Ideco NGFW
Скачать PDF
v11
v11
  • Об Ideco UTM
  • Общая информация
    • Лицензирование
    • Источники обновлений данных Ideco UTM
    • Техническая поддержка
  • Установка
    • Создание загрузочного USB flash диска
    • Особенности настроек гипервизоров
    • Процесс установки
    • Первоначальная настройка
  • Настройка
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление пользователями
        • Настройка пользователей
        • Пользователи терминального сервера
      • Авторизация пользователей
        • Веб-аутентификация
        • Авторизация через Ideco Agent
        • VPN-подключение
          • Ideco VPN-клиент
          • Подключение по PPTP
          • Подключение по PPPoE
          • IPSec IKEv2
          • SSTP
          • L2TP IPSec
          • Личный кабинет пользователя
          • Особенности маршрутизации и организации доступа
          • Подключение по SSTP Wi-Fi роутеров Keenetic
          • Инструкция по запуску PowerShell скриптов
        • Авторизация по IP-адресу
      • Интеграция с Active Directory
        • Авторизация пользователей Active Directory
        • Ввод сервера в домен
        • Скрипты автоматической авторизации и разавторизации.
        • Импорт пользователей
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Авторизованные пользователи и VPN пользователи
      • Журналы
        • Защита от brute-force атак
      • График загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Интеграция с Zabbix
      • Syslog
    • Правила трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
        • Описание категорий контент-фильтра
        • Настройка
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирусы веб-трафика
      • Предотвращение вторжений
      • Объекты
      • Пользовательские квоты
    • Сервисы
      • Сетевые интерфейсы
        • Внешний Ethernet
        • Ethernet + PPTP
        • Ethernet + PPPoE
        • Подключение по 3G и 4G
        • Настройка подключения по L2TP
      • Балансировка и резервирование
      • Маршрутизация
      • Прокси
        • Прокси сервер
        • Настройка прокси с одним интерфейсом
        • Исключить IP-адреса из обработки прокси сервером
        • Подключение к внешним ICAP-сервисам
      • Обратный прокси
      • DNS
      • DHCP
      • IPSec
        • Филиалы и главный офис
        • Подключение устройств
        • Подключение пользователей
      • Сертификаты
        • Загрузка своего SSL-сертификата на сервер
      • Подключение офисов (site-to-site)
        • PPTP VPN
        • Входящее подключение Cisco IOS к Ideco UTM по IPSec
        • Исходящее подключение Ideco UTM к Cisco IOS по IPSec
        • Входящее подключение pfSense к Ideco UTM по IPsec
        • Исходящее подключение pfSense к Ideco UTM по IPsec
        • Подключение Keenetic по SSTP
        • Подключение Kerio Control к Ideco UTM по IPSec
        • Подключение Keenetic по IPSec
    • Отчеты
      • Сайты
      • Журнал авторизации
    • Управление сервером
      • Администраторы
      • Кластеризация
      • Терминал
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам
      • Правила
        • Переадресация почты
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция UTM и SkyDNS
  • Обслуживание
    • Управление лицензиями
    • Обновление сервера
    • Регистрация сервера
    • Резервное копирование и восстановление данных
    • Режим удаленного помощника
    • Удаленный доступ для управления сервером
    • Личный кабинет
  • Популярные инструкции и диагностика проблем
    • Популярные инструкции
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Ubuntu
        • Создание подключения в Astra Linux
        • Автоматическое создание подключений
        • Создание подключения в Windows 10
        • Создание подключения в Windows 7
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Доступ в удаленные сети через роутер в локальной сети
      • Что делать если ваш IP попал в черные списки DNSBL
      • Что делать если не работает Интернет
      • Как восстановить доступ к Ideco UTM
      • Проверка настроек фильтрации с помощью security ideco
      • Выбор аппаратной платформы для Ideco UTM
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra linux
      • Перенос данных и настроек на другой сервер
  • Ссылки
    • Статьи по тегам
  • changelog
    • Версия ФСТЭК Ideco UTM 11.Х
    • Версия Ideco UTM 11.X
Powered by GitBook
On this page
  • Настройка контент-фильтра
  • Категории контент-фильтра
  • Применение правил фильтрации для пользователей
  • Диагностика

Was this helpful?

  1. Настройка
  2. Правила трафика
  3. Контент-фильтр

Настройка

Настройка контент-фильтра и диагностика неполадок.

PreviousОписание категорий контент-фильтраNextНастройка фильтрации HTTPS

Last updated 2 months ago

Was this helpful?

