Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Контентная фильтрация на нашем сервере реализована на основе данных о веб-трафике, получаемых от модуля проксирования веб-трафика. Таким образом контент-фильтр позволяет эффективно блокировать доступ к различным интернет-ресурсам по веб. Механизм контентной фильтрации заключается в проверке принадлежности адреса, запрашиваемого пользователем сайта или отдельной страницы сайта на наличие его в списках запрещенных ресурсов. Списки, в свою очередь, поделены на категории для удобства администрирования.

Глобальная настройка прокси сервера и контент-фильтра

Поскольку контент-фильтр работает с веб-трафиком, заостряем ваше внимание на том, что модуль прокси-сервер обязательно должен быть включен. Перейдите в раздел Сервер -> Прокси и убедитесь, что это так. По умолчанию этот модуль включен сразу после установки Ideco ICS. Также, для того чтобы веб-трафик пользователей проходил через прокси-сервер, мы должны включить прозрачную работу прокси для всех пользователей. Скриншот настроек прокси-сервера приведён на фрагменте ниже:

Итак, рассмотрим подробнее устройство и настройку контент-фильтра. Перейдем в раздел административного веб-интерфейса Сервер -> Контент-фильтр -> Параметры и активируем контент-фильтр, выбрав стандартный или расширенный тип категорий: стандартные категории не требуют дополнительной активации, расширенные категории требуют дополнительной лицензии.


На этой же вкладке можно настроить дополнительные параметры фильтрации:

  • Блокировать обращения к сайтам по IP-адресу. Включение данного параметра блокирует запросы вида http://1.2.3.4. Но может привести к блокировке ПО, использующего в своей работе такие запросы. Например, программы Skype.
  • Блокировать протокол QUIC. Экспериментальный протокол, используемый браузером Chrome для доступа к некоторым ресурсам (например, youtube). Рекомендуется блокировать его, т.к. иначе фильтрация ресурсов, работающих по этому протоколу, будет невозможна.
  • Безопасный поиск. Принудительно включает безопасный поиск в поисковых системах. Для работы данной функции нужно включить HTTPS-фильтрацию методом подмены сертификата для данных ресурсов.

Перейдём на вкладку Категории и более подробно рассмотрим виды категорий контент-фильтра Ideco ICS, они представлены в четырёх видах: пользовательские, блокировка файлов, стандартные и расширенные.

  • Пользовательские категории сайтов вы создаете самостоятельно перечислением доменов или URL сайтов и отдельных страниц в сети Интернет. Все списки пользовательских категорий можно просматривать, дополнять и вносить изменения в любой момент времени.

  • Блокировка файлов  позволяет запретить запуск или скачивание файлов определенного типа медиа-контента из Интернет. Каждый тип файлов содержит набор расширений файлов и MIME-типов. Блокировка также осуществляется как по расширению файла, так и по MIME-типу.

  • Стандартные категории работают точно так же, как и в предыдущих версиях Ideco ICS. Это неизменяемые, категоризированные списки Интернет-ресурсов, хранящиеся на сервере. Вы не можете посмотреть содержимое этих списков, дополнить или изменить их. Эти списки присутствуют на сервере с момента установки Ideco ICS и доступны к назначению пользователям. Обновление списков происходит в каждой новой версии Ideco ICS.

  • Расширенные категории - это более полные, актуальные, качественно отобранные и детально категоризированные списки интернет-ресурсов, находящиеся в регулярно обновляемой базе данных. Данный модуль лицензируется отдельно.

В следующем разделе Исключения администратору предоставляется возможность создавать свои Белые и Черные списки сайтов. Обратите внимание, что наш контент-фильтр работает с любыми URL веб-адресов, поэтому Белые и Черные списки, как и "Категории", работают и с доменами ресурсов и с адресами конкретных страниц на сайтах. Белые и Черные списки применяются глобально для всех пользователей сразу и призваны помочь скорректировать поведение контент-фильтра относительно отдельных ресурсов и страниц в сети. Также "Исключения" удобны для быстрого разрешения или запрета ресурсов глобально для всей локальной сети, обслуживаемой Ideco ICS, независимо от настроек фильтрации в системе.

При использовании расширенных категорий очень удобно объединять их в специальные группы, сделать это можно в разделе Группы категорий:  

Применение категорий на пользователей

Для того чтобы доступ пользователя к ресурсам сети интернет контролировался по настроенным категориям, нужно применить эти категории пользователю или группе пользователей. Рассмотрим сначала применение категорий на группы пользователей.

