Настройка сети

Настройка шлюзов

Для подключения UserGate WAF к интернету необходимо указать IP-адрес шлюза. Если для подключения к интернету используется несколько провайдеров, необходимо указать несколько шлюзов. Если несколько узлов объединены в кластер конфигурации, настраивать шлюзы необходимо для каждого из узлов.

Пример настройки сети с двумя провайдерами:

Интерфейс eth1 с IP-адресом 192.168.11.2 подключен к интернет-провайдеру 1. Для выхода в интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.11.1
Интерфейс eth2 с IP-адресом 192.168.12.2 подключен к интернет-провайдеру 2. Для выхода в интернет с этого провайдера необходимо добавить шлюз с IP-адресом 192.168.12.1

Добавление шлюза

Чтобы добавить шлюз:

1. В разделе Настройки ➜ Сеть ➜ Шлюзы нажмите Добавить.

2. В окне Свойства шлюза укажите его параметры: название, имя узла UserGate WAF, сетевой интерфейс (по умолчанию назначается автоматически), виртуальный маршрутизатор и IP-адрес шлюза.

ПримечаниеПодробнее о виртуальных маршрутизаторах — в разделе «Виртуальные маршрутизаторы».

3. Установите флажок Включено и сохраните изменения.

Настройка балансировки

Если для UserGate WAF настроены несколько шлюзов для подключения к интернету, вы можете распределять исходящий трафик между шлюзами и таким образом управлять нагрузкой на них. При балансировке трафик в интернет распределяется с учетом весов шлюзов: чем больше вес, тем большая доля трафика идет через шлюз.

Например, если для балансировки настроены два шлюза, сессии будут распределяться между ними по формуле n1/w1 = n2/w2, где:

n1, n2 — сессии, проходящие через шлюзы;
w1, w2 — веса шлюзов.

Чтобы настроить балансировку трафика между шлюзами:

1. В разделе Настройки ➜ Сеть ➜ Шлюзы выберите шлюз, который будут участвовать в балансировке, и нажмите Редактировать.

2. В окне Свойства шлюза укажите вес шлюза, установите флажок Балансировка и сохраните изменения.

3. Выполните настройку других шлюзов, участвующих в балансировке.

Исходящий трафик будет распределяться между шлюзами в соответствии с указанными весами.

Настройка проверки сети

В UserGate WAF предусмотрена проверка доступности шлюзов. По индикаторам на странице Шлюзы можно отслеживать, доступен ли шлюз (зеленый индикатор) или нет (красный индикатор). По умолчанию шлюз считается доступным, если UserGate WAF может получить его MAC-адрес с помощью ARP-запроса. Но доступность шлюза не означает наличие доступа в интернет. Чтобы проверить подключение шлюза к интернету, вы можете включить дополнительную проверку сети.

Проверка сети может быть полезна в следующих случаях:

Если доступ к интернету предоставляют несколько провайдеров и добавлено несколько шлюзов, вы можете настроить отказоустойчивое соединение с интернетом. Для этого один из шлюзов назначается шлюзом по умолчанию. Если в результате проверки сети будет обнаружено, что доступ в интернет через шлюз по умолчанию отсутствует, трафик будет переведен на запасные шлюзы в порядке их расположения в веб-консоли (смена порядка сортировки в процессе текущей сессии не влияет на процесс выбора шлюза).
Если настроен кластер отказоустойчивости, проверку сети можно использовать для диагностики узлов кластера. Подробнее об этом — в разделе «Диагностика узлов кластера отказоустойчивости».

В процессе проверки сети UserGate WAF с заданной периодичностью отправляет по пять ICMP-запросов на каждый указанный IP-адрес доступа в интернет. Доступность шлюза в этом случае определяется по порогу неудачных ICMP-запросов. Проверка считается успешной, если общее количество неудачных ICMP-запросов, отправленных на все указанные IP-адреса в рамках заданного интервала, не превышает этот порог.

