Контент-фильтр

Контентная фильтрация реализована на основе данных о веб-трафике, получаемых от модуля проксирования веб-трафика. Позволяет блокировать доступ к различным интернет-ресурсам.

Название службы раздела Контент-фильтра: ideco-content-filter-backend.service. Список имен служб для других разделов доступен по ссылке.

Для записи логов поставьте флаг строке Включить журналирование в разделе Сервисы -> Прокси -> Основное.

Контент-фильтр проверяет наличие сайта, который хочет открыть пользователь, в списках ресурсов Ideco NGFW. Если адрес находится в этих списках, то применяются настроенные правила фильтрации.

HTTPS-сайты без расшифровки трафика фильтруются только по домену (а не по полному URL), правила категории Файлы на них также применить невозможно. Для полной фильтрации HTTPS создайте правила расшифровки HTTPS-трафика нужных категорий.

Для фильтрации по IP-адресам используйте Файрвол.

Фильтрация по IP-адресам в Контент-фильтре будет работать:

Для HTTP-запросов к IP-адресам напрямую;
Для расшифрованных HTTPS-запросов к IP-адресам;
Для HTTPS-запросов к ресурсам, сертификат которых содержит IP-адрес в поле Common Name сертификата.

Файрвол анализирует пакет на сетевом уровне (L3), а Контент-фильтр - на прикладном уровне (L7). Информация об IP-адресах на прикладном уровне (L7) неточная, поэтому для блокировки IP-адресов нужно использовать Файрвол.

Контент-фильтр состоит из трех вкладок: Правила, Ппользовательские категории и Настройки.

С помощью кнопки Фильтры можно отфильтровать значения на вкладках Правила и Пользовательские категории.

Правила

Вкладка содержит:

Строку поиска категории URL для категоризации. Позволяет по URL найти категорию, в которой этот URL состоит, для дальнейшего создания правила;
Таблицу созданных правил. Правила в таблице действуют сверху вниз. То есть, если вверху расположено правило, разрешающее контент, а внизу - запрещающее этот контент, то будет работать только верхнее правило. Для перемещения правил используйте стрелки и ;
Возможность добавления правил в Контент-фильтр. При добавлении правила требуется заполнить название правила, указать, для кого оно будет применено, выбрать категорию сайтов и указать время действия правила. Далее указать, какое действие будет выполняться. Если выбрать действие Перенаправить на, то нужно создать аналогичное правило с действием Расшифровать и поместить его выше перенаправляющего правила:

Категории сайтов делятся на четыре вида:

1. Пользовательские. Включают категории, созданные на вкладке Пользовательские категории;

2. Специальные. Включает 4 категории: все запросы, все категоризированные запросы, все некатегоризированные запросы и запросы с прямыми обращениями по IP-адресам;

3. Расширенные. Правила, включающие расширенные категории, работают только с включенной опцией Расширенная база категорий на вкладке Настройки;

4. Файлы. Восемь сформированных категорий файлов, блокируемых по расширениям и MIME-type. Предустановленные группы файлов (Исполняемые файлы, Архивы, Видеофайлы, Аудиофайлы, Flash-видео, Active-X, Torrent-файлы, Документы) нельзя редактировать. Работа по фильтрации HTTPS-трафика по этому типу категорий возможна только при его расшифровке.

Пользовательские категории

На одноименной вкладке создаются собственные категории правил.

Подробное описание расширенных и специальных категорий читайте в статье Описание категорий контент фильтра.

При создании пользовательской категории потребуется ввести URL (одно или несколько значений через пробел). Используйте следующие маски:

test.ru;
www.test.ru;
http://www.test.ru/ или https://www.test.ru/;
https://www.test.ru:8080 ;
https://xn--41a.xn-p1acf/ - punycode;
*.test.ru - для всех доменов третьего и выше уровней. Важно: такая маска не включает домен второго уровня test.ru, чтобы его включить достаточно указать домен test.ru (все его поддомены также попадут под это правило);
1.1.1.1 - любой IP-адрес.

Пример создания пользовательской категории:

Название - название пользовательской категории, которое будет использоваться при настройке правила Контент-фильтра;
Введите URL - адрес сайта/страницы или доменное имя;
Поиск - поле поиска добавленных URL;
Комментарий - можно заполнить или оставить пустым.

При создании пользовательских категорий обратите внимание на алгоритм работы Контент-фильтра.

Если создать пользовательскую категорию с доменом domain.ru, которая используется в правиле Контент-фильтра, то это правило будет корректно работать для domain.ru, www.domain.ru и *.domain.ru.

Однако если создать еще одну пользовательскую категорию с таким же доменом (например, www.domain.ru или *.domain.ru), то правило с пользовательской категорией domain.ru перестанет работать для доменов www.domain.ru и *.domain.ru, даже если эта созданная категория не используется ни в одном правиле.

