UserGate Web Filter Руководство администратора www.usergate.ru Содержание Введение 4 Методы фильтрации Блокировка сайтов с помощью Entensys URL Filtering 3.0. Морфологический анализ Безопасный поиск Черные и белые списки Блокировка баннеров и всплывающих окон Фильтрация с помощью регулярных выражений Блокировка загружаемых файлов HTTPS-­‐фильтрация Антивирусная проверка Блокировка приложений социальных сетей Блокировка фишинговых сайтов 5 5 5 5 6 6 6 6 6 7 7 7 Варианты исполнения UserGate Web Filter UserGate Web Filter Appliance UserGate Web Filter Virtual Appliance 8 8 8 8 Принцип работы Общая схема работы Фильтрация DNS-­‐запросов Фильтрация HTTP-­‐запросов Порядок обработки запросов пользователей Кластеризация 9 9 9 10 10 15 Установка UserGate Web Filter Системные требования Процесс установки Обновление программного обеспечения Удаление UserGate Web Filter Установка кластера UserGate Web Filter Лицензирование UserGate Web Filter 16 16 16 17 18 18 19 Настройка продукта Настройки Основные настройки Настройки HTTP Счетчики Настройки сети Интерфейсы DHCP Пользователи и группы Пользователи и группы Безопасный поиск История поиска Блокировка рекламы Блокировка приложений социальных сетей Антивирусная проверка 21 21 21 24 25 26 26 27 29 29 32 32 32 33 33 www.usergate.ru 2 Черные и белые списки Блокировка фишинговых сайтов Типы контента Библиотеки Исключения Морфология Регулярные выражения Типы контента HTTPS-­‐фильтрация Фильтрация Правила фильтрации Запросы на добавление в белый список Проверить URL Журналы История входов Журнал событий 33 34 34 34 35 39 42 43 43 47 47 52 53 55 55 56 Статистика 57 UserGate Web Filter Applianceи Virtual Appliance Обзор Быстрый запуск Обновление программного обеспечения Восстановление настроек по умолчанию Смена пароля для доступа к linux-­‐консоли 59 59 59 65 65 66 Техническая поддержка 67 Приложение 1. Установка сертификата локального удостоверяющего центра Установка сертификата в браузеры Internet Explorer, Chrome в ОС Windows Установка сертификата в браузер Safari, Chrome в ОС MacOSX Установка сертификата в браузер Firefox 68 68 73 75 Приложение №2. Таблица соответствия категорий, указанных в требованиях Министерства Образования РФ к СКФ для образовательных учреждений, с категориями Entensys URL Filtering 2.0. 79 www.usergate.ru 3 Введение UserGate Web Filter представляет собой специализированное программное обеспечение, позволяющее контролировать использование интернета на всех устройствах в локальной сети независимо от их типа и операционной системы. Внедрение продукта обеспечивает безопасность доступа во всемирную паутину и способствует сведению к минимуму нецелевого веб-серфинга. Продукт предоставляет 3 типа фильтрации трафика: § фильтрация DNS-запросов пользователей; § фильтрация HTTP-трафика; § фильтрация HTTPS-трафика. DNS-фильтрация позволяет фильтровать интернет-ресурсы с помощью категорий сайтов (Entensys URL Filtering 3.0) и черных и белых списков хостов. При запрете доступа к определенному сайту с помощью DNS-фильтрации пользователь может быть перенаправлен на сторонний веб-сайт, на котором ему будет указано, что он пытается получить доступ к запрещенному ресурсу. HTTP-фильтрация обладает большим набором механизмов фильтрации, а также способна ограничивать доступ как к сайтам целиком, так и к их частям. Начиная с версии 4.0, фильтрация позволяет не только блокировать вебстраницы, но и предупреждать пользователя о неприемлемом содержании вебстраницы, оставляя пользователю возможность решать, следует ли продолжать просмотр или воздержаться от посещения данной веб-страницы. Методы HTTP-фильтрации: § § § § § § § § § по категориям сайтов (EntensysURLFiltering 3.0); морфологический анализ и регулярные выражения; фильтрация загружаемых файлов по их типу; функция «Безопасный поиск»; фильтрация контекстной рекламы; черные и белые списки; антивирусная проверка загружаемого контента; блокировка приложений социальных сетей; блокировка фишинговых сайтов. UserGate Web Filter способен работать в распределенной отказоустойчивой сети, когда нагрузка может распределяться между узлами кластера, что позволяет масштабировать систему до больших размеров. Подробнее о схемах распределения нагрузки и вариантах встраивания в любую сеть можно узнать в специальном разделе в конце данного руководства. Также UserGate Web Filter может выступать ICAP-сервером для любого оборудования, которое поддерживает фильтрацию по протоколу ICAP. www.usergate.ru 4 Методы фильтрации Блокировка сайтов с помощью Entensys URL Filtering 3.0. UserGate Web Filter использует в работе крупнейшую базу электронных ресурсов, разделенных для удобства оперирования на 65 категорий. Набор сайтов насчитывает более 500 миллионов адресов. Процесс наполнения базы имеет динамический характер, включая в себя: § ежедневное обновление списка сайтов; § повторную проверку уже внесенных ресурсов на предмет изменения контента и актуальности информации о категории. В руках администратора находится управление доступом к таким категориям, как порнография, вредоносные сайты, онлайн-казино, игровые и развлекательные сайты, социальные сети и многие другие. В отличие от Entensys URL Filtering 2.0 новая версия базы данных имеет гораздо более высокую производительность. Entensys URL Filtering 3.0 позволяет работать со всеми группами ресурсов, приведенных в требованиях Министерства Образования РФ к СКФ для образовательных учреждений. Таблица соответствия категорий сайтов представлена в Приложении №2. Морфологический анализ Продукт осуществляет анализ веб-страниц на наличие определенных слов и словосочетаний. Данная технология фильтрации позволяет контролировать доступ к определенным разделам сайта, не блокируя ресурс целиком на уровне категории или домена. Подобный подход достаточно актуален для различных социальных сетей, форумов и других порталов, в наполнении которых значительную роль играют пользователи (Web 2.0). Существует возможность подписки на обновление базы словарей, в том числе списка материалов, запрещенных Министерством Юстиции Российской Федерации, наборов слов «Суицид», «Терроризм», «Порнография», «Нецензурные выражения», «Азартные игры», «Наркотики». Доступны словари на русском, английском, немецком, японском и арабском языках. Администраторы крупных учреждений также могут создавать собственные словари и централизовано управлять ими на фильтрующих серверах UserGate Web Filter внутри своей организации. Безопасный поиск Функционал