Настройка раздела Политики безопасности

Настройка правил контентной фильтрации производится на уровне security-policy content-filtering. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.

Для создания правила контентной фильтрации используется команда:

Admin@nodename# create security-policy content-filtering <position> upl-rule

Параметры правил контентной фильтрации:

Параметр	Описание
PASS DENY WARNING	Действие правила контентной фильтрации: PASS — разрешить посещение веб-страницы. DENY — блокировать веб-страницу. WARNING — предупредить пользователя о том, что страница нежелательна для посещения. Пользователь сам решает, отказаться от посещения или посетить страницу. Запись о посещении страницы заносится в журнал.
enabled	Включение/отключение правила: enabled(yes) или enabled(true). enabled(no) или enabled(false).
name	Название правила контентной фильтрации. Для указания названия правила: name("Content filtering rule example").
desc	Описание правила. Например: desc("Content filtering rule example set via CLI").
rule_log	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена. rule_log(yes) или rule_log(true) — включить журналирование.
scenario	Сценарий, который должен быть активным для срабатывания правила. Для указания сценария: scenario = "Example of a scenario". Подробнее о настройке сценариев смотрите в разделе Настройка сценариев.
virus_usergate	Проверка потоковым антивирусом UserGate. Настраивается для правил с действием Запретить; возможны значения: virus_usergate = yes или virus_usergate = true — использовать проверку потоковым антивирусом UserGate. virus_usergate = no или virus_usergate = false — не использовать проверку потоковым антивирусом UserGate.
Страница блокировки	Выбор страницы блокировки; если страница не указана, то используется шаблон страницы по умолчанию. Страница блокировки указывается с использованием круглых скобок после действия, например, DENY("Blockpage (RU)"). Подробнее о настройке страниц блокировки читайте в разделе Настройка шаблонов страниц. Можно использовать внешнюю страницу, задав внешний URL: redirect(302, "http://www.example.com").
src.zone	Зона источника трафика. Для указания зоны источника, например, Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip	Добавление списков IP-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
src.geoip	Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
user	Пользователи и группы пользователей, для которых применяется правило контентной фильтрации (локальные или LDAP). Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора). Примеры добавления пользователей в правило: `user = known user = "user" user = "testd.local\\user1" user = ("user", "testd.local\\user1")`
dst.zone	Зона назначения трафика, например, dst.zone = Untrusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
dst.ip	Добавление списков IP-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
dst.geoip	Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
service	Тип сервиса. Можно указать сервис или группу сервисов (подробнее читайте в разделах Настройка сервисов и Настройка групп сервисов). Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...). Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.
category	Списки категорий и категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию. Для указания списка категорий URL: category = lib.category(); в скобках необходимо указать название списка категорий URL. Подробнее о создании и настройке категорий URL с использованием интерфейса командной строки читайте в разделе Настройка категорий URL. Для указания категории URL: category = "URL category name".
url	Списки URL, для которых будет применяться правило. Для указания списка URL: url = lib.url(); в скобках необходимо указать название списка URL. Подробнее о создании и настройке списков URL читайте в разделе Настройка списков URL.
response.header.Content-Type	Списки типов контента, к которым будут применяться правила. Для задания списка типов контента: response.header.Content-Type = lib.mime(); в скобках необходимо указать название списка типов контента. Подробнее о создании и настройке собственных списков с использованием интерфейса командной строки читайте в разделе Настройка типов контента.
morphology	Список баз словарей морфологии, по которым будут проверяться веб-страницы. Для задания списка баз словарей морфологии: morphology = lib.morphology(); в скобках необходимо указать название списка морфологии. Подробнее о создании и настройке собственных списков с использованием интерфейса командной строки читайте в разделе `Настройка морфологи`_и.
request.header.User-Agent	Useragent пользовательских браузеров, для которых будет применено данное правило. Для указания Useragent пользовательских браузеров: request.header.User-Agent = lib.useragent(); в скобках необходимо указать название категории Useragent браузеров. Подробнее о создании и настройке собственных списков с использованием интерфейса командной строки читайте в разделе Настройка Useragent браузеров.
http.method	Метод, используемый в HTTP-запросах. Чтобы указать HTTP метод, например, GET: http.method = GET.
request.header.Referer	Список URL, в котором указаны рефереры для текущей страницы, или категория URL, к которой относится реферер. Чтобы указать список или категорию URL: request.header.Referer = lib.url() (в скобках необходимо указать название списка) или request.header.Referer = "URL category" Подробнее о настройке списков URL через CLI читайте в разделе Настройка списков URL; о категориях URL — Настройка категорий URL.
time	Настройка расписания работы правила. Для установки расписания: time = lib.time(); в скобках необходимо указать название группы календарей. Подробнее о настройке календарей читайте в разделе Настройка календарей.

Для редактирования правил контентной фильтрации используется команда:

Admin@nodename# set security-policy content-filtering <position> upl-rule

Для просмотра всех созданных правил контентной фильтрации используется команда:

Admin@nodename# show security-policy content-filtering

Для просмотра определенного правила контентной фильтрации используется команда:

Admin@nodename# show security-policy content-filtering <position>

Пример создания правила контентной фильтрации с использованием UPL:

Admin@nodename# create security-policy content-filtering 1 upl-rule PASS \
...src.zone = Trusted \
...url = lib.url("Test URL list") \
...user = known \
...rule_log(yes) \
...name("Test content-filtering rule") \
...desc("Test content-filtering rule description") \
...enabled(true)
...
Admin@nodename# show security-policy content-filtering 1
% ----------------- 1 --- "Content Rules" --------------
PASS \
    user = known \
    url = lib.url("Test URL list") \
    src.zone = Trusted \
    desc("Test content-filtering rule description") \
    rule_log(yes) \
    enabled(true) \
    id("96b2ee34-528a-4b06-8726-69711ba639ba") \
    name("Test content-filtering rule")

Для удаления существующего правила контентной фильтрации используется команда:

Admin@nodename# delete security-policy content-filtering <position>

Просмотреть как статью

к началу

Настройка веб-безопасности

Настройка веб-безопасности производится на уровне security-policy safe-browsing. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.

