Ideco NGFW
Скачать PDF
v10
v10
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Источники обновлений данных Ideco UTM
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Дерево пользователей
      • Управление пользователями
      • Настройка пользователей
      • Пользователи терминального сервера
      • Авторизация пользователей
        • Авторизация по PPTP
        • Авторизация по PPPoE
        • Авторизация по IP-адресу
        • Авторизация через Ideco Agent
        • Веб авторизация
      • Интеграция с Active Directory
        • Авторизация пользователей Active Directory
        • Ввод сервера в домен
        • Скрипты автоматической авторизации и разавторизации
        • Импорт пользователей
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи
      • Журналы
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Интеграция с Zabbix
      • Syslog
    • Правила доступа
      • Антивирусы веб-трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Администраторы
      • Пользовательские квоты
      • Предотвращение вторжений
      • Объекты
      • Защита от bruteforce-атак
    • Сервисы
      • Туннельные протоколы VPN
        • Подключение пользователей (client-to-site)
          • Ideco VPN-клиент
          • L2TP IPSec
          • SSTP
          • PPTP
          • IPSec IKEv2
          • Личный кабинет пользователя
          • Инструкция по созданию подключения в Windows 7
          • Особенности маршрутизации и организации доступа
          • Подключение по SSTP Wi-Fi роутеров Keenetic
          • Инструкция по запуску PowerShell скриптов
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение устройств
            • Подключение пользователей
          • PPTP VPN
          • Входящее подключение Cisco IOS к Ideco UTM по IPSec
          • Исходящее подключение Ideco UTM к Cisco IOS по IPSec
          • Входящее подключение pfSense к Ideco UTM по IPsec
          • Исходящее подключение pfSense к Ideco UTM по IPsec
          • Подключение Keenetic по SSTP
          • Подключение Kerio Control к Ideco UTM по IPSec
          • Подключение Keenetic по IPSec
      • DNS
      • Прокси
        • Прокси сервер
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси сервером
        • Подключение к внешним ICAP-сервисам
      • Сертификаты
        • Загрузка своего SSL-сертификата на сервер
      • DHCP
      • Обратный прокси
      • Настройка дополнительных параметров работы сервера
      • Маршрутизация
    • Отчеты
      • Журнал авторизации
      • Сайты
    • Подключение к провайдеру
      • Настройка подключения по PPTP
      • Настройка подключения по PPPoE
      • Настройка подключения по Ethernet
      • Подключение по 3G и 4G
      • Настройка подключения по L2TP
      • Одновременное подключение к нескольким провайдерам
    • Почтовый сервер
      • Настройка почтового сервера
      • Настройка почтовых клиентов
      • Настройка почтового релея
      • Web-почта
      • Схема фильтрации почтового трафика
      • Переадресация почты
      • Настройка домена у регистратора/держателя зоны
    • Публикация ресурсов
      • Доступ до внешних ресурсов без авторизации
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Терминал
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Управление лицензиями
    • Обновление сервера
    • Регистрация сервера
    • Резервное копирование и восстановление данных
    • Режим удаленного помощника
    • Удаленный доступ для управления сервером
    • Личный кабинет
  • Популярные рецепты
    • Популярные рецепты
      • Доступ в удаленные сети через роутер в локальной сети
      • Что делать если ваш IP попал в черные списки DNSBL
      • Что делать если не работает Интернет
      • Как восстановить доступ к Ideco UTM
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco UTM
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra linux
      • Перенос данных и настроек на другой сервер
  • Ссылки
    • Статьи по тегам
  • changelog
    • Версия Ideco UTM 10.X
    • Версия Ideco UTM 9.X
    • Версия Ideco UTM 8.X
    • Версия Ideco UTM 7.Х.Х
      • Версия Ideco UTM 7.9.X
      • Версия Ideco UTM 7.8.X
      • Версия Ideco UTM 7.7.X
      • Версия Ideco UTM 7.6.Х
      • Версия Ideco UTM 7.5.Х
      • Версия Ideco UTM 7.4.X
Powered by GitBook
On this page
  • Создание и настройка правила
  • Основные настройки
  • Дополнительные настройки
  • Публикация CMS
  • Joomla
  • Wordpress

Was this helpful?

  1. Настройка
  2. Сервисы

Обратный прокси

Публикация веб-ресурсов локальной сети таким образом, чтобы они стали доступны потребителям из сети Интернет.

PreviousDHCPNextНастройка дополнительных параметров работы сервера

Last updated 3 years ago

Was this helpful?

Технология обратного прокси (реверс-прокси, reverse-proxy) позволяет проксировать веб-трафик в обратном направлении: из сети Интернет в локальную сеть, в отличие от наиболее часто используемого варианта — из локальной сети в Интернет. Такой подход заменил портмаппинг (DNAT) и расширил возможности по публикации веб-ресурсов.