решения включает возможность принудительной активации «безопасного режима» в популярных поисковых системах (Google, Yandex, Yahoo, Bing, Rambler), а также на портале YouTube. С помощью данного инструмента блокировка нежелательного контента осуществляется средствами поисковых порталов, что позволяет добиться высокой эффективности, www.usergate.ru 5 например, при фильтрации откликов на запросы по графическому или видео контенту. Черные и белые списки UserGate Web Filter поддерживает работу с «черными» и «белыми» списками электронных ресурсов. Доступ к сайтам, входящим в данные наборы, блокируется\разрешается независимо от других настроек продукта. В решении реализована возможность подписки на списки сайтов, в том числе запрещенные государством на федеральном уровне. Администраторы крупных учреждений также могут создавать собственные списки и централизовано управлять ими на фильтрующих серверах UserGate Web Filter внутри своей организации. Блокировка баннеров и всплывающих окон Проблема всплывающих окон приобретает все большую актуальность. Зачастую переход по ссылке, скрывшейся за навязчивой картинкой, связан не с осознанным решением, а ошибочным нажатием кнопки мыши. UserGate Web Filter осуществляет блокировку подобных окон, в том числе загружаемых с других сайтов. Вездесущие баннеры не дают покоя во время веб-серфинга. Посещение вполне безопасного сайта может быть связано с принудительным просмотром изображений порнографического характера, размещенных, например, сбоку на странице. UserGate Web Filter решает и эту проблему, выступая в качестве «баннерорезки». Фильтрация с помощью регулярных выражений UserGate Web Filter может проверять веб-страницы на предмет наличия на них фраз, соответствующих заданным в настройках регулярным выражениям. Проверяется как запрос пользователя, так и ответ веб-сервера. Данный функционал позволяет эффективно фильтровать в том числе и запросы пользователей в поисковые системы, системах поиска изображений и непосредственно на сайтах, не попавших в запретную категорию по общим критериям, но содержащих нежелательный для детей контент. Блокировка загружаемых файлов В продукте предусмотрена возможность запрета на загрузку целого ряда типов файлов. Обработка производится по MIME-типу файла. Предусмотрена блокировка видео контента, аудио контента, изображений, документов, архивов и исполняемых файлов, Flash. HTTPS-фильтрация UserGate Web Filter позволяет настроить дешифрацию данных, передаваемых по протоколу HTTPS. В данном случае используется известная технология manin-the-middle (MITM), при которой контент, расшифровывается на сервере, а www.usergate.ru 6 затем фильтруется с помощью правил HTTP-фильтрации. Антивирусная проверка Функция «Антивирусная проверка» – это проверка на вирусы всего контента, передаваемого пользователю из интернета. Антивирусная проверка производится с помощью модуля Avira SAVAPI. Для активации антивирусной проверки необходимо приобрести лицензию на соответствующий модуль. Блокировка приложений социальных сетей Социальные сети играют большую роль в нашей повседневной жизни. Но многие из них предоставляют приложения игр, которые не приветствуются многими компаниями. UserGate Web Filter может блокировать приложения социальных сетей, не затрагивая при этом обычную функциональность социальных сетей. Блокировка фишинговых сайтов UserGate Web Filter позволяет блокировать большинство фишинговых сайтов в Интернете. Сотни новых фишинговых сайтов появляются в сети каждый день, для обеспечения эффективной защиты мы постоянно обновляем нашу базу данных фишинговых сайтов. www.usergate.ru 7 Варианты исполнения UserGate Web Filter UserGate Web Filter доступен в качестве программного обеспечения, требующего самостоятельной установки на сервер, конфигурация которого удовлетворяет техническим требованиям продукта. UserGate Web Filter Appliance UserGate Web Filter Appliance – программно-аппаратный комплекс (ПАК) на основе UserGate Web Filter. Использование ПАК доступно в режиме «Быстрый старт»: § подключение устройства; § настройка IP-адресов; § начало использования. Более детально о настройке и использовании UserGate Web Filter Appliance можно прочитать в соответствующей главе данного руководства. UserGate Web Filter Virtual Appliance UserGate Web Filter Virtual Appliance – специально созданный образ, предназначенный для развертывания продукта UserGate Web Filter Appliance на виртуальной машине. www.usergate.ru 8 Принцип работы Общая схема работы UserGate Web Filter может осуществлять фильтрацию на уровне DNS- и HTTPзапросов. В случае фильтрации DNS-запросов, UserGate Web Filter эмулирует работу DNS-сервера с расширенными функциями фильтрации. Для фильтрации веб-трафика UserGate Web Filter работает как ICAP-сервер, принимающий на фильтрацию запросы от ICAP-клиента. В качестве ICAPклиента могут выступать прокси-сервера Squid, оборудование Cisco, Juniper и другие, поддерживающие работу по протоколу ICAP. Важно! В отличие от версии 3.x, где прокси-сервер Squid используется как часть UserGate Web Filter Appliance, в версии 4.x используется новый проксисервер, разработанный компанией Entensys. Для обеспечения фильтрации новый прокси-сервер использует прямой доступ к памяти и, не использует протокол ICAP для обращения к фильтрующему модулю. Это позволило значительно увеличить производительность фильтрации. Хотя мы рекомендуем использовать новый прокси-сервер, совместимость с протоколом ICAP по-прежнему поддерживается. Рассмотрим общий принцип работы UserGate Web Filter. Фильтрация DNS-запросов 1. Клиентский компьютер отправляет DNS-запрос на модуль DNSфильтрации UserGate Web Filter. 2. UserGate Web Filter обрабатывает данный запрос в соответствии с настроенными правилами фильтрации и возвращает пользователю IPадрес хоста запрошенного ресурса (в случае, если политика фильтрации позволяет данный интернет ресурс для просмотра), либо IP-адрес страницы блокировки (в случае, если политика фильтрации запрещает www.usergate.ru 9 данный Интернет-ресурс). Фильтрация HTTP-запросов 1. Клиентский компьютер посылает HTTP-запрос на proxy-сервер, который является частью решения UserGate Web Filter. 2. Proxy-сервер передает запрос пользователя для анализа в модуль фильтрации, встроенный в UserGate Web Filter. 3. Механизм фильтрации анализирует запрос. Если запрос разрешен политикой фильтрации, то модуль фильтрации позволяет проксисерверу загрузить содержимое. 