Для создания правила веб-безопасности используется команда:

Admin@nodename# create security-policy safe-browsing <position> upl-rule

Параметры правил веб-безопасности:

Параметр	Описание
PASS OK	Действие для создания правила с помощью UPL.
enabled	Включение/отключение правила: enabled(yes) или enabled(true). enabled(no) или enabled(false).
name	Название правила веб-безопасности. Например: name("Safe browsing rule example").
desc	Описание правила, например, desc("Safe browsing rule example set via CLI").
rule_log	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: rule_log(no) или rule_log(false) - отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена. rule_log(yes) или rule_log(true) - включить журналирование
enable_adblock	Блокировка рекламы enable_adblock(yes) или enable_adblock(true). enable_adblock(no) или enable_adblock(false).
url_list_exclusions	Список сайтов, для которых блокировать рекламу не требуется: url_list_exclusions("URL list name"). О создании и настройке списков URL с использованием CLI читайте в разделе Настройка списков URL.
enable_injector	Инжектирование кода в веб страницы: enable_injector(yes) или enable_injector(true). enable_injector(no) или enable_injector(false).
custom_injector	Код инжектора.
safe_search	Использование функции безопасного поиска: safe_search(yes) или safe_search(true). safe_search(no) или safe_search(false).
search_history_logging	Журналирование поисковых запросов пользователей: search_history_logging(no) или search_history_logging(false) - отключить журналирование поисковых запросов пользователей. Если при создании правила search_history_logging не указано, функция журналирования отключена. search_history_logging(yes) или search_history_logging(true) - включить журналирование поисковых запросов пользователей.
cocial_sites_block	Блокировка приложений социальных сетей: cocial_sites_block(yes) или cocial_sites_block(true). cocial_sites_block(no) или cocial_sites_block(false).
src.zone	Зона источника трафика. Для указания зоны источника, например, Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip	Добавление списков IP-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
src.geoip	Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1.
user	Пользователи и группы пользователей, для которых применяется правило веб-безопасности (локальные или LDAP). Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора). Примеры добавления пользователей в правило: `user = known user = "user" user = "testd.local\\user1" user = ("user", "testd.local\\user1")`
time	Настройка расписания работы правила. Для установки расписания: time = lib.time(); в скобках необходимо указать название группы календарей. Подробнее о настройке календарей читайте в разделе Настройка календарей.

Для редактирования правил веб-безопасности используется команда:

Admin@nodename# set security-policy safe-browsing <position> upl-rule

Для просмотра всех созданных правил веб-безопасности используется команда:

Admin@nodename# show security-policy safe-browsing

Для просмотра определенного правила веб-безопасности используется команда:

Admin@nodename# show security-policy safe-browsing <position>

Пример создания правила веб-безопасности с помощью UPL:

Admin@nodename# create security-policy safe-browsing 1 upl-rule PASS \
...user = known \
...src.zone = Trusted \
...enable_adblock(yes) \
...safe_search(yes) \
...rule_log(yes) \
...name("Test safe browsing rule") \
...desc("Test safe browsing rule description") \
...enabled(true)
...
Admin@nodename# show security-policy safe-browsing 1
% ----------------- 1 -----------------
OK \
    user = known \
    src.zone = Trusted \
    rule_log(yes) \
    enable_adblock(yes) \
    safe_search(yes) \
    desc("Test safe browsing rule description") \
    enabled(true) \
    id("406a2753-750e-4830-82a8-583043e72359") \
    name("Test safe browsing rule")

Для удаления правила веб-безопасности используется команда:

Admin@nodename# delete security-policy safe-browsing <position>

Просмотреть как статью

к началу

Настройка правил инспектирования туннелей

Настройка правил инспектирования туннелей производится на уровне security-policy tunnel-inspection. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.

Для создания правила инспектирования туннелей используется команда:

Admin@nodename# create security-policy tunnel-inspection <position> upl-rule

Параметры правил инспектирования туннелей:

Параметр	Описание
OK PASS	Действие правила инспектирования туннелей: OK - Инспектировать. PASS - Не расшифровывать
enabled	Включение/отключение правила: enabled(yes) или enabled(true). enabled(no) или enabled(false).
name	Название правила инспектирования туннелей. Например: name("Tunnel inspection rule example").
desc	Описание правила. Например: desc("Tunnel inspection rule example configured via CLI").
service	Тип туннеля: service = gre: инспектирование туннелей GRE. service = gtpu: инспектирование туннелей GTP-U. service = ipsec_null: инспектирование нешифрованных IPsec-туннелей
src.zone	Зона источника трафика. Для указания зоны источника, например, Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip	Добавление списков IP-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
src.geoip	Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
dst.zone	Зона назначения трафика, например, dst.zone = "Tunnel inspection zone". Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
dst.ip	Добавление списков IP-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
dst.geoip	Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.

Для редактирования правил инспектирования туннелей используется команда:

Admin@nodename# set security-policy tunnel-inspection <position> upl-rule

Для просмотра всех созданных правил инспектирования туннелей используется команда:

Admin@nodename# show security-policy tunnel-inspection

Для просмотра определенного правила инспектирования туннелей используется команда:

Admin@nodename# show security-policy tunnel-inspection <position>

Пример создания правила инспектирования туннелей:

Admin@nodename# create security-policy tunnel-inspection 1 upl-rule PASS \
...src.zone = Untrusted \
...dst.zone = Trusted \
...service = ipsec_null \
...name("Test tunnel-inspection rule") \
...desc("Test nunnel-inspection rule description") \
...enabled(true)
...
Admin@nodename# show security-policy tunnel-inspection 1
% ----------------- 1 -----------------
PASS \
    src.zone = Untrusted \
    dst.zone = Trusted \
    service = ipsec_null \
    desc("Test nunnel-inspection rule description") \
    enabled(true) \
    id("051cf677-3d36-4d5c-968f-73c3421c2b28") \
    name("Test tunnel-inspection rule")

Для удаления правила инспектирования туннелей используется команда:

Admin@nodename# delete security-policy tunnel-inspection <position>

Просмотреть как статью

к началу

Настройка инспектирования SSL

Настройка правил инспектирования SSL производится на уровне security-policy ssl-inspection. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.

