Данный большой раздел содержит в себе все записи, адреса сайтов, IP-адреса, шаблоны и прочие элементы, которые используются при настройке правил UserGate WAF.
Первоначальные данные библиотек поставляются вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Некоторые элементы библиотек являются нередактируемыми, потому что поставляются и поддерживаются разработчиками UserGate. Библиотеки элементов, поставляемые UserGate, имеют механизм автоматического обновления. Автоматическое обновление элементов требует наличия специальной лицензии. Более подробно о лицензии на продукт вы можете прочитать в главе Лицензирование.
Раздел IP-адреса содержит список диапазонов IP-адресов, которые могут быть использованы при построении правил WAF. Первоначальный список адресов поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового списка адресов необходимо выполнить следующие шаги:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать список. |
На панели Группы нажать на кнопку Добавить, дать название списку IP-адресов. |
|
Шаг 2. Указать адрес обновления списка (не обязательно). |
Указать адрес сервера, где находится обновляемый список. Более подробно об обновляемых списках смотрите далее в этой главе. |
|
Шаг 3. Добавить IP-адреса. |
На панели Адреса из выбранной группы нажать на кнопку Добавить и ввести адреса. IP-адреса вводятся в виде IP-адрес, IP-адрес/маска сети или диапазон IP-адресов, например: 192.168.1.5, 192.168.1.0/24 или 192.168.1.5-192.168.2.100. |
Администратор имеет возможность создавать свои списки IP-адресов и централизованно распространять их на все узлы WAF UserGate. Для создания такого списка необходимо выполнить следующие действия:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать файл с необходимыми IP-адресами. |
Создать файл list.txt со списком адресов. Список адресов записывается в обычный текстовый файл, где адреса прописываются в столбик без знаков препинания. Например:
|
|
Шаг 2. Создать архив, содержащий этот файл. |
Поместить файл в архив zip с именем list.zip. |
|
Шаг 3. Создать файл с версией списка. |
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка. |
|
Шаг 4. Разместить файлы на веб-сервере. |
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания. |
|
Шаг 5. Создать список IP-адресов и указать URL для обновления. |
На каждом WAF создать список IP-адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. WAF будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. ПримечаниеURL списка задается в формате: http://x.x.x.x/ или ftp://x.x.x.x/.
Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
|
UserGate может проверять чек-сумму файлов обновляемых списков. Для приведенного примера WAF будет запрашивать файл list.zip.md5, содержащий чек-сумму файла list.zip. Его наличие не обязательно, но если он есть, чек-сумма должна быть корректной.
Получить чек-сумму в linux можно командой:
md5sum list.zip
Её вывод добавляется в файл как хэш list.zip, после чего сохраняется в формате md5. Например, содержимое файла list.zip.md5:
04d7d1223ba8ff02396355a2bc3b3d52 list.zip
С помощью фильтрации по Useragent браузеров администратор может запретить или разрешить работу пользователей только с определенным типом браузеров.
Первоначальный список Useragent поставляется вместе с продуктом. Для фильтрации по типу Useragent необходимо выполнить следующие действия:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать список Useragent. |
В панели Категории нажать на кнопку Добавить и задать название нового списка Useragent, опционально, описание списка и URL обновления. |
|
Шаг 2. Добавить необходимые Useragent браузеров в новый список. |
В панели Шаблоны useragent добавить необходимый Useragent. Исчерпывающий список строк Useragent представлен тут: http://www.useragentstring.com/pages/useragentstring.php |
|
Шаг 3. Создать UPL-правило, содержащее один или несколько списков. |
Читайте подробнее о персональных слоях в разделе WAF. |
Администратор имеет возможность создавать свои списки Useragent и централизованно распространять их на все узлы WAF UserGate. Для создания такого списка необходимо выполнить следующие действия:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать файл с необходимыми Useragent. |
Создать файл list.txt со списком Useragent. |
|
Шаг 2. Создать архив, содержащий этот файл. |
Поместить файл в архив zip с именем list.zip. |
|
Шаг 3. Создать файл с версией списка. |
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка. |
|
Шаг 4. Разместить файлы на веб-сервере. |
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания. |
|
Шаг 5. Создать список Useragent и указать URL для обновления. |
На каждом WAF создать список Useragent. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. WAF будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
|
UserGate может проверять чек-сумму файлов обновляемых списков. Для приведенного примера WAF будет запрашивать файл list.zip.md5, содержащий чек-сумму файла list.zip. Его наличие не обязательно, но если он есть, чек-сумма должна быть корректной.
