Создание SSL-правила

Чтобы создать SSL-правило, выполните следующие действия:

1. В веб-интерфейсе программы выберите раздел Параметры → Встроенный прокси-сервер → SSL-правила.
2. Нажмите на кнопку Добавить правило.

   Откроется окно Добавить правило.

3. В раскрывающемся списке Действие выберите действие, которое программа будет выполнять над SSL-соединением:
   • Tunnel.

     Программа не будет перехватывать CONNECT-запросы, которые удовлетворяют заданным условиям. Эти запросы не будут учитываться в статистике обработанного трафика в разделе Мониторинг.

     При этом могут не применяться правила защиты, а также следующие критерии фильтрации в правилах доступа: MIME-тип HTTP-сообщения, MIME-тип части HTTP-сообщения, Размер файла, HTTP-метод.

   • Tunnel with SNI check.

     Программа не будет перехватывать CONNECT-запросы, которые удовлетворяют заданным условиям и для которых была выполнена проверка SNI. Эти запросы не будут учитываться в статистике обработанного трафика в разделе Мониторинг.

     Расширение протокола TLS, передающее имя веб-сайта, с которым требуется установить соединение. SNI необходим в случаях, когда несколько сервисов, работающих по протоколу HTTPS, расположены на одном физическом сервере и используют один IP-адрес, но при этом у каждого сервиса есть свой сертификат безопасности.

     При этом могут не применяться правила защиты, а также следующие критерии фильтрации в правилах доступа: MIME-тип HTTP-сообщения, MIME-тип части HTTP-сообщения, Размер файла, HTTP-метод.

   • Bump.

     Программа будет перехватывать CONNECT-запросы, которые удовлетворяют заданным условиям, и анализировать содержимое шифрованных соединений.

   • Terminate.

     Программа будет блокировать CONNECT-запросы, которые удовлетворяют заданным условиям.

   Для сервисов, не поддерживающих перехват CONNECT-запросов, рекомендуется выбирать действие Tunnel. При применении действий Bump и Tunnel with SNI check SSL-соединение может быть заблокировано в случае ошибки перехвата.

   По умолчанию задано действие Tunnel.

4. В блоке параметров Источник нажмите на кнопку Добавить.
5. В появившемся раскрывающемся списке выберите критерий фильтрации для источника соединения:
   • IP-адрес.

     Если в качестве критерия фильтрации вы выбрали IP-адрес, выполните следующие действия:

     1. В поле справа от раскрывающегося списка нажмите на область ввода.

        Откроется окно IP-адреса.

     2. Введите один или несколько IP-адресов.

        Вы можете указывать IP-адреса в одном из следующих форматов:

        • IPv4-адрес (например, 172.16.5.6).
        • IPv4-подсеть с маской в формате CIDR notation (например, 192.168.1.0/24).
        • IPv6-адрес (например, 2001:0db8:85a3:0000:0000:8a2e:0370:7334).
        • IPv6-подсеть с маской в формате CIDR notation (например, fc00::/7).

        При указании нескольких IP-адресов используйте точку с запятой или новую строку в качестве разделителя.

     3. Нажмите на кнопку Добавить.

        Добавленные IP-адреса отобразятся в таблице под полем ввода. Если введенное значение имеет недопустимый формат, слева от него появится значок . Вы можете изменить этот адрес с помощью кнопки в правой части строки.

     4. Нажмите на кнопку Сохранить.
   • User agent.

     Если в качестве критерия фильтрации вы выбрали User agent, введите его название в поле справа от раскрывающегося списка.

     При указании нескольких значений используйте точку с запятой в качестве разделителя.

6. В блоке параметров Назначение нажмите на кнопку Добавить.
7. В появившемся раскрывающемся списке выберите критерий фильтрации для назначения соединения:
   • IP-адрес.

     Если в качестве критерия фильтрации вы выбрали IP-адрес, выполните следующие действия:

     1. В поле справа от раскрывающегося списка нажмите на область ввода.

        Откроется окно IP-адреса.

     2. Введите один или несколько IP-адресов.

        Вы можете указывать IP-адреса в одном из следующих форматов:

        • IPv4-адрес (например, 172.16.5.6).
        • IPv4-подсеть с маской в формате CIDR notation (например, 192.168.1.0/24).
        • IPv6-адрес (например, 2001:0db8:85a3:0000:0000:8a2e:0370:7334).
        • IPv6-подсеть с маской в формате CIDR notation (например, fc00::/7).

        При указании нескольких IP-адресов используйте точку с запятой или новую строку в качестве разделителя.

     3. Нажмите на кнопку Добавить.

        Добавленные IP-адреса отобразятся в таблице под полем ввода. Если введенное значение имеет недопустимый формат, слева от него появится значок . Вы можете изменить этот адрес с помощью кнопки в правой части строки.

     4. Нажмите на кнопку Сохранить.
   • Имя хоста.

     Если в качестве критерия фильтрации вы выбрали Имя хоста, выполните следующие действия:

     1. В поле справа от раскрывающегося списка нажмите на область ввода.

        Откроется окно Имена хостов.

     2. Введите одно или несколько имен хостов.

        При указании нескольких имен используйте точку с запятой или новую строку в качестве разделителя.

        Чтобы включить поддомены, используйте точку в начале значения. В этом случае недопустимо указывать поддомены в качестве отдельных записей, так как такие записи могут привести к ошибкам в работе прокси-сервера. Например, если вы указали .example.org, не следует добавлять запись abc.example.org.

     3. Нажмите на кнопку Добавить.

        Добавленные имена хостов отобразятся в таблице под полем ввода.

     4. Если вы хотите, чтобы в фильтр попадали все поддомены указанного имени, установите флажок Включить поддомены.

        Если вы ввели имя хоста с точкой в начале значения, флажок Включить поддомены будет установлен автоматически.

     5. Нажмите на кнопку Сохранить.
8. В поле Порты введите один или несколько портов назначения.

   Правило будет применяться только к соединениям, использующим заданные порты.

9. В поле Название введите название правила.
10. Если требуется, укажите любую дополнительную информацию о правиле в поле Комментарий.
11. Включите или выключите использование правила с помощью переключателя Статус.
12. Нажмите на кнопку Добавить.

SSL-правило будет создано и отобразится в таблице на закладке SSL-правила.