Ideco NGFW
Скачать PDF
v7.9
v7.9
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Системные требования
    • Подготовка к установке
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Подключение к провайдеру
      • Подключение по Ethernet
      • Подключение по PPPoE
      • Подключение по PPTP (VPN)
      • Подключение по L2TP (VPN)
      • Подключение по 3G, 4G (LTE)
      • Одновременное подключение к нескольким провайдерам
    • Управление пользователями
      • Дерево пользователей
      • Управление учетными записями пользователей
      • Настройка учетных записей пользователей
      • Интеграция с Active Directory
        • Ввод сервера в домен
        • Импорт пользователей
        • Авторизация пользователей
          • Скрипты автоматической авторизации/разавторизации
      • Пользователи терминального сервера
      • Wi-Fi сети
    • Типы авторизации
      • Авторизация по IP-адресу
      • Авторизация по PPPoE
      • Авторизация по PPTP
      • Веб-авторизация
      • Single Sign-On аутентификация через Active Directory
      • Авторизация через Ideco Agent
    • Публикация ресурсов
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка почтового релея для публикации сервера в локальной сети
      • Портмаппинг (проброс портов, DNAT)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Доступ из внешней сети без NAT
      • Доступ до внешних ресурсов без авторизации
    • Мониторинг
      • Пересылка системных сообщений
      • SNMP
      • Интеграция с Zabbix
    • Правила доступа
      • Файрвол
      • Контроль приложений
        • Описание протоколов
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
      • Объекты
      • Администраторы
        • Удаленный доступ по SSH
      • Пользовательские квоты
      • Защита от bruteforce-атак
    • Сервисы
      • Маршрутизация
      • Обнаружение устройств
      • Профили выхода в Интернет
      • Прокси
        • Подключение к внешним ICAP-сервисам
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси-сервером
      • Почтовый сервер
        • Подготовка к настройке почтового сервера
        • Настройка почтового сервера
        • Настройка почтовых клиентов
        • Web-почта
        • Переадресация почты (почтовые алиасы)
        • Дополнительные возможности и антиспам
        • Настройка почтового релея
        • Fetchmail
        • Рекомендации по защите сервера
        • Схема фильтрации почтового трафика
      • Обратный прокси
        • Протестированные CMS
        • Web Application Firewall
      • DNS
      • DHCP
      • Туннельные протоколы VPN
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение пользователей
            • Подключение устройств
          • OpenVPN
          • PPTP VPN
          • Подключение Keenetic по SSTP
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM с использованием OpenVPN
          • Подключение Kerio Control к Ideco UTM по IPSec
        • Подключение пользователей (client-to-site)
          • IPSec IKEv2
            • Скрипт автоматического создания пользовательских подключений по IPSec IKEv2
          • SSTP
            • Скрипт автоматического создания пользовательских подключений по SSTP
            • Подключение Wi-Fi роутеров Keenetic
          • L2TP/IPSec
            • Скрипт автоматического создания пользовательских подключений по L2TP/IPSec
          • PPTP
          • Особенности маршрутизации и организации доступа
          • Веб-кабинет пользователя
          • Инструкция по запуску PowerShell-скриптов
            • Инструкция по созданию подключения в Windows 7
      • Дополнительно
    • Отчеты
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Обслуживание сервера
      • Обновление сервера
      • Удаленный доступ для управления сервером
      • Регистрация сервера
      • Резервное копирование и восстановление данных
      • Режим удаленного помощника
  • Популярные рецепты
    • Популярные рецепты
      • Проверка настроек фильтрации с помощью security.ideco.ru
      • Что делать если ваш IP попал в черные списки DNSBL
      • Настройка программы Proxifier для прямых подключений к прокси-серверу
      • Установка доверенного SSL сертификата на сервер
      • Доступ в удаленные сети через роутер в локальной сети
      • Перенос данных и настроек на другой сервер
      • Выбор аппаратной платформы для Ideco UTM
      • Восстановление пароля администратора
        • Для версий 6.0 - 7.6
      • Особенности подключения через ADSL-модем
      • Использование ics_tune.sh
      • Блокировка популярных ресурсов
      • Что делать если не работает Интернет
  • Changelog
    • Версия Ideco UTM 7.Х.Х
Powered by GitBook
On this page
  • Системное правило для публикации веб-почты
  • Блок пользовательских правил
  • Публикация Outlook Web Access
  • Публикация Outlook Web Access stream

Was this helpful?

  1. Настройка
  2. Сервисы

Обратный прокси

PreviousСхема фильтрации почтового трафикаNextПротестированные CMS

Last updated 3 years ago

Was this helpful?

Технология обратного прокси (реверс-прокси, reverse-proxy) позволяет проксировать веб-трафик в обратном направлении: из сети Интернет в локальную сеть, в отличие от наиболее часто используемого варианта — из локальной сети в Интернет. Обратное проксирование применяется для публикации веб-ресурсов, размещенных в локальной сети, таким образом, чтобы они стали доступны потребителям из сети Интернет. Такой подход заменил портмаппинг (DNAT) и расширил возможности по публикации веб-ресурсов.

