Product: SWG
Version: 7.5.x
В разделе NAT и маршрутизация администратор может создавать правила NAT, NoNAT, DNAT, NoDNAT, трансляции портов, PBR и Network mapping. UserGate SWG поддерживает NAT/DNAT для сложных протоколов, которые могут использовать динамические порты для своей работы. Поддерживаются протоколы FTP, PPTP, SIP, H323.
События срабатывания правил отображаются в журнале трафика (Журналы и отчёты ➜ Журнал трафика), если в правиле включена опция журналирования.
ПримечаниеGeoIP не может использоваться в качестве адреса источника трафика в правилах NAT и в качестве адреса назначения трафика в правилах NAT, DNAT и трансляции портов.
Правила NAT
Как правило, для предоставления пользователям доступа в интернет необходимо создать хотя бы одно правило NAT из зоны Trusted в зону Untrusted.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Срабатывает только первое правило, в котором выполняются все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Вы можете изменить порядок правил в списке с помощью мыши или с помощью значков «Выше», «Ниже», «Наверх», «Вниз» в панели инструментов.
ПримечаниеФлажок «Инвертировать» меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило NAT, перейдите в раздел Настройки ➜ Политики сети ➜ NAT и маршрутизация, нажмите Добавить и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение правила
|
|
Название
|
Название правила
|
|
Теги
|
Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги»
|
|
Описание
|
Описание правила
|
|
Тип
|
Тип правила. Выберите NAT
|
|
SNAT IP (внешний адрес)
|
Явное указание IP-адреса, на который будет заменён адрес источника. Имеет смысл в случае наличия нескольких IP-адресов, назначенных интерфейсам зоны назначения. Если оставить это поле пустым, система будет использовать произвольный адрес из списка доступных IP-адресов, назначенных интерфейсам зоны назначения.
Допускается указание диапазона IP-адресов. Например, 192.168.10.10-192.168.10.20. В этом случае UserGate SWG будет использовать все указанные адреса для Source NAT.
Рекомендуется явно указывать SNAT IP для повышения производительности работы межсетевого экрана
|
|
Журналирование
|
Запись в журнал информации о трафике при срабатывании правила.
Возможные варианты:
-
Журналировать начало сессии — в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет — в этом случае информация не будет записываться
|
|
Вставить
|
Выбор места расположения правила в общем списке
|
|
Источник
|
Зона, списки IP-адресов, списки URL источника трафика, MAC-адреса источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Важно! Флажок «Инвертировать» не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов
|
|
Пользователи
|
Список пользователей или групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known настройте идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства».
Использование этого параметра позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля
|
|
Назначение
|
Зона, списки IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов
|
|
Сервис
|
Тип сервиса. Например, HTTP, HTTPS или другой
|
|
Использование
|
Статистика срабатывания правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, выделите правила в списке и нажмите Сбросить счётчики
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к этому правилу
|
ПримечаниеРекомендуется создавать общие правила NAT, например правило NAT из локальной сети (обычно зона Trusted) в интернет (обычно зона Untrusted), а разграничение доступа по пользователям, сервисам, приложениям осуществлять с помощью правил межсетевого экрана.
Правила NoNAT
Правила NoNAT используются, когда из работающих в системе правил NAT необходимо исключить отдельные адреса узлов или подсетей без переписывания всей настроенной политики. Трафик, фильтруемый правилом NoNAT, будет проходить через систему без трансляции адресов.
Чтобы создать правило NoNAT, перейдите в раздел Настройки ➜ Политики сети ➜ NAT и маршрутизация, нажмите Добавить и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение правила.
|
|
Название
|
Название правила.
|
|
Теги
|
Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги» |
|
Описание
|
Описание правила
|
|
Тип
|
Тип правила. Выберите NoNAT
|
|
Журналирование
|
Запись в журнал информации о трафике при срабатывании правила.
Возможные варианты:
-
Журналировать начало сессии — в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет — в этом случае информация не будет записываться
|
|
Вставить
|
Выбор места расположения правила в общем списке
|
|
Источник
|
Зона, списки IP-адресов, списки URL, MAC-адреса источника трафика.