На вкладке Контент-фильтр прежде всего выберем политику работы контент-фильтра для группы пользователей:

  • Разрешить, остальное запретить - ресурсы из примененных к пользователю или группе Категорий будут разрешены к доступу, все остальные ресурсы, не указанные в этих категориях, будут запрещены к доступу.
  • Запретить, остальное разрешить - запрещает доступ к ресурсам, перечисленным в примененных категориях, все остальные ресурсы разрешены для этого пользователя или группы.

Определив политику фильтрации веб-содержимого глобальной сети, назначьте категории сайтов из числа настроенных ранее Собственных, Стандартных или Расширенных категорий Контент-фильтра, для выбора используйте строку живого поиска:

 В соответствии с политикой, примененной к группе, только ресурсы из этих списков или, наоборот, весь веб-контент глобальной сети, кроме ресурсов из этих списков, будут доступны.

Стандартные и расширенные категории одновременно использоваться не могут.

Если необходимо использовать группы категорий, то ставим флажок Использовать группу категорий и выбираем группу. В этом случае, выбранные ранее, отдельные категории работать не будут.

  • Пару слов про наследование: если правила фильтрации применены на группу пользователей, то они автоматически наследуются на всех пользователей внутри группы. Если же мы хотим их переопределить на конкретном пользователе, то достаточно в его настройках выбрать нужные категории и группу категорий, и они заменят собой наследованные правила фильтрации.
  • Если же на вышестоящей группе в настройках контент-фильтра стоит галочка Использовать эти параметры для всех групп и пользователей в данной группе, то переопределить наследованные категории на конкретном пользователе невозможно.

В настройках каждого пользователя, в отличие от группы, есть очень удобный и быстрый инструмент проверки сайта или страницы ресурса на возможность доступа для данного пользователя в соответствии со всеми примененными к нему настройками фильтрации. Если вы не уверены в принадлежности ресурса к назначенным на пользователя категориям, то в поле Проверить от имени пользователя вы можете моментально это проверить.

Настройка контент-фильтра для образовательного учреждения

Рассмотрим особый пример настройки системы фильтрации трафика для образовательных учреждений. В нашем примере требуется запретить доступ учащихся к любым ресурсам в сети Интернет, кроме заранее определенных контролирующими органами. При этом персонал учреждения не должны иметь каких-либо ограничений.

Эта задача реализуется минимальными возможностями контент-фильтра, путем создания собственных списков разрешенных сайтов, поэтому переходим в раздел административного интерфейса Сервер -> Контент-фильтр -> Категории -> Пользовательские. Именно в создании пользовательских категорий, разрешенных к посещению ресурсов сети Интернет, состоит реализация поставленной задачи. В добавок к стандартной, уже присутствующей в нашем продукте категории "Школа", создадим свою категорию, куда внесем рекомендованные контролирующими органами ресурсы сети Интернет. Если имеется несколько таких списков, то можно создать несколько пользовательских категорий. В то же время, если содержимое предопределенной категории "Школа" не соответствует вашим задачам, вы можете просто отключить или удалить.

В данном примере достаточно будет активировать контент-фильтр со стандартным списком категорий.

Перейдем к настройке пользователей. В нашем случае, исходя из разных политик доступа для разных клиентов локальной сети учреждения, разделим их условно на две группы: "Учащиеся" и "Персонал" и создадим для них группы с соответствующими названиями. Наполним эти группы учетными записями пользователей и настроим их. Когда настройка будет завершена, перейдем во вкладку Контент-фильтр группы "Учащиеся". Подробнее о настройке пользователей и авторизации можно почитать в статьях про авторизацию и управление пользователями. В соответствии с поставленной задачей выберем политику фильтрации для группы "Разрешить, остальное запретить". Выберем созданные нами ранее собственные категории контент-фильтра. Флажок "Использовать группу категорий" не включаем. Сохраняем изменения у группы и они моментально вступают в силу.

На группе "Персонал" не настраиваем правила контентной фильтрации. Таким образом, пользователи этой группы выходят в Интернет без каких либо ограничений, что является изначальным поведением сервера. Пользователи группы "Учащиеся" при этом выходят только на заранее указанные сайты в созданных нами списках.

  • Нет меток