|
FAQ Kerio Control - работа с политикой HTTP: создаем собственный фильтр доступа к группам сайтов в Kerio Control. |
Возможности разграничения доступа к различным категориям веб-сайтов, предоставляемые различными системами фильтрации контента - в т.ч. компонентом Kerio WebFilter, зачастую избыточны и соответственно сами эти системы не оправдывают вложенных в них материальных или физических ресурсов. Из-за нерентабельности их использования не стоит отказываться от самой возможности разграничения доступа к веб-сайтам.
Эта возможность реализуется вполне очевидным путем - созданием необходимых правил в политике HTTP в административной консоли Kerio, определяющих порядок действий фильтра при обработке того или иного правила. Каждое из правил в политике HTTP представляет собой описание набора фиксированных параметров, выделяющих тот или иной HTTP-трафик из общего потока, а также необходимые действия, которые следует произвести фильтру при обнаружении такого трафика.
ВАЖНО !!!! Принципиальным недостатком фильтра HTTP-политик является его название - он обрабатывает не только службу HTTP, но и любые соединения, формально не относящиеся к этой службе. HTTP в этом случае обозначает протокол вообще, а не его дефолтную реализацию в виде одноименной службы. Принципиальным отличием фильтра HTTP-политик является то, что он обрабатывает трафик двух служб - HTTP и HTTPS. Трафик FTP обрабатывается аналогичным образом, но другим компонентом Kerio.
НЕМНОГО О БАЗОВЫХ ПОНЯТИЯХ
Прежде, чем приступить к определению политики фильтрации доступа к сайтам, определим что именно мы будем фильтровать. Доступ к веб-страницам может быть организован двумя путями (в т.ч. - обоими одновременно):
- трансляцией адресов для протокола HTTP(S). В этом случае компьютеры локальной сети (а в принципе - любые компьютеры, маршрутизируемые Kerio), которым разрешен правилами Политики трафика прямой доступ к ресурсам сети Интернет, будут иметь возможность подключаться только к тем портам, которые указаны в этом правиле - HTTP(S) и любые другие, например порты прокси 8080, 8008 3128 и т.п. . В ЭТОМ СЛУЧАЕ ФИЛЬТР HTTP-ПОЛИТИК БУДЕТ ОБРАБАТЫВАТЬ ТОЛЬКО ТРАФИК СЛУЖБЫ HTTP(S) - т.е. ТРАФИК, ПОЛУЧАЕМЫЙ ПРИ ПОДКЛЮЧЕНИИ к 80\443 ПОРТАМ УДАЛЕННОГО СЕРВЕРА И БОЛЬШЕ НИКАКОЙ ДРУГОЙ !!!!
- использованием встроенного прокси-сервера Kerio Контрол. В этом случае доступ к ресурсам сети Интернет должен иметь только сам хост Kerio, а клиенты должны быть настроены на использование прокси. В ЭТОМ СЛУЧАЕ ФИЛЬТР HTTP-ПОЛИТИК БУДЕТ ОБРАБАТЫВАТЬ ВЕСЬ ТРАФИК ПРИ ПОДКЛЮЧЕНИИ Kerio ПО ЗАПРОСУ ЛОКАЛЬНОГО КЛИЕНТА ПРОКСИ К ЛЮБОМУ ПОРТУ УДАЛЕННОГО СЕРВЕРА , А НЕ ТОЛЬКО К ПОРТАМ 80\\443. Естественно, что подключение к нестандартному порту станет возможным, если оно разрешено правилами трафика.
ВАЖНО !!!! Любые действия, связанные с содержанием трафика - антивирусная проверка, анализ содержания веб-страниц и проч. - могут быть произведены только при выполнении двух условий: наличии разрешающего правила в Политике трафика для данного вида трафика (службы) и включенном и правильно указанным в этом правиле Инспекторе протокола (Protocol Inspector). При отключенном ПИ для HTTP(S)-трафика все остальные возможности по фильтрации контента работать не будут !!!!
Надо определиться с Инспектором протокола - какой инспектор выбрать? Возможностей здесь всего две - использовать значение по умолчанию или определить конкретный тип инспектора - HTTP. Необходимо руководствоваться следующими соображениями:
- разрешается ли пользователям доступ к ресурсам Интернет по протоколам HTTPS, FTP(S), ICQ и проч. через прокси-сервер. Если разрешается, то необходимо создать несколько разрешающих правил файрволлу для каждого протокола, каждому из которых указать свой инспектор протокола, в противном случае возможно применение только инспектора по умолчанию;
- разрешается ли пользователям использовать протокол HTTPS для доступа к нестандартным портам. Это наиболее опасная потенциально функция, поскольку позволяет пользователям применять туннельные подключения, обходя ограничения файрволла, поэтому следует всегда запрещать эту функцию, ограничиваясь разрешением для подключения к конкретным серверам на конкретные порты в правилах трафика. Если такая функция все же разрешена, то она эквивалентна правилу, разрешающему файрволлу подключение к любым ресурсам на любые порты, а значит возможно использование только инспектора по умолчанию.
ВАЖНО !!!! В любом случае надо помнить, что конкретизация при определении инспектора протокола повышает безопасность, удаляя пакеты, использующие HTTP как транспортный протокол, т.е. маскирующиеся под реальный HTTP-трафик. Для нормальной работы фильтра HTTP-политик всегда может использоваться инспектор протокола по умолчанию.
Как влияет использование шифрования на работу фильтра HTTP-политик - крайне негативно, снижая до минимума возможности большинства инструментов этого фильтра и исключая антивирусную проверку трафика, который не был инициирован самим файрволлом. Разрешая пользователям локальной сети использовать протоколы HTTPS и FTPS без ограничений по источникам, админ очень рискует безопасностью своей сети, поскольку содержимое получаемых пакетов файрволл проверить не в состоянии.
Когда вступает в действие фильтр HTTP-политики - только при срабатывании разрешающего правила в политиках трафика с включенным инспектором протокола. Срабатывание запрещающего правила или отсутствие конкретного правила не инициируют работу фильтра HTTP-политик.
И последнее: все правила всех инструментов фильтра HTTP-политик представляют собой некоторый список из отдельных правил. В продуктах Kerio принято, что любые списки правил обрабатываются поочередно сверху вниз до тех пор, пока не совпадут параметры анализируемого пакета заданным в конкретном правиле условии. При обнаружении такого совпадения обработка списка правил прекращается и с пакетом производятся указанные в этом правиле действия. Если совпадения заданных и текущих параметров ни в одном правиле не случилось, с пакетом никакие действия производиться не будут. В отличие от правил трафика, в инструментах фильтра HTTP-политики не предусмотрено наличие обязательного запретительного правила в конце списка, т.е. дефолтной реакцией инструментов HTTP-политики является отсутствие каких-либо действий, если они прямо не указаны в каком -либо правиле (это можно переопределить в файле winroute.cfg).
Эта страница расположена в закрытой зоне сайта, доступ к которой ограничен.
Подробности смотреть здесь.
Удачи !
