ICAP (Internet Content Adaptation Protocol) — это протокол, предназначенный для передачи HTTP-сообщений на внешние серверы с целью их обработки и адаптации. Он работает поверх TCP и по своей структуре напоминает HTTP.

ICAP позволяет прокси-серверам и шлюзам безопасности перенаправлять трафик на выделенные серверы для обработки контента, например для антивирусной проверки, фильтрации или проверки системами предотвращения утечки конфиденциальных данных (data loss prevention, DLP).

Взаимодействие по протоколу ICAP строится по модели «клиент —сервер»:

ICAP-клиент — это устройство, которое перехватывает HTTP-трафик (прокси-сервер или шлюз безопасности). Клиент инкапсулирует исходное HTTP-сообщение (запрос или ответ) в ICAP-запрос и отправляет его на сервер.
ICAP-сервер — это устройство, которое принимает трафик от клиента, обрабатывает его и возвращает результат. Роль ICAP-сервера могут выполнять системы DLP, серверы антивирусной проверки или сервисы для модификации контента.

Протокол определяет два основных режима обработки трафика, которые соответствуют направлению движения данных:

Режим модификации запроса (request modification, REQMOD). В этом режиме ICAP-клиент отправляет на ICAP-сервер HTTP-запрос пользователя. Это актуально, например, при загрузке файла на веб-ресурс (метод POST), чтобы проверить отправляемый контент на наличие конфиденциальных данных.
Режим модификации ответа (response modification, RESPMOD). В этом режиме ICAP-клиент отправляет на ICAP-сервер HTTP-ответ от веб-сервера. RESPMOD применяется, например, при скачивании файла пользователем: ICAP-сервер проверяет загружаемый объект на наличие вредоносного кода до его доставки пользователю.

Помимо основных методов REQMOD и RESPMOD, протокол поддерживает метод OPTIONS, который позволяет клиенту узнать возможности сервера (например, поддерживаемые методы) перед отправкой данных. В UserGate SWG метод OPTIONS также используется для мониторинга доступности ICAP-серверов.

UserGate SWG при работе с внешними ICAP-серверами исполняет роль ICAP-клиента, передавая HTTP-трафик на ICAP-серверы для дополнительной проверки.

UserGate SWG поддерживает гибкую настройку работы с ICAP-серверами. Вы можете создавать отдельные правила для проверки запросов и ответов (режимы REQMOD и RESPMOD), направляя на ICAP-серверы только выборочный трафик, а также настраивать работу с фермой ICAP-серверов.

Настройка работы с ICAP-серверами

Для работы с внешними ICAP-серверами:

1. Создайте профиль ICAP-сервера.

2. Если необходимо распределять трафик на несколько серверов, вы можете создать правило балансировки трафика на ICAP-серверы.

3. Создайте правило ICAP.

HTTP-запросы пользователя или ответы целевого веб-сервера будут отправляться на проверку на ICAP-серверы при срабатывании ICAP-правила с определенными действиями — «Переслать» или «Переслать и игнорировать».

Создание профиля ICAP-сервера

Чтобы создать профиль ICAP-сервера:

В разделе Настройки ➜ Политики безопасности ➜ ICAP-серверы, нажмите Добавить и укажите необходимые параметры.