Получить чек-сумму в linux можно командой:
md5sum list.zip
Её вывод добавляется в файл как хэш list.zip, после чего сохраняется в формате md5. Например, содержимое файла list.zip.md5:
04d7d1223ba8ff02396355a2bc3b3d52 list.zip
Страница предназначена для задания списков указателей URL, которые могут быть использованы в правилах контентной фильтрации в качестве черных и белых списков.
|
Наименование |
Описание |
|---|---|
|
Список поисковых систем без безопасного поиска |
Список известных поисковых систем, на которых отсутствует возможность блокировки поисковых запросов взрослого содержания. Рекомендуется блокировать такие поисковики для целей родительского контроля. |
|
Соответствие списку запрещенных URL Министерства Юстиции РФ |
Данный список содержит URL, запрещенные Министерством Юстиции Российской Федерации. |
|
Соответствие списку запрещенных URL Республики Казахстан |
Единый реестр доменных имен, указателей страниц сайтов в сети интернет и сетевых адресов, содержащих информацию, распространение которой запрещено в Республике Казахстан. |
|
Список образовательных учреждений |
Список доменных имен образовательных учреждений РФ. |
|
Список фишинговых сайтов |
Данный список содержит URL фишинговых сайтов. |
|
Соответствие реестру запрещенных сайтов Роскомнадзора (URL) |
Единый реестр указателей страниц сайтов в сети интернет, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru. |
|
Соответствие реестру запрещенных сайтов Роскомнадзора (домены) |
Единый реестр доменных имен, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://eais.rkn.gov.ru. |
Для фильтрации с помощью списков URL необходимо выполнить следующие действия:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать список URL. |
В разделе Библиотеки ➜ Списки URL нажать на кнопку Добавить, задать название нового списка. Выбрать Тип списка — Локальный или Обновляемый. Для обновляемого списка указать URL обновления и настроить Расписание скачивания обновлений. Установить категорию создаваемого списка в поле Чувствительность к регистру:
Категория списка задается при его создании. Изменить категорию после создания списка нельзя. |
|
Шаг 2. Добавить необходимые записи в новый список. |
Добавить записи URL в новый список. В списках можно использовать специальные символы «^», «$» и «*»: «*» — любое количество любых символов «^» — начало строки «$» — конец строки Символы «?» и «#» не могут быть использованы. |
|
Шаг 3. Создать UPL-правило, содержащее один или несколько списков. |
Читайте подробнее о персональных слоях в разделе WAF. |
Если URL-запись начинается с http://, «https://», «ftp://» или содержит один или более символов «/», то это считается URL и применяется только для HTTP(S) фильтрации, к DNS-фильтрации такая запись не применяется. В противном случае строка рассматривается как имя домена и применяется для DNS-фильтрации и HTTP(S)-фильтрации.