Чем ниже порог, тем строже критерий доступности. Например:

При пороге в 10% шлюз недоступен, если не прошел хотя бы один запрос.
При 100% шлюз недоступен, только если не прошли все запросы.

Чтобы настроить проверку сети:

1. В разделе Настройки ➜ Сеть ➜ Шлюзы нажмите Проверка сети.

2. В окне Свойства проверки сети установите флажок Включено.

3. Нажмите кнопку Добавить и укажите IP-адреса для проверки доступа в интернет.

ПримечаниеПо умолчанию проверка доступности сети настроена на работу с публичным DNS-сервером Google (8.8.8.8).

4. В поле Частота проверки укажите в секундах, с какой периодичностью UserGate WAF будет отправлять ICMP-запросы на указанные IP-адреса.

5. В поле Процент неудачных запросов задайте порог неудачных ICMP-запросов и сохраните изменения.

Индикаторы доступности шлюзов теперь будут отражать результаты проверки сети.

Виртуальные маршрутизаторы

В крупных сетях зачастую множество логических сетей используют для прохождения трафика одни и те же сетевые устройства. Данный трафик должен быть разделен на сетевых устройствах, в первую очередь для уменьшения риска несанкционированного доступа между сетями.

Виртуальные маршрутизаторы или Virtual Routing and Forwarding (VRF) обеспечивают разделение трафика путем разделения сетевых интерфейсов в независимые группы. Трафик из одной группы интерфейсов не может попасть в другие группы интерфейсов.

Каждый виртуальный маршрутизатор имеет свою собственную таблицу маршрутизации.

В рамках разных виртуальных маршрутизаторов допускается использовать одинаковые IP-сети (IP overlapping).

Интерфейсы, не вошедшие ни в один из виртуальных маршрутизаторов, автоматически назначены в виртуальный маршрутизатор — Виртуальный маршрутизатор по умолчанию.

Виртуальные маршрутизаторы имеют следующие ограничения:

Следующие сервисы могут быть использованы только в Виртуальном маршрутизаторе по умолчанию:

DNS.
Авторизация.
Любой сетевой трафик, генерируемый самим устройством — проверка лицензии, скачивание обновлений, отправка журналов, отправка почтовых сообщений, SMS сообщений, SNMP трапов и т.п.

Зоны глобальны, то есть настройки зоны, и принадлежность интерфейсов к зонам распространяются на все виртуальные маршрутизаторы.

ПримечаниеВиртуальный маршрутизатор по умолчанию необходим для корректной работы UserGate WAF. Он используется для проверки лицензии, получения обновлений, работы DNS-служб.

Для добавления виртуального маршрутизатора необходимо выполнить следующие действия:

Примечание! Следующие префиксы не могут быть использованы для задания имени виртуального маршрутизатора: port, gre, egress, ingress, tun, tap, erspan, ppp, bond, bridge, pimreg.

Примечание!При создании виртуального маршрутизатора его имя не должно содержать заглавных букв, и должно иметь длину не менее трех символов.

Наименование	Описание
Шаг 1. Создать виртуальный маршрутизатор.	В разделе Сеть ➜ Виртуальные маршрутизаторы нажмите добавить и задайте имя и описание нового виртуального маршрутизатора. Укажите имя узла, на котором создается данный виртуальный маршрутизатор при наличии кластера
Шаг 2. Добавить интерфейсы в созданный виртуальный маршрутизатор.	На вкладке Интерфейсы укажите интерфейсы, которые должны быть помещены в данный виртуальный маршрутизатор. Интерфейсы, добавленные в другие виртуальные маршрутизаторы, не могут быть добавлены; любой из интерфейсов может принадлежать только одному виртуальному маршрутизатору. В виртуальный маршрутизатор разрешается добавлять интерфейсы всех типов — физические, виртуальные (VLAN), бондинг, и другие
Шаг 3. Добавить статические маршруты (опционально).	Добавьте маршруты (кроме маршрута по умолчанию), которые будут применены к трафику в этом виртуальном маршрутизаторе. Подробнее об этом — в разделе «Статические маршруты». Маршрут по умолчанию добавляется в разделе Сеть ➜ Шлюзы. Подробнее о настройке шлюзов — в разделе «Настройка шлюзов»

Наименование

Описание

Шаг 1. Создать виртуальный маршрутизатор.

