Tooprogram.ru

Компьютерный справочник
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Ошибка протокола icap

Работа с внешними ICAP-серверами

UserGate позволяет передавать HTTP/HTTPS и почтовый трафик (SMTP, POP3) на внешние серверы ICAP, например, для антивирусной проверки или для проверки передаваемых пользователями данных DLP-системами. В данном случае UserGate будет выступать в роли ICAP-клиента.

UserGate поддерживает гибкие настройки при работе с ICAP-серверами, например, администратор может задать правила, согласно которым на ICAP-серверы будет направляться только выборочный трафик, или настроить работу с фермой ICAP-серверов.

Для того, чтобы настроить работу UserGate c внешними серверами ICAP, необходимо выполнить следующие шаги:

Шаг 1. Создать ICAP-сервер

В разделе Политики безопасности—>ICAP-серверы нажать на кнопку Добавить и создать один или более ICAP-серверов.

Шаг 2. Создать правило балансировки на ICAP-серверы (опционально)

В случае, если требуется балансировка на ферму ICAP-серверов, создать в разделе Политики сети—>Балансировка нагрузки балансировщик ICAP-серверов. В качестве серверов используются ICAP-серверы, созданные на предыдущем шаге.

Шаг 3. Создать правило ICAP

В разделе Политики безопасности—>Правила ICAP создать правило, которое будет задавать условия пересылки трафика на ICAP-серверы или фермы серверов.

Важно! Правила ICAP применяются сверху вниз в списке правил. Срабатывает только первое правило публикации, для которого совпали все условия, указанные в настройках правила.

Для создания ICAP-сервера в разделе Политики безопасности—>ICAP-серверы необходимо нажать на кнопку Добавить и заполнить следующие поля:

TCP-порт ICAP-сервера, значение по умолчанию 1344 .

Максимальный размер сообщения

Определяет максимальный размер сообщения, передаваемого на ICAP-сервер в мегабайтах. По умолчанию 0 (отключено) .

Период проверки доступности сервера ICAP

Устанавливает время в секундах, через которое UserGate посылает OPTIONS-запрос на ICAP-сервер, чтобы убедиться, что сервер доступен.

Пропускать при ошибках

Если эта опция включена, то UserGate не будет посылать данные на сервер ICAP в случаях, когда ICAP-сервер недоступен (не отвечает на запрос OPTIONS).

* Вкл — включает использование режима Reqmod.

* Путь на сервере ICAP для работы в режиме Reqmod . Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах:
/path — путь на сервере ICAP;
icap://icap-server:port/path — указание полного URI для режима reqmod.

* Вкл — включает использование режима Reqmod.

* Путь на сервере ICAP для работы в режиме Respmod . Задайте путь, в соответствии с требованиями, указанных в документации на используемый у вас ICAP-сервер. Возможно указать путь в форматах:
/path — путь на сервере ICAP;
icap://icap-server:port/path — указание полного URI для режима respmod.

Читать еще:  Ошибка c1a20 64

Посылать имя пользователя

* Вкл — включает отсылку имени пользователя на ICAP-сервер.

* Кодировать в base64 — кодировать имя пользователя в base64, это может потребоваться, если имена пользователей содержат символы национальных алфавитов.

* Название заголовка , которое будет использоваться для отправки имени пользователя на ICAP-сервер. Значение по умолчанию —
X-Authenticated-User .

* Вкл — включает отсылку IP-адреса пользователя на ICAP-сервер.

* Название заголовка, которое будет использоваться для отправки IP-адреса пользователя на ICAP-сервер. Значение по умолчанию — X-Client-Ip .

* Вкл — включает отсылку MAC-адреса пользователя на ICAP-сервер.

* Название заголовка, которое будет использоваться для отправки MAC-адреса пользователя на ICAP-сервер. Значение по умолчанию — X-Client-Mac .

Для создания правила балансировки на серверы reverse-прокси в разделе Политики сети—>Балансировка нагрузки необходимо выбрать Добавить—>Балансировщик ICAP и заполнить следующие поля:

Включает или отключает правило .

Список серверов ICAP, на которые будет распределяться нагрузка, созданный на предыдущем шаге.

Для создания ICAP-правила необходимо нажать Добавить в разделе Политики безопасности—>ICAP-правила и заполнить необходимые поля.

Важно! Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали условия, указанные в правиле. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже для изменения порядка применения правил.

Важно! Для срабатывания правила необходимо, чтобы совпали все условия, указанные в параметрах правила. Чекбокс Инвертировать в условии правила меняет действие условия на противоположное, что аналогично логическому действию отрицание.

Включает или отключает правило .

Возможны следующие варианты:

* Пропустить — не посылать данные на ICAP-сервер. Создав правило с таким действием, администратор может явно исключить определенный трафик из пересылки на серверы ICAP.

* Переслать — переслать данные на ICAP-сервер и ожидать ответа ICAP-сервера. Это стандартный режим работы большинства ICAP-серверов.

* Переслать и игнорировать — переслать данные на ICAP-сервер и игнорировать ответ от ICAP-сервера. В этом случае, вне зависимости от ответа ICAP-сервера, данные к пользователю уходят без модификации, но сервер ICAP получает полную копию пользовательского трафика.

