Upstream Proxy — это функциональность NGFW, позволяющая перенаправлять входящий HTTP(S) трафик на другой прокси-сервер, благодаря чему возможно создание каскадной иерархии, когда трафик с одного прокси-сервера передается на следующий в цепочке прокси-серверов. Подобное каскадирование обычно используется для обеспечения конфиденциальности коммуникаций или для организации доступа к контенту с региональными ограничениями. Также благодаря технологии каскадирования упрощается встраивание новых региональных офисов в существующую иерархию глобальной сети компании.

Upstream Proxy работает только если NGFW используется в режиме явного прокси-сервера (Explicit Proxy). На стороне клиента в веб-браузере или в других приложениях в явном виде указывается адрес и порт прокси-сервера NGFW .

При запросе клиентом внешнего ресурса формируется две TCP-сессии:

Первая сессия: Клиент — NGFW. Обращение от клиента происходит непосредственно к NGFW и начинается с сообщения HTTP Connect.
Вторая сессия: В отличие от классического сценария с явным прокси, сессия устанавливается не между NGFW и конечным сервером, а между NGFW и последующим (вышестоящим) прокси-сервером. Трафик от NGFW до вышестоящегог прокси-сервера является транзитным для блока Firewall. Необходимо понимать, что в режиме Upstream proxy адресом назначения становится IP-адрес вышестоящего прокси-сервера. Если ранее было настроено запрещающее правило по IP-адресам назначения, то такое правило работать не будет.

Алгоритм обработки трафика (packet flow) аналогичен алгоритму обработки в режиме явного прокси-сервера.

Поступая на интерфейс, пакеты проходят проверку соответствия правилам зоны в блоке DoS, Spoofing. Для корректной работы функциональности Upstream Proxy в NGFW необходимо в настройках зоны разрешить сервис HTTP(s)-прокси, иначе пакеты будут отброшены.

Далее пакеты обрабатываются в блоке Gateways, PBR, в котором маркируются для дальнейшего использования в правилах маршрутизации.

Затем пакеты без изменений проходят в блок с условным названием CHECK, где весь трафик проходит проверку соответствия условиям правил инспектирования, контентной фильтрации, а также принадлежности сервисам ICAP, reverse-прокси, веб-портала, АСУ ТП и защиты почтового трафика. Проверка осуществляется путём поэтапного анализа трафика в соответствие с параметрами алгоритма блока CHECK (подробнее в статье UserGate NGFW packet flow). После обработки в блоке CHECK трафик будет направлен в блоки License, Routing и далее.

Сценарии использования

Proxy forwarding (без классификации трафика)

Весь входящий на NGFW HTTP трафик, прошедший через правила фильтрации на NGFW, перенаправляется на следующий (вышестоящий) прокси-сервер по цепочке. В качестве вышестоящего прокси-сервера может быть любой HTTP(S) или SOCKS5 прокси-сервер. Поддерживается опциональный режим с аутентификацией на вышестоящем прокси-сервере по логину/паролю.

Журналирование перенапрявляемого на вышестоящий прокси-сервер трафика производится в Журнале веб-доступа, но в качестве IP-адреса назначения указывается IP-адрес вышестоящего прокси-сервера.

Этот сценарий может использоваться для обеспечения доступа к контенту с региональными ограничениями, для интеграции сети регионального офиса с существующей глобальной сетевой иерархией компании, для обеспечения конфиденциальности внешних коммуникаций компании.

Update via proxy

Активация лицензии или обновление ПО узлов UserGate (NGFW, MC, LogAn) проходит через внешний прокси-сервер. В качестве такого прокси может быть любой HTTP(S) прокси-сервер. Поддерживается опциональный режим с аутентификацией на внешнем прокси-сервере по логину/паролю.

Журналирование событий лицензирования или обновления ПО через внешний прокси-сервер производится в Журнале событий. В описании каждого такого обновления добавляется тег proxy с адресом и портом прокси-сервера. Например, proxy: https://10.10.0.1:3128.

Активация лицензий или ПО через внешний прокси-сервер может производиться на NGFW, UGMC, LogAn, SIEM.

Одним из примеров использования такого сценария может быть случай, когда оборудование UserGate (например, UGMC, LogAn) находится внутри организации с закрытым контуром, без прямого выхода в интернет для обновления ПО.

ПримечаниеНастройки функциональности Upstream Proxy для NGFW, LogAn могут прописываться в соответствующих шаблонах на и применяться к управляемым узлам через .

Настройки Upstream Proxy

Настройка Upstream Proxy в консоли администратора

Настройка сценария перенаправления трафика на вышестоящий прокси-сервер производится в разделе UserGate —>Настройки —> Вышестоящий прокси.

Необходимо указать режим работы вышестоящего прокси-сервера (HTTP(S)) или SOCKS5), его IP-адрес и порт. Если для доступа к вышестоящему прокси-серверу требуется аутентификация, необходимо указать соответствующий логин и пароль.

Сценарий обновления лицензии или ПО узла UserGate через внешний прокси-сервер имеет одинаковую сквозную настройку для активации лицензии и для обновления ПО. Настройку можно сделать либо в разделе Лицензия в Дашборде, либо в разделе Управление устройством в Настройках. Параметры, установленные в одном из этих разделов, будут отображаться и во втором.

Настройки в Дашборде:

Перейти в раздел Дашборд → Лицензия и нажать на строку регистрации. В окне активации нажать на строку настройки вышестоящего прокси.

В открывшемся окне настройки необходимо указать IP-адрес и порт внешнего HTTP прокси-сервера. Если для доступа к внешнему прокси-серверу требуется аутентификация, необходимо указать соответствующий логин и пароль.

Настройки в разделе Управление устройством:

Перейти в раздел UserGate → Управление устройством → Операции с сервером и нажать Настроить для операции настройки вышестоящего прокси для проверки лицензий и обновлений.