В разделе Сеть ➜ Виртуальные маршрутизаторы нажмите добавить и задайте имя и описание нового виртуального маршрутизатора. Укажите имя узла, на котором создается данный виртуальный маршрутизатор при наличии кластера

Шаг 2. Добавить интерфейсы в созданный виртуальный маршрутизатор.

На вкладке Интерфейсы укажите интерфейсы, которые должны быть помещены в данный виртуальный маршрутизатор. Интерфейсы, добавленные в другие виртуальные маршрутизаторы, не могут быть добавлены; любой из интерфейсов может принадлежать только одному виртуальному маршрутизатору. В виртуальный маршрутизатор разрешается добавлять интерфейсы всех типов — физические, виртуальные (VLAN), бондинг, и другие

Шаг 3. Добавить статические маршруты (опционально).

Добавьте маршруты (кроме маршрута по умолчанию), которые будут применены к трафику в этом виртуальном маршрутизаторе. Подробнее об этом — в разделе «Статические маршруты».

Маршрут по умолчанию добавляется в разделе Сеть ➜ Шлюзы. Подробнее о настройке шлюзов — в разделе «Настройка шлюзов»

Статические маршруты

Данный раздел позволяет указать маршрут в сеть, доступную за определенным маршрутизатором. Например, в локальной сети может быть маршрутизатор, который объединяет несколько IP-подсетей. Маршрут применяется локально к тому узлу кластера и в тот виртуальный маршрутизатор, в котором он создается.

Для добавления маршрута необходимо выполнить следующие шаги:

Наименование	Описание
Шаг 1. Выбрать виртуальный маршрутизатор.	При наличии нескольких виртуальных маршрутизаторов выберите необходимый.
Шаг 2. Задать название и описание данного маршрута.	В разделе Сеть ➜ Виртуальные маршрутизаторы выберите в меню Статические маршруты, нажмите кнопку Добавить. Укажите имя для данного маршрута. Опционально можно задать описание маршрута
Шаг 3. Указать тип данного маршрута.	Возожно указать следующие типы маршрутов: Unicast — стандартный тип маршрута. Пересылает трафик, адресованный на адреса назначения, через заданный шлюз. Blackhole — трафик отбрасывается (теряется), не сообщая источнику о том, что данные не достигли адресата. Unreachable — трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 1). Prohibit — трафик отбрасывается. Источнику отправляется ICMP сообщение host unreachable (type 3 code 13)
Шаг 4. Указать адрес назначения.	Задайте подсеть, куда будет указывать маршрут, например, 172.16.20.0/24 или 172.16.20.5/32
Шаг 5. Указать шлюз.	Задайте IP-адрес шлюза, через который указанная подсеть будет доступна. Этот IP-адрес должен быть доступен с UserGate WAF
Шаг 6. Указать интерфейс.	Выберите интерфейс, через который будет добавлен маршрут. Если оставить значение Автоматически, то UserGate WAF сам определит интерфейс, исходя из настроек IP-адресации сетевых интерфейсов
Шаг 7. Указать метрику.	Задайте метрику маршрута. Чем меньше метрика, тем приоритетней маршрут, если маршрутов несколько в данную сеть несколько

Настройка интерфейсов

Раздел Интерфейсы отображает все физические и виртуальные интерфейсы, имеющиеся в системе, позволяет менять их настройки и добавлять VLAN-интерфейсы. Раздел отображает все интерфейсы каждого узла кластера. Настройки интерфейсов специфичны для каждого из узлов, то есть не глобальны.

