Политики сети

NAT и маршрутизация

В разделе NAT и маршрутизация администратор может создавать правила NAT, NoNAT, DNAT, NoDNAT, Порт-форвардинга, Policy-based routing и Network mapping. UserGate NGFW поддерживает NAT/DNAT для сложных протоколов, которые могут использовать динамические порты для своей работы. Поддерживаются протоколы FTP, PPTP, SIP, H323.

События срабатывания правил отображаются в журнале трафика (Журналы и отчёты ➜ Журнал трафика), если в правиле включена опция журналирования.

ПримечаниеGeoIP не может использоваться в качестве адреса источника трафика в правилах NAT и в качестве адреса назначения трафика в правилах NAT, DNAT и порт-форвардинг.

Правила NAT

Как правило, для предоставления пользователям доступа в интернет необходимо создать хотя бы одно правило NAT из зоны Trusted в зону Untrusted.

ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

Чтобы создать правило NAT, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать следующие параметры:

Наименование	Описание
Включено	Включение или отключение правила.
Название	Название правила.
Теги	Указание опционального тега для маркировки правила. Подробнее — в разделе Теги руководства администратора. Доступно в версии 7.3.0 и выше.
Описание	Описание правила.
Тип	Тип правила. Выберите NAT.
SNAT IP (внешний адрес)	Явное указание IP-адреса, на который будет заменён адрес источника. Имеет смысл в случае наличия нескольких IP-адресов, назначенных интерфейсам зоны назначения. Если оставить это поле пустым, то система будет использовать произвольный адрес из списка доступных IP-адресов, назначенных интерфейсам зоны назначения. Допускается указание диапазона IP-адресов. Например, 192.168.10.10-192.168.10.20. В этом случае NGFW будет использовать все указанные адреса при Source NAT. Рекомендуется явно указывать SNAT IP для повышения производительности работы межсетевого экрана.
Журналирование	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования. Нет. В этом случае информация не будет записываться.
Вставить	Выбор места расположения правила в общем списке правил.
Источник	Зона, списки IP-адресов, списки URL источника трафика, MAC-адреса источника трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Важно!* Флажок Инвертировать не влияет на работу при использовании MAC-адресов. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Пользователи	Доступно начиная в версии 7.3.0 и выше. Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в главе Пользователи и устройства. Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение	Зона, списки IP-адресов, списки URL назначения трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «*» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Сервис	Тип сервиса. Например, HTTP, HTTPS или другой.
Использование	Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний. Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.

ПримечаниеРекомендуется создавать общие правила NAT, например правило NAT из локальной сети (обычно зона Trusted) в интернет (обычно зона Untrusted), а разграничение доступа по пользователям, сервисам, приложениям осуществлять с помощью правил межсетевого экрана.

Правила NoNAT

Правила NoNAT (доступно в версии ПО 7.4.0 и выше) полезны, когда из работающих в системе правил NAT необходимо исключить отдельные адреса узлов или подсетей без переписывания всей настроенной политики. Трафик, фильтруемый правилом NoNAT, будет проходить через систему без трансляции адресов.

Чтобы создать правило NoNAT, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать следующие параметры:

Наименование	Описание
Включено	Включение или отключение правила.
Название	Название правила.
Теги	Указание опционального тега для маркировки правила. Подробнее — в разделе Теги руководства администратора.
Описание	Описание правила.
Тип	Тип правила. Выберите NoNAT.
Журналирование	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования. Нет. В этом случае информация не будет записываться.
Вставить	Выбор места расположения правила в общем списке правил.
Источник	Зона, списки IP-адресов, списки URL, MAC-адреса источника трафика. Списки URL должны включать только имена доменов. Важно! Строки с символом «» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Важно!* Флажок Инвертировать не влияет на работу при использовании MAC-адресов. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Пользователи	Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в главе Пользователи и устройства. Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение	Зона, списки IP-адресов, списки URL назначения трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «*» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Сервис	Тип сервиса. Например, HTTP, HTTPS или другой.
Использование	Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний. Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.

