|
|
ID статьи: 1628
Последнее обновление: 21 ноя, 2024
Product: DCFW Version: 8.x
В разделе NAT и маршрутизация администратор может создавать правила NAT, DNAT, Порт-форвардинга, Policy-based routing и Network mapping. UserGate DCFW поддерживает NAT/DNAT для сложных протоколов, которые могут использовать динамические порты для своей работы. Поддерживаются протоколы FTP, PPTP, SIP, H323.
События срабатывания правил NAT, DNAT, порт-форвардинга, Policy-based routing и Network mapping отображаются в журнале трафика (Журналы и отчёты ➜ Журнал трафика) при включении опции Журналирование в параметрах правил.
ПримечаниеGeoIP не может использоваться в качестве адреса источника трафика в правилах NAT и в качестве адреса назначения трафика в правилах NAT, DNAT и порт-форвардинг.
Правила NAT
Как правило, для предоставления пользователям доступа в интернет необходимо создать хотя бы одно правило NAT из зоны Trusted в зону Untrusted.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило NAT, необходимо нажать на кнопку Добавить в разделе Политики сети ➜ NAT и маршрутизация и указать необходимые параметры.
|
Наименование
|
Описание
|
|
Включено
|
Включает или отключает правило.
|
|
Название
|
Название правила.
|
|
Описание
|
Описание правила.
|
|
Тип
|
Выбрать NAT.
|
|
SNAT IP (внешний адрес)
|
Явно указывает IP-адрес, на который будет заменен адрес источника. Имеет смысл в случае наличия нескольких IP-адресов, назначенных интерфейсам зоны назначения. Если оставить это поле пустым, то система будет использовать произвольный адрес из списка доступных IP-адресов, назначенных интерфейсам зоны назначения. Допускается указание диапазона IP-адресов, например:
192.168.10.10-192.168.10.20
В этом случае DCFW будет использовать все указанные адреса при Source NAT.
Рекомендуется явно указывать SNAT IP для повышения производительности работы межсетевого экрана.
|
|
Журналирование
|
Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
-
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет. В этом случае информация не будет записываться.
|
|
Источник
|
Зона, списки IP-адресов, списки URL источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут DCFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни DCFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Важно! Обработка трафика происходит по следующей логике:
|
|
Назначение
|
Зона, списки IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут DCFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни DCFW автоматически обновляет значение IP-адреса.
Важно! Обработка трафика происходит по следующей логике:
|
|
Сервис
|
Тип сервиса, например, HTTP, HTTPS или другой.
|
|
Использование
|
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т.п.
|
ПримечаниеРекомендуется создавать общие правила NAT, например, правило NAT из локальной сети (обычно зона Trusted) в интернет (обычно зона Untrusted), а разграничение доступа по пользователям, сервисам, приложениям осуществлять с помощью правил межсетевого экрана.
Правила DNAT
Правила DNAT обычно используются для публикации внутренних ресурсов сети в интернет.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило DNAT, необходимо нажать на кнопку Добавить в разделе Политики сети ➜ NAT и маршрутизация и указать необходимые параметры.
|
Наименование
|
Описание
|
|
Включено
|
Включает или отключает правило.
|
|
Название
|
Название правила.
|
|
Описание
|
Описание правила.
|
|
Тип
|
Выбрать DNAT.
|
|
SNAT IP (внешний адрес)
|
Явно указывает IP-адрес, на который будет заменен адрес источника. Если SNAT IP не указан, то адрес источника будет заменён на адрес интерфейса DCFW, с которого отправлен пакет.
Допускается указание диапазона IP-адресов, например:
192.168.10.10-192.168.10.20
Важно! Для замены адреса источника на указанный адрес необходимо во вкладке DNAT активировать Флажок Включить SNAT.
|
|
Журналирование
|
Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
-
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет. В этом случае информация не будет записываться.
|
|
Источник
|
Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут DCFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни DCFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Важно! Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
|
|
Назначение
|
Один из внешних IP-адресов DCFW, доступный из сети интернет, куда адресован трафик внешних клиентов.
Важно! Обработка трафика происходит по следующей логике:
|
|
Сервис
|
Тип сервиса, который необходимо опубликовать, например, HTTP. Если не указан сервис, то будут опубликованы все сервисы.
Важно! Нельзя опубликовать сервисы, которые используют следующие порты, поскольку они используются внутренними сервисами UserGate: 2200, 8001, 4369, 9000-9100.
|
|
Адрес назначения DNAT
|
IP-адрес компьютера в локальной сети, который публикуется в интернет.
|
|
Включить SNAT
|
При включении данной опции DCFW будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.
|
|
Использование
|
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т.п.
|
Правила порт-форвардинга
Правила порт-форвардинга работают аналогично правилам DNAT за исключением того, что эти правила позволяют изменить номер порта, по которому публикуется внутренний сервис. Чтобы создать правило порт-форвардинга, необходимо нажать на кнопку Добавить в разделе Политики сети ➜ NAT и маршрутизация и указать необходимые параметры.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
|
Наименование
|
Описание
|
|
Включено
|
Включает или отключает правило.
|
|
Название
|
Название правила.
|
|
Описание
|
Описание правила.
|
|
Тип
|
Выбрать Порт-форвардинг.
|
|
Журналирование
|
Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
-
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет. В этом случае информация не будет записываться.
|
|
Источник
|
Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут DCFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни DCFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Важно! Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
|
|
Назначение
|
Зона, списки IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут DCFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни DCFW автоматически обновляет значение IP-адреса.