Если вы хотите заблокировать точный адрес, используйте символы «^» и «$»:
^http://domain.com/exacturl$
Для блокирования точного URL всех дочерних папок используйте символ «^»:
^http://domain.com/exacturl/
Для блокирования домена со всеми возможными URL используйте запись такого вида:
domain.com
Пример интерпретации URL-записей:
|
Пример записи |
Обработка DNS- запросов |
Обработка HTTP-запросов |
|---|---|---|
|
yahoo.com или *yahoo.com* |
Блокируется весь домен и домены более высоких (3,4 и т.д.) уровней, например: sport.yahoo.com mail.yahoo.com а также: qweryahoo.com |
Блокируется весь домен и все URL этого домена, а также домены более высоких (3,4 и т.д.) уровней, например: http://sport.yahoo.com http://mail.yahoo.com https://mail.yahoo.com http://sport.yahoo.com/123 http://qwertyahoo.com/ |
|
^mail.yahoo.com$ |
Заблокирован только mail.yahoo.com |
Заблокированы только: http://mail.yahoo.com https://mail.yahoo.com |
|
^mail.yahoo.com/$ |
Ничего не заблокировано |
Ничего не заблокировано, так как последний символ слэш определяет URL, но не указаны «https» или «http» |
|
^http://finance.yahoo.com/personal-finance/$ |
Ничего не заблокировано |
Заблокирован только: http://finance.yahoo.com/personal-finance/ |
|
^yahoo.com/12345/ |
Ничего не заблокировано |
Заблокированы: http://yahoo.com/12345/whatever/ https://yahoo.com/12345/whatever/ |
Администратор имеет возможность создавать собственные списки и централизованно распространять их на все узлы WAF UserGate. Для создания таких списков необходимо выполнить следующие действия:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать файл с необходимым списком URL. |
Создать текстовый файл list.txt со списком URL в следующем формате: www.site1.com/url1 www.site2.com/url2 ... www.siteend.com/urlN |
|
Шаг 2. Создать архив, содержащий этот файл. |
Поместить файл в архив zip с именем list.zip. |
|
Шаг 3. Создать файл с версией списка. |
Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении списка. |
|
Шаг 4. Разместить файлы на веб-сервере. |
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания. |
|
Шаг 5. Создать список и указать URL для обновления. |
На каждом WAF создать список URL. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. WAF будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. ПримечаниеURL списка задается в формате: http://x.x.x.x/ или ftp://x.x.x.x/.
Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
|
UserGate может проверять чек-сумму файлов обновляемых списков. Для приведенного примера WAF будет запрашивать файл list.zip.md5, содержащий чек-сумму файла list.zip. Его наличие не обязательно, но если он есть, чек-сумма должна быть корректной.
Получить чек-сумму в linux можно командой:
md5sum list.zip
Её вывод добавляется в файл как хэш list.zip, после чего сохраняется в формате md5. Например, содержимое файла list.zip.md5:
04d7d1223ba8ff02396355a2bc3b3d52 list.zip
Календари позволяют создать временные интервалы, которые затем можно использовать в различных правилах WAF. Первоначальный список поставляется вместе с продуктом. Администратор может добавлять необходимые ему элементы в процессе работы. Для добавления нового календаря необходимо выполнить следующие шаги:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать календарь. |
В панели Группы нажать на кнопку Добавить, указать название календаря и его описание. |
|
Шаг 2. Добавить временные интервалы в календарь. |
В панели Элементы нажать на кнопку Добавить и добавить интервал. Дать название интервалу и указать время. |
Элемент библиотеки Почтовые адреса позволяет создать группы почтовых адресов, которые впоследствии можно использовать в оповещениях.
Для добавления новой группы почтовых адресов необходимо выполнить следующие шаги:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать группу почтовых адресов. |
В панели Группы почтовых адресов нажать на кнопку Добавить, дать название группе. |
|
Шаг 2. Добавить почтовые адреса в группу. |
Выделить созданную группу, в панели Почтовые адреса нажать на кнопку Добавить и добавить необходимые почтовые адреса. |
Администратор имеет возможность создавать списки почтовых адресов и централизованно распространять их на все устройства WAF UserGate. Для создания такого списка необходимо выполнить следующие действия:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать файл с необходимыми списком почтовых адресов. |
Создать файл list.txt со списком почтовых адресов. |
|
Шаг 2. Создать архив, содержащий этот файл. |
Поместить файл в архив zip с именем list.zip. |
|
Шаг 3. Создать файл с версией списка. |
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря. |
|
Шаг 4. Разместить файлы на веб-сервере. |
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания. |
|
Шаг 5. Создать список почтовых адресов и указать URL для обновления. |
На каждом WAF создать список адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. WAF будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
|
UserGate может проверять чек-сумму файлов обновляемых списков. Для приведенного примера WAF будет запрашивать файл list.zip.md5, содержащий чек-сумму файла list.zip. Его наличие не обязательно, но если он есть, чек-сумма должна быть корректной.
