Правила ICAP создаются на уровне security-policy icap-rules с помощью синтаксиса UPL. Подробнее о структуре команд — в разделе «UserGate Policy Language».

Для создания правила ICAP используется команда:

Admin@nodename# create security-policy icap-rules [reqmod | respmod ] <position> upl-rule

Создание ICAP-правил раздельно для режимов REQMOD и RESPMOD доступно в версии 7.5.1 и выше.

Параметры правил ICAP.

Параметр	Описание
`PASS` `OK`	Действие правила ICAP: `PASS` — пропустить. Не посылать данные на ICAP-сервер. Создав правило с таким действием, администратор может явно исключить определенный трафик из пересылки на серверы ICAP. `OK` — переслать. Ппереслать данные на ICAP-сервер и ожидать ответа ICAP-сервера (стандартный режим работы большинства ICAP-серверов). `OK ... ignore` — переслать и игнорировать. Переслать данные ICAP-сервер и игнорировать ответ от ICAP-сервера (вне зависимости от ответа ICAP-сервера, данные к пользователю уходят без модификации, но сервер ICAP получает полную копию пользовательского трафика); `ignore` указывается среди свойств правила
`enabled`	Включение или отключение правила: `enabled(yes)` или `enabled(true)`; `enabled(no)` или `enabled(false)`
`name`	Название правила ICAP. Для указания названия правила: `name("ICAP rule example")`
`desc`	Описание правила. Например: `desc("ICAP rule example set via CLI")`
`profile`	ICAP-серверы, на которые UserGate SWG будет пересылать запросы; указывается в формате: `profile("ICAP server1", "ICAP server2")`. О настройке профилей серверов ICAP через CLI — в разделе «Настройка ICAP-серверов»
`src.zone`	Зона источника трафика. Для указания зоны источника, например Trusted: `src.zone = Trusted`. Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
`src.ip`	Добавление списков IP-адресов или доменов источника. Для списка IP-адресов: `src.ip = lib.network()`; в скобках укажите название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI — в разделе «Настройка IP-адресов». Для списка доменов источника: `src.ip = lib.url()`; в скобках укажите название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL»
`src.geoip`	Указание GeoIP источника; необходимо указать код страны (например, `src.geoip = (BR, RU))`. Коды названий стран доступны по ссылке
`user`	Пользователи и группы пользователей, для которых применяется правило ICAP (локальные или LDAP). Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI — в разделе «Настройка LDAP-коннектора»). Примеры добавления пользователей в правило: `user = known user = "user" user = "testd.local\\user1" user = ("user", "testd.local\\user1")`
`dst.ip`	Добавление списков IP-адресов или доменов назначения. Для списка IP-адресов: `dst.ip = lib.network()`; в скобках укажите название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI — в разделе «Настройка IP-адресов». Для списка доменов назначения: `dst.ip = lib.url()`; в скобках укажите название списка URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL»
`dst.geoip`	Указание GeoIP назначения; необходимо указать код страны (например, `dst.geoip = (BR, RU`)). Коды названий стран доступны по ссылке
`response.header.Content-Type`	Списки типов контента, к которым будут применяться правила. Для задания списка: `response.header.Content-Type = lib.mime()`; в скобках укажите название списка типов контента. Подробнее о создании и настройке собственных списков с использованием интерфейса командной строки — в разделе «Настройка типов контента»
`category`	Список категорий или категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию. Для указания списка категорий URL: `category = lib.category()`; в скобках укажите название списка категорий URL. Подробнее о создании и настройке категорий URL с использованием интерфейса командной строки — в разделе «Настройка категорий URL». Для указания категории URL: `category = "URL category name"`. Пример: `category = (lib.category(cat1), "Web-based Email")`
`url`	Списки URL, для которых будет применяться правило. Для указания списка URL: `url = lib.url()`; в скобках укажите название списка URL. Подробнее о создании и настройке списков URL — в разделе «Настройка списков URL»
`http.method`	Метод, используемый в HTTP-запросах. Чтобы указать HTTP метод, например GET: `http.method = GET`
`service`	Тип сервиса. Чтобы указать сервис: `service = "service name"`. Например: `service = http`
`before_content_filter`	Параметр, определяющий порядок применения правил ICAP и контентной фильтрации (доступно в версии 7.5.1 и выше). Может применяться в сценариях, когда пользователь обращается к ресурсу, запрещенному политикой контентной фильтрации (например, при скачивании файла), чтобы такие запросы могли блокироваться до передачи на ICAP-сервер. Управлять приоритетом выполнения правил контентной фильтрации и ICAP можно для обоих стеков правил (REQMOD и RESPMOD). Порядок применения правил: `before_content_filter(true)` — ICAP-правила ➜ Правила контентной фильтрации; `before_content_filter(false)` — Правила контентной фильтрации ➜ ICAP-правила

Команда для редактирования правила ICAP:

Admin@nodename# set security-policy icap-rules [reqmod | respmod] <position> upl-rule

Команда для просмотра параметров всех созданных правил ICAP:

Admin@nodename# show security-policy icap-rules

Команда для просмотра параметров определенного правила ICAP:

Admin@nodename# show security-policy icap-rules <reqmod | respmod> <position>

Пример создания правила ICAP:

Admin@nodename# create security-policy icap-rules reqmod 2 upl-rule PASS \
...src.zone = Trusted \
...http.method = GET \
...profile("ICAP server1") \
...name("Test ICAP rule") \
...desc("Test ICAP rule description") \
...before_content_filter(false) \
...enabled(true)
...
Admin@nodename# show security-policy icap-rules reqmod 2
% ----------------- 1 -----------------
PASS \
    src.zone = Trusted \
    http.method = GET \
    desc("Test ICAP rule description") \
    profile("ICAP server1") \
    enabled(true) \
    before_content_filter(false) \
    name("Test ICAP rule")

Команда для удаления правила ICAP:

Admin@nodename# delete security-policy icap-rules [reqmod | respmod] <position>