4. Proxy-сервер загружает контент из Интернет и передает его в модуль фильтрации для анализа. 5. Модуль фильтрации анализирует контент, и если он разрешен политикой фильтрации, то разрешает proxy-серверу передать контент клиенту. 6. Proxy-сервер передает контент клиенту. Порядок обработки запросов пользователей На порядок обработки запросов пользователей влияет наличие черных и белых списков (на уровне группы, подгруппы и на уровне пользователя), а также наличие правил фильтрации на каждом уровне. Важно! Версия 4.x имеет новые типы правил – «Предупредить» и «Записать в лог». Правило «Предупредить» показывает пользователям страницу с предупреждением о том, что они собираются перейти на страницу с сомнительным содержанием. Пользователи могут принять предупреждение и перейти к просмотру вебстраницы. Правило «Записать в лог» позволяет вести статистику посещения веб-страниц пользователями. Эти виды правил считаются неблокирующими. Важно! Версия 4.x разрешает HTTPS фильтрацию, базируемую по доменам и категориям, к которой принадлежит сертификат веб сервера. Блок-схемы DNS, HTTPS и обработки запросов HTTP приведены ниже. В блоксхемах показано, что пользователь User3 входит в группу SubGroup2, которая является частью группы Group1. Черные списки, белые списки, списки перехвата HTTPS и правила фильтрации применяются к каждому уровню, как показано на рисунке ниже: www.usergate.ru 10 www.usergate.ru 11 Блок-схема обработки запросов DNS: www.usergate.ru 12 Блок-схема обработки HTTPS запросов: www.usergate.ru 13 Блок-схема обработки HTTP запросов: www.usergate.ru 14 Кластеризация В продукте реализована встроенная поддержка кластеризации. Кластер состоит из узлов с установленным UserGate Web Filter. Каждый узел предоставляет полноценный сервис по фильтрации DNS- и HTTP-запросов. Каждый узел реплицирует настройки и свой локальный кэш со всеми остальными узлами в кластере. Информация о произведенных пользователями запросах хранится локально на каждом узле (raw data) и не реплицируется на другие узлы. Периодически, каждый узел передает данные на сервер статистики, который обрабатывает полученные данные и генерирует отчеты. Данная схема кластеризации позволяет объединить узлы, работающие как в одном, так и в нескольких ЦОД, что позволяет обеспечить высокую отказоустойчивость и централизованное управление всеми узлами. www.usergate.ru 15 Установка UserGate Web Filter Системные требования UserGate Web Filter работает на Ubuntu Server 12.04 amd64. Минимальные требования к аппаратному обеспечению зависят от количества обслуживаемых пользователей. Минимальные требования до 100 пользователей Intel® Atom™ D2500 1.86GHz, 4Gb RAM, HDD 500Gb 100-500 пользователей Intel® Pentium Dual-Core G620 2.60GHz, 8Gb RAM, HDD 500 Gb 500-1000 пользователей Intel® Core i5 - Core i7 3550 3.30GHz, 16Gb, HDD 1Tb Более 1000 пользователей Требуется консультация разработчика Увеличьте объем памяти, если вы планируете использовать HTTP RAM кэш. Важно! Компьютер с установленным UserGate Web Filter должен иметь доступ в Интернет по протоколам HTTP и HTTPS. Процесс установки UserGate Web Filter для работы требуются следующие порты: 4040 TCP – built-in web server (XML-RPC server) 8001 TCP – страница блокировки 1344 TCP – ICAP server 10053 UDP – DNS resolver 53 UDP – DNS resolver 53 TCP – DNS resolver 8090 – HTTP proxy, HTTPS proxy, HTTP transparent proxy 8091 – HTTPS transparent proxy 4004 – HTTP block page redirect 4005 – HTTPS block page redirect Перед установкой UserGate Web Filter убедитесь, что данные порты не используются другими службами. www.usergate.ru 16 Для установки продукта выполните следующие команды из linux-консоли: echo 'deb http://dc.entensys.com/ubuntu precise extra' | sudo tee -a /etc/apt/sources.list wget http://dc.entensys.com/ubuntu/entensys.gpg -O - | sudo apt-key add sudo apt-get update sudo apt-get install webfilter4-appliance После этого UserGate Web Filter будет установлен совместно со всеми необходимыми модулями в каталог /opt/entensys. Запуск и остановка сервиса UserGate Web Filter выполняются с помощью команд: sudo service webfilter start(stop) Настройка и администрирование UserGate Web Filter выполняется через вебконсоль, доступную по ссылке http://localhost:4040/admin/. Для быстрой настройки UserGate Web Filter перейдите к разделу данного руководства UserGate Web Filter Appliance и Virtual Appliance. Не изменяйте hostname компьютера, где установлен UserGate Web Filter. Изменение имени хоста удалит все настройки и вернет UserGate Web Filter в первоначальное (сразу после установки) состояние. Обновление программного обеспечения Разработчик постоянно работает над улучшением программного продукта. О появлении новой версии вы узнаете посредством уведомления в веб-консоли продукта в разделе Лицензия. Для установки новой версии вам потребуется произвести следующие действия (если установка производилась из репозитария Entensys): 1. Войти в консоль Linux. 2. Выполнить следующие команды: sudo apt-get update sudo apt-get install webfilter4-appliance 3. По окончании обновления повторно зарегистрировать продукт имеющимся ПИН-кодом. Важно! Для выполнения обновления программного обеспечения, компьютер должен иметь доступ в Интернет. Важно! Обновление с версии 3.x до версии 4.x не поддерживается. Необходимо удалить версию 3.x, затем установить 4.x и после этого произвести все настройки фильтрации заново. www.usergate.ru 17 Удаление UserGate Web Filter Для полного удаления UserGate Web Filter нужно выполнить команды: sudo apt-get remove --purge webfilter4-appliance sudo apt-get remove --purge webfilter4 sudo apt-get remove --purge entensys-otp sudo apt-get remove --purge entensys-webstat Установка кластера UserGate Web Filter Возможности UserGate Web Filter позволяют создать распределенную систему фильтрации, состоящую из нескольких серверов (узлов). Работа UserGate Web Filter в кластере дает следующие преимущества: § идентичность настроек на всех узлах; § распределенный DNS-кэш; § возможность балансировки нагрузки сторонними средствами (iptables, haproxy и т.д.). Процедура установки кластера выглядит следующим образом: § установить UserGate Web Filter на первый сервер; § открыть веб-консоль администратора, удалить узел на странице «Лицензия» и обновить страницу; § задать пароль сети и пароль администратора; § установить UserGate Web Filter на второй (третий и т.д.) сервер; § открыть веб-консоль администратора на втором (третьем и т.