Кнопка Редактировать позволяет изменять параметры сетевого интерфейса:

Включить или отключить интерфейс.
Указать тип интерфейса — Layer 3 или Mirror. Интерфейсу, работающему в режиме Layer 3, можно назначить IP-адрес и использовать его в правилах межсетевого экрана, это стандартный режим работы интерфейса. Интерфейс, работающий в режиме Mirror, может получать трафик со SPAN-порта сетевого оборудования для его анализа.
Назначить зону интерфейсу.
Назначить профиль Netflow для отправки статистических данных на Netflow коллектор.
Назначить Алиас/Псевдоним — дополнительное идентификационное наименование интерфейса. Параметр является опциональным и используется для работы с SNMP.
Изменить физические параметры интерфейса — MAC-адрес, размер MTU, размер MSS.
Выбрать тип присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP.
Кнопка Добавить позволяет добавить следующие типы логических интерфейсов:
VLAN.
Бонд.
Мост.
Loopback.

Создание интерфейса VLAN

С помощью кнопки Добавить VLAN администратор может создавать сабинтерфейсы. При создании VLAN необходимо указать следующие параметры:

Наименование	Описание
Включено	Включает VLAN
Название	Название VLAN. Название присваивается автоматически на основе имени физического порта и тега VLAN
Описание	Опциональное описание интерфейса
Тип интерфейса	Указать тип интерфейса — Layer 3 или Mirror. Интерфейсу, работающему в режиме Layer 3, можно назначить IP-адрес и использовать его в правилах межсетевого экрана, это стандартный режим работы интерфейса. Интерфейс, работающий в режиме Mirror, может получать трафик со SPAN-порта сетевого оборудования для его анализа
Тег VLAN	Номер сабинтерфейса. Допускается создание до 4094 интерфейсов
Имя узла	Имя узла в кластере, на котором создается данный VLAN
Интерфейс	Физический интерфейс, на котором создается VLAN
Зона	Зона, которой принадлежит VLAN
Профиль Netflow	Профиль Netflow для отправки статистических данных на Netflow коллектор. Подробнее об этом — в разделе «Профили Netflow»
Алиас/Псевдоним	Альтернативное имя интерфейса, заданное администратором. Параметр является опциональным и используется для работы с SNMP. Значение параметра — строка длиной не более 64-х символов. Важно! Значение параметра не может содержать символы кириллицы
Сеть	Способ присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Возможность изменить MAC-адрес, размер MTU, размер MSS

Объединение интерфейсов в бонд

С помощью кнопки Добавить бонд-интерфейс администратор может объединить несколько физических интерфейсов в один логический агрегированный интерфейс для повышения пропускной способности или для отказоустойчивости канала. При создании бонда необходимо указать следующие параметры:

Наименование	Описание
Включено	Включает бонд
Название	Название бонда
Имя узла	Узел кластера UserGate WAF, на котором будет создан бонд
Зона	Зона, к которой принадлежит бонд
Профиль Netflow	Профиль Netflow для отправки статистических данных на Netflow коллектор. Подробнее об этом — в разделе «Профили Netflow»
Алиас/Псевдоним	Альтернативное имя интерфейса, заданное администратором. Параметр является опциональным и используется для работы с SNMP. Значение параметра — строка длиной не более 64-х символов. Важно! Значение параметра не может содержать символы кириллицы
Интерфейсы	Один или более интерфейсов, которые будут использованы для построения бонда
Режим	Режим работы бонда должен совпадать с режимом работы на том устройстве, куда подключается бонд. Может быть: Round robin. Пакеты отправляются последовательно, начиная с первого доступного интерфейса и заканчивая последним. Эта политика применяется для балансировки нагрузки и отказоустойчивости. Active backup. Только один сетевой интерфейс из объединенных будет активным. Другой интерфейс может стать активным только в том случае, когда упадет текущий активный интерфейс. При такой политике MAC-адрес бонд-интерфейса виден снаружи только через один сетевой порт, во избежание появления проблем с коммутатором. Эта политика применяется для отказоустойчивости. XOR. Передача распределяется между сетевыми картами используя формулу: [(«MAC-адрес источника» XOR «MAC-адрес назначения») по модулю «число интерфейсов»]. Получается, одна и та же сетевая карта передает пакеты одним и тем же получателям. Опционально распределение передачи может быть основано и на политике «xmit_hash». Политика XOR применяется для балансировки нагрузки и отказоустойчивости. Broadcast. Передает все на все сетевые интерфейсы. Эта политика применяется для отказоустойчивости. IEEE 802.3ad — режим работы, установленный по умолчанию, поддерживается большинством сетевых коммутаторов. Создаются агрегированные группы сетевых карт с одинаковой скоростью и дуплексом. При таком объединении передача задействует все каналы в активной агрегации согласно стандарту IEEE 802.3ad. Выбор, через какой интерфейс отправлять пакет, определяется политикой; по умолчанию используется XOR-политика, можно также использовать «xmit_hash» политику. Adaptive transmit load balancing. Исходящий трафик распределяется в зависимости от загруженности каждой сетевой карты (определяется скоростью загрузки). Не требует дополнительной настройки на коммутаторе. Входящий трафик приходит на текущую сетевую карту. Если она выходит из строя, то другая сетевая карта берет себе MAC-адрес вышедшей из строя карты. Adaptive load balancing. Включает в себя предыдущую политику плюс осуществляет балансировку входящего трафика. Не требует дополнительной настройки на коммутаторе. Балансировка входящего трафика достигается путем ARP-переговоров. Драйвер перехватывает ARP-ответы, отправляемые с локальных сетевых карт наружу, и переписывает MAC-адрес источника на один из уникальных MAC-адресов сетевой карты, участвующей в объединении. Таким образом, различные пиры используют различные MAC-адреса сервера. Балансировка входящего трафика распределяется последовательно (round-robin) между интерфейсами
MII monitoring period (мсек)	Устанавливает периодичность MII-мониторинга в миллисекундах. Определяет, как часто будет проверяться состояние линии на наличие отказов. Значение по умолчанию — 0 — отключает MII-мониторинг
Down delay (мсек)	Определяет время (в миллисекундах) задержки перед отключением интерфейса, если произошел сбой соединения. Эта опция действительна только для мониторинга MII (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0
Up delay (мсек)	Задает время задержки в миллисекундах, перед тем как поднять канал при обнаружении его восстановления. Этот параметр возможен только при MII-мониторинге (miimon). Значение параметра должно быть кратным значениям miimon. Если оно не кратно, то округлится до ближайшего кратного значения. Значение по умолчанию 0
LACP rate	Определяет, с каким интервалом будут передаваться партнером LACPDU-пакеты в режиме 802.3ad. Возможные значения: Slow — запрос партнера на передачу LACPDU-пакетов каждые 30 секунд. Fast — запрос партнера на передачу LACPDU-пакетов каждую 1 секунду
Failover MAC	Определяет, как будут прописываться MAC-адреса на объединенных интерфейсах в режиме active-backup при переключении интерфейсов. Обычным поведением является одинаковый MAC-адрес на всех интерфейсах. Возможные значения: Отключено — устанавливает одинаковый MAC-адрес на всех интерфейсах во время переключения. Active — MAC-адрес на бонд-интерфейсе будет всегда таким же, как на текущем активном интерфейсе. MAC-адреса на резервных интерфейсах не изменяются. MAC-адрес на бонд-интерфейсе меняется во время обработки отказа. Follow — MAC-адрес на бонд-интерфейсе будет таким же, как на первом интерфейсе, добавленном в объединение. На втором и последующем интерфейсе этот MAC не устанавливается, пока они в резервном режиме. MAC-адрес прописывается во время обработки отказа, когда резервный интерфейс становится активным, он принимает новый MAC (тот, что на бонд-интерфейсе), а старому активному интерфейсу прописывается MAC, который был на текущем активном
Xmit hash policy	Определяет хэш-политику передачи пакетов через объединенные интерфейсы в режиме XOR или IEEE 802.3ad. Возможные значения: Layer 2 — использует только MAC-адреса для генерации хэша. При этом алгоритме трафик для конкретного сетевого хоста будет отправляться всегда через один и тот же интерфейс. Алгоритм совместим с IEEE 802.3ad. Layer 2+3 — использует как MAC-адреса, так и IP-адреса для генерации хэша. Алгоритм совместим с IEEE 802.3ad. Layer 3+4 — используются IP-адреса и протоколы транспортного уровня (TCP или UDP) для генерации хэша. Алгоритм не всегда совместим с IEEE 802.3ad, так как в пределах одного и того же TCP- или UDP-взаимодействия могут передаваться как фрагментированные, так и нефрагментированные пакеты. Во фрагментированных пакетах порт источника и порт назначения отсутствуют. В результате в рамках одной сессии пакеты могут дойти до получателя не в том порядке, так как отправляются через разные интерфейсы
Сеть	Способ присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Возможность изменить MAC-адрес, размер MTU, размер MSS