Для создания правила инспектирования SSL используется команда:

Admin@nodename# create security-policy ssl-inspection <position> upl-rule

Параметры правил инспектирования SSL:

Параметр	Описание
OK PASS	Действие правила инспектирования SSL: OK — Расшифровать. PASS — Не расшифровывать OK ... forward — Расшифровать и переслать; forward указывается среди свойств правила. При настройке правила с действием Расшифровать и переслать необходимо указать профиль пересылки SSL. Подробнее о создании и настройке с использованием CLI профилей пересылки читайте в разделе Настройка профилей пересылки SSL.
enabled	Включение/отключение правила: enabled(yes) или enabled(true). enabled(no) или enabled(false).
name	Название правила инспектирования SSL. Для указания названия правила: name("SSL inspection rule example").
desc	Описание правила. Например: desc("SSL inspection rule example configured in CLI").
ssl_forward_profile	Профиль пересылки SSL; профиль необходимо указать при настройке правила инспектирования SSL с действием Расшифровать и переслать. Указывается в формате: ssl_forward_profile("SSL forward profile example").
ssl_profile	Профиль SSL; указывается: ssl_profile("Default SSL profile"). Подробнее о работе с профилями SSL через CLI читайте в разделе Настройка профилей SSL.
rule_log	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена. rule_log(yes) или rule_log(true) — включить журналирование.
block_invalid_cert	Блокирование доступа к серверам, предоставляющим некорректный сертификат HTTPS, например, если сертификат отозван, выписан на другое доменное имя или недоверенным центром сертификации, срок действия сертификата истёк. Доступно в правилах с действием Расшифровать: block_invalid_cert(yes) или block_invalid_cert(true) — включение блокировки. block_invalid_cert(no) или block_invalid_cert(false) — отключение блокировки.
check_revoc_cert	Проверка сертификата сайта в списке отозванных сертификатов (CRL) и блокирование доступа, если он там найден. Доступно в правилах с действием Расшифровать: check_revoc_cert(yes) или check_revoc_cert(true) — включение проверки сертификата. check_revoc_cert(no) или check_revoc_cert(false) — отключение проверки сертификата.
block_expired_cert	Блокирование сертификатов с истёкшим сроком действия. Доступно в правилах с действием Расшифровать: block_expired_cert(yes) или block_expired_cert(true) — включить блокировку сертификатов с истёкшим сроком действия. block_expired_cert(no) или block_expired_cert(false) — отключить блокировку сертификатов с истёкшим сроком действия.
block_self_signed_cert	Блокирование самоподписанных сертификатов. Доступно в правилах с действием Расшифровать: block_self_signed_cert(yes) или block_self_signed_cert(true) — включить блокировку самоподписанных сертификатов. block_self_signed_cert(no) или block_self_signed_cert(false) — отключить блокировку самоподписанных сертификатов.
user	Пользователи и группы пользователей, для которых применяется правило инспектирования SSL (локальные или LDAP). Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора). Примеры добавления пользователей в правило: `user = known user = "user" user = "testd.local\\user1" user = ("user", "testd.local\\user1")`
src.zone	Зона источника трафика. Для указания зоны источника, например, Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip	Добавление списков IP-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
src.geoip	Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1.
dst.ip	Добавление списков IP-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
dst.geoip	Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1.
service	Тип сервиса: HTTPS, SMTPS или POP3S. Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).
category	Списки категорий и категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию. Для указания списка категорий URL: category = lib.category(); в скобках необходимо указать название списка категорий URL. Подробнее о создании и настройке списков категорий URL с использованием интерфейса командной строки читайте в разделе Настройка категорий URL. Для указания категории URL: category = "URL category name".
url	Списки доменных имён, для которых применяется правило инспектирования SSL. Доменные имена создаются как списки URL за исключением того, что для инспектирования HTTPS могут быть использованы только доменные имена типа www.example.com, а не http://www.example.com/home/. Для указания списка доменов: url = lib.url(); в скобках необходимо указать название списка URL. Подробнее о создании и настройке списков URL с использованием командной строки читайте в разделе Настройка списков URL.
time	Настройка расписания работы правила. Для установки расписания: time = lib.time(); в скобках необходимо указать название группы календарей. Подробнее о настройке календарей читайте в разделе Настройка календарей.

Для редактирования правил инспектирования SSL используется команда:

Admin@nodename# set security-policy ssl-inspection <position> upl-rule

Для просмотра параметров всех созданных правил инспектирования SSL испоьзуется команда:

Admin@nodename# show security-policy ssl-inspection

Для просмотра параметров определенного правила инспектирования SSL используется команда:

Admin@nodename# show security-policy ssl-inspection <position>

Пример создания правила инспектирования SSL:

Admin@nodename# create security-policy ssl-inspection 1 upl-rule OK \
...user = unknown \
...ssl_profile("Default SSL profile") \
...rule_log(yes) \
...name("Decrypt all test rule") \
...desc("Description for decrypt all rest rule") \
...enabled(true)
...
Admin@nodename# show security-policy ssl-inspection 1
% ----------------- 1 -----------------
OK \
    user = unknown \
    desc("Description for decrypt all rest rule") \
    rule_log(yes) \
    ssl_profile("Default SSL profile") \
    enabled(true) \
    id("134b7274-01ee-47db-9fc1-a2f06b340b94") \
    name("Decrypt all test rule")

Для удаления правила инспектирования SSL используется команда:

Admin@nodename# delete security-policy ssl-inspection <position>

Просмотреть как статью

к началу

Настройка инспектирования SSH

Настройка правил SSH-инспектирования производится на уровне security-policy ssh-inspection. О структуре команд читайте подробнее в разделе Настройка правил с использованием UPL.