д.) сервере, удалить узел на странице «Лицензия» и обновить страницу;; § выбрать тип «Подчиненный (slave)», указать пароль сети и адрес masterсервера. Адрес master-сервера указывается в формате: webfilter@hostname, где hostname - имя master-сервера. Узлы кластера UserGate Web Filter отображаются на странице «Лицензия» в консоли администратора. При работе в кластере достаточно зарегистрировать продукт на одном из узлов. www.usergate.ru 18 Выбор типа сервера master/slave определяет механизм создания базы настроек. При выборе типа «master» на сервере создается пустая база настроек, при типе «slave» база настроек копируется с master-узла. В дальнейшем все узлы кластера UserGate Web Filter являются равноправными. Важно! Общение между узлами в кластере UserGate Web Filter выполняется через RPC-протокол. При этом используются следующие порты: TCP 4369 - Port Mapper daemon TCP 9000-9100 - порты для репликации базы настроек Все машины кластера должны видеть друг друга по именам. Для этого достаточно обеспечить идентичность файлов /etc/hosts на всех узлах кластера. Лицензирование UserGate Web Filter Для работы UserGate Web Filter должен иметь пробную или полнофункциональную лицензию. Активация лицензии выполняется через www.usergate.ru 19 консоль администратора с помощью специального ПИН-кода и требует подключения к интернету. Лицензия ограничивает количество компьютеров, которые получают сервис фильтрации. Страница консоли Лицензия предназначена для отображения лицензионной информации о продукте и её текущем статусе. Также на странице имеются ссылки: § Зарегистрировать - позволяет зарегистрировать новую лицензию; § Поддержка - ссылка на портал поддержки, где можно оформить заявку в техническую поддержку и получить дополнительную информацию о продукте (примеры вариантов настроек, часто задаваемые вопросы, техническая информация); § Помощь - ссылка на онлайн-руководство к программе; § Форум - ссылка на сайт производителя в раздел «Форум». Ссылка Доступна новая версия появляется при наличии новой версии на сайте производителя и позволяет перейти на страницу загрузок новых версий для скачивания необходимого обновления. Важно! После регистрации UserGate Web Filter периодически подключается к службе лицензирования Entensys (https://reg.entensys.com) для подтверждения, что лицензия остается в силе. Если нет соединения с сервером лицензирования Entensys, UserGate Web Filter будет проверять наличие лицензии несколько раз, после чего он будет переведен в режим работы «Без лицензии». Обычно для этого требуется несколько дней без связи. После восстановления связи и подтверждения наличия лицензии, UserGate Web Filter возвращается к нормальной работе. Когда UserGate Web Filter находится в режиме «Без лицензии», он блокирует или пропускает весь трафик без фильтрации в зависимости от настроек, установленных на странице «Общие настройки». Важно! Вы можете использовать свой ПИН-код для активации нескольких серверов, но UserGate Web Filter будет корректно работать только на последнем активированном сервере. Если вам нужны дополнительные Пин-коды для тестирования продукта, пожалуйста, свяжитесь с sales@usergate.ru для получения пробных лицензий. www.usergate.ru 20 Настройка продукта Настройки Основные настройки Часовой пояс отвечает за корректное отображение статистики, журнала событий и истории входов (в нужном часовом поясе). При отсутствии лицензии запросы - установка UserGate Web Filter для блокирования или прохождения всего трафика без фильтрации, а также для случаев, если истек срок лицензии или лицензия не может быть проверена, например, если UserGate Web Filter не может подключиться к https://reg.entensys.com. Режим логов – для настройки детализации логов. Эта опция может потребоваться службе поддержки Entensys для анализа проблем и устранения неполадок, связанных с работой UserGate Web Filter. Никогда не устанавливайте его выше уровня «Ошибки», так как журналирование может потреблять много ресурсов и влиять на производительность фильтрации. Скачать логи – для скачивания логов и отправки их в службу поддержки компании Entensys. Импорт и Экспорт настроек - настройки для сохранения или восстановления текущей конфигурации UserGate Web Filter. www.usergate.ru 21 Режим байпас – если активирован этот режим, то весь трафик пересылается напрямую в интернет, не попадая в модуль фильтрации для анализа. Данная настройка доступна только для вариантов исполнения Appliance и Virtual appliance и работает только в том случае, если UserGate WebFilter используется в качестве шлюза для доступа в интернет. Если у пользователя в браузере указано использовать в качестве прокси-сервера сервер UserGate WebFilter, то режим байпас активировать не получится. Настройки RADIUS сервера UserGate Web Filter может выступать в роли Radius сервера. Radius сервер поддерживает режимы работы «authentication and authorization» и «accounting». Когда он используется в режиме «authentication and authorization», он обеспечивает авторизацию пользователей клиентов Radius, таких как проксисервер Squid. Для авторизации используются локальные пользователи, заведенные в UserGate Web Filter. При использовании в режиме «accounting», UserGate Web Filter получает обновления о своих пользователях от Network Access Server (NAS). Обычно сервер NAS сообщает серверу об изменении IP-адреса пользователя. NAS должен быть настроен на отсылку запросов типа Accounting start и Accounting stop. Передаваемые атрибуты: Calling-Station-Id – имя пользователя, Framed-IPAddress – IP-адрес пользователя. Эти атрибуты могут быть изменены. Для получения дополнительной информации, обратитесь в службу поддержки. Секретная фраза Radius – меняет пароль для связи UserGate Web Filter с Radius-клиентом. Radius сервер использует протокол UDP, порты 1812,1813. Настройки сервера статистики Собирать статистику - для включения или отключения сбора статистических данных. Статус – определяет текущее состояние кэша базы данных статистики и количество записей, ожидающих отправки на сервер статистики. Имеет в качестве параметра различные способы отображения ошибок или индикацию успешно завершенных действий. Пароль - уникальный хэш-код, отправляемый по электронной почте для авторизации и идентификации на сервере статистики. Пароль администратора Изменить пароль администратора - позволяет изменить пароль администратора. www.usergate.ru 22 Настройки DNS IPv4-адрес для заблокированных DNS-запросов - IP адрес, что система будет поставлять в ответ на заблокированные запросы DNS. Установите