Правила DNAT

Правила DNAT обычно используются для публикации внутренних ресурсов сети в интернет. Для публикации серверов HTTP/HTTPS рекомендуется использовать публикацию с помощью правил reverse-прокси. Подробнее о публикации ресурсов с помощью правил reverse-прокси — в главе Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси. Для публикации серверов, работающих по протоколам, отличным от HTTP/HTTPS, необходимо использовать публикацию DNAT.

Чтобы создать правило DNAT, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать следующие параметры:

Наименование	Описание
Включено	Включение или отключение правила.
Название	Название правила.
Теги	Указание опционального тега для маркировки правила. Подробнее — в разделе Теги руководства администратора. Доступно в версии ПО 7.3.0 и выше.
Описание	Описание правила.
Тип	Тип правила. Выберите DNAT.
SNAT IP (внешний адрес)	Явное указание IP-адреса, на который будет заменён адрес источника. Если SNAT IP не указан, то адрес источника будет заменён на адрес интерфейса NGFW, с которого отправлен пакет. Допускается указание диапазона IP-адресов. Например, 192.168.10.10-192.168.10.20. Важно! Для замены адреса источника на указанный адрес необходимо во вкладке DNAT активировать Флажок Включить SNAT.
Журналирование	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования. Нет. В этом случае информация не будет записываться.
Источник	Зона, списки IP-адресов, списки URL источника трафика, Geo IP-адреса, MAC-адреса источника трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Важно!* Флажок Инвертировать не влияет на работу при использовании MAC-адресов. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи	Доступно в версии 7.4.0 и выше. Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе Пользователи и устройства. Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение	Списки IP-адресов (внешние IP-адресоа NGFW, доступные из сети интернет, куда адресован трафик внешних клиентов), списки URL назначения трафика. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Сервис	Тип сервиса, который необходимо опубликовать. Например, HTTP. Если не указан сервис, то будут опубликованы все сервисы. Важно! Следующие порты не могут быть использованы для публикации сервисов, поскольку они уже используются внутренними службами NGFW: 2200, 8001, 4369, 9000-9100.
Адрес назначения DNAT	IP-адрес компьютера в локальной сети, который публикуется в интернет.
Включить SNAT	При включении данной опции NGFW будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.
Использование	Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний. Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.

ПримечаниеПри использовании нескольких правил DNAT с SNAT, отличающихся только условиями адреса назначения, действие SNAT будет выполняться только по первому правилу DNAT. Это обусловлено тем, что пакет, попавший под любое из этих правил, после изменения IP-адреса назначения не будет отличаться на сетевом и транспортном уровне модели OSI. При одинаковых DNAT IP необходимо в правилах DNAT иметь уникальные условия в зонах/сервисах/адресах источника.

ПримечаниеТрафик DNAT/порт-форвардинг не обрабатывается правилами межсетевого экрана, созданными по умолчанию (Default block). Подробнее — в разделе UserGate NGFW 7 Packet flow.

Правила NoDNAT

Правила NoDNAT (доступно в версии ПО 7.4.0 и выше) полезны, когда из работающих в системе правил DNAT необходимо исключить отдельные адреса узлов или подсетей без переписывания всей настроенной политики. Трафик, фильтруемый правилом NoDNAT, будет проходить через систему без трансляции адресов.

Чтобы создать правило NoDNAT, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать следующие параметры:

Наименование	Описание
Включено	Включение или отключение правила.
Название	Название правила.
Теги	Указание опционального тега для маркировки правила. Подробнее — в статье Теги руководства администратора.
Описание	Описание правила.
Тип	Тип правила. Выберите NoDNAT.
Журналирование	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования. Нет. В этом случае информация не будет записываться.
Вставить	Выбор места расположения правила в общем списке правил.
Источник	Зона, списки IP-адресов, списки URL, Geo IP, MAC-адреса источника трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Важно!* Флажок Инвертировать не влияет на работу при использовании MAC-адресов. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи	Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе Пользователи и устройства. Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение	Списки IP-адресов (внешние IP-адресоа NGFW, доступные из сети интернет, куда адресован трафик внешних клиентов), списки URL назначения трафика. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Сервис	Тип сервиса, который необходимо опубликовать. Например, HTTP. Если не указан сервис, то будут опубликованы все сервисы. Важно! Следующие порты не могут быть использованы для публикации сервисов, поскольку они уже используются внутренними службами NGFW: 2200, 8001, 4369, 9000-9100.
Использование	Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний. Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.