Читать еще:  Ошибка no function definition

ICAP-сервер или балансировщик серверов ICAP, куда UserGate будет пересылать запросы.

Зона источника трафика и/или списки IP-адресов источника трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса .

Список пользователей, групп, для которых применяется данное правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей.

Зона назначения трафика и/или списки IP-адресов назначения трафика. Более подробно о работе со списками IP-адресов читайте в главе IP-адреса .

Списки MIME-типов. Предусмотрена возможность управления видеоконтентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Администраторы также могут создавать собственные группы MIME-типов. Более подробно о работе с MIME-типами читайте в главе Типы контента .

Списки категорий UserGate URL filtering .

Метод, используемый в HTTP-запросах, как правило, это POST или GET.

* SMTP — почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа.

* POP3 — почтовый трафик. Письма будут переданы на сервер ICAP в виде соответствующего MIME-типа.

Squid + Dansguardian + c-icap + ClamAV на базе CentOS 7

Аудитория

Системные администраторы Linux

Введение

Большая часть операторов связи сейчас уже предоставляют маршрутизируемый доступ в Интернет, где фильтрация и антивирусная защита входящего траффика несколько более проблематична. В случаях, когда требуется ограничить пользователям доступ к определенным сайтам по категориям или по URL, а также требуется реализация проверки входящего веб-трафика, то в этом варианте использование прокси сервера является самым простым решением.

Squid на сегодняшний день является наиболее функциональным прокси сервером, который поддерживает большое количество возможностей. Для реализации антивирусной защиты предлагается использовать ClamAV – открытая реализация средств антивирусной защиты. Фильтрация контента по категориям будет реализована средствами Dansguardian.

Общая диаграмма решения схематично отражена ниже:

Исходные данные

У нас есть Linux сервер под управлением CentOS 7. Сервер имеет маршрутизируемый доступ в Интернет.

Базовая настройка squid

  • Обновляем пакеты в системе
  • Подключаем EPEL репозиторий, который нам понадобится для дополнительных пакетов
  • Устанавливаем пакеты для squid

    Настраиваем конфигурационный файл /etc/squ > пакетом по умолчанию

Настройка сервисов антивирусной проверки ClamAV

  • Устанавливаем необходимые пакеты
Читать еще:  Oxc0000005 ошибка при запуске приложения

    Правим конфигурационный файл.

показана разница с оригинальным файлом

  • Создаем необходимые файлы для работы
  • Настраиваем обновление антивирусных баз
  • Активируем автоматические обновление баз

Сборка пакетов под CentOS 7 (на другой рабочей станции)

Я не смог найти пакетов c-icap, squidclamav и danguardian в стандартных репозиториях для CentOS 7. По этой причине пришлось собрать из src.rpm пакетов. Сборка производилась на другой рабочей станции. Разумеется, сборку под root лучше не производить.

  • Собираем c-icap
  • Далее необходимо выложить пакеты из папки /root/rpmbuild/RPMS/x86_64 в общедоступное место

Настройка c-icap и squidclamav

  • Устанавливаем пакеты для работы c-icap (пакеты были собраны ранее)
  • Редактируем конфигурационный файл (нужно добавить “Service squidclamav squidclamav.so” и отредактировать параметры производительности)

  • Редактируем систему для правильной установки права на временные файлы
  • Создаем сервис для systemd
  • Устанавливаем squidclamav через yum, так как он потянет зависимости
  • Редактируем конфигурационный файл. Здесь важно, чтобы squidguard был закомментирован
  • ВНИМАНИЕ! При активации опции squidguard сервис squidclamav не сможет инициализироваться
  • Запускаем сервис c-icap

Настройка интеграции squid с c-icap

  • Добавляем в конец конфигурационного файла squid

Настройка squidGuard

  • Мне не удалось поднять этот сервис, так как при указанном в squidclamav c-icap сообщал об ошибке инициализации squidclamav. Возможно, в других ОС или с другими опциями компиляции это будет работать
  • Устанавливаем squidGuard
  • Правим конфигурационный файл /etc/squid/squidGuard.conf
  • Создаем необходимые файлы для работы
  • Проверяем, что данные доступны

Настройка dansguarian

  • Устанавливаем dansguardian (был собран ранее)
  • Правим конфигурационный файл
  • Добавляем в автозагрузку и запускаем

    Если требуется, то можем настроить категории и

Настройка веб сервера Apache

  • Запускаем и добавляем в автозагрузку
  • Копируем скрипты от squidclamav в CGI директорию

Проверка работоспособности

  • Прописываем параметры прокси сервера у себя в веб-брауззере
    — Адрес: маршрутизируемый адрес вашего сервера
    — Порт: 8080 (порт Dansguardian)
  • Пробуем подключаться к веб-сайтам (должно работать)
  • Пробуем скачать тестовый вирус eicar. Здесь вы должны увидеть следующее сообщение:

  • Пробуем открыть запрещенные ссылки (http://badboys.com). Должны увидеть следующее сообщение от Dansguardian:

Заключение

Данная статья показывает, что настройка связки прокси сервера squid с антивирусным ПО ClamAV является несложным занятием, которое под силу даже начинающему администратору Linux/Unix.

Ссылка на основную публикацию
Adblock
detector