Обратный прокси отличается от DNAT тем, что работает на более высоком уровне (прикладной протокол HTTP вместо сетевого протокола IP) и позволяет более гибко реализовать публикацию ресурсов. Основным параметром при публикации веб-ресурса является Запрашиваемый адрес в Интернете. Из внешней сети по протоколу HTTP и данному URL будет произведено обращение на UTM. Обратный прокси позволяет «смаршрутизировать» (http-routing) такой запрос на HTTP-сервер в локальной сети. Таким образом, имея одну ресурсную A-запись для внешнего сетевого интерфейса UTM, можно опубликовать несколько ресурсов в локальной сети, распределив их по нескольким входящим URL. Если же с внешним IP-адресом UTM ассоциировано несколько A-записей, то маршрутизация становится еще более простой, а входящие URL - более удобными для посетителей ресурсов.

Создание и настройка правила

Настройка сертификатов для публикуемых ресурсов не требует их ручной загрузки. Сейчас Ideco UTM сам отправляет запрос на выпуск сертификата Let's Encrypt. Выпуск сертификата может занять до 20 минут. Выпущенные сертификаты будут доступны в разделе .

Для создания правила перейдите в раздел Сервисы -> Обратный прокси и нажмите на кнопку Добавить. Форма добавления правила разделена на два подраздела: Основные настройки и Дополнительные настройки.

Основные настройки

  • Запрашиваемый адрес в Интернете - введите IP-адрес, который будет запрашиваться пользователями. Для добавления дополнительных адресов нажмите кнопку Добавить адрес.

  • Адрес в локальной сети - введите IP-адрес из локальной сети, на который будут перенаправляться пользователи.

Дополнительные настройки

  • Функция Перенаправлять HTTP запросы на HTTPS используется в случае, если ваш сайт работает только по протоколу HTTPS, но при этом вы не хотите терять посетителей, обратившихся к вашему сайту по HTTP.

  • Функция Web Application Firewall позволяет защитить опубликованные ресурсы с помощью Ideco UTM веб-приложения от различного вида атак (включая атаки SQLi, XSS, DoS и другие).

  • Поле Тип публикации позволяет выбрать один из типов: Стандартный и Outlook Web Access. Тип Outlook Web Access используется для публикации Microsoft Exchange.

В полях Запрашиваемый адрес в Интернете и Адрес в локальной сети для типа Outlook Web Access укажите только домены https://youdomain/ без остальной части URL (она не используется при публикации этим способом). При использовании данного метода возможна публикация только одного веб-ресурса. Все остальные правила обратного прокси-сервера одновременно с этим правилом работать не будут.

При публикации Outlook Web Access не включайте Web Application Firewall. Их совместная работа будет возможна в следующих версиях.

Если у вас имеется доверенный SSL сертификат для домена, по которому будет идти обращение извне на публикуемый ресурс, то его можно загрузить в раздел Сервисы -> Сертификаты с помощью кнопки Добавить.

Доменные имена, указываемые в поле Запрашиваемый адрес в Интернете, должны резолвиться во внешний IP-адрес сервера UTM. Доменные имена, указываемые в поле Адрес в локальной сети, должны резолвиться в IP-адреса публикуемых ресурсов самим сервером UTM.

Публикация CMS

На данный момент нами протестирована и официально поддерживается публикация сайтов на двух популярных CMS: Joomla и Wordpress. Подробности публикации каждой CMS описаны ниже.

Joomla

Joomla в текущей реализации публикуется, если настроить перенаправление с внешнего домена на локальный домен без префикса:

  • Ассоциировать с внешним адресом UTM дополнительное доменное имя специально для публикации Joomla: joomla.mydomain.ru.

  • Настроить правило публикации joomla.mydomain.ru -> joomla.local:port (порт не обязателен).

Wordpress

Wordpress в текущей реализации публикуется только в конфигурации, когда в wordpress и в обратном прокси настроен один и тот же домен:

  • Для домена компании добавить A-запись wordpress.mydomain.ru, указывающую на внешний IP-адрес UTM.

  • На локальном cервере, в админ-панели wordpress должен быть настроен домен wordpress.mydomain.ru на стандартном порту HTTP.

  • Добавить в обратный прокси правило публикации wordpress.mydomain.ru -> wordpress.mydomain.ru.

Web Application Firewall производит синтаксический анализ запросов к сайту и блокирует атаки на уязвимые компоненты веб-приложения (в частности типы атак, входящие в ). При активации данного модуля также будут блокироваться злоумышленники, ведущие сканирование сайта на уязвимости, с помощью модуля защиты от брутфорс-атак.

OWASP TOP-10
Сертификаты