Правила порт-форвардинга

Правила порт-форвардинга работают аналогично правилам DNAT, за исключением того, что эти правила позволяют изменить номер порта, по которому публикуется внутренний сервис. Чтобы создать правило порт-форвардинга, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить указать необходимые параметры.

Наименование	Описание
Включено	Включение или отключение правила.
Название	Название правила.
Теги	Указание опционального тега для маркировки правила. Подробнее — в статье Теги руководства администратора. Доступно в версии 7.3.0 и выше.
Описание	Описание правила.
Тип	Тип правила. Выберите порт-форвардинг.
Журналирование	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования. Нет. В этом случае информация не будет записываться.
Источник	Зона, списки IP-адресов, списки URL источника трафика, Geo IP, MAC-адреса источника трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «» в таких списках не работают (игнорируются). Каждые пят минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Важно!* Флажок Инвертировать не влияет на работу при использовании MAC-адресов. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи	Доступно в версии 7.4.0 и выше. Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе Пользователи и устройства. Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение	Списки IP-адресов, списки URL назначения трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «*» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов.
Порт-форвардинг	Переназначение портов публикуемых сервисов: Оригинальный порт назначения — номер TCP/UDP-порта, на который пользователи шлют запросы; следующие порты не могут быть использованы для переназначения, поскольку они уже используются внутренними службами NGFW: 2200, 8001, 4369, 9000-9100; Новый порт назначения — номер TCP/UDP-порта, на который будут пересылаться запросы пользователей на внутренний публикуемый сервер.
Адрес назначения DNAT	IP-адрес компьютера в локальной сети, который публикуется в интернете.
Включить SNAT	При включении данной опции NGFW будет изменять адрес источника в пакетах из внешней сети на свой IP-адрес.
Использование	Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний. Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.

ПримечаниеТрафик DNAT/порт-форвардинг не обрабатывается правилами межсетевого экрана, созданными по умолчанию (Default block). Подробнее — в статье UserGate NGFW 7 Packet flow.

Policy-based routing

Правила policy-based routing (PBR) используются для указания определённого маршрута в интернет для выбранных узлов и/или сервисов. Например, в организации используются два провайдера и необходимо весь HTTP-трафик пересылать через провайдера 1, а весь остальной — через провайдера 2. Для этого необходимо указать в качестве шлюза по умолчанию интернет-шлюз провайдера 2 и настроить правило policy-based routing для HTTPS-трафика через шлюз провайдера 1.

ПримечаниеПравила PBR не заменяют и не влияют на работу правил NAT. Для трансляции адресов после правила PBR необходимо поставить соответствующее правило NAT.

ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Чтобы создать правило policy-based routing, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать необходимые параметры.

Наименование	Описание
Включено	Включение или отключение правила.
Название	Название правила.
Теги	Указание опционального тега для маркировки правила. Подробнее — в статье Теги руководства администратора. Доступно в версии 7.3.0 и выше.
Описание	Описание правила.
Тип	Тип правила. Выберите Policy-based routing.
Шлюз	Выбор одного из существующих шлюзов. Шлюз может быть добавлен в разделе Сеть ➜ Шлюзы. Важно! Выбранный шлюз может относиться к определенному виртуальному маршрутизатору.
Сценарий	Указание сценария, который должен быть активным для срабатывания правила. Подробнее о работе сценариев — в разделе Сценарии. Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.
Журналирование	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования. Нет. В этом случае информация не будет записываться.
Источник	Зона, списки IP-адресов, списки URL источника трафика, Geo IP, MAC-адреса источника трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Важно!* Флажок Инвертировать не влияет на работу при использовании MAC-адресов. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи	Доступно в версии 7.3.0 и выше. Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе Пользователи и устройства. Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение	Списки IP-адресов, списки URL назначения трафика, Geo IP. Список URL должен включать только имена доменов. Важно! Строки с символом «*» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Сервис	Тип сервиса. Например, HTTP, HTTPS или другой.
Использование	Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний. Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.