Параметр	Описание
Название	Название профиля ICAP-сервера
Описание	Описание профиля ICAP-сервера
IP-адрес	IP-адрес ICAP-сервера
Порт	TCP-порт ICAP-сервера, значение по умолчанию: 1344
Максимальный размер сообщения	Максимальный размер сообщения (в килобайтах), направляемого на ICAP-сервер. Чтобы выполнить проверку связи с сервером без отправки данных, укажите в этом поле значение 0
Период проверки соединения с ICAP-сервером	Интервал времени в секундах, через который UserGate SWG посылает запрос на ICAP-сервер для проверки его доступности. Текущее состояние ICAP-сервера отображается в веб-интерфейсе с помощью цветового индикатора
Вес при балансировке	Числовое значение, определяющее относительный вес сервера при балансировке трафика. Запросы распределяются пропорционально заданным весам. Значение 0 исключает сервер из пула балансировки
Максимальное количество соединений	Максимальное количество соединений с сервером, которые могут быть установлены одновременно
Пропускать трафик при ошибке или недоступности ICAP-сервера	При недоступности ICAP-сервера или возникновении непредвиденной ошибки при его работе, переданный на проверку трафик обрабатывается со статусом «Пропустить»
Путь REQMOD	Настройка работы c ICAP-сервером в режиме REQMOD (режим модификации запроса): Включено — использовать в режиме REQMOD; Путь REQMOD — укажите путь обращения к службе ICAP в соответствии с требованиями, приведенными в документации на используемый ICAP-сервер. Можно указать путь в следующих форматах: `/path` — путь на сервере ICAP; `icap://icap-server:port/path` — указание полного URI
Путь RESPMOD	Настройка работы с ICAP-сервером в режиме RESPMOD (режим модификации ответа): Включено — использовать в режиме RESPMOD; Путь RESPMOD — укажите путь обращения к службе ICAP в соответствии с требованиями, приведенными в документации на используемый ICAP-сервер. Можно указать путь в следующих форматах: `/path` — путь на сервере ICAP; `icap://icap-server:port/path` — указание полного URI
Передавать имя пользователя	Передача на ICAP-сервер имени пользователя. Параметры для настройки: Включено — отправлять имя пользователя на ICAP-сервер. Кодировать в base64 — кодирование имени пользователя в base64. Может потребоваться, если имена пользователей содержат символы национальных алфавитов. Название заголовка — заголовок, который будет использоваться для отправки имени пользователя на ICAP-сервер. Значение по умолчанию — `X-Authenticated-User`
Передавать IP-адрес пользователя	Передача на ICAP-сервер IP-адреса пользователя. Параметры для настройки: Включено — оправлять IP-адрес пользователя на ICAP-сервер. Название заголовка — заголовок, который будет использоваться для отправки IP-адреса пользователя на ICAP-сервер. Значение по умолчанию — `X-Client-Ip`
Передавать MAC-адрес пользователя	Передача на ICAP-сервер MAC-адреса пользователя. Параметры для настройки: Включено — отправлять MAC-адрес пользователя на ICAP-сервер. Название заголовка — заголовок, который будет использоваться для отправки MAC-адреса пользователя на ICAP-сервер. Значение по умолчанию — `X-Client-Mac`

Создание ICAP-правила

ICAP-правила создаются отдельно для режимов обработки запросов и ответов REQMOD и RESPMOD (доступно в версии 7.5.1 и выше). В веб-консоли UserGate SWG в разделе Настройки ➜ Политики безопасности ➜ ICAP-правила созданные правила сгруппированы по режимам обработки. Сначала выполняются правила режима REQMOD, затем — RESPMOD. В каждом режиме срабатывает только первое правило, в котором выполняются все указанные условия.

С помощью параметра «Порядок применения правил» в свойствах ICAP-правила (доступно в версии 7.5.1 и выше) вы можете управлять приоритетом обработки трафика правилами фильтрации контента относительно ICAP-правил. Например, вы можете блокировать передачу HTTP-запросов на ICAP-серверы для трафика, запрещенного политикой контентной фильтрации, выбрав в правиле порядок применения: «Правила контентной фильтрации ➜ ICAP-правила».

Важно!Не рекомендуется создавать ICAP-правила одного режима обработки с одинаковыми условиями, действиями и серверами назначения, но различающиеся только приоритетом выполнения (до или после фильтрации контента). Такая конфигурация приводит к повторной отправке трафика на ICAP-сервер, увеличению задержек и дополнительной нагрузке на серверы. Для обеспечения корректной и оптимальной работы политики обработки трафика рекомендуется использовать уникальные условия применения правил в рамках одного режима (REQMOD или RESPMOD).

Итоговый порядок применения ICAP-правил определяется не только их принадлежностью к группе (REQMOD, RESPMOD) и порядковым номером в списке, но и фазой приоритизации (до или после применения правил фильтрации контента). Это означает, что правило с большим порядковым номером, но с приоритетом «до фильтрации контента», может быть выполнено раньше правила с меньшим номером, но имеющим приоритет «после фильтрации контента».

Чтобы создать ICAP-правило:

В разделе Настройки ➜ Политики безопасности ➜ ICAP-правила, нажмите Добавить и укажите необходимые параметры.