Создание моста (bridge)

Сетевой мост работает на канальном уровне сетевой модели OSI (L2), при получении из сети кадра сверяет MAC-адрес последнего и, если он не принадлежит данному сегменту, передает (транслирует) кадр дальше; если кадр принадлежит данному сегменту, мост ничего не делает.

Интерфейс мост можно использовать в UserGate WAF аналогично обычному интерфейсу. Кроме этого, через мост можно настроить фильтрацию передаваемого контента на уровне L2 без внесения изменений в сетевую инфраструктуру компании. Простейшая схема использования UserGate WAF в качестве решения, обеспечивающего контентную фильтрацию на уровне L2, выглядит следующим образом:

Рисунок 4 Использование моста

При создании моста можно указать режим его работы — Layer 2 или Layer 3.

При выборе режима Layer 2 создаваемому мосту не нужно назначать IP-адрес и прописывать маршруты и шлюзы для его корректной работы. В данном режиме мост работает на уровне MAC-адресов, транслируя пакет из одного сегмента в другой.

Внимание! Функциональность DNS-фильтрации и мост L2 в текущей версии несовместимы — при включении DNS-фильтрации DNS-запросы через мост проходить перестают.

При выборе режима Layer 3 создаваемому мосту необходимо назначить IP-адрес и указать маршруты в сети, подключенные к интерфейсам моста. В данном режиме могут быть использованы все механизмы фильтрации, доступные в UserGate WAF.

Если мост создается в ПАК UserGate WAF, в котором используется сетевая карта, поддерживающая режим байпас, то можно объединить 2 интерфейса в байпас-мост. Байпас-мост автоматически переключает два выбранных интерфейса в режим байпас (закорачивает их, пропуская весь трафик мимо WAF) в случаях если:

Электропитание ПАК UserGate WAF отключено.
Система внутренней диагностики обнаружила проблему в работе ПО UserGate WAF. Тайм-аут срабатывания при обнаружении проблемы — 10 секунд.

Управление работой байпас-реле сетевых портов возможно через интерфейс PMC. Подробнее об этом — в разделе «Команды управления платформой» руководства по интерфейсу командной строки PMC.

Подробнее о сетевых интерфейсах, поддерживающих режим байпас, смотрите в руководствах по эксплуатации модели ПАК UserGate WAF.

С помощью кнопки Добавить мост администратор может объединить несколько физических интерфейсов в новый тип интерфейса — мост. Необходимо указать следующие параметры:

Наименование	Описание
Включено	Включает интерфейс мост
Название	Название интерфейса
Имя узла	Узел кластера UserGate WAF, на котором создать интерфейс мост
Тип интерфейса	Указать тип интерфейса — Layer 3 или Layer 2
Зона	Зона, к которой принадлежит интерфейс мост
Профиль Netflow	Профиль Netflow для отправки статистических данных на Netflow коллектор. Подробнее об этом — в разделе «Профили Netflow»
Алиас/Псевдоним	Альтернативное имя интерфейса, заданное администратором. Параметр является опциональным и используется для работы с SNMP. Значение параметра — строка длиной не более 64-х символов. Важно! Значение параметра не может содержать символы кириллицы
Интерфейсы моста	Два интерфейса, которые будут использованы для построения моста
Интерфейсы байпас моста	Пара интерфейсов, которые можно использовать для построения байпас моста. Требуется поддержка оборудования ПАК UserGate WAF
STP (Spanning Tree Protocol)	Включает использование STP для защиты сети от петель
Forward delay	Задержка перед переключением моста в активный режим (Forwarding), в случае если включен STP
Maximum age	Время, по истечении которого STP-соединение считается потерянным
Сеть	Способ присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Возможность изменить MAC-адрес, размер MTU, размер MSS

Интерфейс loopback

Для создания loopback-интерфейса необходимо в разделе Сеть ➜ Интерфейсы нажать кнопку Добавить и выбрать Добавить loopback-интерфейс. Далее необходимо задать следующие параметры:

Параметр	Описание
Включено	Включает интерфейс
Название	Название интерфейса в виде loopbackN, где N — целое число
Описание	Опциональное описание интерфейса
Имя узла	Выбор узла кластера UserGate WAF, на котором создается интерфейс
Тип интерфейса	Указать тип интерфейса — Layer 3 или Layer 2
Зона	Зона, к которой принадлежит интерфейс
Профиль Netflow	Профиль Netflow для отправки статистических данных на Netflow коллектор. Подробнее об этом — в разделе «Профили Netflow»
Профиль LLDP	Профиль LLDP для отправки данных по протоколу Link Layer Discovery Protocol (LLDP)
Алиас/Псевдоним	Альтернативное имя интерфейса, заданное администратором. Параметр является опциональным и используется для работы с SNMP. Значение параметра — строка длиной не более 64-х символов. Важно! Значение параметра не может содержать символы кириллицы
Сеть	Способ присвоения IP-адреса — без адреса, статический IP-адрес или динамический IP-адрес, полученный по DHCP. Возможность изменить MAC-адрес, размер MTU, размер MSS

Настройка сетевых зон

Под сетевой зоной в UserGate WAF понимается логическое объединение сетевых интерфейсов. Рекомендуется объединять интерфейсы в зоне на основе их функционального назначения, например можно создать зону для локальной сети (LAN) или зону интерфейсов управления (Management).

По умолчанию в UserGate WAF предусмотрены следующие сетевые зоны:

Management — для доверенных сетей, из которых разрешено администрирование устройства.
Trusted — для внутренних доверенных сегментов сети (например, LAN).
Untrusted — для внешних недоверенных сетей (например, интернет).
DMZ — для сегментов сети, содержащих публичные сервисы (демилитаризованная зона).

Вы можете изменять параметры этих сетевых зон, а также добавлять новые зоны (не больше 255 зон). Кроме того, вы можете управлять доступом к сервисам устройства для подключенных к зоне клиентов.

В свойствах зоны можно управлять доступом к следующим сервисам UserGate WAF.

Сервис	Назначение
Ping	Проверка доступности UserGate WAF с помощью утилиты `ping`. Подробнее — в разделе «Диагностика и мониторинг»
SNMP	Доступ к устройству по SNMP-протоколу (порт UDP 161). Подробнее — в разделе «Оповещения»
API XML RPC поверх HTTP	Доступ к API по протоколу HTTP (порт TCP 4443)
API XML RPC поверх HTTPS	Защищенный доступ к API по протоколу HTTPS (порт TCP 4443)
Кластер	Объединение нескольких узлов UserGate WAF в кластер (TCP 4369, TCP 9000-9100). Подробнее — в разделе «Кластеризация и отказоустойчивость»
VRRP	Объединение нескольких узлов UserGate WAF в отказоустойчивый кластер (IP-протокол 112). Подробнее — в разделе «Кластеризация и отказоустойчивость»
Консоль администрирования	Доступ к веб-консоли управления (порт TCP 8001)
CLI по SSH	Доступ к интерфейсу командной строки для управления сервером устройства (порт TCP 2200)
Reverse-прокси	Публикация внутренних ресурсов. Подробнее — в разделе «Публикация веб-ресурсов»
Log Analyzer/SIEM	Отправка журналов событий на сервер UserGate Log Analyzer или UserGate SIEM
SNMP-прокси	Построение распределенной системы мониторинга и регулирования нагрузки
NTP-сервис	Доступ к службе точного времени на сервере UserGate WAF