Network mapping

Правила Network mapping позволяют подменить адрес сети источника или назначения. Как правило, это необходимо, если имеется несколько сетей с одинаковой адресацией, и их необходимо объединить в единую маршрутизируемую сеть. Без подмены адресов сетей такое объединение совершить невозможно. Network mapping изменяет только адрес сети, оставляя адрес узла без изменений. Например, при замене сети источника с 192.168.1.0/24 на 192.168.2.0/24 узел 192.168.1.1 будет изменен на 192.168.2.1.

ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

Чтобы создать правило Network mapping, необходимо в разделе Политики сети ➜ NAT и маршрутизация нажать Добавить и указать следующие параметры:

Наименование	Описание
Включено	Включение или отключение правила.
Название	Название правила.
Теги	Указание опционального тега для маркировки правила. Подробнее — в статье Теги руководства администратора. Доступно в версии 7.3.0 и выше.
Описание	Описание правила.
Тип	Тип правила. Выберите Network mapping.
Журналирование	Запись в журнал информации о трафике при срабатывании правила. Возможны варианты: Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования. Нет. В этом случае информация не будет записываться.
Источник	Зона, списки IP-адресов, списки URL источника трафика, GeoIP, MAC-адреса источника трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Важно!* Флажок Инвертировать не влияет на работу при использовании MAC-адресов. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи	Доступно в версии 7.4.0 и выше. Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе Пользователи и устройства. Позволяет создавать правила NAT+SNAT для пользователей с учетом членства в группе. Например, разные группы пользователей в компании или разные отделы получают доступ в интернет с разных IP-адресов для отчетности и контроля.
Назначение	Списки IP-адресов, списки URL назначения трафика, GeoIP. Список URL должен включать только имена доменов. Важно! Строки с символом «*» в таких списках не работают (игнорируются). Каждые пять минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Сервис	Тип сервиса. Например, HTTP, HTTPS или другой.
Network mapping	Указание параметров подмены сетей. Новая IP-сеть/маска — адрес сети, на которую будет производится замена. Направление: Входящий, подменяется IP-сеть назначения. Будут изменены IP-адреса назначения в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в поле Новая IP-сеть/маска. Исходящий, подменяется IP-сеть источника. Будут изменены IP-адреса источника в трафике, попадающем под условия правила. Изменяется адрес сети на сеть, указанную в поле Новая IP-сеть/маска.
Использование	Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний. Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. д.