Списки URL должны включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Важно! Флажок «Инвертировать» не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов или доменов
|
|
Пользователи
|
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства».
Использование этого параметра позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля
|
|
Назначение
|
Зона, списки IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов или доменов
|
|
Сервис
|
Тип сервиса. Например, HTTP, HTTPS или другой
|
|
Использование
|
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, выделите правила в списке и нажмите Сбросить счётчики
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к этому правилу.
|
Правила DNAT
Правила DNAT обычно используются для публикации внутренних ресурсов сети в интернет. Для публикации серверов HTTP/HTTPS рекомендуется использовать публикацию с помощью правил reverse-прокси. Подробнее о публикации ресурсов с помощью правил reverse-прокси — в разделе «Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси». Для публикации серверов, работающих по протоколам, отличным от HTTP/HTTPS, необходимо использовать публикацию DNAT.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Срабатывает только первое правило, в котором выполняются все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Вы можете изменить порядок правил в списке с помощью мыши или с помощью значков «Выше», «Ниже», «Наверх», «Вниз» в панели инструментов.
ПримечаниеФлажок «Инвертировать» меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило DNAT, перейдите в раздел Настройки ➜ Политики сети ➜ NAT и маршрутизация, нажмите Добавить и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение правила
|
|
Название
|
Название правила
|
|
Теги
|
Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги» |
|
Описание
|
Описание правила
|
|
Тип
|
Тип правила. Выберите DNAT
|
|
SNAT IP (внешний адрес)
|
Явное указание IP-адреса, на который будет заменён адрес источника. Если SNAT IP не указан, то адрес источника будет заменён на адрес интерфейса UserGate SWG, с которого отправлен пакет.
Допускается указание диапазона IP-адресов. Например, 192.168.10.10-192.168.10.20.
Важно! Для замены адреса источника на указанный адрес необходимо на вкладке «DNAT» активировать Флажок «Включить SNAT»
|
|
Журналирование
|
Запись в журнал информации о трафике при срабатывании правила.
Возможные варианты:
-
Журналировать начало сессии — в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет — в этом случае информация не будет записываться
|
|
Источник
|
Зона, списки IP-адресов, списки URL источника трафика, GeoIP-адреса, MAC-адреса источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Важно! Флажок «Инвертировать» не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов
|
|
Пользователи
|
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства».
Использование этого параметра позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля
|
|
Назначение
|
Списки IP-адресов (внешние IP-адресов UserGate SWG, доступные из сети интернет, на которые адресован трафик внешних клиентов), списки URL назначения трафика.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов или доменов
|
|
Сервис
|
Тип сервиса, который необходимо опубликовать.
Если не указан сервис, будут опубликованы все сервисы
Важно! Следующие порты не могут быть использованы для публикации сервисов, поскольку они уже используются внутренними службами UserGate SWG: 2200, 8001, 4369, 9000-9100.
|
|
Адрес назначения DNAT
|
IP-адрес компьютера в локальной сети, который публикуется в интернет
|
|
Включить SNAT
|
При включении данной опции UserGate SWG будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес
|
|
Использование
|
Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, выделите правила в списке и нажмите Сбросить счётчики
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к этому правилу
|
ПримечаниеПри использовании нескольких правил DNAT с SNAT, отличающихся только условиями адреса назначения, действие SNAT будет выполняться только по первому правилу DNAT. Это обусловлено тем, что пакет, попавший под любое из этих правил, после изменения IP-адреса назначения не будет отличаться на сетевом и транспортном уровне модели OSI. При одинаковых DNAT IP необходимо в правилах DNAT иметь уникальные условия в зонах, сервисах, адресах источника.
ПримечаниеТрафик DNAT/трансляции портов не обрабатывается правилами межсетевого экрана, созданными по умолчанию (Default block).
Правила NoDNAT
Правила NoDNAT используются, когда из работающих в системе правил DNAT необходимо исключить отдельные адреса узлов или подсетей без переписывания всей настроенной политики. Трафик, фильтруемый правилом NoDNAT, будет проходить через систему без трансляции адресов.
