Создание HTTP-порталов

Процесс создания и настройки базовых параметров HTTP-портала

В данном разделе описан процесс создания HTTP-портала. HTTP-порталы – представляют собой элементы шлюза NGate, содержащие параметры групп защищаемых ресурсов и правила доступа к ресурсам. Для доступа к ресурсам пользователь должен пройти авторизацию на портале одним из заданных администратором методо.

  1. Перейдите на вкладку списка порталов конфигурации (если конфигурация была только создана, то данная вкладка откроется автоматически):
    • Откройте список конфигураций и выберите нужную из этого списка: Clusters > <Имя кластера> > All configuration > <Имя конфигурации>.

    • Или выберите последнюю конфигурацию, в которой были изменения: Clusters > <Имя кластера> > Last changed configuration.
  2. Создайте новый HTTP-портал в конфигурации: перейдите на вкладку Portals и нажмите кнопку HTTP portal.


  3. Введите основные настройки HTTP-портала:
    Наименование Пример значения Описание
    Name Portal_01 Наименование элемента сайта (обязательное поле)
    Description Краткое описание портала для отображения в веб-интерфейсе
    Server Name ngate.example.com Имя сервера (обязательное поле)
    Примечание: Данное имя будет использоваться для обращения к порталу со стороны клиента NGate
    Важное замечание: Для работы Trusted TLS необходимо доменное имя, а не IP-адрес!
    Listen port 443 Порт для входящих соединений
    Redirect HTTP to HTTPS / Включить поставив галочку перенаправление соединения с протокола HTTP на HTTPS
    Enabled / Подключен или отключен данный портал
    Auth preset
    • None (TLS Offload)
    • Certificate (TLS Offload)
    • Username/password (LDAP)
    • Certificate (OIDs)
    • Certificate (in LDAP)
    • Certificate (UPN in LDAP)
    • Certificate (OIDs) + username/password (LDAP)
    • CUSTOM
    		 Выберите набор предустановок для методов авторизации и аутентификации на данном портале

    См. также Создание правил доступа на портале
    • None (TLS Offload) — авторизация на портале не требуется. Доступ на портал получает любой пользователь, у которого есть адрес портала.
    • Certificate (TLS Offload) — для доступа на портал пользователь должен обладать одним из доверенных сертификатов Trusted CA, привязанных к порталу.
    • Username/password (LDAP) — для доступа на портал пользователю необходимы логин и пароль, прописанные в настройках LDAP.
    • Certificate (OIDs) — для доступа к порталу пользователю будет необходим доверенный сертификат, поля OIDs которого должны соответствовать этим же полям привязанного к порталу доверенного сертификата Trusted CA.
    • Certificate (in LDAP) — для доступа к порталу пользователю необходимо иметь сертификат, добавленный в соответствующем поле пользователя в LDAP.
    • Certificate (UPN in LDAP) — для доступа к порталу пользователю необходимо иметь сертификат, содержащий уникальное поле UPN (User Principal Name), которое добавлено в соответствующее поле пользователя в LDAP.
    • Certificate (OIDs) + username/password (LDAP) — двухфакторная аутентификация, совмещающая требования для Certificate (OIDs) и username/password (LDAP).
  4. При необходимости введите продвинутые настройки HTTP-портала. Чтобы открыть меню дополнительных настроек нажмите Advanced settings:
    Наименование Пример значения Описание
    Enrollment Host / Включить использование хоста регистрации, назначенного конфигурации данного портала
    Single WEB/gRPC-Resource / Разрешение на создание единственного веб-ресурса. Имя веб-ресурса должно иметь специальное название "/"
    Enable Large Buffers / Если функция активна, то будут разрешены большие буферы заголовков для всех веб-ресурсов данного портала
    Max payload size (MB) 1 Предел размера файла в МБ, который может быть загружен на защищаемый NGate веб-ресурс
    Use local CRL only / Включить, отметив галочкой, запрет на извлечение CRL формы CRL Distribution Points (распределительный пункты CRL, далее – CDP) при проверке сертификатов пользователей.
    Важное замечание: Использовать только, если CDP недоступен с шлюза NGate!
    Allow unsafe URLs / Разрешение URL-адресов, начинающиеся с точек
    Allow all HTTP methods: / Если не отмечена, то доступны только методы GET|HEAD|POST|PUT|DELETE
    HTTP validation
    • As in configuration (как в конфигурации)
    • Force ON (принудительно включено)
    • Force OFF (принудительно выключено)
    		 Включить валидацию протокола HTTP и метода запроса
    Disable extra security headers / Отключить заголовки X-Frame-Options; X-Content-Type-Options; X-XSS-Protection; Strict-Transport-Security
    Prefer server ciphers / Отметьте, если хотите использовать шифры сервера
    Client certificate verify depth 3 Максимальная длина проверки цепочки сертификатов УЦ, которым будет доверять сервер
    Check Client Certificate in CRL / Проверять в CRL, отозван ли сертификат клиента. Работает только при методе аутентификации TLS
    Use HTTP2 / Включить использование HTTP/2 на портале
    Примечание:

