Задача

Необходимо запретить или разрешить трафик для определенных приложений

Решение

Перейдите в раздел Политики сети ➜ Межсетевой экран. Создайте правило и укажите приложения, к которым оно должно применяться (в свойствах правила перейдите во вкладку Приложения и нажмите Добавить ➜ Добавить приложения).

Помимо отдельных приложений можно указать:

• Все группы приложений.

• Группы приложений: выберите группы приложений, к которым необходимо применить правило межсетевого экрана (добавление групп описано далее).

• Категории приложений: выберите категории приложений, к которым необходимо применить правило межсетевого экрана (например, Games, Web browsing и т.п.).

Чтобы создать группы приложений для более удобного использования в правилах фильтрации сетевого трафика:

1. Перейдите в раздел Библиотеки ➜ Приложения, на панели Группы приложений нажмите кнопку Добавить. Далее укажите название и описание группы приложений.

2. Добавьте приложения в созданную ранее группу, нажав на панели Приложения кнопку Добавить и выбрав нужные приложения.

Задача

Необходимо разрешить работу клиента Dropbox

Решение

Одной из возможных причин такого поведения является несоответствие алгоритмов шифрования, которые выбирает сервер алгоритмам, поддерживаемым браузером. Иными словами сервер может выбрать алгоритм шифрования, который не поддерживается браузером, но присутствует профиле инспектирования SSL. Большинство сайтов прекрасно работают при использовании SSL-профиля по умолчанию, тем не менее, чтобы исключить конфликт, можно посмотреть какие алгоритмы шифрования выбирает сервер и поддерживает браузер. Для этого нужно записать трафик между браузером и сервером и внести в настройки профиля инспектирования SSL только те алгоритмы, которые поддерживает браузер на вкладке: Свойства SSL-профиля ➜ Общие

Задача

Не работают правила, содержащие ограничения по пользователям, полученным с внешних серверов (например, LDAP-коннектора).

Решение

Возможны несколько причин возникновения данной проблемы.

Возможная причина №1

Для того чтобы пользователей можно было использовать в правилах любого модуля, пользователи должны пройти аутентификацию одним из поддерживаемых методов (подробнее читайте в соответствующем разделе руководства администратора).

Возможная причина №2

Случай ассиметричного трафика: пакет от клиента к серверу передаётся через UserGate, а обратный - напрямую к клиенту (без обработки на UserGate). В этом случае межсетевой экран с контролем состояния обратный пакет не привязывает к пользователю. В такой ситуации необходимо правильно настроить маршрутизацию трафика, чтобы все пакеты шли через UserGate либо настроить правило SNAT для отправки такого трафика от имени UserGate.

Задача

Необходимо разделить трафик пользователей: для одних пользователей UserGate должен работать в режиме явного прокси (Explicit Proxy Mode), для других - в режиме прозрачного прокси (Transparent Proxy Mode). Трафик от всех пользователей поступает на один интерфейс.

Решение

Поскольку весь трафик пользователей поступает на один интерфейс, UserGate автоматически применяет политики безопасности ко всему трафику с портами назначения 80 и 443.

Для разделения трафика выполните следующие действия:

1. Направьте трафик на разные интерфейсы (т.е. трафик, к которому должны быть применены политики UserGate направьте на один интерфейс, трафик, который должен пройти через UserGate без анализа - на другой); назначьте им разные зоны. Это позволит разделять трафик по признаку зоны источника.

Чтобы назначить двум интерфейсам адреса из одной сети (если нет другого маршрутизатора, на котором можно было бы выделить отдельную сеть), создайте для интерфейса, который будет указан как явный прокси, отдельный виртуальный маршрутизатор. В нём необходимо указать маршруты и шлюзы, аналогичные маршрутам и шлюзам маршрутизатора по умолчанию.

2. Для зоны источника интерфейса, указанного как шлюз по умолчанию, настройте разрешающие правила инспектирования SSL и фильтрации контента; расположите эти правила в начале списка.

Подробнее об алгоритме обработки трафика в UserGate версии 6.x.x читайте в статье UserGate NGFW 6 Packet Flow.

Возможно в вашей сети используются интерфейсы типа L2 мост. К сожалению, в текущей версии UserGate NGFW функционалы DNS фильтрации и моста L2 несовместимы, в результате при включении DNS фильтрации, DNS запросы через L2 мост работать не могут.

Задача

Некоторые приложения некорректно работают при использовании устройств MITM. Требуется исключить их из проксирования и инспектирования.

Решение

Данная проблема решается путем исключения трафика проблемных приложений из проксирования и SSL инспектирования, для этого необходимо: 

1. Создать список URL, содержащий доменные адреса, к которым подключаются проблемные сервисы. 
2. Настроить правило captive-портала с действием "Не использовать аутентификацию" и указать созданный список URL. Правило необходимо поместить выше правила captive-портала, предназначенного для авторизации. 
3. Настроить SSL-инспектирование с действием "Не расшифровывать" для созданного списка URL. Правило следует поместить выше правила расшифровки.  
4. Настроить разрешающее правило контентной фильтрации для созданного списка URL и поместить его выше остальных правил.   

  Журналирование для всех перечисленных правил нужно выключить. 

Использование одного адреса для публикации разных сервисов - это общепринятая практика. Каждое правило публикации перенаправляет соединения в соответствии с указанными в его настройках протоколами и портами.
ПО UserGate позволяет использование правил reverse-proxy для публикации одних портов и правил DNAT для других на одном общем адресе. В правилах reverse-прокси TCP-порт (или список портов) указывается в соответствующем поле на вкладке Общие, а в правиле DNAT протоколы и порты определяются сервисами выбранными на соответствующей вкладке. Если будет указан один и тот же порт для правил DNAT и reverse-прокси, то правила DNAT  сработает первым и правило reverse-прокси не сработает.
Правила межсетевого экрана в данном случае могут выполнять роль дополнительного фильтра, т.е. запрещать часть соединений автоматически разрешаемых правилами reverse-прокси и DNAT.

Более подробно о правилах прохождения пакетов через ПО UserGate можно посмотреть здесь.

Для решения задачи необходимо выполнить следующие шаги:

1. Добавить список запрещенных для NAT IP-адресов. Для этого по пути: Библиотеки ➜ IP-адеса, нужно добавить список запрещенных для NAT адресов.

2. В правилах NAT добавить данный список в качестве Источника или Назначения с установкой флага Инвертировать. Для этого: по пути: Политики сети ➜ NAT и маршрутизация, добавить правило NAT или отредактировать существующее. Открыть настройки Источника и/или Назначения, и добавить запрещенные адреса с флагом Инвертировать.

Проблема связана скорее всего с этим:

 Яндекс броузер при работе с Google сервисами меняет свой UserAgent на Chrome, из-за чего могут происходить ложные срабатывания правил и другие артефакты обработки трафика. Это можно нивелировать с помощью средств разработчика, путем выставления в броузере кастомного UserAgent на любую(даже не существующую) версию Яндекс броузер. При этом отключается механизм подмены своего UserAgent в Яндекс броузере.