Пример создания иерархической структуры

Пример. Необходимо настроить профили контроля приложений в соответствии с требованиями:

• Всем пользователям запрещены компьютерные игры, контент для взрослых, майнинг и криптовалюты;

• Доступ к социальным сетям разрешен только Отделу продвижения;

• Доступ к стриминговым сервисам разрешен только Отделу маркетинга;

• Доступ к музыкальным приложениям разрешен только Федору Федорову из Отдела маркетинга.

В описанном примере Федор Федоров - сотрудник Отдела маркетинга, а Отдел маркетинга - структурное поздразделение Отдела продвижения:

Настройка в версии 17 (правила)

1. Создайте правило, запрещающее всем сотрудникам социальные сети, стриминговые сервисы, музыкальные приложения, компьютерные игры, контент для взрослых, майнинг и криптовалюты. Для этого:

• Перейдите в раздел Правила трафика -> Контроль приложений и нажмите Добавить;

• Настройте правило с действием Запретить для всех пользователей, выбрав протоколы и приложения, соответствующие условиям примера:

2. Аналогично создайте ряд правил, соответствущих условиям примера:

• Сотрудникам Отдела продвижения разрешен доступ к социальным сетям;

• Сотрудникам Отдела маркетинга разрешен доступ к стриминговым сервисам;

• Федору Федорову из Отдела маркетинга разрешен доступ к музыкальным приложениям.

Пример:

3. Поместите созданные в пункте 2 правила с действием Разрешить выше правила, созданного в пункте 1:

Настройка в версии 18 (профили)

Создайте профили в соответствии с условиями примера:

1. Перейдите в раздел Профили безопасности -> Контроль приложений, чтобы создать профиль, запрещающий доступ к социальным сетям, стриминговым сервисам, музыкальным приложениям, компьютерным играм, контенту для взрослых, майнингу и криптовалютам. Нажмите Добавить и введите название профиля:

2. Настройте добавленный профиль:

• Выберите группы приложений, которые необходимо запретить (перечислены в описании примера);

• Установите настройку Запретить и нажмите Применить в правом верхнем углу;

• После применения действия нажмите Сохранить в левом нижнем углу:

3. Создайте профиль для Отдела продвижения, разрешающий доступ к социальным сетям. Для этого:

• Отредактируйте клонированный профиль: поменяйте название (например, на Для Отдела продвижения) и настройки доступа к приложениям (разрешите доступ к социальным сетям).

4. Аналогично создайте профиль для Отдела маркетинга, разрешающий доступ к стриминговым сервисам. Для этого клонируйте профиль Для Отдела продвижения, введите название (например, Для Отдела маркетинга) и разрешите в нем доступ к стриминговым сервисам.

5. Создайте профиль для Федора Федорова, разрешающий доступ к музыкальным сервисам. Для этого клонируйте профиль Для Отдела маркетинга и установите необходимые настройки.

В итоге должен получиться набор профилей, учитывающий настройки, описанные в примере:

Теперь необходимо создать правила в Файрволе, чтобы применить настройки для конкретных групп пользователей и установить приоритет прохождения трафика:

1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.

2. Заполните поля:

• В поле Адрес раздела Источник выберите группу Все.

• Выберите действие Разрешить.

• В профилях фильтрации трафика включите опцию Контроль приложений и выберите профиль Запрет приложений.

• Включите правило.

3. Нажмите Сохранить.

4. Аналогично создайте правила для каждого профиля. При создании правила Файрвола укажите соответствующий профилю адрес источника. Например, при создании правила с профилем фильтрации Для Отдела маркетинга выберите в поле Адрес раздела Источник группу Отдел маркетинга:

5. Чтобы трафик проходил в соответствии с условиями примера, установите в Файрволе следующую последовательность правил:

Чем выше в таблице стоит правило, тем выше его приоритет. Разрешающее правило для сотрудника не сработает, если выше в таблице Файрвола находится правило, запрещающее трафик для отдела, в котором работает этот сотрудник.

6. При включенной опции Перехват пользовательских DNS-запросов создайте аналогичные правила INPUT.