его на LAN IP-адрес. IPv6-адрес для заблокированных DNS-запросов - те же, что и выше, только для адресов IPv6. Разрешить рекурсивные DNS-запросы - позволяет запретить рекурсивный поиск имен. Использовать DNS-кэш - позволяет отключить использование кэша для запросов DNS. Ответ на DNS-запросы от неизвестных пользователей - если установлена опция «Возвращать REFUSED», то все запросы от неизвестного пользователя (пользователя нет в списке на странице пользователя) не будут приняты и на странице в браузере пользователя будет отображаться сообщение об ошибке «Не удалось определить IP-адрес». Установить максимальный TTL для записей DNS - максимальный срок службы записи DNS при ответе пользователю. Более высокое значение снизит нагрузку на сервер DNS-фильтрации, но сохраненные записи DNS могут устареть. Действие с DNS-запросами, если облачный фильтр недоступен – определяет поведение UserGate Web Filter при недоступности облачной фильтрации по категориям сайтов (Entensys URL Filter 3.0). Если установлена опция «Возвращать REFUSED», запросы будут отклонены и страницы в браузере пользователя будут отображать ошибку, что имя не может быть найдено. Если установлена опция «Возвращать SERVFAIL», то вернется ответ, что запрос не может быть обработан. Если установлена опция «Разрешать», то пользователь получит доступ к запрашиваемым ресурсам без фильтрации. Использовать DNS-сервера из списка. В настройках списка серверов DNS можно указать один или несколько серверов DNS, которые UserGate Web Filter будет использовать для разрешения DNS-запросов. Если серверы не указаны, то сервер будет использовать корневые DNS-сервера. www.usergate.ru 23 Настройки HTTP HTTP-фильтрация Настройки фильтра контекстной рекламы. Фильтр основан на знаниях основных параметров рекламы в интернете, таких как размер баннеров, код баннеров, специальные механизмы обнаружения рекламных баннеров. Данный метод позволяет очень просто и эффективно заблокировать практически всю рекламу на любой странице интернета и оградить вас от всплывающих окон. URL для заблокированных HTTP-запросов – специальная страница для отображения информации о том, какая категория морфологии сработала при блокировке HTTP-страницы. По умолчанию страница блокировки выводит информацию о категориях заблокированного сайта, морфологических категориях и причине блокировки. www.usergate.ru 24 Настройки кэширования Режим Кэш - режим устанавливается для кэширования веб-страниц. Режим может быть установлен в положения «Off», «RFC», «All». Режим «Off» запрещает кэширование, режим «RFC» - кэширование совместимое с требованиями RFC (значение по умолчанию), режим «All» в своей работе применяет более агрессивное кэширование, что позволяет сохранить больше интернет-трафика, но некоторые сайты могут отображаться некорректно. Максимальный размер кэшируемого объекта (Мб) - устанавливает максимальный размер веб-объекта, который может быть размещен в кэш. Размер RAM кэша (Мб) - размер оперативной памяти, выделенной для вебкэша. Чем больше размер, тем лучше производительность кэширования. Размер дискового кэша (Мб) - размер на диске, выделенный для файлов кэша. Настройки ICAP Использовать следующий ICAP-сервер. UserGate Web Filter может работать в цепочке ICAP-серверов. Если вам необходимо передавать обработанный запрос далее по цепочке, включите данную настройку и установите параметры Следующий ICAP-сервер (REQMODE) и Следующий ICAP-сервер (RESPMODE). Добавить ICAP-клиента. UserGate Web Filter может обслуживать несколько ICAP-клиентов. Здесь вы должны указать IP-адреса всех ICAP-клиентов, которые будут обслуживаться данным ICAP-сервером. Если вы не хотите использовать ICAP-клиентов и решили использовать встроенный проксисервер, оставьте это поле пустым. Счетчики Страница предназначена для визуализации суммарной информации по основным числовым параметрам статистики UserGate Web Filter. Например, вы можете увидеть общее количество запросов на разрешение DNS, количество заблокированных из них и количество неизвестных запрошенных доменов. Второй график показывает эффективность DNS кэша. Третий график показывает эффективность кэша HTTP. Последние две диаграммы показывают количество блокировок остальных методов фильтрации (Морфология, Блокировщик рекламы, Черные и белые списки, Безопасный поиск) на этапе запроса к серверу «Модификация запросов HTTP» и на этапе обработки ответа от сервера «Модификация ответов HTTP». www.usergate.ru 25 Настройки сети Настройки сети доступны только для Appliance и Virtual Appliance вариантов исполнения. Интерфейсы WAN-интерфейс - сетевой интерфейс, который подключен к сети Интернет. Предполагается два типа подключения - DHCP и со статическим IP. При типе подключения со статическим IP необходимо задать следующие параметры: IP-адрес интерфейса, маску подсети, IP-адрес шлюза по умолчанию и IP-адрес DNS-сервера. При типе подключения DHCP все параметры будут получены от провайдера автоматически. www.usergate.ru 26 LAN-интерфейс - сетевой интерфейс, который подключен к локальной сети. Для настройки LAN-интерфейса необходимо задать IP-адрес этого интерфейса и маску локальной подсети. DHCP Служба DHCP (Dynamic Host Configuration Protocol) позволяет автоматизировать процесс выдачи сетевых настроек клиентам в локальной сети. В сети с DHCP-сервером каждому сетевому устройству можно динамически назначать IP-адрес, адрес шлюза, DNS-, WINS-сервера и т.п. Для DHCP-сервера достаточно задать следующие параметры: Начало и конец диапазона IP-адресов (пул адресов), из которого сервер будет выдавать адреса клиентам в локальной сети, шлюз по умолчанию, IP адрес DNS сервера, Домен и срок аренды - время, на которое будут выдаваться IP-адреса. www.usergate.ru 27 www.usergate.ru 28 Пользователи и группы Пользователи и группы Для работы с сервисом UserGate Web Filter необходимо создать группы пользователей. Запросы от неавторизованных пользователей по умолчанию не обрабатываются, если нет специального пользователя с именем и логином «default». Этот пользователь (если он создан) представляет всех не идентифицированных пользователей и может быть использован для установки политики фильтрации по умолчанию. Поддерживаются следующие типы авторизации пользователей: § § § § по IP-адресу; по диапазону IP-адресов; через динамический IP-адрес; по имени и паролю посредством встроенного в продукт сервер Radius. Авторизация через динамический IP-адрес предполагает использование специальной программы-агента, которая