Контентная фильтрация на сервере Ideco UTM реализована на основе данных о веб-трафике, получаемых от модуля проксирования веб-трафика. Таким образом, контент-фильтр позволяет эффективно блокировать доступ к различным интернет-ресурсам.

Механизм контентной фильтрации заключается в проверке принадлежности адреса, запрашиваемого пользователем сайта или отдельной страницы сайта на наличие его в списках запрещенных ресурсов. Списки в свою очередь поделены на категории для удобства администрирования.

Модуль контент-фильтра работает только при активной подписке на обновления в редакции Enterprise.

HTTPS-сайты без расшифровки трафика фильтруются только по домену (а не полному URL), правила категории Файлы на них также применить невозможно. Для полной фильтрации HTTPS создавайте правила расшифровки HTTPS-трафика нужных категорий.

Настройка контент-фильтра

Перейдите в раздел Правила трафика -> Контент-фильтр и активируйте базу расширенного контент-фильтра, переключив ползунок в положение Включено у пункта Расширенная база категорий.

На вкладке Настройки можно настроить дополнительные параметры фильтрации:

  • Блокировать протоколы QUIC и HTTP/3. Экспериментальный протокол, используемый браузером Chrome для доступа к некоторым ресурсам (например, youtube). Рекомендуется блокировать его, т.к. иначе фильтрация ресурсов, работающих по этому протоколу, будет невозможна.

  • Безопасный поиск. Принудительно включает безопасный поиск в поисковых системах (google, yandex, youtube, yahoo, bing, rambler). Для работы данной функции нужно включить HTTPS-фильтрацию методом подмены сертификата для данных ресурсов.

Категории контент-фильтра

  • Расширенная база категорий. Более 140 категорий, включающих миллионы URL, автоматически обновляемых сервером. Статус обновлений и использование базы можно посмотреть на вкладке Настройки в разделе Контент-фильтра. Данные категории работают только при активной подписке на обновления в коммерческих редакциях.

  • Пользовательские категории. На одноименной вкладке вы можете создавать собственные категории правил.

  • Специальные. Включает 4 категории - все запросы, все категоризированные запросы, все не категоризированные запросы и запросы с прямыми обращениями по IP-адресам.

  • Файлы. Восемь сформированных категорий файлов, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы) нельзя редактировать. Работа по фильтрации HTTPS-трафика по данному типу категорий возможна только при его расшифровке.

Применение правил фильтрации для пользователей

Правила применяются сверху вниз в порядке следования в таблице до первого совпадения. Таким образом если вышестоящим правилом будет разрешен какой-то ресурс для определенной группы пользователей, то правила ниже применяться не будут. Таким образом можно создавать гибкие настройки фильтрации, исключая нужных пользователей вышестоящими правилами из правил блокировки. Аналогичным образом действуют правила расшифровки HTTPS.

В столбце Управление можно активировать или деактивировать правило, менять его приоритет, редактировать и удалить. Правила контентной фильтрации применяются сразу после создания или их включения.

Чтобы создать новое правило, нажмите Добавить в левом верхнем углу над таблицей.

Заполните следующие поля:

  • Название - наименование правила в списке. Значение не должно быть длиннее 42 символов.

  • Применяется для - можно выбрать объекты типа: пользователь, группа пользователей, IP-адрес, диапазон IP-адресов, подсеть, список IP-адресов или специальный объект Превышена квота (в этот объект попадают пользователи, превысившие квоту по трафику).

  • Категории сайтов - пользовательские, специальные и расширенные категории веб-ресурсов.

  • Действие - действие данного правила на веб-запросы. Можно запретить, разрешить или расшифровать HTTPS-трафик.

Диагностика

Если правила контентной фильтрации не действуют, проверьте следующие параметры в настройках:

1. IP-адрес компьютера пользователя должен соответствовать его адресу в авторизации (раздел Мониторинг - Авторизованные пользователи), и пользователь должен находиться в нужной группе, на которую назначено правило.

2. IP-адрес пользователи и ресурса, к которому он обращается, не должен входить в исключения прокси-сервера.

3. Проверьте правильность категоризации ресурса к которому вы обращаетесь в поле URL для категоризации на вкладке Правила.

4. В браузере и на компьютере пользователя не используются функции или плагины VPN, не прописаны сторонние прокси-сервера.

Подробное описание расширенных и специальных категорий представлено в статье .

В случае, если сайт неправильно категоризирован, воспользуйтесь формой обратной связи .

5. Проверить настройки контентной фильтрации по блокировке опасных и потенциально опасных файлов можно с помощью сервиса .

Описание категорий контент фильтра
SkyDNS
security.ideco.ru