Получить чек-сумму в linux можно командой:
md5sum list.zip
Её вывод добавляется в файл как хэш list.zip, после чего сохраняется в формате md5. Например, содержимое файла list.zip.md5:
04d7d1223ba8ff02396355a2bc3b3d52 list.zip
Элемент библиотеки Номера телефонов позволяет создать группы номеров, которые впоследствии можно использовать в правилах оповещения SMPP.
Для добавления новой группы телефонных номеров необходимо выполнить следующие шаги:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать группу телефонных номеров. |
В панели Группы телефонных номеров нажать на кнопку Добавить, дать название группе. |
|
Шаг 2. Добавить номера телефонов в группу. |
Выделить созданную группу, в панели Группа телефонных номеров нажать на кнопку Добавить и добавить необходимые номера. |
Администратор имеет возможность создавать списки телефонных номеров и централизованно распространять их на все узлы WAF UserGate. Для создания такого списка необходимо выполнить следующие действия:
|
Наименование |
Описание |
|---|---|
|
Шаг 1. Создать файл с необходимыми списком номеров. |
Создать файл list.txt со списком номеров. |
|
Шаг 2. Создать архив, содержащий этот файл. |
Поместить файл в архив zip с именем list.zip. |
|
Шаг 3. Создать файл с версией списка. |
Создать файл version.txt, внутри него указать номер версии базы, например, 3. Необходимо инкрементировать данное значение при каждом обновлении морфологического словаря. |
|
Шаг 4. Разместить файлы на веб-сервере. |
Разместить у себя на сайте list.zip и version.txt, чтобы они были доступны для скачивания. |
|
Шаг 5. Создать список телефонных номеров и указать URL для обновления. |
На каждом WAF создать список адресов. При создании указать тип списка Обновляемый и адрес, откуда необходимо загружать обновления. WAF будет проверять наличие новой версии на вашем сайте в соответствии с настроенным расписанием скачивания обновлений. Расписание можно настроить в свойствах списка; возможно указать следующие варианты:
При задании вручную необходимо использовать crontab-подобный формат, при котором строка выглядит как шесть полей, разделенных пробелами. Поля задают время в следующем виде: (минуты: 0-59) (часы: 0-23) (дни месяца: 1-31) (месяц: 1-12) (день недели: 0-6, 0-воскресенье). Каждое из первых пяти полей может быть задано следующим образом:
|
UserGate может проверять чек-сумму файлов обновляемых списков. Для приведенного примера WAF будет запрашивать файл list.zip.md5, содержащий чек-сумму файла list.zip. Его наличие не обязательно, но если он есть, чек-сумма должна быть корректной.
Получить чек-сумму в linux можно командой:
md5sum list.zip
Её вывод добавляется в файл как хэш list.zip, после чего сохраняется в формате md5. Например, содержимое файла list.zip.md5:
04d7d1223ba8ff02396355a2bc3b3d52 list.zip
Профиль оповещения указывает транспорт, с помощью которого оповещения могут быть доставлены получателям. Поддерживается 2 типа транспорта:
SMTP, доставка сообщений с помощью e-mail.
SMPP, доставка сообщений с помощью SMS практически через любого оператора сотовой связи или через большое количество SMS-центров рассылки.
