Настройка серверных правил

ID статьи: 785
Последнее обновление: 23 окт, 2024
Documentation:
Product: NGFW
Version: 7.1.x
Technology: VPN

Серверные правила настраиваются на уровне vpn server-rules. Подробнее о структуре команд настройки серверных правил читайте в разделе UserGate Policy Language.

Для создания серверного правила VPN используется команда:

Admin@nodename# create vpn server-rules <position> upl-rule <parameters> 

При настройке необходимо указать:

Параметр

Описание

PASS

OK

Действие для создания правила с помощью UPL.

enabled

Включение/отключение правила:

  • enabled(yes) или enabled(true).

  • enabled(no) или enabled(false).

Если при создании правила не указывать, то правило будет включено после создания.

name

Название серверного правила VPN.

Например: name("VPN server rule example").

desc

Описание правила.

Например: desc("VPN server rule example configured in CLI").

profile

Профиль безопасности VPN, определяющий общий ключ шифрования (pre-shared key) и алгоритмы для шифрования и аутентификации. Например, profile("Client VPN profile").

Подробнее о добавлении и настройке профилей безопасности читайте в разделе Настройка профилей безопасности VPN.

vpn_network

Сеть VPN. Для указания сети: vpn_network("VPN network example").

О настройках сети VPN с использованием интерфейса командной строки читайте в разделе Настройка сетей VPN.

auth_profile

Профиль аутентификации для пользователей VPN. Допускается использовать тот же профиль аутентификации, что используется для авторизации пользователей для получения доступа к сети интернет. Следует учесть, что для авторизации VPN нельзя использовать методы прозрачной аутентификации, такие как Kerberos, NTLM, SAML IDP.

Чтобы указать профиль аутентификации: auth_profile("Example user auth profile").

Подробнее о создании и настройке профилей аутентификации с использованием интерфейса командной строки читайте в разделе Настройка профилей аутентификации.

interface

VPN-интерфейс, который будет использоваться для подключения клиентов VPN. Чтобы указать интерфейс, например, tunnel1: interface(tunnel1).

О добавлении и настройке интерфейсов VPN читайте в разделе Настройка VPN-адаптера.

ep_only

Опция (доступна начиная с релиза ПО 7.1.2) позволяет ограничить возможность подключения по данному правилу только для VPN-клиентов UserGate Client (true, false).

src.zone

Зона, с которой разрешено принимать подключения к VPN.

Для указания зоны источника, например, Untrusted: src.zone = Untrusted.

Подробнее о настройке зон с использованием интерфейса командной строки читайте в разделе Зоны.

src.ip

Добавление списков IP-адресов или доменов, с которых разрешено принимать подключения к VPN.

Для указания списка IP-адресов: src.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.

Для указания списка доменов источника: src.ip = lib.url(); в скобках необходимо указать название URL, в который были добавлены необходимые домены. Подробнее о создании и настройке списков URL с использованием интерфейса командной строки читайте в разделе Настройка списков URL.

user

Пользователи и группы пользователей, которым разрешено подключение по VPN.

Для добавления LDAP групп и пользователей необходим корректно настроенный LDAP-коннектор (о настройке LDAP-коннектора через CLI читайте в разделе Настройка LDAP-коннектора).

В следующей строке описано добавление локальных пользователя (local_user) и группы (Local Group), пользователя (example.local\AD_user) и группы LDAP (AD group):

user = (local_user, "CN=Local Group,DC=LOCAL", "example.loc\\AD_user", "CN=AD group,OU=Example,DC=example,DC=loc")

Заранее был настроен домен Active Directory example.loc. При добавлении пользователей и групп LDAP можно указать список путей на сервере, начиная с которых система будет осуществлять поиск пользователей и групп.

dst.ip

Добавление списков IP-адресов интерфейса, на который будет происходить подключение клиентов.

Для указания списка IP-адресов: dst.ip = lib.network(); в скобках необходимо указать название списка. Подробнее о создании и настройке списков IP-адресов с использованием CLI читайте в разделе Настройка IP-адресов.

Пример создания серверного правила VPN:

Admin@nodename# create vpn server-rules 3 upl-rule OK\
...name("Test server VPN rule") \
...desc("Test server VPN rule description") \
...profile("New server VPN profile") \
...vpn_network("Test VPN network") \
...auth_profile(Local) \
...interface(tunnel3) \
...src.zone = Untrusted \
...dst.ip = lib.network("UG address") \
...user = ("CN=VPN servers,DC=LOCAL") \
...enabled(true) \

Для редактирования серверного правила VPN:

Admin@nodename# set vpn server-rules <position> upl-rule <parameters> 

Для удаления серверных правил VPN:

Admin@nodename# delete vpn server-rules <position> 

Для просмотра сконфигурированных серверных правил VPN:

Admin@nodename# show vpn server-rules <position>  

Эта статья была:   Полезна | Не полезна
Сообщить об ошибке
ID статьи: 785
Последнее обновление: 23 окт, 2024
Ревизия: 11
Просмотры: 4688
Комментарии: 0