Проверка настроек фильтрации с помощью security ideco
Эффективность настроек контент-фильтра можно проверить с помощью сервиса security.ideco.ru.
При правильной настройке общий уровень защиты должен показывать зеленый цвет. Если это не так, проверьте с помощью этой статьи настройки контент-фильтра и других служб фильтрации трафика.
Предварительная проверка
Убедитесь, что службы, описанные ниже, включены и работают в веб-интерфейсе администратора Ideco NGFW.
Раздел Правила трафика
Контент-фильтр;
Контроль приложений;
Антивирусы веб-трафика (включен антивирус ClamAV или антивирус Касперского);
Предотвращение вторжений.
Данные службы полноценно работают только при активной подписке на обновления Ideco NGFW. Проверьте актуальность лицензии на Ideco NGFW и его модули в разделе Лицензия.
Раздел Сервисы
Убедитесь, что в настройках раздела Прокси -> Исключения, в пункте Сети источника не указана сеть, куда входит IP-адрес компьютера, с которого заходите на сайт security.ideco.ru.
В пункте Сети назначения:
Не должны быть включены неизвестные ресурсы;
Должны отсутствовать ресурсы, ограниченны масками, куда входят тысячи или миллионы адресов.
Помните, что любые исключения ресурсов в прокси-сервере исключают их также из проверки контент-фильтром.
Проверка настроек служб
Контент-фильтр
Правилами, действующими на пользователя, должны быть запрещены следующие категории сайтов:
Анонимайзеры;
Ботненты;
Фишинг/мошенничество;
Казино, лотереи, тотализаторы;
Порнография;
Список Минюста;
Астрология и гороскопы;
Знакомства;
Компьютерные игры;
Мультфильмы, аниме и комиксы;
Развлекательные новости и сайты про знаменитостей;
Онлайн-реклама и баннеры;
Торрент-трекеры.
Кроме того, для возможности антивирусной проверки HTTPS-трафика должно быть создано правило по расшифровке всего HTTPS трафика для пользователей, в том числе для того, кто проверяет настройки на security.ideco.ru.
Убедитесь, что контент-фильтр работает для пользователя. Для этого попробуйте перейти на сайт: sex.com
. Появится страница блокировки.
Предотвращение вторжений
В этой службе должны быть активны следующие группы правил:
Анонимайзеры;
GeoIP страны Юго-Восточной Азии;
GeoIP территории Африки и зависимые территории;
GeoIP Южная Америка и зависимые территории;
Пулы криптомайнеров.
Некоторые правила системы работают с помощью блокировки DNS-запросов пользователей, поэтому, если используете Ideco NGFW в качестве прокси-сервера, убедитесь, что DNS-запросы также проходят через него (например, сделайте так, чтобы контроллер домена Active Directory резолвил внешние адреса через Ideco NGFW).
Контроль приложений
Для защиты от "пожирателей времени и трафика" создайте правила с запрещением доступа следующих протоколов:
Bittorrent;
Steam;
Worldofwarcraft;
Mining.
Проведите повторное тестирование с помощью security.ideco.ru после изменения правил.
Last updated