Если URL или домен содержит специальные символы (。или •), оставьте их в исходном виде. Адрес будут автоматически закодирован в формат punycode.

Настройки

Если включить опцию Расширенная база категорий, то будет включена работа более 140 категорий, автоматически обновляемых сервером. Эти категории работают только при активной подписке на обновления в коммерческих редакциях.

Если отключить опцию Расширенная база категорий, то все правила, включающие в себя расширенные категории, перестанут срабатывать.

На вкладке Настройки можно настроить дополнительные параметры фильтрации:

Блокировать протоколы QUIC и HTTP/3. Протокол, используемый современными браузерами для доступа к некоторым ресурсам (например, Google, YouTube). Рекомендуется блокировать его, т. к. иначе фильтрация ресурсов, работающих по этому протоколу, будет невозможна;
Безопасный поиск. Принудительно включает безопасный поиск в поисковых системах (Google, Yandex, YouTube, Yahoo, Bing, Rambler). Для работы этой функции нужно включить HTTPS-фильтрацию методом подмены сертификата для данных ресурсов.

Если для повторного шифрования требуется использовать сертификат, отличный от корневого в NGFW, загрузите нужный сертификат в разделе Сервисы -> Сертификаты -> Загруженные сертификаты и выберите его для повторного шифрования:

Применение правил

Процесс блокировки ресурсов, взаимодействующих с чат-ботами, описан в статье.

Применение правил фильтрации для пользователей

Правила применяются сверху вниз в порядке следования в таблице до первого совпадения. Таким образом, если вышестоящим правилом будет разрешен какой-то ресурс для определенной группы пользователей, то правила ниже применяться не будут. Так можно создавать гибкие настройки фильтрации, исключая нужных пользователей вышестоящими правилами из правил блокировки. Аналогичным образом действуют правила расшифровки HTTPS.

В столбце Управление можно активировать или деактивировать правило, менять его приоритет, редактировать и удалять. Правила контентной фильтрации применяются сразу после их создания или включения.

Чтобы создать новое правило, нажмите Добавить в левом верхнем углу над таблицей.

Заполните следующие поля:

Название - наименование правила в списке. Значение не должно быть длиннее 42 символов;
Применяется для - можно выбрать объекты типа: пользователь, группа пользователей, IP-адрес, диапазон IP-адресов, подсеть, список IP-адресов или специальный объект Превышена квота (в этот объект попадают пользователи, превысившие квоту по трафику).
Категории сайтов - пользовательские, специальные и расширенные категории веб-ресурсов;
Действие - действие данного правила на веб-запросы. Можно запретить, разрешить или расшифровать HTTPS-трафик.
Также можно дополнительно указать Время действия правила.

Диагностика

Если правила контентной фильтрации не действуют, проверьте следующие параметры в настройках:

1. IP-адрес компьютера пользователя должен соответствовать его адресу в авторизации (раздел Мониторинг - Авторизованные пользователи), пользователь должен находиться в нужной группе, на которую назначено правило.

2. IP-адрес пользователя и ресурса, к которому он обращается, не должен входить в исключения прокси-сервера.

3. Проверьте правильность категоризации ресурса, к которому обращаетесь, в поле URL для категоризации на вкладке Правила:

Если сайт неправильно категоризирован, воспользуйтесь формой обратной связи SkyDNS.

4. В браузере и на компьютере пользователя не используются функции или плагины VPN, не прописаны сторонние прокси-серверы.

5. Проверить настройки контентной фильтрации по блокировке опасных и потенциально опасных файлов можно с помощью сервиса security.ideco.ru.

Блокировка загрузки файлов в файлообменники

Блокирование этой категории требует особой настройки правил Контент-фильтра. В случае с файлообменниками (Google Drive, Яндекс.Диск, облако Mail.ru, Dropbox.com) расшифровки трафика категорий Файлообменники, Файловые хранилища, Файловые архивы и Загрузка файлов в файлообменники может быть недостаточно.

Чтобы заблокировать загрузку файлов в облака через браузер, выполните действия:

1. Включите Блокировку протоколов Quic/HTTP3 на вкладке Контент-фильтр -> Настройки:

2. Создайте пользовательскую категорию для расшифровки трафика, указав домены нужных файлообменников:

Для указания доменов используйте маски: *.cloud.mail.ru, cloud.mail.ru/home, *.mail.ru, cloud.mail.ru.

3. Создайте правило, расшифровывающее трафик созданной в п. 2 категории:

4. Ниже создайте правило, запрещающее загрузку файлов:

5. Проверьте, работает ли блокировка: с устройства пользователя, для которого она настроена, зайдите на сайты нужных файлообменников и попробуйте загрузить файлы. Если загрузка проходит, создайте в Контент-фильтре правило, расшифровывающее весь трафик пользователя, а ниже - правило, запрещающее загрузку файлов в файлообменники:

PreviousКонтроль приложений NextОписание категорий Контент-фильтра

Last updated 5 days ago