NGFW позволяет передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для проверки передаваемых пользователями данных DLP-системами. В данном случае NGFW будет выступать в роли ICAP-клиента.
NGFW поддерживает гибкие настройки при работе с ICAP-серверами, например, администратор может задать правила, согласно которым на ICAP-серверы будет направляться только выборочный трафик, или настроить работу с фермой ICAP-серверов.
Общие настройки
Для того, чтобы настроить работу NGFW c внешними серверами ICAP, необходимо выполнить следующие шаги:
Наименование
Описание
Шаг 1. Создать ICAP-сервер.
В разделе Политики безопасности ➜ ICAP-серверы нажать на кнопку Добавить и создать один или более ICAP-серверов.
Шаг 2. Создать правило балансировки на ICAP-серверы (опционально).
В случае, если требуется балансировка на ферму ICAP-серверов, создать в разделе Политики сети ➜ Балансировка нагрузки балансировщик ICAP-серверов. В качестве серверов используются ICAP-серверы, созданные на предыдущем шаге.
Шаг 3. Создать правило ICAP.
В разделе Политики безопасности ➜ Правила ICAP создать правило, которое будет задавать условия пересылки трафика на ICAP-серверы или фермы серверов.
Важно! Правила ICAP применяются сверху вниз в списке правил. Срабатывает только первое правило, для которого совпали все условия, указанные в настройках правила.
Для создания ICAP-сервера в разделе Политики безопасности ➜ ICAP-серверы необходимо нажать на кнопку Добавить и заполнить следующие поля:
Наименование
Описание
Название
Название ICAP-сервера.
Описание
Описание ICAP-сервера.
Адрес сервера
IP-адрес ICAP-сервера.
Порт
TCP-порт ICAP-сервера, значение по умолчанию 1344.
Максимальный размер сообщения
Определяет максимальный размер сообщения, передаваемого на ICAP-сервер в килобайтах. По умолчанию: 0 (тело запроса не будет передаваться на ICAP-сервер).
Период проверки доступности сервера ICAP
Устанавливает время в секундах, через которое NGFW посылает OPTIONS-запрос на ICAP-сервер, чтобы убедиться, что сервер доступен.
Пропускать при ошибках
Если эта опция включена, то NGFW не будет посылать данные на сервер ICAP в случаях, когда ICAP-сервер недоступен (не отвечает на запрос OPTIONS).
Reqmod путь
Включено — включает использование режима Reqmod.
Путь на сервере ICAP для работы в режиме Reqmod. Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах:
/path — путь на сервере ICAP;
icap://icap-server:port/path — указание полного URI для режима reqmod.
Respmod путь
Включено — включает использование режима Respmod.
Путь на сервере ICAP для работы в режиме Respmod. Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах:
/path — путь на сервере ICAP;
icap://icap-server:port/path — указание полного URI для режима respmod.
Посылать имя пользователя
Включено — включает отсылку имени пользователя на ICAP-сервер.
Кодировать в base64 — кодировать имя пользователя в base64, это может потребоваться, если имена пользователей содержат символы национальных алфавитов.
Название заголовка, которое будет использоваться для отправки имени пользователя на ICAP-сервер. Значение по умолчанию — X-Authenticated-User.
Посылать IP-адрес
Включено — включает отсылку IP-адреса пользователя на ICAP-сервер.
Название заголовка, которое будет использоваться для отправки IP-адреса пользователя на ICAP-сервер. Значение по умолчанию — X-Client-Ip.
Посылать MAC-адрес
Включено — включает отсылку MAC-адреса пользователя на ICAP-сервер.
Название заголовка, которое будет использоваться для отправки MAC-адреса пользователя на ICAP-сервер. Значение по умолчанию — X-Client-Mac.
Для создания правила балансировки на серверы ICAP в разделе Политики сети ➜ Балансировка нагрузки необходимо выбрать Добавить ➜ Балансировщик ICAP и заполнить следующие поля:
Наименование
Описание
Включено
Включает или отключает правило.
Название
Название правила.
Описание
Описание правила.
ICAP-серверы
Список серверов ICAP, на которые будет распределяться нагрузка, созданный на предыдущем шаге.
Для создания ICAP-правила необходимо нажать Добавить в разделе Политики безопасности ➜ ICAP-правила и заполнить необходимые поля.
ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, для которого совпали все указанные в нём условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.
ПримечаниеЧекбокс Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Наименование
Описание
Включено
Включает или отключает правило.
Название
Название правила.
Описание
Описание правила.
Действие
Возможны следующие варианты:
Пропустить — не посылать данные на ICAP-сервер. Создав правило с таким действием, администратор может явно исключить определенный трафик из пересылки на серверы ICAP.
Переслать — переслать данные на ICAP-сервер и ожидать ответа ICAP-сервера. Это стандартный режим работы большинства ICAP-серверов.