Для работы сервисов необходимо разрешить соответствующие порты и протоколы в сетевой инфраструктуре организации. Подробнее — в разделе «Требования к сетевому окружению».

Вы также можете включать защиту от DoS-атак и защиту от IP-спуфинга для каждой зоны. Кроме того, в свойствах зоны вы можете ограничить количество активных сессий для одного IP-адреса. Это позволит снизить нагрузку на инфраструктуру организации при DDoS-атаках, предотвратить злоупотребление ресурсами и обеспечить их доступность для всех пользователей.

Чтобы добавить сетевую зону:

1. В разделе Настройки ➜ Сеть ➜ Зоны нажмите Добавить.

2. На вкладке Общие выполните следующие действия:

Укажите название и при необходимости описание зоны.
При необходимости укажите параметры защиты сетевой зоны от DoS-атак для протоколов TCP (SYN-флуд), UDP, ICMP соответственно:

Установите флажок Включено для включения защиты.
При необходимости установите флажок Агрегировать для суммарного подсчета всех входящих пакетов. Если флажок не установлен, пакеты учитываются отдельно для каждого IP-адреса.
В поле Порог уведомления укажите количество запросов с одного IP-адреса, при превышении которого в системном журнале будет сгенерирована запись о событии.

Рекомендованное значение — 3000 пакетов/сек.

В поле Порог отбрасывания пакетов укажите количество запросов с одного IP-адреса, при превышении которого будут отброшены пакеты, поступившие с этого IP-адреса, с регистрацией события в системном журнале.

Рекомендованное значение — 6000 пакетов/сек. Для протокола UDP необходимо увеличить это значение, если через интерфейсы зоны проходит трафик таких сервисов, как IP-телефония или L2TP VPN.

При необходимости в блоке параметров Исключения защиты от DoS добавьте IP-адреса узлов, к которым не следует применять ограничения. Это может понадобиться, например, для серверов IP-телефонии, генерирующих интенсивный поток UDP-пакетов.

ПримечаниеРекомендуется включать защиту от DoS-атак для каждой сетевой зоны.

3. При необходимости на вкладке Контроль доступа укажите сервисы, которые будут доступны подключенным к зоне клиентам.

Важно!Не рекомендуется разрешать доступ к сервисам для зон, подключенных к недоверенным сетям (например, к интернету).

ПримечаниеВы можете дополнительно ограничить доступ к каждому сервису, указав разрешенные диапазоны IP-адресов или географические регионы (GeoIP).

4. При необходимости на вкладке Защита от IP-спуфинга включите защиту и укажите для зоны разрешенные диапазоны IP-адресов или географические регионы (GeoIP). Сетевые пакеты, поступающие с IP-адресов, не входящих в разрешенный список, будут отброшены.

При включении инвертирования (соответствует логическому отрицанию) указанные диапазоны IP-адресов будут запрещены для сетевой зоны.

ПримечаниеНапример, для зоны Untrusted вы можете указать диапазоны «серых» IP-адресов (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) и установить флажок «Инвертировать».

5. При необходимости на вкладке Ограничение сессий включите ограничение и укажите максимальное количество активных сессий для одного IP-адреса.

ПримечаниеВ блоке параметров «Исключения» вы можете добавить список IP-адресов, для которых ограничение не будет действовать.

6. Нажмите Сохранить.