирование всех сетевых пакетов. `start` — отображение правил, в которых настроено журналирование начала сессии
`name`	Поиск правил по названию
`action`	Поиск правил по действию, настроенному в правилах межсетевого экрана: Разрешить (allow) — разрешает трафик. Запретить (deny) — блокирует трафик
`zoneSource`	Поиск правил по зоне источника трафика
`ipSource`	Поиск правил по IP-адресу источника трафика. Адрес должен входить в список IP-адресов, созданный в разделе Настройки ➜ Библиотеки ➜ IP-адреса или в свойствах правила
`ipSourceName`	Поиск правил по названию IP-листа источника трафика
`countrySource`	Поиск правил по названию страны источника трафика. Страна источника может быть добавлена в свойствах правила на вкладке Источник (Добавить GeoIP)
`portSource`	Поиск правил по порту источника трафика. Порты, которые используются сервисами, можно настроить в разделе Настройки ➜ Библиотеки ➜ Сервисы
`zoneDest`	Поиск правил по зоне назначения трафика
`ipDest`	Поиск правил межсетевого экрана по IP-адресу назначения. Адрес должен входить в список IP-адресов, созданный в разделе Настройки ➜ Библиотеки ➜ IP-адреса или в свойствах правила
`ipDestName`	Поиск правил по названию IP-листа назначения трафика
`countryDest`	Поиск правил по названию страны назначения трафика. Страна назначения может быть добавлена в свойствах правила на вкладке Назначение (Добавить GeoIP)
`portDest`	Поиск правил по порту назначения трафика. Порты, которые используются сервисами, можно настроить в разделе Настройки ➜ Библиотеки ➜ Сервисы
`user`	Поиск правил по пользователям, для которых они применяются. Правило может быть применено для следующих типов пользователей: Пользователь Unknown — пользователи, не идентифицированные системой. Пользователь Known — пользователи, идентифицированные системой с помощью серверов авторизации. Пользователь Any — любой пользователь (Known или Unknown). Определённый пользователь — конкретный пользователь, идентифицированный в системе. Пользователи могут быть заведены локально (локальные пользователи) или получены с внешних каталогов (например, Microsoft Active Directory). При поиске, требующем полного совпадения (операторы `=` или `!=`) логина пользователя, также будет производиться поиск по группам пользователей
`userId`	Поиск правил по ID пользователя; также будут отображены правила, в которых указаны группы пользователя
`group`	Поиск по группам пользователей, для которых применено правило межсетевого экрана. Группы пользователей могут быть заведены локально или получены с внешних каталогов (например, Microsoft Active Directory)
`groupId`	Поиск правила по идентификатору группы пользователей
`service`	Поиск правила по указанному типу сервиса
`active`	Поиск активных или не активных в текущий момент времени правил (во время выполнения поискового запроса): `true` — отображение правил, для которых текущее время попадает в заданные интервалы активности. `false` — отображение правил, для которых текущее время не попадает в заданные интервалы активности. Время работы правила может быть задано в свойствах на вкладке Время. Для этого используются календари, созданные в разделе Настройки ➜ Библиотеки ➜ Календари или в свойствах правила
`description`	Поиск правил по описанию правила

ПримечаниеПоисковый запрос не распространятся на правило Default block. Т. е., даже если поиск правил происходит по запросу action = allow, правило Default block, настроенное на блокировку трафика, будет отражено в конце списка.