Наименование	Описание
Включен	Включает или отключает данное правило.
Название	Название правила балансировки.
Описание	Описание правила балансировки.
IP-адрес виртуального сервера	Необходимо выбрать из списка IP-адресов, назначенных на сетевые интерфейсы. При необходимости администратор может добавить дополнительные IP-адреса на желаемый интерфейс.
Порт	Порт, для которого необходимо производить балансировку нагрузки.
Протокол	Протокол — TCP или UDP — для которого необходимо производить балансировку нагрузки.
Метод балансировки	Возможны 4 различных метода распределения нагрузки на реальные серверы: Round robin: каждое новое подключение передается на следующий сервер в списке, равномерно загружая все серверы. Weighted round robin: работает аналогично Round robin, но загрузка реальных серверов осуществляется с учетом весовых коэффициентов, что позволяет распределить нагрузку с учетом производительности каждого сервера. Least connections: новое подключение передается на сервер, на который в данный момент установлено наименьшее число соединений. Weighted least connections: работает аналогично Least connections, но загрузка реальных серверов осуществляется с учетом весовых коэффициентов, что позволяет распределить нагрузку с учетом производительности каждого сервера.
Реальные серверы	Добавляется пул реальных серверов, на которые перенаправляется трафик. Для каждого из серверов необходимо указать: IP-адрес сервера. Порт сервера. Порт, на который пересылать запросы пользователей. Вес. Данный коэффициент используется для неравномерного распределения нагрузки на реальные серверы для режимов балансировки weighted round robin и weighted least connections. Чем больше вес, тем больше будет нагрузка на сервер. Режим. Может быть три варианта: Шлюз: для перенаправления трафика на виртуальный сервер используется маршрутизация. Маскарадинг: для перенаправления трафика на виртуальный сервер используется DNAT Маскарадинг с подменой IP-источника (SNAT): аналогично маскарадингу, но при этом NGFW подменяет IP-адрес источника на свой. Внимание! Поскольку в режиме Шлюз балансировщик не изменяет заголовки пакетов, то обратный трафик от реального сервера должен обеспечиваться средствами маршрутизации. Т.е. шлюз для обратного трафика должен отличаться от адреса NGFW.
Аварийный режим	Аварийный режим используется, когда не доступен ни один из реальных серверов. Для активации аварийного режима необходимо включить его и указать: IP-адрес сервера. Порт сервера. Порт, на который пересылать запросы пользователей. Режим. Может быть три варианта: Шлюз: для перенаправления трафика на виртуальный сервер используется маршрутизация. Максарадинг: для перенаправления трафика на виртуальный сервер используется DNAT. Маскарадинг с подменой IP-источника (SNAT): аналогично маскарадингу, но при этом NGFW подменяет IP-адрес источника на свой.
Мониторинг	С помощью мониторинга можно настроить проверку реальных серверов на определение их работоспособности. Если проверка прошла неуспешно для реального сервера, он исключается из балансировки.
Режим	Способ мониторинга реальных серверов. Возможны варианты: ping — проверить доступность узла с помощью утилиты ping. connect — проверить работоспособность узла, установив TCP-соединение на определенный порт. negotiate — проверить работоспособность узла посылкой определенного HTTP- или DNS-запроса и сравнением полученного ответа с ожидаемым ответом. Для настройки этого режима следует выбрать тип сервиса (HTTP или DNS), строки Запрос и Ожидаемый ответ. Например, для HTTP-запроса: Запрос: /robots.txt Ожидаемый ответ: Disallow: /bin/ Строка запроса тут указывает на путь на реальных серверах, который будет использован в HTTP-запросе. Строка ожидаемого ответа содержит фрагмент возвращаемой веб-страницы.
Интервал проверки	Интервал времени, через который должна выполняться проверка.
Время ожидания	Интервал времени ожидания ответа на проверку.
Число неудачных попыток	Количество попыток проверки реальных серверов, по истечению которого сервер будет считаться неработоспособным и будет исключен из балансировки.

Наименование	Описание
Включен	Включает или отключает данное правило.
Название	Название правила балансировки.
Описание	Описание правила балансировки.
Reverse-прокси профили	Выбрать reverse-прокси профили серверов, на которые будет распределяться нагрузка. Более подробно о публикации с помощью reverse-прокси читайте в разделе Публикация HTTP/HTTPS-ресурсов с помощью reverse-прокси.

Межсетевой экран

С помощью правил межсетевого экрана администратор может разрешить или запретить любой тип транзитного сетевого трафика, проходящего через UserGate NGFW. В качестве условий правила могут выступать зоны и IP-адреса источника/назначения, пользователи, группы, сервисы.

События срабатывания правил межсетевого экрана отображаются в журнале трафика (Журналы и отчёты ➜ Журнал трафика) при включении опции Журналирование в параметрах правил.

ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

ПримечаниеЕсли не создано ни одного правила, то любой транзитный трафик через NGFW запрещен.

В настройках разрешающих правил межсетевого экрана могут быть добавлены профили СОВ и/или профили приложений (L7), содержащие определенные наборы сигнатур. После того, как трафик попадает в первое разрешающее правило межсетевого экрана, поток данных начинает анализироваться сигнатурами профилей СОВ и/или L7. При срабатывании сигнатур к трафику применяется действие, настроенное в правиле, и производится соответствующая запись в журналах (в Журнале трафика – для приложений и в Журнале СОВ – для СОВ), если в профилях была включена опция Журналирование.

Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила.