Для публикации веб-ресурсов в локальной сети (по портам 80 и 443) всегда используйте обратный прокси. Не используйте портмаппинг (DNAT) в файрволе.

Обратный прокси отличается от DNAT тем, что работает на более высоком уровне (прикладной протокол HTTP вместо сетевого протокола IP) и позволяет более гибко реализовать публикацию ресурсов. Основным параметром при публикации веб-ресурса является «входящий URL». Из внешней сети по протоколу HTTP и данному URL будет произведено обращение на UTM. Обратный прокси позволяет «смаршрутизировать» (http-routing) такой запрос на HTTP-сервер в локальной сети. Таким образом, имея одну ресурсную A-запись для внешнего сетевого интерфейса UTM, можно опубликовать несколько ресурсов в локальной сети, распределив их по нескольким входящим URL. Если же с внешним IP-адресом UTM ассоциировано несколько A-записей, то маршрутизация становится еще более простой, а входящие URL - более удобными для посетителей ресурсов.

Также обратный прокси в составе UTM позволяет перенаправлять все HTTP-запросы на HTTPS-схему. Это нужно если, например, ваш сайт работает только по HTTPS (современная тенденция в веб-безопасности), но при этом вы не хотите терять посетителей, обратившихся к вашему сайту по HTTP-схеме.

Веб-интерфейс настройки модуля достаточно прост и состоит из двух частей:

Системное правило для публикации веб-почты

Описывает доступ к встроенному веб-клиенту почтового сервера на UTM (на основе Roundcube). Так называемая внешняя веб-почта. Теперь при настройке веб-почты в разделе Сервер -> Почтовый сервер вам нужно также указать URL, с которого будет производиться роутинг на веб-сервер, обслуживающий почтовый веб-клиент в составе UTM. В примере ниже это yourdomain.ru/mail. Учтите, что у вас должна быть настроена A-запись для внешнего IP-адреса UTM, которая позволяет резолвить адрес в указанный домен, чтобы была возможность обратиться к шлюзу по этому доменному имени. /mail - это URL, выделенный для сервиса веб-почты. Ниже мы рассмотрим пример выделения URL /owa для публикации exchange-сервера в локальной сети при обращении на тот же домен yourdomain.ru. Запись вида 0.0.0.0/URL нужна, чтобы веб-почта отвечала при обращении на любой внешний IP UTM. 0.0.0.0, в данном конкретном случае, можно читать как "любой внешний адрес UTM". Может быть удобно при динамическом внешнем IP, выдаваемом UTM провайдером, или при множестве настроенных внешних IP-адресов на внешних интерфейсах UTM. Удалить системное правило для веб-почты нельзя.

Блок пользовательских правил

Публикация Outlook Web Access

Для версий Microsoft Exchange 2007, 2010 возможна публикации OWA с помощью включения специальной дополнительной настройки - Outlook Web Access при создании пользовательской записи обратного прокси-сервера.

При этом в Exchange должна быть настроена аутентификация пользователей через форму.

Публикация Outlook Web Access stream

При публикации Outlook Web Access не включайте Web Application Firewall. Их совместная работа будет возможна в следующих версиях.

Доменные имена, указываемые в Домен и путь, должны резолвиться во внешний IP сервера UTM. Доменные имена, указываемые в Назначение, должны резолвиться в IP-адреса публикуемых ресурсов самим сервером UTM.

Вы можете создать неограниченное количество правил публикации внутренних веб-ресурсов в этом блоке. Ниже на фрагменте экрана приведена типичная конфигурация: Публикация сайта в локальной сети по обращению к внешнему доменному имени (yourdomain.ru) и публикация веб-интерфейса управления почтовым сервером exchange по-дополнительному URL (website.local). Для сайта в примере дополнительно производится перенаправление всех обращений по схеме HTTP от посетителя на HTTPS. В верхнее поле Сертификат следует загружать для внешнего домена, доступного из Интернет. В нижнее, если локальный веб-сервер того требует, самоподписанный сертификат (цепочку сертификатов) для локального домена, доступного из внутренней сети. В большинстве случаев достаточно загрузить только внешнюю цепочку сертифкатов.

Прямой способ публикации веб-ресурсов, практический аналогичный , но с возможностью использования сертификатов обратного прокси-сервера для публикации HTTPS-ресурсов. Подходит для публикации Microsoft Exchange 2013 и других веб-приложений.

При создании пользовательских правил укажите в доп. настройках Outlook Web Access stream. В полях Запрос на адрес и Перенаправить на укажите только домены без остальной части URL (она не используется при публикации этим способом). При использовании данного метода возможна публикация только одного веб-ресурса. Все остальные правила обратного прокси-сервера одновременно с этим правилом работать не будут.

Если у вас имеется доверенный SSL сертификат для домена, по которому будет идти обращение извне на публикуемый ресурс, подготовьте его как и поместите на UTM, загрузив в поле Сертификат под текстовым полем Домен и путь. Сертификаты нужно загружать в формате PEM.

цепочку сертификатов
DNAT
https://youdomain/
связку сертификатов