Важно! Обработка трафика происходит по следующей логике:
|
|
Порт-форвардинг
|
Переопределения портов публикуемых сервисов:
-
Оригинальный порт назначения — номер TCP/UDP-порта, на который пользователи шлют запросы.
Важно! Нельзя использовать следующие порты, поскольку они используются внутренними сервисами DCFW: 2200, 8001, 4369, 9000-9100.
-
Новый порт назначения — номер TCP/UDP-порта, на который будут пересылаться запросы пользователей на внутренний публикуемый сервер.
|
|
Адрес назначения DNAT
|
IP-адрес компьютера в локальной сети, который публикуется в интернете.
|
|
Включить SNAT
|
При включении данной опции DCFW будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.
|
|
Использование
|
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т.п.
|
Policy-based routing
Правила policy-based routing обычно используются для указания определенного маршрута в интернет для определенных хостов и/или сервисов. Например, в организации используются 2 провайдера и необходимо весь HTTP-трафик пересылать через провайдера 1, а весь остальной — через провайдера 2. Для этого необходимо указать в качестве шлюза по умолчанию в интернет-шлюз провайдера 2 и настроить правило policy-based routing для HTTPS-трафика через шлюз провайдера 1.
ПримечаниеПравила PBR не заменяют и не влияют на работу правил NAT. Для трансляции адресов, после правила PBR необходимо поставить соответствующее правило NAT.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило policy-based routing, необходимо нажать на кнопку Добавить в разделе Политики сети ➜ NAT и маршрутизация и указать необходимые параметры.
|
Наименование
|
Описание
|
|
Включено
|
Включает или отключает правило.
|
|
Название
|
Название правила.
|
|
Описание
|
Описание правила.
|
|
Тип
|
Выбрать Policy-based routing.
|
|
Шлюз
|
Выбор одного из существующих шлюзов. Вы можете добавить шлюз в разделе Сеть ➜ Шлюзы.
Важно! Выбранный шлюз может относиться к определенному виртуальному маршрутизатору.
|
|
Сценарий
|
Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии.
Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.
|
|
Журналирование
|
Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
-
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет. В этом случае информация не будет записываться.
|
|
Источник
|
Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут DCFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни DCFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Важно! Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
|
|
Пользователи
|
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.
|
|
Назначение
|
Зона, списки IP-адресов, списки гео IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут DCFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни DCFW автоматически обновляет значение IP-адреса.
Важно! Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
|
|
Сервис
|
Тип сервиса, например, HTTP, HTTPS или другой.
|
|
Использование
|
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т.п.
|
Network mapping
Правила Network mapping позволяют подменить адрес сети источника или назначения. Как правило, это необходимо, если имеется несколько сетей с одинаковой адресацией, например, 192.168.1.0/24, и их необходимо объединить в единую маршрутизируемую сеть. Без подмены адресов сетей такое объединение совершить невозможно. Network mapping изменяет только адрес сети, оставляя адрес хоста без изменений, например, при замене сети источника с 192.168.1.0/24 на 192.168.2.0/24 хост 192.168.1.1 будет изменен на 192.168.2.1.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Чтобы создать правило Network mapping, необходимо нажать на кнопку Добавить в разделе Политики сети ➜ NAT и маршрутизация и указать необходимые параметры.
|
Наименование
|
Описание
|
|
Включено
|
Включает или отключает правило.
|
|
Название
|
Название правила.
|
|
Описание
|
Описание правила.
|
|
Тип
|
Выбрать Network mapping.
|
|
Журналирование
|
Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты:
-
Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет. В этом случае информация не будет записываться.
|
|
Источник
|
Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут DCFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни DCFW автоматически обновляет значение IP-адреса.
Важно! Флажок Инвертировать не влияет на работу при использовании MAC-адресов.
Важно! Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
|
|
Назначение
|
Зона, списки IP-адресов, списки гео IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут DCFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни DCFW автоматически обновляет значение IP-адреса.
Важно! Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
|
|
Сервис
|
Тип сервиса, например, HTTP, HTTPS или другой.
|
|
Network mapping
|
Задаются параметры подмены сетей.
Направление:
-
Входящий, подменяется IP-сеть назначения. Будут изменены IP-адреса назначения в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в поле Новая IP-сеть/маска.
-
Исходящий, подменяется IP-сеть источника. Будут изменены IP-адреса источника в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в поле Новая IP-сеть/маска.
-
Новая IP-сеть/маска — адрес сети, на которую будет производится замена.
|
|
Использование
|
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т.п.
|
ID статьи: 1628
Последнее обновление: 21 ноя, 2024
Ревизия: 4
Просмотры: 4
Комментарии: 0
Теги
|