Для создания профиля сообщений SMTP необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили оповещений, выбрать вариант Добавить профиль оповещения SMTP и заполнить необходимые поля:
|
Наименование |
Описание |
|---|---|
|
Название |
Название профиля. |
|
Описание |
Описание профиля. |
|
Хост |
IP-адрес или FQDN сервера SMTP, который будет использоваться для отсылки почтовых сообщений. |
|
Порт |
Порт TCP, используемый сервером SMTP. Обычно для протокола SMTP используется порт 25, для SMTP с использованием SSL - 465. Уточните данное значение у администратора почтового сервера. |
|
Безопасность |
Варианты безопасности отправки почты, возможны варианты: Нет, STARTTLS, SSL. |
|
Авторизация |
Включает авторизацию при подключении к SMTP-серверу. |
|
Логин |
Имя учетной записи для подключения к SMTP-серверу. |
|
Пароль |
Пароль учетной записи для подключения к SMTP-серверу. |
Для создания профиля сообщений SMPP необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили оповещений, выбрать вариант Добавить профиль оповещения SMPP и заполнить необходимые поля:
|
Наименование |
Описание |
|---|---|
|
Название |
Название профиля. |
|
Описание |
Описание профиля. |
|
Хост |
IP-адрес или FQDN сервера SMPP, который будет использоваться для отсылки SMS сообщений. |
|
Порт |
Порт TCP, используемый сервером SMPP. Обычно для протокола SMPP используется порт 2775, для SMPP с использованием SSL -- 3550. |
|
SSL |
Использовать или нет шифрацию с помощью SSL. |
|
Логин |
Имя учетной записи для подключения к SMPP-серверу. |
|
Пароль |
Пароль учетной записи для подключения к SMPP-серверу. |
|
Правила трансляции номеров |
В некоторых случаях SMPP-провайдер ожидает номер телефона в определенном формате, например, в виде 89123456789. Для соответствия требованиям провайдера можно указать замену первых символов номеров с одних на другие. Например, заменить все номера, начинающиеся на +7, на 8. |
Netflow — сетевой протокол, предназначенный для учёта сетевого трафика, разработанный компанией Cisco Systems, поддерживаемый в настоящее время многими вендорами. Для сбора информации о трафике по протоколу Netflow требуются следующие компоненты:
Сенсор — собирает статистику по проходящему через него трафику и передает ее на коллектор.
Коллектор — получает от сенсора данные и помещает их в хранилище.
Анализатор — анализирует собранные коллектором данные и формирует пригодные для чтения человеком отчёты (часто в виде графиков).
WAF может выступать в качестве сенсора. Для сбора и отправки статистики о трафике, проходящем через определенный сетевой интерфейс WAF, необходимо выполнить следующие действия:
Создать профиль Netflow.
Назначить созданный профиль Netflow сетевому интерфейсу, на котором необходимо собирать статистику.
Для создания профиля Netflow необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили Netflow и указать необходимые параметры:
|
Наименование |
Описание |
|---|---|
|
Название |
Название профиля Netflow. |
|
Описание |
Описание профиля Netflow. |
|
IP-адрес Netflow коллектора |
IP-адрес сервера, куда сенсор будет отправлять статистику. |
|
Порт Netflow коллектора |
UDP порт, на котором коллектор будет принимать статистику. |
|
Версия протокола |
Версия протокола Netflow, которую следует использовать. Версия протокола должна совпадать на сенсоре и на коллекторе. |
|
Таймаут активного потока (сек) |
При длительных потоках, например, передача большого файла через сеть, время, через которое будет отправляться статистика на коллектор, не дожидаясь завершения потока. Значение по умолчанию — 1800 секунд. |
|
Таймаут неактивного потока (сек.) |
Время, резервируемое на завершение неактивного потока. Значение по умолчанию — 15 секунд. |
|
Количество потоков |
Максимальное количество учитываемых потоков, с которых собирается и отправляется статистика. Ограничение необходимо для защиты от DoS-атак. После достижения данного количества потоков, все последующие не будут учитываться. Значение по умолчанию — 2000000, установите 0 для снятия ограничения. |
|
Отправлять информацию NAT |
Отправлять информацию о NAT преобразованиях в статистику Netflow. |
|
Частота отправки шаблона (пакетов) |
Количество пакетов, после которых шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию — 20 пакетов. |
|
Период отправки старого шаблона (сек.) |
Время, через которое старый шаблон отправляется на принимающий хост (только для Netflow 9/10). Шаблон содержит информацию о настройке самого устройства и различную статистическую информацию. Значение по умолчанию — 1800 секунд. |
Link Layer Discovery Protocol (LLDP) — протокол канального уровня, позволяющий сетевым устройствам, работающим в локальной сети, объявлять о своём существовании и передавать свои характеристики и получать аналогичные сведения. Информация, собранная при помощи операции LLDP, хранится в сетевом устройстве.