Для создания правила инспектирования SSH используется команда:

Admin@nodename# create security-policy ssh-inspection <position> upl-rule

Параметры правил инспектирования SSH:

Параметр	Описание
OK PASS	Действие правила инспектирования SSH: OK — Расшифровать. PASS — Не расшифровывать
enabled	Включение/отключение правила: enabled(yes) или enabled(true). enabled(no) или enabled(false).
name	Название правила инспектирования SSH. Для указания названия правила: name("SSH inspection rule example").
desc	Описание правила. Например: desc("SSH inspection rule example configured in CLI").
rule_log	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена. rule_log(yes) или rule_log(true) — включить журналирование.
block_ssh_shell	Блокирование удалённого запуска shell (интерпретатора командной строки, оболочки). Доступно в правилах с действием Расшифровать: block_ssh_shell(yes) или block_ssh_shell(true) — включить блокировку. block_ssh_shell(no) или block_ssh_shell(false) -отключить блокировку.
block_ssh_exec	Блокирование удалённого выполнения по SSH. Доступно в правилах с действием Расшифровать: block_ssh_exec(yes) или block_ssh_exec(true) — включить блокировку. block_ssh_exec(no) или block_ssh_exec(false) — отключить блокировку.
ssh_command	Команда linux, которую требуется передать, в формате ssh user@host 'command' Например: ssh_command("ssh root@192.168.1.1 reboot"). Редактирование команды SSH доступно в правилах с действием Расшифровать.
block_sftp	Блокирование соединения SFTP (Secure File Transfer Protocol). Доступно в правилах с действием Расшифровать: block_sftp(yes) или block_sftp(true) — включить блокировку соединения. block_sftp(no) или block_sftp(false) — отключить блокировку соединения.
user	Пользователи и группы пользователей, для которых применяется правило инспектирования SSH (локальные или LDAP). Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора). Примеры добавления пользователей в правило: `user = known user = "user" user = "testd.local\\user1" user = ("user", "testd.local\\user1")`
src.zone	Зона источника трафика. Для указания зоны источника, например, Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip	Добавление списков IP-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
src.geoip	Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
dst.ip	Добавление списков IP-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
dst.geoip	Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
service	Тип сервиса. Можно указать сервис или группу сервисов (подробнее читайте в разделах Настройка сервисов и Настройка групп сервисов). Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...). Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.
time	Настройка расписания работы правила. Для установки расписания: time = lib.time(); в скобках необходимо указать название группы календарей.

Для редактирования правил инспектирования SSH используется команда:

Admin@nodename# set security-policy ssh-inspection <position> upl-rule

Для просмотра всех созданных правил инспектирования SSH используется команда:

Admin@nodename# show security-policy ssh-inspection

Для просмотра определенного правила инспектирования SSH используется команда:

Admin@nodename# show security-policy ssh-inspection <position>

Пример создания правила инспектирования SSH с использованием UPL:

Admin@nodename# create security-policy ssh-inspection 1 upl-rule OK \
...service = ("Any TCP") \
...block_ssh_shell(yes) \
...block_sftp(yes) \
...rule_log(yes) \
...name("Test SSH inspection rule") \
...desc("Test SSH inspection rule description") \
...enabled(true)
...
Admin@nodename# show security-policy ssh-inspection 1
% ----------------- 1 -----------------
OK \
    service = "Any TCP" \
    block_ssh_shell(yes) \
    block_sftp(yes) \
    desc("Test SSH inspection rule description") \
    rule_log(yes) \
    enabled(true) \
    id(d703f390-896f-47c2-91bd-69c6d37aa6d2) \
    name("Test SSH inspection rule")

Для удаления правила инспектирования SSH используется правило:

Admin@nodename# delete security-policy ssh-inspection <position>

Просмотреть как статью

к началу

Настройка

Настройка параметров системы обнаружения и предотвращения вторжений производится на уровне security-policy intrusion-prevention.

Admin@nodename# set security-policy intrusion-prevention <parameter>

Доступны параметры:

Параметр

Описание

mode

Включение/отключение режима умного сканирования (сканирование только первых байт каждой сессии):

on.
off.

limit

Количество первых килобайт каждой сессии, которые будет сканировать система обнаружения и предотвращения вторжений; необходимо задать значение от 50 до 200 КБ.

Для просмотра состояния режима:

Admin@nodename# show security-policy intrusion-prevention

По умолчанию режим умного сканирования включен; проверяются первые 200 КБ каждой сессии.

Профили СОВ создаются в библиотеке элементов и добавляются в правила межсетевого экрана для активации системы обнаружения и предотвращения вторжений.

Просмотреть как статью

к началу

Настройка сценариев

Общие правила создания сценариев

Настройка сценариев происходит на уровне security-policy scenarios с использованием UPL (подробнее об UserGate Policy Language читайте в разделе Настройка правил с использованием UPL).

Для задания условий сценариев и их объединения используются определения (definitions). Каждому определению присваивается уникальное пользовательское имя, по которому к нему можно будет обратиться. Условия сценария могут быть написаны в одной строке или разбиты с помощью обратного слэша (как при использовании многострочного ввода).

Для создания/изменения условий сценариев используется функция def scenario_cond, которая в общем виде имеет следующую структуру:

def scenario_cond <scenario_condition_name>
<scenario_conditions>
end

Параметры, использующиеся для задания разных типов условий, будут рассмотрены в следующих разделах.

Далее, после указания условий, указываются общие свойства сценария, представленные в таблице ниже:

Наименование	Описание
OK	Действие для создания сценария.
scenario_cond	Пользовательское имя определения, содержащего список условий сценария: scenario_cond = condition_example.
enabled	Включить/отключить использование сценария: enabled(true); enabled(false).
name	Задать имя сценария: name("Example scenario name").
desc	Задать описание сценария: desc("Description for scenario created as an example").
trigger	Применение: trigger(one_user) — при срабатывании сценария, правило, в котором используется сценарий, будет применено только к тому пользователю, для которого сработал сценарий; trigger(all_users) — при срабатывании сценария, правило в котором используется сценарий, будет применено ко всем пользователям, указанным в свойствах правила.
duration	Задать период активности сценария; указывается в минутах.
operation_mode	Задать режим активации сценария: operation_mode(all) — сценарий сработает, если выполнятся все условия; operation_mode(any) — сценарий сработает, если выполнится хотя бы одно из условий.

ПримечаниеПри обновлении сценария необходимо указывать все условия: текущие условия сценария будут заменены на условия, указанные при изменении.

В качестве примера приведена настройка сценария с условием Объём трафика. Сценарий будет применён ко всем пользователям в течение минуты; ограничение объёма трафика: 1 ГБ/день:

Admin@nodename# create security-policy scenarios 1 upl-rule \
... def scenario_cond scenario_cond_test
... traffic_limit(1GB) \
... period(day) \
... scond_type(traffic)
... end
... OK \
... scenario_cond = scenario_cond_test
... name(test) \
... trigger(all_users) \
... duration (1)
...