Чтобы создать правило NoDNAT, перейдите в раздел Настройки ➜ Политики сети ➜ NAT и маршрутизация, нажмите Добавить и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение правила
|
|
Название
|
Название правила
|
|
Теги
|
Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги» |
|
Описание
|
Описание правила
|
|
Тип
|
Тип правила. Выберите NoDNAT
|
|
Журналирование
|
Запись в журнал информации о трафике при срабатывании правила.
Возможные варианты:
-
Журналировать начало сессии — в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет — в этом случае информация не будет записываться
|
|
Вставить
|
Выбор места расположения правила в общем списке
|
|
Источник
|
Зона, списки IP-адресов, списки URL, GeoIP, MAC-адреса источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Важно! Флажок «Инвертировать» не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов
|
|
Пользователи
|
Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства».
Использование этого параметра позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля
|
|
Назначение
|
Списки IP-адресов (внешние IP-адресов UserGate SWG, доступные из сети интернет, на которые адресован трафик внешних клиентов), списки URL назначения трафика.
Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов
|
|
Сервис
|
Тип сервиса, который необходимо опубликовать.
Если не указан сервис, будут опубликованы все сервисы
Важно! Следующие порты не могут быть использованы для публикации сервисов, поскольку они уже используются внутренними службами UserGate SWG: 2200, 8001, 4369, 9000-9100.
|
|
Использование
|
Статистика срабатывания о правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, выделите правила в списке и нажмите Сбросить счётчики
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к этому правилу
|
Правила трансляции портов
Правила трансляции портов (port forwarding) работают аналогично правилам DNAT, за исключением того, что эти правила позволяют изменить номер порта, по которому публикуется внутренний сервис.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Срабатывает только первое правило, в котором выполняются все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Вы можете изменить порядок правил в списке с помощью мыши или с помощью значков «Выше», «Ниже», «Наверх», «Вниз» в панели инструментов.
ПримечаниеФлажок «Инвертировать» меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило трансляции портов, перейдите в раздел Настройки ➜ Политики сети ➜ NAT и маршрутизация, нажмите Добавить и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение правила
|
|
Название
|
Название правила
|
|
Теги
|
Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги»
|
|
Описание
|
Описание правила
|
|
Тип
|
Тип правила. Выберите Порт-форвардинг
|
|
Журналирование
|
Запись в журнал информации о трафике при срабатывании правила.
Возможные варианты:
-
Журналировать начало сессии — в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет — в этом случае информация не будет записываться
|
|
Источник
|
Зона, списки IP-адресов, списки URL источника трафика, GeoIP, MAC-адреса источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пят минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Важно! Флажок «Инвертировать» не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов
|
|
Пользователи
|
Список пользователей или групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства».
Использование этого параметра позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля
|
|
Назначение
|
Списки IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике:
|
|
Порт-форвардинг
|
Трансляция портов публикуемых сервисов:
-
Оригинальный порт назначения — номер TCP- или UDP-порта, на который приходят запросы; следующие порты не могут быть использованы для переназначения, поскольку они уже используются внутренними службами UserGate SWG: 2200, 8001, 4369, 9000-9100;
-
Новый порт назначения — номер TCP- или UDP-порта, на который будут пересылаться запросы на внутренний публикуемый сервер
|
|
Адрес назначения DNAT
|
IP-адрес узла в локальной сети, который публикуется в интернет
|
|
Включить SNAT
|
При включении этой опции UserGate SWG будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес
|
|
Использование
|
Статистика срабатывания правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, выделите правила в списке и нажмите Сбросить счётчики
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к этому правилу
|
ПримечаниеТрафик DNAT/трансляции портов не обрабатывается правилами межсетевого экрана, созданными по умолчанию (Default block).
