Ideco NGFW
Скачать PDF
v17
v17
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Системные требования
      • Выбор аппаратной платформы
      • Виртуальная платформа
      • Производительность платформы
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт Ideco NGFW
    • Рекомендации при первоначальной настройке
    • Подготовка платформы к установке
      • Настройка гипервизора
      • Настройка программно-аппаратных комплексов Ideco NGFW
      • Создание загрузочного USB-накопителя
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка Ideco NGFW
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • Личный кабинет пользователя
      • VPN-подключение
        • Двухфакторная аутентификация
        • Подключение по PPTP
        • Подключение по PPPoE
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
        • Установка и настройка Ideco Client на Windows
        • Установка и настройка Ideco Client на MacOS
      • Профили устройств
      • Интеграция с Active Directory/Samba DC
        • Ввод сервера в домен
        • Аутентификация пользователей AD/Samba DC
        • Скрипты автоматической разавторизации
        • Импорт пользователей
      • Интеграция с RADIUS-сервером
      • ALD Pro
      • Обнаружение устройств
    • Мониторинг
      • Авторизованные пользователи
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Логирование
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий Контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
        • Журнал
        • Правила
        • Исключения из правил
        • Настройки
      • Исключения
      • Объекты
      • Квоты
    • Профили безопасности
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
    • Сервисы
      • Сетевые интерфейсы
        • Настройка Локального Ethernet
        • Настройка Внешнего Ethernet
        • Настройка подключения по PPTP
        • Настройка подключения по L2TP
        • Настройка подключения по PPPoE
        • Подключение по 3G и 4G
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение между двумя Ideco NGFW в туннельном режиме работы
        • Подключение между двумя Ideco NGFW в транспортном режиме работы
        • Подключение Ideco NGFW и Mikrotik по IPsec в туннельном режиме
        • Подключение Ideco NGFW и Mikrotik по IPsec в транспортном режиме
        • Подключение MikroTik и Ideco NGFW по L2TP/IPsec
        • Подключение Cisco IOS и Ideco NGFW
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью PowerShell
        • Создание сертификата c помощью openssl
    • Отчеты и журналы
      • Трафик
      • Журнал событий
      • Журнал веб-доступа
      • Журнал антивируса
      • События безопасности
      • Действия администраторов
      • Журнал авторизации
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Центральная консоль
      • VCE
      • Кластеризация
        • Настройка кластера
      • Обновления
      • Бекапы
      • Терминал
        • Примеры использования утилит
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
  • Настройка MY.IDECO
    • О личном кабинете MY.IDECO
    • NGFW
    • Центральная консоль
    • Monitoring Bot и Security
    • Личные данные и Компании
  • Настройка Ideco Center
    • Об Ideco Center
    • Установка Ideco Center
    • Серверы
    • Мониторинг
    • Политики и объекты
    • Сервисы
    • Отчеты и журналы
    • Управление сервером
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Cоздание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подключение к сертифицированным Ideco EX и настройка Ideco NGFW
      • Анализ трафика
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать, если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка cовместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
      • Источники данных
      • Как включить таймер при загрузке Ideco NGFW
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать, если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
  • API
    • Описание основных хендлеров
    • Управление интеграцией с Active Directory
    • Управление пользователями
    • Управление Ideco Client
    • Управление правилами трафика
    • Управление сетевыми интерфейсами
    • DHCP-сервер
    • DNS-сервер
    • Настройка удаленной передачи системных логов
    • Центральная консоль
    • Бекапы
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила FORWARD
  • changelog
    • Ideco NGFW 17.x
    • ФСТЭК Ideco UTM 17.Х
    • Ideco Center 17.Х
Powered by GitBook
On this page
  • Создание и настройка правила
  • Основные настройки
  • Адреса web-серверов для балансировки запросов между ними
  • Дополнительные настройки
  • Защита от DoS-атак

Was this helpful?

  1. Настройка Ideco NGFW
  2. Сервисы

Обратный прокси

Публикация веб-ресурсов локальной сети таким образом, чтобы они стали доступны потребителям из сети интернет.

PreviousНастройка прокси с одним интерфейсомNextDNS

Last updated 26 days ago

Was this helpful?

Название службы раздела Обратный прокси: ideco-reverse-backend. Список служб для других разделов доступен по .

Технология обратного прокси позволяет проксировать веб-трафик из сети интернет в локальную сеть. Отличается от DNAT тем, что работает на более высоком уровне (прикладной протокол HTTP вместо сетевого протокола IP) и позволяет более гибко реализовать публикацию ресурсов.

Обратный прокси позволяет смаршрутизировать запрос на HTTP-сервер в локальной сети из внешней сети. Таким образом, имея одну ресурсную A-запись для внешнего сетевого интерфейса NGFW, можно опубликовать несколько ресурсов в локальной сети, распределив их по нескольким входящим URL.

Создание и настройка правила

Настройка сертификатов для публикуемых ресурсов не требует их ручной загрузки. Ideco NGFW сам отправляет запрос на выпуск сертификата Let's Encrypt. Выпуск сертификата может занять до 20 минут. Выпущенные сертификаты будут доступны в разделе .

