Правила инспектирования SSL создаются на уровне security-policy ssl-inspection с помощью синтаксиса UPL. Подробнее о структуре команд — в разделе «UserGate Policy Language».
Для создания правила инспектирования SSL используется команда:
OK ... forward — расшифровать и переслать; forward указывается среди свойств правила. При настройке правила с действием «Расшифровать и переслать» необходимо указать профиль пересылки SSL. Подробнее о создании и настройке с использованием CLI профилей пересылки — в разделе «Настройка профилей пересылки SSL»
enabled
Включение/отключение правила:
enabled(yes) или enabled(true);
enabled(no) или enabled(false)
name
Название правила инспектирования SSL.
Для указания названия правила: name("SSL inspection rule example")
desc
Описание правила.
Например: desc("SSL inspection rule example configured in CLI")
ssl_forward_profile
Профиль пересылки SSL; профиль необходимо указать при настройке правила инспектирования SSL с действием «Расшифровать и переслать». Указывается в формате: ssl_forward_profile("SSL forward profile example")
Запись в журнал информации о трафике при срабатывании правила:
rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена.
rule_log(yes) или rule_log(true) — включить журналирование
block_invalid_cert
Блокирование доступа к серверам, предоставляющим некорректный сертификат HTTPS, например, если сертификат отозван, выписан на другое доменное имя, выдан недоверенным центром сертификации, срок действия сертификата истёк. Доступно в правилах с действием «Расшифровать»:
block_invalid_cert(yes) или block_invalid_cert(true) — включение блокировки;
block_invalid_cert(no) или block_invalid_cert(false) — отключение блокировки
check_revoc_cert
Проверка сертификата сайта в списке отозванных сертификатов (CRL) и блокирование доступа, если он там найден. Доступно в правилах с действием «Расшифровать»:
check_revoc_cert(yes) или check_revoc_cert(true) — включение проверки сертификата;
check_revoc_cert(no) или check_revoc_cert(false) — отключение проверки сертификата
block_expired_cert
Блокирование сертификатов с истёкшим сроком действия. Доступно в правилах с действием «Расшифровать»:
block_expired_cert(yes) или block_expired_cert(true) — включить блокировку сертификатов с истёкшим сроком действия;
block_expired_cert(no) или block_expired_cert(false) — отключить блокировку сертификатов с истёкшим сроком действия
block_self_signed_cert
Блокировка самоподписанных сертификатов. Доступно в правилах с действием «Расшифровать»:
block_self_signed_cert(yes) или block_self_signed_cert(true) — включить блокировку самоподписанных сертификатов;
block_self_signed_cert(no) или block_self_signed_cert(false) — отключить блокировку самоподписанных сертификатов
user
Пользователи и группы пользователей, для которых применяется правило инспектирования SSL (локальные или LDAP).
Для добавления LDAP-групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI — в разделе «Настройка LDAP-коннектора»).
Примеры добавления пользователей в правило:
user = known
user = "user"
user = "testd.local\\user1"
user = ("user", "testd.local\\user1")
src.zone
Зона источника трафика.
Для указания зоны источника, например Trusted: src.zone = Trusted.
Подробнее о настройке зон с использованием интерфейса командной строки — в разделе «Зоны»
src.ip
Добавление списков IP-адресов или доменов источника.
Для указания списка IP-адресов: src.ip = lib.network(); в скобках укажите название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI — в разделе «Настройка IP-адресов».
Для указания списка доменов источника: src.ip = lib.url(); в скобках укажите название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL»
src.geoip
Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU).
Добавление списков IP-адресов или доменов назначения.
Для списка IP-адресов: dst.ip = lib.network(); в скобках укажите название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI — в разделе «Настройка IP-адресов».
Для списка доменов назначения: dst.ip = lib.url(); в скобках укажите название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки — в разделе «Настройка списков URL»
dst.geoip
Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU).
Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...)
category
Списки категорий и категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию.
Для указания списка категорий URL: category = lib.category(); в скобках укажите название списка категорий URL.
Подробнее о создании и настройке списков категорий URL с использованием интерфейса командной строки — в разделе «Настройка категорий URL».
Для указания категории URL: category = "URL category name"
url
Списки доменных имён, для которых применяется правило инспектирования SSL. Доменные имена создаются как списки URL за исключением того, что для инспектирования HTTPS могут быть использованы только доменные имена типа www.example.com, а не http://www.example.com/home/.
Для указания списка доменов: url = lib.url(); в скобках укажите название списка URL.
Подробнее о создании и настройке списков URL с использованием командной строки — в разделе «Настройка списков URL»
time
Настройка расписания работы правила.
Для установки расписания: time = lib.time(); в скобках укажите название группы календарей.
