Ideco NGFW
Скачать PDF
v7.9
v7.9
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Системные требования
    • Подготовка к установке
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Подключение к провайдеру
      • Подключение по Ethernet
      • Подключение по PPPoE
      • Подключение по PPTP (VPN)
      • Подключение по L2TP (VPN)
      • Подключение по 3G, 4G (LTE)
      • Одновременное подключение к нескольким провайдерам
    • Управление пользователями
      • Дерево пользователей
      • Управление учетными записями пользователей
      • Настройка учетных записей пользователей
      • Интеграция с Active Directory
        • Ввод сервера в домен
        • Импорт пользователей
        • Авторизация пользователей
          • Скрипты автоматической авторизации/разавторизации
      • Пользователи терминального сервера
      • Wi-Fi сети
    • Типы авторизации
      • Авторизация по IP-адресу
      • Авторизация по PPPoE
      • Авторизация по PPTP
      • Веб-авторизация
      • Single Sign-On аутентификация через Active Directory
      • Авторизация через Ideco Agent
    • Публикация ресурсов
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка почтового релея для публикации сервера в локальной сети
      • Портмаппинг (проброс портов, DNAT)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Доступ из внешней сети без NAT
      • Доступ до внешних ресурсов без авторизации
    • Мониторинг
      • Пересылка системных сообщений
      • SNMP
      • Интеграция с Zabbix
    • Правила доступа
      • Файрвол
      • Контроль приложений
        • Описание протоколов
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
      • Объекты
      • Администраторы
        • Удаленный доступ по SSH
      • Пользовательские квоты
      • Защита от bruteforce-атак
    • Сервисы
      • Маршрутизация
      • Обнаружение устройств
      • Профили выхода в Интернет
      • Прокси
        • Подключение к внешним ICAP-сервисам
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси-сервером
      • Почтовый сервер
        • Подготовка к настройке почтового сервера
        • Настройка почтового сервера
        • Настройка почтовых клиентов
        • Web-почта
        • Переадресация почты (почтовые алиасы)
        • Дополнительные возможности и антиспам
        • Настройка почтового релея
        • Fetchmail
        • Рекомендации по защите сервера
        • Схема фильтрации почтового трафика
      • Обратный прокси
        • Протестированные CMS
        • Web Application Firewall
      • DNS
      • DHCP
      • Туннельные протоколы VPN
        • Подключение офисов (site-to-site)
          • IPSec
            • Филиалы и главный офис
            • Подключение пользователей
            • Подключение устройств
          • OpenVPN
          • PPTP VPN
          • Подключение Keenetic по SSTP
          • Подключение pfSense к Ideco UTM по IPsec
          • Подключение pfSense к Ideco UTM с использованием OpenVPN
          • Подключение Kerio Control к Ideco UTM по IPSec
        • Подключение пользователей (client-to-site)
          • IPSec IKEv2
            • Скрипт автоматического создания пользовательских подключений по IPSec IKEv2
          • SSTP
            • Скрипт автоматического создания пользовательских подключений по SSTP
            • Подключение Wi-Fi роутеров Keenetic
          • L2TP/IPSec
            • Скрипт автоматического создания пользовательских подключений по L2TP/IPSec
          • PPTP
          • Особенности маршрутизации и организации доступа
          • Веб-кабинет пользователя
          • Инструкция по запуску PowerShell-скриптов
            • Инструкция по созданию подключения в Windows 7
      • Дополнительно
    • Отчеты
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Обслуживание сервера
      • Обновление сервера
      • Удаленный доступ для управления сервером
      • Регистрация сервера
      • Резервное копирование и восстановление данных
      • Режим удаленного помощника
  • Популярные рецепты
    • Популярные рецепты
      • Проверка настроек фильтрации с помощью security.ideco.ru
      • Что делать если ваш IP попал в черные списки DNSBL
      • Настройка программы Proxifier для прямых подключений к прокси-серверу
      • Установка доверенного SSL сертификата на сервер
      • Доступ в удаленные сети через роутер в локальной сети
      • Перенос данных и настроек на другой сервер
      • Выбор аппаратной платформы для Ideco UTM
      • Восстановление пароля администратора
        • Для версий 6.0 - 7.6
      • Особенности подключения через ADSL-модем
      • Использование ics_tune.sh
      • Блокировка популярных ресурсов
      • Что делать если не работает Интернет
  • Changelog
    • Версия Ideco UTM 7.Х.Х
Powered by GitBook
On this page
  • Настройка контент-фильтра
  • Категории контент-фильтра
  • Расширенная база категорий
  • Пользовательские категории
  • Специальные
  • Файлы
  • Применение правил фильтрации для пользователей
  • Диагностика

Was this helpful?