Переслать и игнорировать — переслать данные на ICAP-сервер и игнорировать ответ от ICAP-сервера. В этом случае, вне зависимости от ответа ICAP-сервера, данные к пользователю уходят без модификации, но сервер ICAP получает полную копию пользовательского трафика.
ICAP-серверы
ICAP-сервер или балансировщик серверов ICAP, куда NGFW будет пересылать запросы.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Каждые 5 минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса.
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
Важно! Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Пользователи
Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей.
Адрес назначения
IP-адреса, GeoIP или списки URL (хостов) назначения трафика.
Важно! Существует ограничение на количество GeoIP, которое может быть указано: не более 15.
Список URL должен включать только имена доменов.
Важно! Строки с символом '*' в таких списках не работают (игнорируются).
Важно! Обработка трафика происходит по следующей логике:
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов;
условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов.
Типы контента
Списки типов контента. Предусмотрена возможность управления видеоконтентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы типов контента. Более подробно о работе с типами контента читайте в главе Типы контента.
Категории
Списки категорий UserGate URL filtering.
URL
Списки URL.
HTTP метод
Метод, используемый в HTTP-запросах, как правило, это POST или GET. Если не используется SSL Inspection, то возможно применение метода CONNECT.
Сервис
Возможны варианты:
HTTP — веб-трафик.
SMTP — почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа.
POP3 — почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа.
Важно! Перед использованием сервисов SMTP и POP3 в правилах ICAP необходимо создать правило защиты почтового трафика для данных сервисов. Подробнее о защите почтового трафика смотрите в разделе Защита почтового трафика.
Работа с несколькими серверами ICAP
UserGate поддерживает работу с несколькими серверами ICAP. В общем случае без балансировки данные передаются на ICAP сервера по порядку их перечисления, в случае если сервер ICAP не отвечает: поведение UserGate зависит от настройки Действие в правилах ICAP:
Пропустить - запрос не передаются на ICAP сервер
Переслать - запрос передается на сервер и ожидается ответ, если ответ не поступает, запрос отправляется следующему по списку ICAP серверу.
Переслать и игнорировать - запрос передается на сервер, ответ не ожидается.
Балансировка нагрузки ICAP серверов
В UserGate возможна балансировка нагрузки на ICAP сервера. Реализовать это возможно двумя способами:
1. Балансировщик ICAP серверов:
Для настройки необходимо:
Создать объекты Серверы ICAP в пункте меню UserGate ➜ Политики безопасности ➜ ICAP серверы как указано в примере ниже:
Создать "Балансировщик ICAP", для этого в пункте UserGate ➜ Политики сети ➜ Балансировка нагрузки, следует нажать кнопку Добавить и выбрать пункт Добавить балансировщик ICAP, далее установить чекбокс Включено и ввести название балансировщика:
Далее на вкладке ICAP-серверы, необходимо добавить ранее созданные ICAP серверы используя кнопку Добавить:
И нажать кнопку Сохранить. В результате будет создан Балансировщик ICAP:
После этого можно будет выбрать созданный балансировщик в настройке ICAP-правил.
Внимание!Данный способ балансировки не проверяет доступность ICAP серверов участвующих в балансировке. В случае недоступности ICAP серверов, поведение UserGate будет регламентироваться значением настройки Действие в ICAP правилах(см. выше).
Балансировка TCP\IP
ПримечаниеДанный способ балансировки ICAP серверов является предпочтительным, хоть и более сложным, из-за наличия механизма проверки доступности и аварийного режима.
Второй вариант балансировки серверов ICAP возможен с использованием Балансировщика TCP\IP.
В меню UserGate ➜ Политики сети ➜ Балансировка нагрузки нажимаем кнопку Добавить Выбираем Балансировщик TCP\IP, укзываем название, виртуальный IP адрес балансировщика (один из интерфейсов UserGate), порт реального сервера ICAP (по умолчанию 1344):
На вкладке Реальные серверы нужно указать IP адреса и порты реальных ICAP серверов, режим работы следует выбрать Маскарадинг с подменой IP-источника (SNAT):
На вкладке Аварийный режим, можно указать резервный сервер ICAP, который примет запросы в случае недоступности основных серверов ICAP. Пример настройки приведен ниже:
На вкладке мониторинг можно настроить параметры проверки доступности серверов, участвующих в балансировке, можно выбрать метод, интервал проверки и количество неудачных попыток, для признания узла недоступным. Пример настройки приведен ниже:
ПримечаниеМетод Connect проверки сервера позволяет проверить, что сервер отвечает по указанному порту. Это надежнее метода ping.
Теперь можно создать ICAP сервер используя виртуальный IP адрес балансировщика TCP\IP и далее использовать этот сервер в правилах ICAP.