    Параметр необходимо включить, если планируется использовать gRPC-ресурс на портале
    Keep-alive time 60 Максимальное время, в течение которого запросы следует обрабатывать в рамках одного поддерживаемого соединения, в секундах
    Keep-alive requests 1000 Наибольшее число запросов, которое следует отправлять через одно HTTP/2-соединение
    Client request header timeout 60 Время ожидания данных от клиента. По истечении соединение следует закрыть, в секундах
    Allow password change / Разрешить смену пароля пользователям LDAP на портале
    Number of days till password expiry when password change is suggested 7 Если до истечения пароля осталось меньше указанного количества дней, пользователь увидит предупреждающее сообщение о необходимости сменить пароль
    Number of days till password expiry when password change is required 1 Если до истечения пароля осталось меньше указанного количества дней, пользователь не будет иметь возможность войти до тех пор, пока не поменяет пароль
    Maximum number of active sessions per user 0 Логин и/или идентификатор сертификата (оба, если представлены) используются в качестве уникального идентификатора пользователя. 0 для неограниченного количества активных сессий
    Abort oldest session when limit is reached / Включает функцию автоматического прерывания самой старой сессии на портале при достижении лимита времени (если продолжительность самой старой сессии составляет не менее 2-х минут)
    Enable PROXY protocol / Включение протокола PROXY упрощает передачу исходной информации о клиенте между несколькими прокси. Протокол PROXY должен быть либо включен на каждом портале с определенным адресом/портом, либо отключён на всех
  5. Нажмите кнопку Save для сохранения созданного портала в конфигурации и перехода на страницу списка порталов. Back – выход без сохранения. HTTP-портал отображается в списке с иконкой HTTP.


    Доступные действия для портала:
    • Edit – редактирование основных параметров портала.
    • Copy – копирование портала.
    • Delete – удаление портала.
    • – портал не активен (отключен параметр Enabled)
    • Нажатие на наименовании портала – вход в меню настроек доступа к порталу.
  6. Чтобы оставить для отображения только HTTP-порталы и отключить Stream, нажмите в поле Display на кнопку Stream.


  7. Выполните привязку сертификатов и мандатов в зависимости от значения параметра User authentication type.
    Подробнее: Привязка сертификатов к порталу.
  8. Завершающим этапом настройки портала будет создание правил доступа к ресурсам на портале (ACL set) из элементов ресурсов и ACL. Для динамических туннелей так же нужно добавить наборы сетевых групп и опционально домены маршрутизации.
    Подробнее: Создание правил доступа к веб-ресурсам и gRPC-ресурсам на HTTP-портале, Создание правил доступа к динамическим туннельным ресурсам.
  9. После завершения всех настроек HTTP-портал готов к публикации в составе конфигурации.
    Подробнее: Публикация конфигурации.