Product: SWG
Version: 7.5.x
ICAP (Internet Content Adaptation Protocol) — это протокол, предназначенный для передачи HTTP-сообщений на внешние серверы с целью их обработки и адаптации. Он работает поверх TCP и по своей структуре напоминает HTTP.
ICAP позволяет прокси-серверам и шлюзам безопасности перенаправлять трафик на выделенные серверы для обработки контента, например для антивирусной проверки, фильтрации или интеграции с DLP-системами.
Взаимодействие по протоколу ICAP строится по модели «клиент —сервер»:
-
ICAP-клиент — это устройство, которое перехватывает HTTP-трафик (прокси-сервер или шлюз безопасности). Клиент инкапсулирует исходное HTTP-сообщение (запрос или ответ) в ICAP-запрос и отправляет его на сервер.
-
ICAP-сервер — это устройство, которое принимает трафик от клиента, обрабатывает его и возвращает результат. Роль ICAP-сервера могут выполнять серверы антивирусной проверки, системы DLP или сервисы для модификации контента.
Протокол определяет два основных режима обработки трафика, которые соответствуют направлению движения данных:
-
Режим модификации запроса (Request Modification, REQMOD). В этом режиме ICAP-клиент отправляет на сервер HTTP-запрос пользователя. Это актуально, например, при загрузке файла на веб-ресурс (метод POST), чтобы проверить отправляемый контент на наличие вирусов или конфиденциальных данных.
-
Режим модификации ответа (Response Modification, RESPMOD). В этом режиме клиент отправляет на сервер HTTP-ответ от веб-сервера. RESPMOD используется, когда пользователь скачивает файл: ICAP-сервер проверяет загружаемый объект на вредоносный код до того, как он попадет к пользователю
Помимо основных методов REQMOD и RESPMOD, протокол поддерживает метод OPTIONS, который позволяет клиенту узнать возможности сервера (например, поддерживаемые методы) перед отправкой данных. В UserGate SWG метод OPTIONS также используется для мониторинга доступности ICAP-серверов.
При работе с внешними ICAP-серверами UserGate SWG исполняет роль ICAP-клиента, передавая HTTP-трафик на ICAP-серверы для антивирусной проверки или для проверки DLP-системами данных, передаваемых пользователями.
UserGate SWG поддерживает гибкую настройку при работе с ICAP-серверами — вы можете задать правила, согласно которым на ICAP-серверы будет направляться только выборочный трафик, или настроить работу с фермой ICAP-серверов.
Настройка работы с ICAP
Чтобы настроить работу UserGate SWG c внешними ICAP-серверами:
1. Создайте профиль ICAP-сервера.
2. Если необходимо распределять трафик на несколько серверов, вы можете создать правило балансировки трафика на ICAP-серверы.
3. Создайте правило ICAP.
Запросы или ответы будут отправляться на проверку на ICAP-серверы при срабатывании правила ICAP и наличии подходящего профиля ICAP-сервера.
Создание профиля ICAP-сервера
Чтобы создать профиль ICAP-сервера, перейдите в раздел Настройки ➜ Политики безопасности ➜ ICAP-серверы, нажмите Добавить и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Название
|
Название профиля ICAP-сервера
|
|
Описание
|
Описание профиля ICAP-сервера
|
|
IP-адрес
|
IP-адрес ICAP-сервера
|
|
Порт
|
TCP-порт ICAP-сервера, значение по умолчанию: 1344
|
|
Максимальный размер сообщения
|
Максимальный размер сообщения (в килобайтах), направляемого на ICAP-сервер. Чтобы выполнить проверку связи с сервером без отправки данных, укажите в этом поле значение 0
|
|
Период проверки соединения с ICAP-сервером
|
Интервал времени в секундах, через который UserGate SWG посылает запрос на ICAP-сервер для проверки его доступности.
Текущее состояние ICAP-сервера отображается в веб-интерфейсе с помощью цветового индикатора
|
|
Вес при балансировке
|
Числовое значение, определяющее относительный вес сервера при балансировке трафика. Запросы распределяются пропорционально заданным весам. Значение 0 исключает сервер из пула балансировки
|
|
Максимальное количество соединений
|
Максимальное количество соединений с сервером, которые могут быть установлены одновременно
|
|
Не отправлять данные, если ICAP-сервер недоступен
|
Отключение отправки данных на ICAP-сервер, когда он недоступен
|
|
Путь REQMOD
|
Настройка работы режима REQMOD:
-
Включено — включение использования режима REQMOD;
-
Путь REQMOD — указание пути в соответствии с требованиями, приведенными в документации на используемый ICAP-сервер. Можно указать путь в следующих форматах:
|
|
Путь RESPMOD
|
Настройка работы режима RESPMOD:
-
Включено — включение использования режима RESPMOD;
-
Путь RESPMOD — указание пути в соответствии с требованиями, приведенными в документации на используемый ICAP-сервер. Можно указать путь в следующих форматах:
|
|
Передавать имя пользователя
|
Настройка передачи имени пользователя:
-
Включено — отправлять имя пользователя на ICAP-сервер.