Для создания правила перейдите в раздел Сервисы -> Обратный прокси и нажмите на кнопку Добавить. Форма добавления правила разделена на два подраздела: Основные настройки, Адреса web-серверов для балансировки запросов между ними и Дополнительные настройки.

Основные настройки

  • Запрашиваемый адрес в интернете - введите IP-адрес, доменное имя или URL, который будет запрашиваться пользователями. Для добавления дополнительных адресов нажмите кнопку Добавить адрес.

Если в поле Запрашиваемый адрес в интернете нескольких правил будет указан один и тот же IP-адрес/доменное имя/URL, то сработает только одно из созданных правил.

Если нужно создать несколько правил для одного и того же IP-адреса/доменного имени, в поле Запрашиваемый адрес в интернете разных правил должны быть указаны разные пути после IP-адреса/доменного имени.

Адреса web-серверов для балансировки запросов между ними

  • Протокол - выбранный протокол используется для всех адресов в правиле;

  • Адрес web-сервера в локальной сети - адрес, на который будут перенаправлены запросы;

  • Путь - поле необязательное и используется для всех адресов.

Если указать в поле Запрашиваемый адрес в интернете 0.0.0.0, перенаправление будет работать со всех внешних IP-адресов Ideco NGFW на адрес из поля Адрес web-сервера в локальной сети.

Чтобы перенаправление работало с доменов Ideco NGFW на адрес из поля Адрес web-сервера в локальной сети, необходимо явно указать домены в поле Запрашиваемый адрес в интернете.

Дополнительные настройки

  • Функция Перенаправлять HTTP-запросы на HTTPS используется в случае, если ваш сайт работает только по протоколу HTTPS, но при этом вы не хотите терять посетителей, обратившихся к вашему сайту по HTTP;

  • Функция Web Application Firewall позволяет защитить опубликованные ресурсы с помощью Ideco NGFW от различного вида атак (включая атаки SQLi, XSS, DoS и другие);

  • При включении функции Передавать web-серверу реальный IP-адрес клиента публичный IP-адрес клиента при обратном проксировании не заменяется на адрес NGFW.

Не рекомендуем использовать проброс веб-интерфейса NGFW через WAF, так как при попытке входа пользователь может быть заблокирован средствами WAF.

  • Поле Тип публикации позволяет выбрать один из типов: Стандартный и Outlook Web Access. Тип Outlook Web Access используется для публикации Microsoft Exchange.

В полях Запрашиваемый адрес в интернете и Адрес в локальной сети для типа Outlook Web Access укажите только домены youdomain.ru без остальной части URL (она не используется при публикации этим способом).

При публикации Outlook Web Access не включайте Web Application Firewall. Их совместная работа будет возможна в следующих версиях.

Если у вас имеется доверенный SSL-сертификат для домена, по которому будет идти обращение извне на публикуемый ресурс, то его можно загрузить в раздел Сервисы -> Сертификаты с помощью кнопки Добавить.

Доменные имена, указываемые в поле Запрашиваемый адрес в интернете, должны резолвиться во внешний IP-адрес сервера NGFW. Доменные имена, указываемые в поле Адрес в локальной сети, должны резолвиться в IP-адреса публикуемых ресурсов самим сервером NGFW.

Публикация CMS

Нами протестирована и официально поддерживается публикация сайтов на двух популярных CMS: Joomla и Wordpress. Подробности публикации каждой CMS описаны ниже.

Joomla

Joomla в текущей реализации публикуется, если настроить перенаправление с внешнего домена на локальный домен без префикса:

  • Ассоциировать с внешним адресом NGFW дополнительное доменное имя специально для публикации Joomla: joomla.mydomain.ru;

  • Настроить правило публикации joomla.mydomain.ru -> joomla.local:port (порт не обязателен).

WordPress

WordPress в текущей реализации публикуется только в конфигурации, когда в WordPress и в обратном прокси настроен один и тот же домен:

  • Для домена компании добавить A-запись wordpress.mydomain.ru, указывающую на внешний IP-адрес NGFW;

  • На локальном сервере, в админ-панели WordPress должен быть настроен домен wordpress.mydomain.ru на стандартном порту HTTP;

  • Добавить в обратный прокси правило публикации wordpress.mydomain.ru -> wordpress.mydomain.ru.

Защита от DoS-атак

Включение опции Защита от DoS-атак ограничивает трафик, если:

  • скорость - более 200 запросов в секунду с одного IP-адреса;

  • количество подключений с одного IP-адреса - более 1000;

  • размер запроса - более 50 Мб;

  • время ожидания на чтение заголовка и тела запроса - более 5 секунд.

Web Application Firewall (WAF) анализирует запросы к сайту и блокирует атаки на уязвимые компоненты веб-приложения (в частности, типы атак, входящие в ). При активации этого модуля также будут блокироваться злоумышленники, ведущие сканирование сайта на уязвимости, с помощью модуля защиты от brute force атак.

OWASP TOP-10
ссылке
Сертификаты