Зоны

description

Описание зоны.

dos-protection-udp

Защита зоны от сетевого флуда для протокола UDP:

• enabled: включение/отключение защиты.

  • on.

  • off.

• aggregate:

  • on — считаются все пакеты, входящие в интерфейсы данной зоны.

  • off — пакеты считаются отдельно для каждого IP-адреса.

• alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.

• drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то NGFW отбрасывает пакеты и записывает данное событие в системный журнал.

• excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.

enabled-services

Параметры контроля доступа зоны:

• "Any ICMP": разрешение использования команды ping адреса NGFW.

• SNMP: доступ к NGFW по протоколу SNMP (UDP 161).

• response-pages: разрешение для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002).

• rpc: XML-RPC для управления — позволяет управлять продуктом по API (TCP 4040).

• ha: сервис, необходимый для объединения нескольких узлов NGFW в кластер (TCP 4369, TCP 9000-9100).

• VRRP: сервис, необходимый для объединения нескольких узлов NGFW в отказоустойчивый кластер (IP протокол 112).

• "Admin Console": доступ к веб-консоли управления (TCP 8001).

• DNS: доступ к сервису DNS-прокси (TCP 53, UDP 53).

• "HTTP Proxy": доступ к сервису HTTP(S)-прокси (TCP 8090).

• "Authorization agent": доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).

• "SMTP Proxy": сервис фильтрации SMTP-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.

• "POP3 Proxy": сервис фильтрации POP3-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.

• "CLI over SSH": доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.

• VPN: доступ к серверу для подключения к нему клиентов L2TP VPN (UDP 500, 4500).

• SCADA: сервис фильтрации АСУ ТП-трафика. Необходим только при контроле АСУ ТП-трафика.

• "REVERSE PROXY": сервис, необходимый для публикации внутренних ресурсов с помощью Reverse-прокси.

• "PROXY PORTAL": сервис, необходимый для публикации внутренних ресурсов с помощью SSL VPN.

• "SAML SERVER": выбор SAML-сервера в списке сервисов зоны и общих настройках NGFW.

• "Log Analyzer": сервис анализатора журналов Log analyzer. Необходимо включить его, если планируется использовать данный узел в качестве LogAn (TCP 2023 и 9713).

• "Dynamic routing OSPF": сервис динамической маршрутизации OSPF.

• "Dynamic routing BGP": сервис динамической маршрутизации BGP.

• "SNMP Proxy": сервис используется для построения распределённой системы мониторинга (позволяет регулировать нагрузку и организовывать мониторинг распределённой сетевой инфраструктуры).

• "SSH Proxy": сервис, использующийся для инициирования трафика SSH.

• Multicast: сервис мультикастинга.

• NTP: доступ к сервису точного времени, запущенному на NGFW.

• "Dynamic routing RIP": сервис динамической маршрутизации RIP.

antispoof-enabled

Включение/отключение защиты от IP-спуфинга:

• on.

• off.

antispoof-negate

Возможные значения:

• on.

• off.

При antispoof-negate on адреса источников, указанные в значении ip-spoofing-networks, будут являться адресами, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными IP-адресами источников.

dos-protection-udp

Защита зоны от сетевого флуда для протокола UDP:

• excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.

enabled-services

Параметры контроля доступа зоны:

• "Any ICMP": разрешение использования команды ping адреса UserGate.

• SNMP: доступ к UserGate по протоколу SNMP (UDP 161).

• response-pages: разрешение для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002).

• rpc: XML-RPC для управления — позволяет управлять продуктом по API (TCP 4040).

• ha: сервис, необходимый для объединения нескольких узлов UserGate в кластер (TCP 4369, TCP 9000-9100).

• VRRP: сервис, необходимый для объединения нескольких узлов UserGate в отказоустойчивый кластер (IP протокол 112).

• "Admin Console": доступ к веб-консоли управления (TCP 8001).

• DNS: доступ к сервису DNS-прокси (TCP 53, UDP 53).

• "HTTP Proxy": доступ к сервису HTTP(S)-прокси (TCP 8090).

• "Authorization agent": доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).

• "SMTP Proxy": сервис фильтрации SMTP-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.

• "POP3 Proxy": сервис фильтрации POP3-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.

• "CLI over SSH": доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.

• VPN: доступ к серверу для подключения к нему клиентов L2TP VPN (UDP 500, 4500).

• SCADA: сервис фильтрации АСУ ТП-трафика. Необходим только при контроле АСУ ТП-трафика.

• "REVERSE PROXY": сервис, необходимый для публикации внутренних ресурсов с помощью Reverse-прокси.

• "PROXY PORTAL": сервис, необходимый для публикации внутренних ресурсов с помощью SSL VPN.

• "SAML SERVER": выбор SAML-сервера в списке сервисов зоны и общих настройках UserGate.

• "Log Analyzer": сервис анализатора журналов Log analyzer. Необходимо включить его, если планируется использовать данный узел в качестве Log analyzer (TCP 2023 и 9713).

• "Dynamic routing OSPF": сервис динамической маршрутизации OSPF.

• "Dynamic routing BGP": сервис динамической маршрутизации BGP.

• "SNMP Proxy": сервис используется для построения распределённой системы мониторинга (позволяет регулировать нагрузку и организовывать мониторинг распределённой сетевой инфраструктуры).

• "SSH Proxy": сервис, использующийся для инициирования трафика SSH.

• Multicast: сервис мультикастинга.

• NTP: доступ к сервису точного времени, запущенному на NGFW.

• "Dynamic routing RIP": сервис динамической маршрутизации RIP.

ip-spoofing-networks

При использовании защиты от IP-спуфинга администратор может указать IP-адреса источников, допустимых в данной зоне; адреса указываются в формате <ip> или <ip/mask>. Сетевые пакеты с адресами источников, отличными от указанных, будут отброшены.