устанавливается на машину пользователя. Авторизация по имени - если UserGate Web Filter используется вместе с клиентом ICAP, то ICAP клиент, например, Squid, должен быть настроен так, чтобы разрешить авторизацию, также следует указать настройки Radiusсервера, какими будет действовать UserGate Web Filter. Дополнительно в свойствах пользователя можно указать логин и пароль для доступа к веб-консоли, а также уровень доступа. Предусмотрено два уровня доступа: § «Пользователь» § «Администратор» Уровень доступа определяет возможности пользователя для создания других пользователей и групп. Уровень «Пользователь» позволяет пользователю создавать собственные правила фильтрации и получать доступ к статистике. Уровень «Администратор» позволяет пользователям создавать пользователей и группы, создать правила фильтрации и применять правила фильтрации для других пользователей в своей группе. www.usergate.ru 29 Если вы хотите использовать авторизацию по IP-адресу, то необходимо указать IP-адрес компьютера пользователя и ICAP-сервера. Комбинация IP-адреса ICAP-сервера и IP-адреса пользователя должна быть уникальна. Например, у вас 2 прокси-сервера Squid (ICAP-клиенты) с адресами 1.2.3.4 и 1.2.10.10. Вы можете завести пользователей: § user1, IP 192.168.1.5 и ICAP server 1.2.3.4; § user2, IP 192.168.1.5 и ICAP server 1.2.10.10. Но вы не сможете завести пользователей: § user1, IP 192.168.1.5 и ICAP server 1.2.3.4; § user2, IP 192.168.1.5 и ICAP server 1.2.3.4; потому что связка ICAP-сервер IP и User IP в данном случае не будет уникальной. www.usergate.ru 30 Если вы не используете ICAP-клиенты, и решили использовать встроенный прокси-сервер, то вам не нужно указывать ничего в этом поле. Существуют два способа создания пользователей: § вручную - кнопка «Добавить»; § импорт из Active Directory (кнопка «Импорт из AD»). Импортирование позволяет создавать необходимое количество пользователей, которые уже имеют аккаунты в Active Directory. IP-адрес пользователя необходимо добавлять самостоятельно. Вкладка «Дополнительно» в окне «Свойства» предназначена для изменения настроек безопасного поиска, фильтра контекстной рекламы, истории поиска, антивирусной проверки Avira и блокировки приложений социальных сетей. www.usergate.ru 31 Безопасный поиск Функция «Безопасный поиск» - это фильтрация на стороне поисковой системы, которая позволяет исключить обработку поисковых запросов, связанных с запрещенным контентом. Поддержка безопасного поиска реализована для поисковых систем Google, Yandex, Yahoo, Bing, Rambler, а также на видеопортале YouTube. С помощью данного инструмента блокировка нежелательного контента осуществляется средствами поисковых порталов, что позволяет добиться высокой эффективности, например, при фильтрации откликов на запросы по графическому или видео контенту. Администратор может применить настройку «Безопасный поиск» для каждого пользователя или группы пользователей. История поиска Параметр «История поиска» предназначен для регистрации и показа в статистике всех запросов пользователей в поисковых системах, таких как google.com, bing.com, yandex.ru и др. Блокировка рекламы Всплывающие окна доставляют все больше хлопот веб-пользователям. Слишком часто, если пользователь случайно нажимает на ссылку «навязчивой картинки», он не намеренно открывает нежелательный сайт. UserGate Web Filter блокирует всплывающие окна, в том числе, загружаемые с других сайтов. www.usergate.ru 32 Вездесущие баннеры являются бичом существования веб-сервера. Даже безопасные сайты могут заставить пользователей столкнуться с порнографическими изображениями, которые размещаются, например, на боковых страницах сайта. UserGate Web Filter позволяет решить эту проблему путем вырезания баннеров. Администратор может включить настройку «Блокировщик рекламы»для одного пользователя или для группы пользователей. Блокировка приложений социальных сетей Социальные сети играют большую роль в нашей повседневной жизни. Но многие из них предоставляют приложения игр, которые не приветствуются многими компаниями. UserGate Web Filter может блокировать приложения социальных сетей, не затрагивая при этом их обычную деятельность. Администратор может включить блокирование приложений социальных сетей одного пользователя или группы пользователей. Антивирусная проверка Функция «Антивирусная проверка» – проверка на вирусы всего контента, передаваемого пользователю из интернета. Антивирусная проверка осуществляется с помощью модуля Avira SAVAPI. Для активации антивирусной проверки необходимо приобрести лицензию на соответствующий модуль. Функция «Антивирусная проверка» активируется для конкретного пользователя или группы. Черные и белые списки Вкладка «Списки» позволяет назначить Черные и Белые списки пользователям или группе пользователей. Администратор может выбрать предопределенные списки компании Entensys или использовать собственные созданные списки. Компания Entensys предоставляет следующие обновляемые списки: § Черный список Entensys включает в себя url из списка материалов, запрещенных Министерством Юстиции РФ. § Черный список Роскомнадзора включает в себя url из списка материалов, запрещенных для просмотра на территории РФ. § Белый список Entensys включает в себя адреса ресурсов интернет, рекомендованных Министерством Образования РФ. § Черный список Phishing сайтов включает в себя url сайтов, замеченных в интернет мошенничестве. Список постоянно обновляется. § Списки MIME-типов. www.usergate.ru 33 Блокировка фишинговых сайтов UserGate Web Filter позволяет блокировать большинство фишинговых сайтов в Интернете. Сотни новых фишинговых сайтов появляются в сети каждый день. Список Черный список Phishing сайтов позволяет защитить пользователей от посещения страниц, содержащих опасный контент. Администратор может включить блокировку фишинговых сайтов для пользователя или группы пользователей. Типы контента UserGate Web Filter позволяет блокировать загрузку широкого спектра типов файлов. Блокировка производится на основе MIME-типа файла. Для блокирования по типу контента необходимо отметить необходимые MIME-типы в свойствах пользователей или групп. Библиотеки Библиотеки представляют собой наборы объектов, которые используются в качестве строительных блоков при создании правил фильтрации. Этими объектами являются блоки «Исключения», «Морфология», «Регулярные выражения», «Тип контента». www.usergate.ru 34 Исключения Страница предназначена для задания черных и белых списков. Черными списками называются списки, сайты из которых будут всегда заблокированы. Белыми списками называются списки, сайты в которых будут всегда разрешены. Если один и тот же Интернет-ресурс существует и в черном, и в белом списках, то приоритет отдается черному списку, т.