Для изменения, например, объёма трафика:

Admin@nodename# set security-policy scenarios 3 upl-rule \
...def scenario_cond scenario_cond_test
...traffic_limit(2GB) \
...period(day) \
...scond_type(traffic)
...end
...OK \
...scenario_cond = scenario_cond_test

Типы условий, используемых при создании сценариев

Условие типа Категория URL

Для создания/обновления условия типа Категория URL укажите:

Наименование	Описание
scond_type	Тип условия: scond_type(url_category).
category	Категории или группы категорий сайтов: category = (lib.category(URL_CATEGORY_GROUP), URL_CATEGORY_NAME).
count_interval	Интервал времени, за которое должно произойти заданное число срабатываний (указывается в минутах): count_interval().
max_event_count	Количество срабатываний: max_event_count().

Условие типа Обнаружен вирус

При настройке условия типа Обнаружен вирус укажите следующее:

Наименование	Описание
scond_type	Тип условия: scond_type(virus_detection).

Условие типа Приложение

Для создания/редактирования условия типа Приложение используются параметры, представленные в таблице ниже:

Наименование	Описание
scond_type	Тип условия: scond_type(app).
application	Категории приложений или группы приложений: application = lib.applicationgroup(APP_GROUP) или application = lib.applicationgroup(all); application = lib.category(APPS_CATEGORY_NAME).
count_interval	Интервал времени, за которое должно произойти заданное число срабатываний (указывается в минутах): count_interval().
max_event_count	Количество срабатываний: max_event_count().

Условие типа СОВ

Параметры условия типа СОВ:

Наименование

Описание

scond_type

Тип условия: scond_type(ips).

ips_tl

Уровень угрозы:

ips_tl(very_low) – очень низкий;
ips_tl(low) – низкий;
ips_tl(medium) – средний;
ips_tl(high) – высокий;
ips_tl(very_high) – очень высокий.

Условие типа Типы контента

Параметры условием типа Типы контента:

Наименование	Описание
scond_type	Тип условия: scond_type(mime_type).
response.header.Content-Type	Тип контента: response.header.Content-Type = lib.mime(MIME_CATEGORIES_LIST).
count_interval	Интервал времени, за которое должно произойти заданное число срабатываний (указывается в минутах): count_interval().
max_event_count	Количество срабатываний: max_event_count().

Условие типа Размер пакета

Для создания и настройки условия типа Размер пакета используются следующие параметры:

Наименование

Описание

scond_type

Тип условия: scond_type(net_packet_size).

packet_size

Размер пакета, при превышении которого выполняется условие; указывается следующим образом:

packet_size(1) – размер пакета 1 байт;
packet_size(1KB) – размер пакета 1 Кбайт;
packet_size(1MB) – размер пакета 1 Мбайт;
packet_size(1GB) – размер пакета 1 Гбайт.

Условие типа Сессий с одного IP

При настройке условия типа Сессий с одного IP используются:

Наименование	Описание
scond_type	Тип условия: scond_type(sessions_per_ip).
sessions_limit	Максимальное количество сессий, разрешённых с одного IP-адреса: sessions_limit().

Условие типа Объём трафика

Чтобы задать или настроить условие типа Объём трафика используются следующие параметры:

Наименование

Описание

scond_type

Тип условия: scond_type(traffic).

traffic_limit

Ограничение объёма трафика:

traffic_limit(1) – 1 байт трафика;
traffic_limit(1KB) – 1 Кбайт трафика;
traffic_limit(1MB) – 1 Мбайт трафика;
traffic_limit(1GB) – 1 Гбайт трафика.

period

Период времени:

period(minute) – минута;
period(hour) – час;
period(day) – день;
period(week) – неделя;
period(month) – месяц.

Условие типа Проверка состояния

Для настройки условия типа Проверка состояния предназначены параметры:

Наименование	Описание
scond_type	Тип условия: scond_type(health_check).
health_check_method	Метод проверки: health_check_method(ping) – ping; health_check_method(dns) – DNS-запрос; health_check_method(get) – HTTP-метод GET.
url.address	Адрес, на который будут выполняться ping и DNS-запрос: url.address = "1.1.1.1".
url.domain	FQDN для проверки состояния путём выполнения DNS-запроса или URL для метода HTTP GET: url.domain = "example.ru".
gateway	Название используемого шлюза: gateway(). Важно! Шлюз должен быть предварительно создан.
health_result	Результат выполнения проверки: health_result(positive) – положительный; health_result(negative) – отрицательный.
health_request_timeout	Тайм-аут подключения (в секундах): health_request_timeout().
health_answer_timeout	Время ожидания ответа на запрос HTTP GET (в секундах): health_answer_timeout().
health_type_request	Тип DNS-запроса: health_type_request(a). health_type_request(aaaa). health_type_request(cname). health_type_request(ns). health_type_request(ptr).
count_interval	Интервал времени, за которое должно произойти заданное число срабатываний (указывается в минутах): count_interval().
max_event_count	Количество срабатываний: max_event_count().

Просмотреть как статью

к началу

Настройка защиты почтового трафика

Настройка правил защиты почтового трафика

Правила защиты почтового трафика настраиваются на уровне security-policy mail-security. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.