Для создания профиля безопасности необходимо нажать Добавить в разделе Библиотеки ➜ Профили LLDP и указать следующие параметры:
|
Наименование |
Описание |
|---|---|
|
Название |
Название профиля LLDP. |
|
Описание |
Описание профиля LLDP. |
|
Статус порта |
Режим:
|
Профиль SSL позволяет указать протоколы SSL или отдельные алгоритмы шифрования и цифровой подписи, которые в дальнейшем могут быть использованы в настройках веб-консоли, в настройках правил reverse-прокси.
Для создания профиля SSL необходимо нажать на кнопку Добавить в разделе Библиотеки ➜ Профили SSL и указать необходимые параметры:
|
Наименование |
Описание |
|---|---|
|
Название |
Название профиля SSL. |
|
Описание |
Описание профиля SSL. |
|
Протоколы SSL |
Минимальная версия TLS — устанавливает минимальную версию TLS, которая может быть использована в данном профиле. Максимальная версия TLS — устанавливает максимальную версию TLS, которая может быть использована в данном профиле. Оба эти параметра определяют диапазон версий TLS, которые будут поддерживаться данным профилем. |
|
Наборы алгоритмов шифрования |
Данный раздел позволяет выбрать необходимые алгоритмы шифрования и цифровой подписи. Возможные значения указаны в виде строк, в которых перечислены алгоритм и подпись. Администратор может указать только те наборы алгоритмов и подписей, которые считает нужным для безопасной работы организации. Список поддерживаемых комбинаций следующий:
|
|
Установка алгоритмов шифрования для стандартных протоколов |
Данный раздел можно использовать для облегчения выбора необходимых алгоритмов шифрования и подписи для стандартных протоколов TLS. Администратор может указать в поле Выберите протокол для установки алгоритмов необходимые версии протоколов TLS, нажать на кнопку Применить, и алгоритмы, соответствующие выбранной версии протокола автоматически будут отмечены. Можно последовательно добавить несколько версий протокола TLS. |
По умолчанию в продукте создано несколько профилей SSL, которые могут быть использованы администратором как есть, либо изменены/удалены при необходимости. Созданы следующие профили SSL:
|
Наименование |
Описание |
|---|---|
|
Default SSL profile |
Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.1 до TLS v.1.2. Это наиболее распространенные версии протоколов, используемые в сети интернет в данное время. |
|
Default SSL profile (TLSv1.3) |
Содержит алгоритмы и подписи, соответствующие версии TLS v.1.3. По умолчанию не используется. |
|
Default SSL profile (GOST) |
Содержит алгоритмы и подписи, соответствующие TLS с ГОСТ-алгоритмами (TLS GOST2012256 with 28147 CNT IMIT и TLS GOSTR341001 with 28147 CNT IMIT). Может быть использован в организациях, где требуется использование данных алгоритмов, например, для веб-портала. Поддержка данных протоколов должна также быть обеспечена со стороны используемых браузеров. По умолчанию не используется. |
|
Default SSL profile (web console) |
Содержит алгоритмы и подписи, соответствующие версиям с TLS v.1.0 до TLS v.1.2. Данный профиль используется по умолчанию для предоставления SSL-доступа в веб-консоль. Важно! Изменение данного профиля следует производить с осторожностью. Указание алгоритмов, не поддерживаемых вашим браузером, может привести к потере доступа в веб-консоль! |