е. данный ресурс будет заблокирован. Черные и белые списки можно создавать как для всех пользователей, так и для выбранных пользователей и/или групп. Важно! Формат списков немного изменился в версии 4.x по сравнению с версией 3.x. Если вы использовали свои собственные списки, то вам необходимо их пересмотреть, чтобы отразить эти изменения. В списках можно использовать специальные символы «^», «$» и «*»: «*» – любое количество любых символов «^» – начало строки «$» – конец строки Символы «?» и «#» не могут быть использованы. Если строка начинается с «http://» или «https://» или содержит один или более символов слеш «/», то это считается url и применяется только для HTTP/S фильтрации, DNS фильтрация не применяется. В противном случае строка рассматривается как имя домена и применяется для DNS-фильтрации и HTTP/S-фильтрации. Если вы хотите заблокировать точный адрес, используйте символы «^» и «$»: «^http://domain.com/exacturl$» Для блокирования точного URL всех дочерних папок, используйте символ «^»: «^http://domain.com/exacturl/» Для блокирования домена со всеми возможными URL, используйте запись такого вида: «domain.com» www.usergate.ru 35 Формат списков следующий: Пример записи Обработка DNSзапросов Обработка HTTP-запросов yahoo.com блокируется весь домен и домены 3 уровня, например: блокируется весь домен и все URL этого домена и домены 3 уровня, например: sport.yahoo.com http://sport.yahoo.com mail.yahoo.com http://mail.yahoo.com а так же: https://mail.yahoo.com qweryahoo.com http://sport.yahoo.com/123 или *yahoo.com* ^*.yahoo.com$ Блокируются домены whatever.yahoo.com заблокирован, 3 уровня, например: например: sport.yahoo.com mail.yahoo.com http://sport.yahoo.com заблокирован http://mail.yahoo.com заблокирован https://mail.yahoo.com заблокирован http://sport.yahoo.com/123 – не заблокирован http://yahoo.com – не заблокирован ^mail.yahoo.com$ Заблокирован только заблокированы только mail.yahoo.com http://mail.yahoo.com https://mail.yahoo.com ^mail.yahoo.com/$ Ничего не заблокировано Ничего не заблокировано, так как последний символ слэш определяет URL, но не указаны «https» или «http» ^http://finance.yahoo.c Ничего не om/personal-finance/$ заблокировано заблокирован только ^yahoo.com/12345/ заблокированы Ничего не заблокировано http://finance.yahoo.com/personalfinance/ http://yahoo.com/12345/whatever/ https://yahoo.com/12345/whatever/ www.usergate.ru 36 Компания Entensys предоставляет собственные обновляемые списки: § Черный список Entensys. Данный список содержит URL, запрещенные Министерством Юстиции Российской Федерации. § Фишинговый Черный список Entensys. Данный список содержит URL, фишинговых сайтов. § Белый список Entensys. Данный список содержит URL, доверенных сайтов и порталов. § Черный список Роскомнадзора. Единый реестр доменных имен, указателей страниц сайтов в сети Интернет и сетевых адресов, содержащих информацию, распространение которой в Российской Федерации запрещено. Данный список доступен на сайте http://zapret-info.gov.ru. Данные списки поддерживаются компанией Entensys и автоматически обновляются. Администратор имеет возможность создавать собственные списки и централизованно распространять его на все компьютеры с установленным www.usergate.ru 37 UserGate Web Filter. Для создания таких списков необходимо выполнить следующие действия: § Создать текстовый файл list.txt со списком URL в следующем формате: www.site1.com/url1 www.site2.com/url2 … www.siteend.com/urlN § Поместить этот файл в архив zip с именем list.zip. § Создать файл version.txt, внутри него указать номер версии списка, например, 3. Необходимо инкрементировать данное значение при каждом обновлении контента списка. § Разместить у себя на сайте созданный zip-файл и файл version.txt, чтобы они были доступны для скачивания, например, по следующим адресам: http://companyweb.com/filtering/list1/list.zip http://companyweb.com/filtering/list1/version.txt. § На каждом UserGate Web Filter создать обновляемый список и указать адрес, откуда брать обновления. UserGate Web Filter будет проверять наличие новой версии на вашем сайте 2 раза в сутки и обновлять при необходимости. www.usergate.ru 38 Свой редирект определяет страницу блокировки для данного правила. Если страница не указана, то будет использоваться страница блокировки, указанная в разделе Настройки. Страницу блокировки можно указывать в следующих форматах: § IP-адрес, IP:порт, например, 123.123.123.123:1234; § домен, домен:порт. Например, mydomain.com:1234; § URL, например, http://mydomain.com:1234/block.php. При блокировке сайта с помощью DNS-фильтрации пользователь будет переадресован на IP-адрес страницы блокировки. Если указан URL, то IP-адрес будет определен по указанному URL. При блокировке с помощью HTTP- или HTTPS-фильтрации пользователь будет переадресован на URL, указанный в этом поле. Морфология Морфологический анализ – механизм, который распознает отдельные слова и словосочетания на веб-сайте. Если в тексте содержится достаточное для блокировки количество указанных слов и словосочетаний, доступ к сайту блокируется. Морфологический анализ выполняется как при проверке запроса пользователя, так и при получении ответа от веб-сервера и до его передачи пользователю. www.usergate.ru 39 Получив ответ от веб-сервера, ICAP-клиент передает его серверу UserGate Web Filter. UserGate Web Filter просматривает текст на странице и подсчитывает его суммарный «вес», исходя из «весов» слов, указанных в морфологических категориях. Если «вес» страницы превышает «вес» морфологической категории, UserGate Web Filter возвращает ссылку о блокировке доступа. Анализ на этапе запроса позволяет блокировать доступ по самой строке запроса. Для фильтрации по содержанию страницы требуется: создать одну или несколько морфологических категорий указать список запрещенных слов с весами для каждой категории указать «вес» каждой категории создать правило HTTP-фильтрации, содержащее одну или несколько морфологических категорий § применить правило к пользователю или группе пользователей § § § § При подсчете «веса» страницы учитываются все словоформы (леммы) запрещенных слов. Для поиска словоформ UserGate Web Filter использует встроенные словари