Раздел Сервисы содержит список общеизвестных сервисов, основанных на протоколах TCP/IP, например, таких как HTTP, HTTPS, FTP и другие. Эти сервисы могут быть использованы при построении правил NGFW. Первоначальный список сервисов поставляется вместе с продуктом.

Вы можете добавлять необходимые вам элементы в процессе работы. Чтобы добавить новый сервис:

1. В веб-консоли UserGate NGFW перейдите в раздел Настройки ➜ Библиотеки ➜ Сервисы и нажмите Добавить.

2. В открывшемся окне свойств сервиса укажите название и произвольное описание сервиса

3. Нажать Добавить, выберите необходимый сетевой протокол и укажите порты сервиса. Порты можно указывать диапазонами, например, 33333-33355:

При выборе сетевых протоколов TCP или UDP можно также выбрать шлюз прикладного уровня (Application Layer Gateway — ALG).

Некоторые протоколы используют раздельные потоки для обмена сигнальной информацией и передачи данных. Примерами таких протоколов являются FTP, SIP или H.323. Параметры установления потока передачи данных (например, IP-адреса или порты) у таких протоколов не настраиваются заранее, а согласуются при обмене сигнальными сообщениями между устройствами на этапе активации сервиса. Для управления такими протоколами в UserGate NGFW используются шлюзы прикладного уровня (ALG).

ALG работает как посредник между сетью и сервером приложений, который понимает прикладной протокол. Например, ALG может разрешать клиентским приложениям использовать динамические порты TCP/UDP для взаимодействия с известными портами, используемыми серверными приложениями, даже в тех случаях, когда настройки межсетевого экрана разрешают трафик только через ограниченное число портов. Без ALG порты будут блокироваться, либо администраторам придется открывать в межсетевом экране большое количество портов, что ослабляет безопасность сети и открывает возможность для потенциальных атак через эти порты. Также ALG может распознавать конкретные команды приложения и получать адресную информацию сетевого уровня, которая находится в пэйлоаде пакетов приложения. ALG может синхронизировать несколько потоков или сеансов между хостами.

При создании нового сервиса с протоколом TCP можно выбрать шлюзы прикладного уровня для следующих протоколов:

FTP;
SIP;
H.323.

При создании нового сервиса с протоколом UDP можно выбрать шлюзы прикладного уровня для протоколов:

SIP;
TFTP.

FTP использует несколько потоков для передачи файлов — первичный сигнальный поток и вторичные потоки данных для списков каталогов и передачи файлов. Поскольку эти потоки данных могут подключаться к любому порту, сложно создать статическую политику межсетевого экрана, которая бы разрешала эти потоки данных и при этом обеспечивала адекватную защиту. FTP ALG автоматически решает эту проблему путем мониторинга сигнального потока FTP, поиска команд порта FTP, которые указывают, какие порты источника и назначения запрашиваются. ALG динамически открывает определенную комбинацию IP-портов источника и назначения в политике межсетевого экрана, которая позволяет установить сессию. Как только сессия завершена, шлюз немедленно закрывается. В случае, если FTP-сессия проходит через NAT, ALG анализирует пакеты на прикладном уровне, заменяя внутренний IP на адрес интерфейса NAT.

SIP ALG — шлюз прикладного уровня, который позволяет голосовому VoIP-трафику (RTP) проходить через устройство с функцией NAT. Если на межсетевом экране присутствует и активирован SIP ALG, то не нужно дополнительно настраивать проброс портов для этого типа трафика. Для беспрепятственного прохождения SIP-трафика через устройство с NAT необходимо транслировать адресацию в SIP-пакетах. SIP-пакет анализируется на прикладном уровне, и в нем изменяются IP-адреса. Так SIP ALG позволяет реализовать услуги SIP-телефонии в сети с трансляцией адресов без использования вспомогательных внешних устройств.

H.323 ALG поддерживает набор протоколов H.225.0 и H.245 для обеспечения сеанса аудиовизуальной связи в сети. ALG позволяет трафику проходить через устройство с функцией NAT, анализируя пакеты на уровне приложения, и заменяя в них IP-адреса.

По умолчанию шлюзы прикладного уровня отключены в параметрах устройства. Включить их можно в интерфейсе командной строки (CLI) с помощью следующей команды:

Admin@nodename# set settings device <sip|h323|ftp-alg> on

Подробнее в статье Настройка параметров устройства.