Для создания правила защиты почтового трафика используется следующая команда:

Admin@nodename# create security-policy mail-security <position> upl-rule

Параметры правил защиты почтового трафика:

Параметр	Описание
PASS WARNING DENY("with error") DENY	Действие правила защиты почтового трафика: PASS — Пропустить — пропустить трафик без изменения. WARNING — Маркировать — маркировать почтовые сообщения специальным тэгом в теме письма или дополнительном поле. DENY("with error") — Блокировать с ошибкой — блокировать письмо и сообщать об ошибке доставки письма серверу SMTP (для SMTP(S)-трафика) или клиенту (для POP3(S)-трафика). DENY — Блокировать без ошибки — блокировать письмо без уведомления о блокировке.
enabled	Включение/отключение правила: enabled(yes) или enabled(true). enabled(no) или enabled(false).
name	Название правила защиты почтового трафика. Например: name("Mail security rule example").
desc	Описание правила. Например: desc("Mail security rule example configured in CLI").
rule_log	Запись в журнал информации о срабатывании правила защиты почтового трафика. Возможны варианты: rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена. rule_log(yes) или rule_log(true) — включить журналирование.
antispam_usergate	Проверка почтового трафика антиспамом UserGate (задаётся для правил с действием Маркировать, Блокировать с ошибкой или Блокировать без ошибки): antispam_usergate(yes) или antispam_usergate(true) — включить проверку. antispam_usergate(no) или antispam_usergate(false) — отключить проверку.
dnsbl	Антиспам-проверка с помощью технологии DNSBL. Применима только к SMTP-трафику в правилах с действием Маркировать, Блокировать с ошибкой или Блокировать без ошибки: dnsbl(yes) или dnsbl(true) — использовать антиспам-проверку. dnsbl(no) или dnsbl(false) — отключить использование антиспам-проверки. При проверке почтового трафика с помощью DNSBL IP-адрес SMTP-сервера отправителя спама блокируется на этапе создания SMTP-соединения, что позволяет существенно разгрузить другие методы проверки почты на спам и вирусы.
mark_hdr	Заголовок. Поле куда помещать тег маркировки; задаётся для правил с действием Маркировать: mark_hdr(Subject).
mark	Текст тега, который маркирует письмо; задаётся для правил с действием Маркировать, например, mark("Text for marking emails").
src.zone	Зона источника трафика. Для указания зоны источника, например, Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip	Добавление списков IP-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
src.geoip	Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
user	Пользователи и группы пользователей, для которых применяется правило защиты почтового трафика (локальные или LDAP). Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора). Примеры добавления пользователей в правило: `user = known user = "user" user = "testd.local\\user1" user = ("user", "testd.local\\user1")`
dst.zone	Зона назначения трафика, например, dst.zone = Untrusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
dst.ip	Добавление списков IP-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
dst.geoip	Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
service	Почтовый протокол (POP3 или SMTP), к которому будет применено данное правило. Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).
envelope_from	Почтовый адрес отправителя письма (только для протокола SMTP). Необходимо указать группу почтовых адресов в формате: envelope_from = "Sender email group". Подробнее о создании и настройке групп почтовых адресов читайте в разделе Настройка почтовых адресов.
envelop_to	Почтовый адрес адресата письма (только для протокола SMTP). Необходимо указать группу почтовых адресов в формате: envelope_to = "Receiver email group". Подробнее о создании и настройке групп почтовых адресов читайте в разделе Настройка почтовых адресов.

Для редактирования правила защиты почтового трафика используется команда:

Admin@nodename# set security-policy mail-security <position> upl-rule

Для просмотра параметров всех созданных правил защиты почтового трафика используется команда:

Admin@nodename# show security-policy mail-security

Для просмотра параметров определенного правила защиты почтового трафика используется команда:

Admin@nodename# show security-policy mail-security <position>

Пример создания правила защиты почтового трафика:

Admin@nodename# create security-policy mail-security 1 upl-rule WARNING \
...src.zone = Untrusted \
...service = (SMTP, POP3, SMTPS, POP3S) \
...mark_hdr(Subject) \
...mark("[SPAM]") \
...antispam_usergate(yes) \
...rule_log(yes) \
...name("Test SMTP and POP3 filtering") \
...desc("Test SMTP and POP3 filtering description") \
...enabled(true)
...
Admin@nodename# show security-policy mail-security 1
% ----------------- 1 -----------------
WARNING \
    src.zone = Untrusted \
    service = (SMTP, POP3, SMTPS, POP3S) \
    rule_log(yes) \
    desc("Test SMTP and POP3 filtering description") \
    mark_hdr(Subject) \
    mark("[SPAM]") \
    antispam_usergate(yes) \
    enabled(true) \
    id("7d86d348-9619-4097-94d1-bad4f3e85554") \
    name("Test SMTP and POP3 filtering")

Для удаления правила защиты почтового трафика используется команда:

Admin@nodename# delete security-policy mail-security <position>

Настройка антиспама

Параметры антиспама настраиваются на уровне security-policy mail-security-antispam.

Для настройки параметров антиспама используется следующая команда:

Admin@nodename# set security-policy mail-security-antispam <parameters>

Параметры настройки антиспама:

Параметр	Описание
batv-enabled	on/off. Включение/выключение защиты BATV (Bounce Address Tag Validation), предотвращающей рассылку спам-сообщений в виде возвратных сообщений.
dnsbl-servers	Указание списка DNSBL-серверов для проверки SMTP-трафика.
dnsbl-black-list	Список запрещенных серверов в дополнение к тем, что есть в списках DNSBL. Возможно добавление списка по GeoIP, или списка IP-адресов.
dnsbl-white-list	Список серверов, исключенных из DNSBL проверки. Возможно добавление списка по GeoIP, или списка IP-адресов.

Для просмотра параметров антиспама используется следующая команда:

Admin@nodename# show security-policy mail-security-antispam <parameters>

Возможен просмотр всех настроек антиспама целиком (по нажатию Enter), или отдельно белого/черного списков DNSBL при указании параметров dnsbl-white-list или dnsbl-black-list.

Для удаления параметров антиспама используется следующая команда:

Admin@nodename# delete security-policy mail-security-antispam <parameters>

Возможно удаление серверов DNSBL, белого/черного списков DNSBL.

Просмотреть как статью

к началу

Настройка правил ICAP

Создание и настройка ICAP-правил производится на уровне security-policy icap-rules. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.

