Задача

Необходимо разделить трафик пользователей: для одних пользователей UserGate должен работать в режиме явного прокси (Explicit Proxy Mode), для других - в режиме прозрачного прокси (Transparent Proxy Mode). Трафик от всех пользователей поступает на один интерфейс.

Решение

Поскольку весь трафик пользователей поступает на один интерфейс, UserGate автоматически применяет политики безопасности ко всему трафику с портами назначения 80 и 443.

Для разделения трафика выполните следующие действия:

1. Направьте трафик на разные интерфейсы (т.е. трафик, к которому должны быть применены политики UserGate направьте на один интерфейс, трафик, который должен пройти через UserGate без анализа - на другой); назначьте им разные зоны. Это позволит разделять трафик по признаку зоны источника.

Чтобы назначить двум интерфейсам адреса из одной сети (если нет другого маршрутизатора, на котором можно было бы выделить отдельную сеть), создайте для интерфейса, который будет указан как явный прокси, отдельный виртуальный маршрутизатор. В нём необходимо указать маршруты и шлюзы, аналогичные маршрутам и шлюзам маршрутизатора по умолчанию.

2. Для зоны источника интерфейса, указанного как шлюз по умолчанию, настройте разрешающие правила инспектирования SSL и фильтрации контента; расположите эти правила в начале списка.

Подробнее об алгоритме обработки трафика в UserGate версии 6.x.x читайте в статье UserGate NGFW 6 Packet Flow.