  1. Настройка
  2. Правила доступа

Контент-фильтр

PreviousОписание протоколовNextОписание категорий контент-фильтра

Last updated 3 years ago

Was this helpful?

Контентная фильтрация на нашем сервере реализована на основе данных о веб-трафике, получаемых от модуля проксирования веб-трафика. Таким образом контент-фильтр позволяет эффективно блокировать доступ к различным интернет-ресурсам по веб. Механизм контентной фильтрации заключается в проверке принадлежности адреса, запрашиваемого пользователем сайта или отдельной страницы сайта на наличие его в списках запрещенных ресурсов. Списки, в свою очередь, поделены на категории для удобства администрирования.

Модуль контент-фильтра работает только при активной подписке на обновления в редакции Enterprise.

HTTPS-сайты без расшифровки трафика фильтруются только по домену (а не полному URL), правила категории Файлы на них также применить невозможно. Для полной фильтрации HTTPS создавайте правила HTTPS-трафика нужных категорий.

Настройка контент-фильтра

Рассмотрим подробнее устройство и настройку контент-фильтра. Перейдем в раздел административного веб-интерфейса Правила доступа -> Контент-фильтр -> Настройки и активируем базу расширенного контент-фильтра установив флажок Использовать расширенную базу категорий.

На этой же вкладке можно настроить дополнительные параметры фильтрации:

  • Безопасный поиск. Принудительно включает безопасный поиск в поисковых системах. Для работы данной функции нужно включить HTTPS-фильтрацию методом подмены сертификата для данных ресурсов.

Категории контент-фильтра

Расширенная база категорий

Более 140 категорий (включающих миллионы URL), автоматически обновляемая сервером.

Статус обновлений и использование базы можно посмотреть на вкладке Настройки Контент-фильтра. Данные категории работают только при активной подписке на обновления в коммерческих редакциях.

Пользовательские категории

На одноименной вкладке вы можете создавать собственные категории правил для разрешения, запрещения для пользователей или расшифровки HTTPS-трафика данных доменов.

Созданные категории правил можно наполнять URL веб-страниц вручную.

Специальные

Категории для страниц которые были категоризированы контент-фильтром, не были категоризированы, всех запросов и запросов с прямыми обращениями по IP-адресам.

С помощью нее, например, вы можете блокировать все неизвестные запросы в случае использовании фильтрации по "Белому списку".

Файлы

Восемь сформированных категорий файлов, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудифайлы, Flash-видео, Active-X, Torrent-файлы, Документы) нельзя редактировать.

Применение правил фильтрации для пользователей

Для того чтобы доступ пользователя к ресурсам сети интернет контролировался по настроенным категориям, нужно создать список правил.

Правила в списке применяются сверху вниз до первого срабатывания. Таким образом если вышестоящим правилом будет разрешен какой-то ресурс для определенной группы пользователей, то правила ниже применяться не будут. Таким образом можно создавать гибкие настройки фильтрации, исключая нужных пользователей вышестоящими правилами из правил блокировки. Аналогичным образом действуют правила расшифровки HTTPS.

Кнопками со стрелками можно менять приоритет правила в списке, а кнопкой включения/выключения активировать или деактивировать правило. Правила контентной фильтрации применяются сразу же после создания или их включения.

При добавлении правила заполните следующие поля:

Название - наименование правила в списке. Применяется для - пользователи или группы пользователей, к которым будет применяться правило. Возможно выбрать несколько пользователей или групп. Категории - пользовательские, специальные и расширенные категории веб-ресурсов. Действие - действие данного правила на веб-запросы. Можно запретить, разрешить или расшифровать HTTPS-трафик.

Диагностика

Если правила контентной фильтрации не действуют, проверьте следующие параметры в настройках:

  1. IP-адрес компьютера пользователя соответствует его адресу в авторизации (Мониторинг - Авторизованные пользователи), и пользователь находится в нужной группе, на которую назначено правило.

  2. На вкладке "Проверка" контент-фильтра, ресурс, к которому вы обращаетесь, правильно категоризируется.

  3. В браузере и на компьютере пользователя не используются функции или плагины VPN, не прописаны сторонние прокси-сервера.

Блокировать протокол . Экспериментальный протокол, используемый браузером Chrome для доступа к некоторым ресурсам (например, youtube). Рекомендуется блокировать его, т.к. иначе фильтрация ресурсов, работающих по этому протоколу, будет невозможна.

Работа по фильтрации HTTPS-трафика по данному типу категорий возможна только при его .

IP-адрес пользователи и ресурса, к которому он обращается, не входит в исключения .

Проверить настройки контентной фильтрации по блокировке опасных и потенциально опасных файлов можно с помощью сервиса .

QUIC
расшифровке
прокси-сервера
security.ideco.ru
расшифровки