Чтобы создать правило межсетевого экрана, необходимо нажать на кнопку Добавить в разделе Политики сети ➜ Межсетевой экран и указать необходимые параметры:

Наименование	Описание
Включено	Включает или отключает правило.
Название	Название правила.
Теги	Указание опционального тега для маркировки правила. Подробнее читайте в статье Теги руководства администратора. Опция доступна начиная с релиза ПО 7.3.0.
Описание	Описание правила.
Действие	Запретить: блокирует трафик. Разрешить: разрешает трафик.
Профиль приложений	Профиль приложений, созданный заранее в разделе Библиотеки ➜ Профили приложений. Профиль приложений включает в себя набор релевантных сигнатур приложений, предназначенный для использования в правилах межсетевого экрана для анализа трафика на 7 уровне модели OSI. Подробнее о создании и настройке профилей приложений читайте в разделе Профили приложений. Важно! Профиль приложений является дополнительным параметром для активации механизма анализа трафика на 7 уровне модели OSI. Может применяться только в правилах межсетевого экрана с разрешением прохождения трафика.
Профиль СОВ	Профиль СОВ, созданный заранее в разделе Библиотеки ➜ Профили СОВ. Профиль СОВ представляет собой набор релевантных сигнатур, предназначенный для обнаружения вторжений и защиты определенных сервисов. Подробнее о создании и настройке профилей СОВ читайте в разделе Профили СОВ. Важно! Профиль СОВ является дополнительным параметром для активации правила СОВ. Может применяться только в правилах межсетевого экрана с разрешением прохождения трафика.
Отбросить и	Настройка данного параметра доступна для правил, блокирующих трафик (выбрано действие Запретить). Параметр может принимать одно из следующих значений: Не выбран. Посылать ICMP host unreachable: блокировка трафика с отправкой ICMP-сообщения. Посылать TCP reset: блокировка трафика с отправкой сообщения о разрыве TCP-соединения. Важно! При выборе действия Посылать TCP reset необходимо указание сервиса (вкладка Сервис), использующего протокол TCP. Посылать TCP reset в обе стороны: блокировка трафика с отправкой сообщения о разрыве TCP-соединения клиенту и серверу.
Сценарий	Указывает сценарий, который должен быть активным для срабатывания правила. Подробно о работе сценариев смотрите в разделе Сценарии. Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработали одно или несколько триггеров сценария), то правило не сработает.
Журналирование	Записывает в журнал информацию о трафике при срабатывании правила. Возможны варианты: Журналировать начало сессии. В этом случае в журнал трафика будет записываться только информация о начале сессии (первый пакет). Это рекомендуемый вариант журналирования. Журналировать каждый пакет. В этом случае будет записываться информация о каждом передаваемом сетевом пакете. Для данного режима рекомендуется включать лимит журналирования для предотвращения высокой загрузки устройства. Нет. В этом случае информация не будет записываться.
Источник	Зона, списки IP-адресов, списки гео IP-адресов, списки URL источника трафика. Список URL должен включать только имена доменов. Важно! Строки с символом '' в таких списках не работают (игнорируются). Каждые 5 минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Важно!* Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи	Список пользователей или групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Более подробно об идентификации пользователей читайте в главе Пользователи и устройства.
Назначение	Зона, списки IP-адресов, списки гео IP-адресов, списки URL назначения трафика. Список URL должен включать только имена доменов. Важно! Строки с символом '' в таких списках не работают (игнорируются). Каждые 5 минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Важно!* Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Сервис	Тип сервиса, например, HTTP или HTTPS.
Время	Интервалы времени, когда правило активно.
HIP профили	HIP профили, созданные в разделе Библиотеки ➜ HIP профили. HIP профили представляют собой набор объектов HIP и предназначены для проверки соответствия конечного устройства требованиям безопасности (комплаенса). Подробнее о создании и настройке HIP профилей читайте в разделе HIP профили. Важно! В случае выключения профиля HIP, он будет помечен серым цветом, а правило межсетевого экрана продолжает работать без условия проверки комплаенса.
Использование	Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний, а также таблица срабатываний по приложениям. Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики.
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т.п.

Расширенный поиск в разделе Политики сети --> Межсетевой экран доступен по следующим параметрам.