Параметр	Описание
Включено	Включение или отключение правила
Название	Название правила
Теги	Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги»
Описание	Описание правила
Действие	Действие правила: Пропустить — не посылать данные на ICAP-сервер. Создав правило с таким действием, вы можете явно исключить определенный трафик из пересылки на серверы ICAP. Переслать — переслать данные на ICAP-сервер и ожидать ответа ICAP-сервера. Это стандартный режим работы большинства ICAP-серверов. Переслать и игнорировать — переслать данные на ICAP-сервер и игнорировать ответ от ICAP-сервера. В этом случае, вне зависимости от ответа ICAP-сервера, данные к пользователю уходят без модификации, но сервер ICAP получает полную копию пользовательского трафика
Вставить	Выбор места расположения правила в общем списке правил
Режим проверки	Выбор режима проверки сообщений (доступно в версии 7.5.1 и выше): REQMOD — проверка и модификация запросов (ICAP-сервер получает HTTP-запрос пользователя до его отправки на веб-сервер и может его проверить или изменить); RESPMOD — проверка и модификация ответов (ICAP-сервер обрабатывает HTTP-ответ от веб-сервера перед тем, как он будет отправлен пользователю)
Порядок применения правил	Параметр, определяющий порядок применения правил ICAP и контентной фильтрации (доступно в версии 7.5.1 и выше). Может применяться в сценариях, когда пользователь обращается к ресурсу, запрещенному политикой контентной фильтрации (например, при скачивании файла), чтобы такие запросы могли блокироваться до передачи на ICAP-сервер. Управлять приоритетом выполнения правил контентной фильтрации и ICAP можно для обоих стеков правил (REQMOD и RESPMOD). Значения параметра: ICAP-правила ➜ Правила контентной фильтрации; Правила контентной фильтрации ➜ ICAP-правила
ICAP-серверы	Выбор ICAP-серверов или балансировщиков ICAP-серверов, на которые UserGate SWG будет пересылать трафик. Правила с действием «Пропустить» допускается создавать без добавления ICAP-серверов. Общие правила обработки трафика ICAP-серверами: В одно правило можно добавить несколько профилей — как отдельных ICAP-серверов, так и балансировщиков. Очередность обработки зависит от типа профиля: Сначала трафик последовательно проходит через выделенные ICAP-серверы в порядке их расположения в правиле. Затем трафик передается балансировщикам, которые опрашиваются также в порядке их расположения в правиле. Логика работы балансировщиков: выбирается один из управляемых ICAP-серверов на основе настроенного алгоритма распределения нагрузки. Если выбранный сервер не блокирует трафик, обработка передается следующему балансировщику из списка. Обработка прекращается, как только один из ICAP-серверов блокирует трафик или когда исчерпан весь список серверов. При использовании балансировщика нагрузки рекомендуется устанавливать одинаковые значения следующих параметров для всех обслуживаемых ICAP-серверов: «Пропускать трафик при ошибке или недоступности ICAP-сервера»; «Максимальный размер сообщения». Подробнее о балансировщике ICAP — в разделе «Балансировка нагрузки»
Источник	Зона, списки IP-адресов, списки GeoIP-адресов, списки доменов источника трафика. Важно! Строки с символом «`*`» в таких списках не работают (игнорируются). Каждые пять минут UserGate SWG производит разрешение (resolution) доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса. Обработка трафика происходит по следующей логике: условия объединяются по «ИЛИ», если указаны несколько списков IP-адресов или доменов; условия объединяются по «И», если указаны GeoIP-адреса и списки IP-адресов или доменов
Пользователи	Список пользователей, групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей
Назначение	IP-адреса, GeoIP или списки доменов назначения трафика. Важно! Строки с символом «`*`» в таких списках не работают (игнорируются). Каждые пять минут UserGate SWG производит разрешение (resolution) доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса. Обработка трафика происходит по следующей логике: условия объединяются по «ИЛИ», если указаны несколько списков IP-адресов или доменов; условия объединяются по «И», если указаны GeoIP-адреса и списки IP-адресов или доменов
Типы контента	Условие срабатывания правила по типу контента. Вы также можете создавать собственные группы типов контента. Подробнее о работе с типами контента — в разделе «Типы контента»
Категории	Условие срабатывания правила по категориям URL. Подробнее о работе с категориями URL — в разделе «Категории URL»
URL	Условие срабатывания правила по cпискам URL. Подробнее о работе со списками URL — в разделе «Списки URL»
HTTP-метод	Тип HTTP-метода, применяемого в запросах (обычно POST или GET)
Сервис	Указание типа сервиса (HTTP)