Для создания правила ICAP используется команда:

Admin@nodename# create security-policy icap-rules <position> upl-rule

Параметры правил ICAP:

Параметр	Описание
PASS OK	Действие правила ICAP: PASS — Пропустить — не посылать данные на ICAP-сервер. Создав правило с таким действием, администратор может явно исключить определенный трафик из пересылки на серверы ICAP. OK — Переслать — переслать данные на ICAP-сервер и ожидать ответа ICAP-сервера (стандартный режим работы большинства ICAP-серверов). OK ... ignore — Переслать и игнорировать — переслать данные ICAP-сервер и игнорировать ответ от ICAP-сервера (вне зависимости от ответа ICAP-сервера, данные к пользователю уходят без модификации, но сервер ICAP получает полную копию пользовательского трафика); ignore указывается среди свойств правила.
enabled	Включение/отключение правила: enabled(yes) или enabled(true). enabled(no) или enabled(false).
name	Название правила ICAP. Для указания названия правила: name("ICAP rule example").
desc	Описание правила. Например: desc("ICAP rule example set via CLI").
profile	ICAP-серверы, куда UserGate будет пересылать запросы; указывается в формате: profile("Example ICAP server"). О настройке серверов ICAP через CLI читайте в разделе Настройка ICAP-серверов.
src.zone	Зона источника трафика. Для указания зоны источника, например, Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip	Добавление списков IP-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
src.geoip	Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
user	Пользователи и группы пользователей, для которых применяется правило ICAP (локальные или LDAP). Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора). Примеры добавления пользователей в правило: `user = known user = "user" user = "testd.local\\user1" user = ("user", "testd.local\\user1")`
dst.ip	Добавление списков IP-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
dst.geoip	Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
response.header.Content-Type	Списки типов контента, к которым будут применяться правила. Для задания списка: response.header.Content-Type = lib.mime(); в скобках необходимо указать название списка типов контента. Подробнее о создании и настройке собственных списков с использованием интерфейса командной строки читайте в разделе Настройка типов контента.
category	Список категорий или категории URL-фильтрации, для которых будет применяться правило. Для URL-фильтрации необходимо иметь соответствующую лицензию. Для указания списка категорий URL: category = lib.category(); в скобках необходимо указать название списка категорий URL. Подробнее о создании и настройке категорий URL с использованием интерфейса командной строки читайте в разделе Настройка категорий URL. Для указания категории URL: category = "URL category name".
url	Списки URL, для которых будет применяться правило. Для указания списка URL: url = lib.url(); в скобках необходимо указать название списка URL. Подробнее о создании и настройке списков URL читайте в разделе Настройка списков URL.
http.method	Метод, используемый в HTTP-запросах. Чтобы указать HTTP метод, например, GET: http.method = GET.
service	Тип сервиса: HTTP, SMTP или POP3. Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...).

Для редактирования правила ICAP используется команда:

Admin@nodename# set security-policy icap-rules <position> upl-rule

Для просмотра параметров всех созданных ICAP правил используется команда:

Admin@nodename# show security-policy icap-rules

Для просмотра параметров определенного правила ICAP:

Admin@nodename# show security-policy icap-rules <position>

Пример создания правила ICAP:

Admin@nodename# create security-policy icap-rules 1 upl-rule PASS \
...src.zone = Trusted \
...http.method = (GET, POST) \
...profile("ICAP server1") \
...name("Test ICAP rule") \
...desc("Test ICAP rule description") \
...enabled(true)
...
Admin@nodename# show security-policy icap-rules 1
% ----------------- 1 -----------------
PASS \
    src.zone = Trusted \
    http.method = (GET, POST) \
    desc("Test ICAP rule description") \
    profile("ICAP server1") \
    enabled(true) \
    id("80a7dca6-96f7-42c8-baad-8716be8d3b93") \
    name("Test ICAP rule")

Для удаления правила ICAP используется команда:

Admin@nodename# delete security-policy icap-rules <position>

Просмотреть как статью

к началу

Настройка ICAP-серверов

Настройка ICAP-серверов производится на уровне security-policy icap-server.

Структура команды для создания ICAP-сервера:

Admin@nodename# create security-policy icap-server <parameter>

Доступно указание следующих параметров:

Параметр	Описание
name	Задать имя ICAP-сервера.
description	Задать описание ICAP-сервера.
ip	Задать IP-адрес ICAP-сервера.
port	Задать TCP-порт ICAP-сервера; значение по умолчанию: 1344.
max-msg-size	Определить максимальный размер сообщения, передаваемого на ICAP-сервер в килобайтах. По умолчанию: 0 (тело запроса не будет передаваться на ICAP-сервер).
check-icap	Задать период проверки доступности сервера ICAP.
bypass	Если эта опция включена, то UserGate не будет посылать данные на сервер ICAP в случаях, когда ICAP-сервер недоступен.
reqmod-path	Использовать режим Reqmod: <text> — задать путь на сервере ICAP. off — отключить использование режима Reqmod.
respmod-path	Использовать режим Respmod: <text> — задать путь на сервере ICAP. off — отключить использование режима Respmod.
user-header	Установить отсылку имени пользователя на ICAP-сервер: <text> — задать название заголовка, которое будет использоваться для отправки имени пользователя на ICAP-сервер. off — не отсылать имя пользователя на ICAP-сервер.
user-encode	Установить кодировку имени пользователя в Base64: on. off.
ip-header	Установить отсылку IP-адреса пользователя на ICAP-сервер: <text> — задать название заголовка, которое будет использоваться для отправки IP-адреса пользователя на ICAP-сервер. off — не отсылать IP-адрес пользователя на ICAP-сервер.
mac-header	Установить отсылку MAC-адреса пользователя на ICAP-сервер: <text> — задать название заголовка, которое будет использоваться для отправки MAC-адреса пользователя на ICAP-сервер. off — не отсылать MAC-адрес пользователя на ICAP-сервер.

Структура команды для обновления существующего ICAP-сервера:

Admin@nodename# set security-policy icap-server <server-name> <parameter>

Параметры, которые могут быть обновлены, аналогичны с параметрами команды для добавления нового ICAP-сервера.

Структура команды для отображения информации об ICAP-сервере:

Admin@nodename# show security-policy icap-server <server-name>

Структура команды для удаления ICAP-сервера:

Admin@nodename# delete security-policy icap-server <server-name>

Просмотреть как статью

к началу

Настройка профилей

Настройка профилей DoS производится на уровне security-policy dos-profile.