Наименование	Описание
enabled	Поиск включенных или выключенных правил. Может принимать значения: true: для отображения всех включенных правил. false: для отображения все выключенных правил.
pos	Поиск по позиции правила в списке (1, 2 и т.д.).
log	Поиск правила по включенной/выключенной функции журналирования. Возможны следующие значения: true или enabled: отображение правил, в которых включена функция журналирования (журналировать начало сессии или журналировать все сетевые пакеты). false или disabled: отображение правил, в которых журналирование отключено. all: отображение правил, в которых настроено журналирование всех сетевых пакетов. start: отображение правил, в которых настроено журналирование начала сессии.
name	Поиск правил по названию.
action	Поиск правил по действию, настроенному в правилах межсетевого экрана: Разрешить (allow): разрешает трафик. Запретить (deny): блокирует трафик.
applicationProfile	Поиск правил межсетевого экрана по указанному при настройке профилю приложений. Поиск производится по правилам с действием Разрешить.
ipsProfile	Поиск правил межсетевого экрана по указанному при настройке профилю СОВ. Поиск производится по правилам с действием Разрешить.
zoneSource	Поиск правил по зоне источника трафика (например, Trusted).
ipSource	Поиск правил по IP-адресу источника трафика. Адрес должен входить в список IP-адресов, созданный в разделе Библиотеки --> IP-адреса или в свойствах правила.
ipSourceName	Поиск правил по названию IP-листа источника трафика.
countrySource	Поиск правил по названию страны источника трафика (Russia, Austria и т.п.). Страна источника может быть добавлена в свойствах правила во вкладке Источник (Добавить Geoip). Например, поисковый запрос countrySource = russia отобразит список правил, в которых в качестве страны источника указана Россия (Russia) или Geo IP не указан (т.е. любой Geo IP).
portSource	Поиск правил по порту источника трафика. Порты, которые используются сервисами, можно настроить в разделе Библиотеки --> Сервисы.
zoneDest	Поиск правил по зоне назначения трафика (например, Untrusted).
ipDest	Поиск правил межсетевого экрана по IP-адресу назначения. Адрес должен входить в список IP-адресов, созданный в разделе Библиотеки --> IP-адреса или в свойствах правила.
ipDestName	Поиск правил по названию IP-листа назначения трафика.
countryDest	Поиск правил по названию страны назначения трафика (Russia, Austria и т.п.). Страна назначения может быть добавлена в свойствах правила во вкладке Назначение (Добавить Geoip). Например, поисковый запрос countryDest = russia отобразит список правил, в которых в качестве страны назначения указана Россия (Russia) или Geo IP не указан (т.е. любой Geo IP).
portDest	Поиск правил по порту назначения трафика. Порты, которые используются сервисами, можно настроить в разделе Библиотеки --> Сервисы.
user	Поиск правил по пользователям, для которых они применяются. Правило может быть применено для следующих типов пользователей: Пользователь Unknown: пользователи, не идентифицированные системой. Пользователь Known: пользователи, идентифицированные системой с помощью серверов авторизации. Пользователь Any: любой пользователь (Known или Unknown). Определённый пользователь: конкретный пользователь, идентифицированный в системе. Пользователи могут быть заведены локально (локальные пользователи) или получены с внешних каталогов (например, Microsoft Active Directory). При поиске, требующем полного совпадения (операторы = или !=) логина/имени пользователя, также будет производиться поиск по группам пользователей.
userId	Поиск правил по ID пользователя; также будут отображены правила, в которых указаны группы пользователя.
group	Поиск по группам пользователей, для которых применено правило межсетевого экрана. Группы пользователей могут быть заведены локально или получены с внешних каталогов (например, Microsoft Active Directory).
groupId	Поиск правила по идентификатору группы пользователей.
service	Поиск правила по указанному типу сервиса (например, HTTP или HTTPS).
active	Поиск правил, активных/не активных в текущий момент времени (во время выполнения поискового запроса): true: отображение правил, для которых текущее время попадает в заданные интервалы активности. false: отображение правил, для которых текущее время не попадает в заданные интервалы активности. Время работы правила может быть задано в свойствах во вкладке Время. Для этого используются календари, которые могут быть созданы и настроены в разделе Библиотеки --> Календари или в свойствах правила.
scenario	Поиск правил по названию сценария, который должен быть активным для срабатывания правила (добавление и настройка сценариев доступна в разделе Политики безопасности --> Сценарии).
description	Поиск правил по описанию правила.

ПримечаниеПоисковый запрос не распространятся на правило Default block. Т.е., даже если поиск правил происходит по запросу action = allow, правило Default block, настроенное на блокировку трафика, будет отражено в конце списка.