Под сетевой зоной в UserGate WAF понимается логическое объединение сетевых интерфейсов. Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например можно создать зону для локальной сети (LAN) или зону интерфейсов управления (Management).

По умолчанию в UserGate WAF предусмотрены следующие сетевые зоны:

Management — для доверенных сетей, из которых разрешено администрирование устройства.
Trusted — для внутренних доверенных сегментов сети (например, LAN).
Untrusted — для внешних недоверенных сетей (например, интернет).
DMZ — для сегментов сети, содержащих публичные сервисы (демилитаризованная зона).

Вы можете изменять параметры этих сетевых зон, а также добавлять новые зоны (не больше 255 зон). Кроме того, вы можете управлять доступом к сервисам устройства для подключенных к зоне клиентов.

В свойствах зоны можно управлять доступом к следующим сервисам UserGate WAF.

Сервис	Назначение
Ping	Проверка доступности UserGate WAF с помощью утилиты `ping`. Подробнее — в разделе «Диагностика и мониторинг»
SNMP	Доступ к устройству по SNMP-протоколу (порт UDP 161). Подробнее — в разделе «Оповещения»
API XML RPC поверх HTTP	Доступ к API по протоколу HTTP (порт TCP 4443)
API XML RPC поверх HTTPS	Защищенный доступ к API по протоколу HTTPS (порт TCP 4443)
Кластер	Объединение нескольких узлов UserGate WAF в кластер (TCP 4369, TCP 9000-9100). Подробнее — в разделе «Кластеризация и отказоустойчивость»
VRRP	Объединение нескольких узлов UserGate WAF в отказоустойчивый кластер (IP-протокол 112). Подробнее — в разделе «Кластеризация и отказоустойчивость»
Консоль администрирования	Доступ к веб-консоли управления (порт TCP 8001)
CLI по SSH	Доступ к интерфейсу командной строки для управления сервером устройства (порт TCP 2200)
Reverse-прокси	Публикация внутренних ресурсов. Подробнее — в разделе «Публикация веб-ресурсов»
Log Analyzer/SIEM	Отправка журналов событий на сервер UserGate Log Analyzer или UserGate SIEM
SNMP-прокси	Построение распределенной системы мониторинга и регулирования нагрузки
NTP-сервис	Доступ к службе точного времени на сервере UserGate WAF

Для работы сервисов необходимо разрешить соответствующие порты и протоколы в сетевой инфраструктуре организации. Подробнее — в разделе «Требования к сетевому окружению».

Вы также можете включать защиту от DoS-атак и защиту от IP-спуфинга для каждой зоны. Кроме того, в свойствах зоны вы можете ограничить количество активных сессий для одного IP-адреса. Это позволит снизить нагрузку на инфраструктуру организации при DDoS-атаках, предотвратить злоупотребление ресурсами и обеспечить их доступность для всех пользователей.

Чтобы добавить сетевую зону:

1. В разделе Настройки ➜ Сеть ➜ Зоны нажмите Добавить.

2. На вкладке Общие выполните следующие действия:

Укажите название и при необходимости описание зоны.
При необходимости укажите параметры защиты сетевой зоны от DoS-атак для протоколов TCP (SYN-флуд), UDP, ICMP соответственно:

Установите флажок Включено для включения защиты.
При необходимости установите флажок Агрегировать для суммарного подсчета всех входящих пакетов. Если флажок не установлен, пакеты учитываются отдельно для каждого IP-адреса.
В поле Порог уведомления укажите количество запросов с одного IP-адреса, при превышении которого в системном журнале будет сгенерирована запись о событии.

Рекомендованное значение — 3000 пакетов/сек.

В поле Порог отбрасывания пакетов укажите количество запросов с одного IP-адреса, при превышении которого будут отброшены пакеты, поступившие с этого IP-адреса, с регистрацией события в системном журнале.

Рекомендованное значение — 6000 пакетов/сек. Для протокола UDP необходимо увеличить это значение, если через интерфейсы зоны проходит трафик таких сервисов, как IP-телефония или L2TP VPN.

При необходимости в блоке параметров Исключения защиты от DoS добавьте IP-адреса узлов, к которым не следует применять ограничения. Это может понадобиться, например, для серверов IP-телефонии, генерирующих интенсивный поток UDP-пакетов.

ПримечаниеРекомендуется включать защиту от DoS-атак для каждой сетевой зоны.

3. При необходимости на вкладке Контроль доступа укажите сервисы, которые будут доступны подключенным к зоне клиентам.

Важно!Не рекомендуется разрешать доступ к сервисам для зон, подключенных к недоверенным сетям (например, к интернету).

ПримечаниеВы можете дополнительно ограничить доступ к каждому сервису, указав разрешенные диапазоны IP-адресов или географические регионы (GeoIP).

4. При необходимости на вкладке Защита от IP-спуфинга включите защиту и укажите для зоны разрешенные диапазоны IP-адресов или географические регионы (GeoIP). Сетевые пакеты, поступающие с IP-адресов, не входящих в разрешенный список, будут отброшены.

При включении инвертирования (соответствует логическому отрицанию) указанные диапазоны IP-адресов будут запрещены для сетевой зоны.

ПримечаниеНапример, для зоны Untrusted вы можете указать диапазоны «серых» IP-адресов (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) и установить флажок «Инвертировать».

5. При необходимости на вкладке Ограничение сессий включите ограничение и укажите максимальное количество активных сессий для одного IP-адреса.

ПримечаниеВ блоке параметров «Исключения» вы можете добавить список IP-адресов, для которых ограничение не будет действовать.

6. Нажмите Сохранить.