Структура команды для создания профиля DoS:

Admin@nodename# create security-policy dos-profile <parameter>

Доступно указание следующих параметров:

Параметр	Описание
name	Задать имя профиля.
description	Задать описание профиля.
aggregate	Установить суммирование количества пакетов, проходящих в секунду для всех IP адресов или подсчёт индивидуально для каждого IP-адреса.
syn	Настройка защиты от сетевого флуда для протокола TCP. enabled — установить конфигурацию от сетевого флуда для выбранного протокола. alert-threshold — задать порог уведомлений. drop-threshold — задать порог отбрасывания пакетов.
udp	Настройка защиты от сетевого флуда для протокола UDP. enabled — установить конфигурацию от сетевого флуда для выбранного протокола. alert-threshold — задать порог уведомлений. drop-threshold — задать порог отбрасывания пакетов.
icmp	Настройка защиты от сетевого флуда для протокола ICMP. enabled — установить конфигурацию от сетевого флуда для выбранного протокола. alert-threshold — задать порог уведомлений. drop-threshold — задать порог отбрасывания пакетов.
max-sessions	Установить ограничение количества сессий: <num> — задать число сессий. off — отключить ограничение числа сессий.

Структура команды для редактирования существующих профилей DoS:

Admin@nodename# set security-policy dos-profile <profile-name> <parameter>

Параметры, которые могут быть обновлены, аналогичны с параметрами команды добавления нового профиля DoS.

Структура команды для удаления профиля:

Admin@nodename# delete security-policy dos-profile <profile-name>

Структура команды для отображения информации о профиле DoS:

Admin@nodename# show security-policy dos-profile <profile-name>

Просмотреть как статью

к началу

Настройка правил защиты

Настройка правил защиты от DoS атак производится на уровне security-policy dos-rules. Подробнее о структуре команд читайте в разделе Настройка правил с использованием UPL.

Структура команды для создания правила защиты от DoS атак:

Admin@nodename# create security-policy dos-rules <position> upl-rule <parameters>

Параметры правил защиты от DoS атак:

Параметр	Описание
PASS WARNING DENY	Действие правила защиты DoS: PASS — разрешить трафик; защита от DoS атак не применяется. WARNING — применить профиль защиты от DoS атак. DENY — безусловно блокировать трафик.
enabled	Включение/отключение правила: enabled(yes) или enabled(true). enabled(no) или enabled(false).
name	Название правила защиты DoS. Например: name("DoS rule example").
desc	Описание правила. Например: desc("DoS rule example configured in CLI").
profile	Профиль защиты DoS. Выбор профиля доступен только для правил с действием Защитить (WARNING). Для указания профиля: profile("DoS profile example"). О создании и настройке профилей защиты читайте в разделе Настройка профилей DoS.
scenario	Сценарий, который должен быть активным для срабатывания правила. Для указания сценария: scenario = "Example of a scenario". Подробнее о настройке сценариев смотрите в разделе Настройка сценариев.
rule_log	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: rule_log(no) или rule_log(false) — отключить журналирование. Если при создании правила rule_log не указано, функция журналирования отключена. rule_log(yes) или rule_log(true) — журналировать все сетевые пакеты без установки лимитов. Для установки лимитов необходимо указать число событий, записываемых в журнал за единицу времени (s — секунда; min — минута; h — час; d — день, нельзя установить лимит журналирования менее 5-ти пакетов в день) и максимальное количество пакетов, журналируемых на событие. Например, rule_log(yes, "3/h", 5) — включение журналирования с установкой лимитов: в журнал записывается 3 события в час; максимальное количество пакетов, журналируемых на событие равно 5. rule_log(session) — журналировать начало сессии.
src.zone	Зона источника трафика. Для указания зоны источника, например, Trusted: src.zone = Trusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
src.ip	Добавление списков IP-адресов или доменов источника. Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
src.geoip	Указание GeoIP источника; необходимо указать код страны (например, src.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
user	Пользователи и группы пользователей, для которых применяется правило защиты DoS (локальные или LDAP). Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора). Примеры добавления пользователей в правило: `user = known user = "user" user = "testd.local\\user1" user = ("user", "testd.local\\user1")`
dst.zone	Зона назначения трафика. Для указания зоны источника, например, Untrusted: src.zone = Untrusted. Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.
dst.ip	Добавление списков IP-адресов или доменов назначения. Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов. Для указания списка доменов назначения: dst.ip = lib.url(); в скобках необходимо указать название URL-списка, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.
dst.geoip	Указание GeoIP назначения; необходимо указать код страны (например, dst.geoip = RU). Коды названий стран доступны по ссылке ISO 3166-1. Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
service	Тип сервиса. Можно указать сервис или группу сервисов (подробнее читайте в разделах Настройка сервисов и Настройка групп сервисов). Чтобы указать сервис: service = "service name"; для указания нескольких сервисов: service = (service-name1, service-name2, ...). Чтобы указать группу сервисов: service = lib.service(); в скобках необходимо указать название группы сервисов.
time	Настройка расписания работы правила. Для установки расписания: time = lib.time(); в скобках необходимо указать название группы календарей. Подробнее о настройке календарей читайте в разделе Настройка календарей.

Структура команды для редактирования правила защиты от DoS атак:

Admin@nodename# set security-policy dos-rules <position> upl-rule <parameters>

Структура команды для просмотра правил защиты от DoS атак:

Admin@nodename# show security-policy dos-rules
Admin@nodename# show security-policy dos-rules <position>

Пример создания правила защиты от DoS атак с помощью UPL:

Admin@nodename# create security-policy dos-rules 1 upl-rule WARNING \
...src.zone = Untrusted \
...dst.zone = DMZ \
...service = (HTTP, HTTPS) \
...profile("Test DoS profile") \
...rule_log(session) \
...name("Test DoS rule") \
...desc("Test DoS rule description") \
...enabled(true)
...
Admin@nodename# show security-policy dos-rules 1
% ----------------- 1 -----------------
WARNING \
    src.zone = Untrusted \
    dst.zone = DMZ \
    service = (HTTP, HTTPS) \
    desc("Test DoS rule description") \
    rule_log(session) \
    profile("Test DoS profile") \
    enabled(true) \
    id("68da2f83-59ae-4a7d-b595-f6ff31bf34c6") \
    name("Test DoS rule")

Структура команды для удаления правила защиты от DoS атак:

Admin@nodename# delete security-policy dos-rules <position>

Просмотреть как статью

к началу

О компании

Продукты

Поддержка

Техническая документация

Условия использования

Конфиденциальность