Правила маршрутизации на основе политик
Правила маршрутизации на основе политик (policy-based routing, PBR) используются для указания определённого маршрута в интернет для выбранных узлов или сервисов. Например, в организации используются два провайдера и необходимо весь HTTP-трафик пересылать через провайдера 1, а весь остальной — через провайдера 2. Для этого необходимо указать в качестве шлюза по умолчанию интернет-шлюз провайдера 2 и настроить правило PBR для HTTPS-трафика через шлюз провайдера 1.
ПримечаниеПравила PBR не заменяют и не влияют на работу правил NAT. Для трансляции адресов после правила PBR необходимо поставить соответствующее правило NAT.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Срабатывает только первое правило, в котором выполняются все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Вы можете изменить порядок правил в списке с помощью мыши или с помощью значков «Выше», «Ниже», «Наверх», «Вниз» в панели инструментов.
ПримечаниеФлажок «Инвертировать» меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Чтобы создать правило PBR, перейдите в раздел Настройки ➜ Политики сети ➜ NAT и маршрутизация, нажмите Добавить и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение правила
|
|
Название
|
Название правила
|
|
Теги
|
Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги»
|
|
Описание
|
Описание правила
|
|
Тип
|
Тип правила. Выберите Policy-based routing
|
|
Шлюз
|
Выбор одного из существующих шлюзов. Шлюз может быть добавлен в разделе Сеть ➜ Шлюзы
Важно! Выбранный шлюз может относиться к определенному виртуальному маршрутизатору.
|
|
Журналирование
|
Запись в журнал информации о трафике при срабатывании правила.
Возможные варианты:
-
Журналировать начало сессии — в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет — в этом случае информация не будет записываться
|
|
Источник
|
Зона, списки IP-адресов, списки URL источника трафика, GeoIP, MAC-адреса источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Важно! Флажок «Инвертировать» не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
|
|
Пользователи
|
Список пользователей или групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства».
Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля
|
|
Назначение
|
Списки IP-адресов, списки URL назначения трафика, GeoIP.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов
|
|
Сервис
|
Тип сервиса. Например, HTTP, HTTPS или другой
|
|
Использование
|
Статистика срабатывания правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, выделите правила в списке и нажмите Сбросить счётчики
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к этому правилу
|
Правила трансляции адресов сетей
Правила трансляции адресов сетей (network mapping) позволяют подменить адрес сети источника или назначения. Как правило, это необходимо, если имеется несколько сетей с одинаковой адресацией и их необходимо объединить в единую маршрутизируемую сеть. Без подмены адресов сетей такое объединение совершить невозможно. Network mapping изменяет только адрес сети, оставляя адрес узла без изменений. Например, при замене сети источника с 192.168.1.0/24 на 192.168.2.0/24 узел 192.168.1.1 будет изменен на 192.168.2.1.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
Чтобы создать правило Network mapping, перейдите в раздел Настройки ➜ Политики сети ➜ NAT и маршрутизация, нажмите Добавить и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение правила
|
|
Название
|
Название правила
|
|
Теги
|
Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги»
|
|
Описание
|
Описание правила
|
|
Тип
|
Тип правила. Выберите Network mapping
|
|
Журналирование
|
Запись в журнал информации о трафике при срабатывании правила.
Возможные варианты:
-
Журналировать начало сессии — в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования.
-
Нет — в этом случае информация не будет записываться
|
|
Источник
|
Зона, списки IP-адресов, списки URL источника трафика, GeoIP, MAC-адреса источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Важно! Флажок «Инвертировать» не влияет на работу при использовании MAC-адресов.
Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов
|
|
Пользователи
|
Список пользователей или групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства».
Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля
|
|
Назначение
|
Списки IP-адресов, списки URL назначения трафика, GeoIP.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов
|
|
Сервис
|
Тип сервиса. Например, HTTP, HTTPS или другой
|
|
Network mapping
|
Указание параметров подмены сетей.
|
|
Использование
|
Статистика срабатывания правила: общее количество срабатываний, время первого и последнего срабатываний.
Чтобы сбросить счётчик срабатываний, выделите правила в списке и нажмите Сбросить счётчики
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к этому правилу
|