-
Кодировать в base64 — кодирование имени пользователя в base64. Может потребоваться, если имена пользователей содержат символы национальных алфавитов.
-
Название заголовка — заголовок, который будет использоваться для отправки имени пользователя на ICAP-сервер. Значение по умолчанию — X-Authenticated-User
|
|
Передавать IP-адрес клиента
|
Настройка передачи IP-адреса клиента:
-
Включено — оправлять IP-адрес пользователя на ICAP-сервер.
-
Название заголовка — заголовок, который будет использоваться для отправки IP-адреса пользователя на ICAP-сервер. Значение по умолчанию — X-Client-Ip
|
|
Передавать MAC-адрес клиента
|
Настройка передачи MAC-адреса клиента:
-
Включено — отправлять MAC-адрес пользователя на ICAP-сервер.
-
Название заголовка — заголовок, который будет использоваться для отправки MAC-адреса пользователя на ICAP-сервер. Значение по умолчанию — X-Client-Mac
|
Создание ICAP-правила
Чтобы создать ICAP-правило, перейдите в раздел Настройки ➜ Политики безопасности ➜ ICAP-правила, нажмите Добавить и укажите необходимые параметры.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Срабатывает только первое правило, в котором выполняются все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Вы можете изменить порядок правил в списке с помощью мыши или с помощью значков «Выше», «Ниже», «Наверх», «Вниз» в панели инструментов.
ПримечаниеФлажок «Инвертировать» меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение правила
|
|
Название
|
Название правила
|
|
Теги
|
Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги» |
|
Описание
|
Описание правила
|
|
Действие
|
Действие правила:
-
Пропустить — не посылать данные на ICAP-сервер. Создав правило с таким действием, вы можете явно исключить определенный трафик из пересылки на серверы ICAP.
-
Переслать — переслать данные на ICAP-сервер и ожидать ответа ICAP-сервера. Это стандартный режим работы большинства ICAP-серверов.
-
Переслать и игнорировать — переслать данные на ICAP-сервер и игнорировать ответ от ICAP-сервера. В этом случае, вне зависимости от ответа ICAP-сервера, данные к пользователю уходят без модификации, но сервер ICAP получает полную копию пользовательского трафика
|
|
Вставить
|
Выбор места расположения правила в общем списке правил
|
|
ICAP-серверы
|
Выбор ICAP-серверов или балансировщика ICAP-серверов, на которые UserGate SWG будет пересылать трафик.
В правило можно добавить несколько серверов или балансировщиков. В этом случае при пересылке трафика будет выбран первый доступный сервер или балансировщик из списка
|
|
Источник
|
Зона, списки IP-адресов, списки GeoIP-адресов, списки URL источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение (resolution) доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Обработка трафика происходит по следующей логике:
-
условия объединяются по «ИЛИ», если указаны несколько списков IP-адресов или доменов;
-
условия объединяются по «И», если указаны GeoIP-адреса и списки IP-адресов или доменов
|
|
Пользователи
|
Список пользователей, групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей
|
|
Адрес назначения
|
IP-адреса, GeoIP или списки URL (веб-серверов) назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Обработка трафика происходит по следующей логике:
-
условия объединяются по «ИЛИ», если указаны несколько списков IP-адресов или доменов;
-
условия объединяются по «И», если указаны GeoIP-адреса и списки IP-адресов или доменов
|
|
Типы контента
|
Система позволяет работать с видео, аудио, изображениями, исполняемыми файлами и другими типами данных.
Вы можете создавать собственные группы типов контента. Подробнее о работе с типами контента — в разделе «Типы контента»
|
|
Категории
|
Списки категорий UserGate URL filtering
|
|
URL
|
Списки URL
|
|
HTTP-метод
|
Тип HTTP-метода, применяемого в запросах (обычно POST или GET). При отключенной функции SSL Inspection возможно использование метода CONNECT
|
|
Сервис
|
Указание типа сервиса (HTTP)
|
Работа с несколькими ICAP-серверами
UserGate SWG поддерживает работу с несколькими серверами ICAP. В общем случае, без балансировки, данные передаются на ICAP-серверы по порядку их перечисления. В случае если ICAP-сервер не отвечает, работа UserGate SWG зависит от параметра Действие в правилах ICAP:
-
Пропустить — запрос не передается на ICAP-сервер.
-
Переслать — запрос передается на сервер и ожидается ответ. Если ответ не поступает, запрос отправляется следующему по списку ICAP-серверу.
-
Переслать и игнорировать — запрос передается на сервер, ответ не ожидается.
Балансировку трафика на ICAP-серверы можно настроить с помощью правил балансировки нагрузки, подробнее — в разделе «Балансировка нагрузки».
