Данный раздел находится на уровне network zone. Команда для создания новой зоны:
Admin@nodename# create network zone
Далее необходимо указать параметры зоны:
Параметр
Описание
name
Название зоны.
description
Описание зоны.
dos-protection-syn
Защита зоны от сетевого флуда для протокола TCP (SYN-flood):
enabled: включение/отключение защиты.
on.
off.
aggregate:
on — считаются все пакеты, входящие в интерфейсы данной зоны.
off — пакеты считаются отдельно для каждого IP-адреса.
alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.
drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
dos-protection-udp
Защита зоны от сетевого флуда для протокола UDP:
enabled: включение/отключение защиты.
on.
off.
aggregate:
on — считаются все пакеты, входящие в интерфейсы данной зоны.
off — пакеты считаются отдельно для каждого IP-адреса.
alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.
drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
dos-protection-icmp
Защита зоны от сетевого флуда для протокола ICMP:
enabled: включение/отключение защиты.
on.
off.
aggregate:
on — считаются все пакеты, входящие в интерфейсы данной зоны.
off — пакеты считаются отдельно для каждого IP-адреса.
alert-threshold: порог уведомления; если количество запросов превышает данный порог, то происходит запись события в системный журнал.
drop-threshold: порог отбрасывания пакетов; если количество запросов превышает указанное значение, то UserGate отбрасывает пакеты и записывает данное событие в системный журнал.
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
enabled-services
Параметры контроля доступа зоны:
"Any ICMP": разрешение использования команды ping адреса UserGate.
SNMP: доступ к UserGate по протоколу SNMP (UDP 161).
response-pages: разрешение для показа страницы авторизации Captive-портала и страницы блокировки (TCP 80, 443, 8002).
rpc: XML-RPC для управления - позволяет управлять продуктом по API (TCP 4040).
ha: сервис, необходимый для объединения нескольких узлов UserGate в кластер (TCP 4369, TCP 9000-9100).
VRRP: сервис, необходимый для объединения нескольких узлов UserGate в отказоустойчивый кластер (IP протокол 112).
"Admin Console": доступ к веб-консоли управления (TCP 8001).
DNS: доступ к сервису DNS-прокси (TCP 53, UDP 53).
"HTTP Proxy": доступ к сервису HTTP(S)-прокси (TCP 8090).
"Authorization agent": доступ к серверу, необходимый для работы агентов авторизации Windows и терминальных серверов (UDP 1813).
"SMTP Proxy": сервис фильтрации SMTP-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.
"POP3 Proxy": сервис фильтрации POP3-трафика от спама и вирусов. Необходим только при публикации почтового сервера в Интернет.
"CLI over SSH": доступ к серверу для управления им с помощью CLI (command line interface), порт TCP 2200.
VPN: доступ к серверу для подключения к нему клиентов L2TP VPN (UDP 500, 4500).
SCADA: сервис фильтрации АСУ ТП-трафика. Необходим только при контроле АСУ ТП-трафика.
"REVERSE PROXY": сервис, необходимый для публикации внутренних ресурсов с помощью Reverse-прокси.
"PROXY PORTAL": сервис, необходимый для публикации внутренних ресурсов с помощью SSL VPN.
L7 DNS: детектирование трафика DNS на уровне приложений.
L7 NTP: детектирование трафика NTP на уровне приложений.
"SAML SERVER": выбор SAML-сервера в списке сервисов зоны и общих настройках UserGate.
"Log Analyzer": сервис анализатора журналов Log analyzer. Необходимо включить его, если планируется использовать данный сервер UserGate в качестве Log analyzer (TCP 2023 и 9713).
"SNMP Proxy": сервис используется для построения распределённой системы мониторинга (позволяет регулировать нагрузку и организовывать мониторинг распределённой сетевой инфраструктуры).
"SSH Proxy": сервис, использующийся для инициирования трафика SSH.
Multicast: сервис мультикастинга.
NTP: доступ к сервису точного времени, запущенному на сервере UserGate.
UserID agent: сервис для осуществления прозрачной аутентификации. В качестве источника данных аутентификации используются журналы ActiveDirectory и Syslog.
BFD: сервис Bidirectonal Forwarding Detection для быстрого обнаружения сетевых ошибок.
service-addresses
Указание разрешённых IP-адресов для сервисов:
service: выбор сервисов (список соответствует enabled-services).
allowed-addresses: разрешённые IP-адреса:
geoip — код GeoIP.
ip-list — заранее созданный в библиотеке элементов список IP-адресов.
antispoof-enabled
Включение/отключение защиты от IP-спуфинга:
on.
off.
antispoof-negate
Возможные значения:
on.
off.
При antispoof-negate on адреса источников, указанные в значении ip-spoofing-networks, будут являться адресами, которые не могут быть получены на интерфейсах данной зоны. В этом случае будут отброшены пакеты с указанными IP-адресами источников.
sessions-limit-enabled
Включение ограничения количества одновременных сессий с одного IP-адреса:
on.
off.
sessions-limit-exclusions
Добавление списка IP-адресов, для которых ограничение на количество одновременных сессий не будет действовать.
sessions-limit-threshold
Максимально возможное количество одновременных сессий с одного IP-адреса.
geoip
Коды GeoIP, которые используются в защите от IP-спуфинга.
ip-list
Список IP-адресов, которые используются в защите от IP-спуфинга.
Пример создания новой зоны:
Admin@nodename# create network zone name Test_zone description "Test_zone description" antispoof-enable on enabled-services [ "Any ICMP" DNS ] dos-protection-icmp enabled on
Для редактирования параметров зоны:
Admin@nodename# set network zone <zone-name>
Пример редактирования параметров зоны:
Admin@nodename# set network zone Test_zone dos-protection-syn enabled on
Команда удаления зоны или её параметров:
Admin@nodename# delete network zone <zone-name>
Параметры, доступные для удаления:
Параметр
Описание
dos-protection-syn
Защита зоны от сетевого флуда для протокола TCP (SYN-flood):
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
dos-protection-udp
Защита зоны от сетевого флуда для протокола UDP:
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
dos-protection-icmp
Защита зоны от сетевого флуда для протокола ICMP:
excluded-ips: список IP-адресов серверов, которые необходимо исключить из защиты.
enabled-services
Установленные ранее параметры контроля доступа в данной зоне
geoip
Kоды GeoIP, которые используются в защите от IP-спуфинга.
ip-list
Cписок IP-адресов, которые используются в защите от IP-спуфинга.