русского, английского и немецкого языков. Страница Библиотеки-«Морфология» служит для управления морфологическими словарями. При нажатии на кнопку «Добавить» будет выведен диалог добавления новой категории морфологического анализа, с помощью которого можно указать слова для этой категории. Важно! При добавлении слова в морфологический словарь, можно использовать модификатор «!» перед словом, например «!bassterd». В данном случае жаргонное слово не будет преобразовываться в словоформы, что может серьезно уменьшить вероятность ложной блокировки. Важно! В списке слов категории можно указывать как отдельные слова, как и словосочетания. Существует возможность подписки на словари, предоставляемые компанией Entensys, такие, как список материалов, запрещенных Министерством Юстиции Российской Федерации, наборов слов «Суицид», «Терроризм», «Порнография», «Нецензурные выражения», «Азартные игры», «Наркотики». Данные словари нельзя редактировать, их можно включить и использовать при определении правил HTTP-фильтрации. www.usergate.ru 40 Администратор имеет возможность создать свой словарь и централизованно распространять его на все компьютеры с установленным UserGate Web Filter. Для создания такой морфологической базы необходимо выполнить следующие действия: § создать файл list.txt со списком слов в следующем формате: !word1 !word2 !word3 word4 50 … Lastword Вес словаря в таком случае равен 100, вес слова можно указать. По умолчанию он равен 100. § поместить этот файл в архив zip с именем list.zip; § создать файл version.txt, внутри него указать номер версии базы, например 3. Необходимо инкрементировать данное значение при каждом обновлении морфологической базы; § разместить у себя на сайте созданный zip-файл и файл version.txt, чтобы они были доступны для скачивания; § на каждом UserGate Web Filter создать морфологическую базу. При создании указать адрес, откуда необходимо загружать обновления. UserGate Web Filter будет проверять наличие новой версии на вашем www.usergate.ru 41 сайте 2 раза в сутки и обновлять при необходимости. Регулярные выражения Фильтрация по регулярным выражениям позволяет блокировать доступ к ресурсу как на этапе запроса, так и на этапе анализа ответа от веб-сервера. Для фильтрации по регулярным выражениям нужно: § создать одно или несколько регулярных выражений; § создать правило HTTP-фильтрации, выбрав регулярные выражения в качестве условий; § применить правило фильтрации к пользователю или к группе пользователей. Для создания регулярного выражения необходимо нажать кнопку «Добавить», и заполнить поля «Шаблон» и «Имя». В поле «Шаблон» необходимо вписать само регулярное выражение. Подробную информацию о составлении регулярных выражений можно найти в статье на сайте IBM. www.usergate.ru 42 Типы контента С помощью фильтрации типов контента можно блокировать загрузку файлов определенного типа, например, запретить все файлы типа *.doc. Для фильтрации по типу контента нужно: § выбрать список типов контента из предопределенного листа Entensys или создать список типов контента; § добавить необходимый тип контента в данный список в формате MIME. Различные типы MIME описаны в Интернет, например здесь http://www.webmaster-toolkit.com/mime-types.shtml. Например, для блокировки документов типа *.doc, необходимо добавить MIME-тип «application/msword»; § применить созданный список для определенных пользователей или группы пользователей. HTTPS-­‐фильтрация Некоторые веб-сайты предлагают контент не только по протоколу HTTP, но и по протоколу HTTPS. UserGate Web Filter позволяет настроить дешифрацию данных, передаваемых по протоколу HTTPS. В данном случае используется известная технология man-in-the-middle (MITM), при которой контент: 1. расшифровывается на сервере; 2. анализируется с помощью правил HTTP-фильтрации; 3. 4. зашифровывается с помощью сертификата сервера UserGate Web Filter; передается клиенту. Важно! Начиная с версии 4.3 UserGate WebFilter производит HTTPS фильтрацию на основе SNI (Subject Name Indication) в запросе пользователя. Это позволяет определить категорию ресурса и проверить его на наличие в черных и белых списках без анализа содержимого SSL-сертификата. В случае, если SNI не присутствует в запросе, используется содержимое поля сертификата Subject Name. Содержимое поля Subject Alternative Names не используются. Поскольку происходит полная дешифрация контента, мы не рекомендуем применять HTTPS фильтрацию для всего HTTPS-трафика. Желательно фильтровать только те сайты или категории, которые могут содержать нежелательный контент, например, социальные сети, форумы, персональные блоги. Следует помнить, что подмена сертификата приведет к появлению предупреждения о некорректном сертификате в браузере пользователя, и пользователь может самостоятельно принять решение, продолжать ли просмотр такого сайта, или отказаться от перехода. www.usergate.ru 43 Если появление такого сообщения нежелательно, то администратор может внести сертификат локального центра сертификации в список доверенных на всех пользовательских компьютерах. Более подробно данная процедура описана в Приложении №1 данного руководства. Настройка фильтрации HTTPS заключается в следующем: 1. Создать сертификат локального центра сертификации, c которым будут издаваться сертификаты для шифрации контента. 2. При необходимости скачать сертификат и добавить его в доверенные сертификаты в браузерах клиентов. 3. Добавить сайты или категории в список перехвата HTTPS. При добавлении доменов вы можете использовать символ подстановки «*». Не рекомендуется включать такие категории, как «Финансы» и «Информационная безопасность» в список перехвачиваемых категорий, так как это может привести к проблемам при обновлении программ, таких как антивирус, обновления безопасности операционных систем и с банковскими онлайн-операциями. www.usergate.ru 44 www.usergate.ru 45 4. Назначить список перехвата HTTPS пользователям или группами. www.usergate.ru 46 Фильтрация Правила фильтрации Данная страница служит для создания правил DNS- и HTTP-фильтрации. UserGate Web Filter предоставляет возможность фильтрации DNS-запросов на основе черных и белых списков, категории хостов или времени суток. HTTPфильтрация анализирует не только DNS-имя сайта, но и его содержимое. Созданное правило автоматически применяется для фильтрации HTTP- и DNSтрафика. Для создания фильтра необходимо кликнуть «Добавить» и заполнить необходимые поля. www.usergate.ru 47 Тип логики определяет, как будут соотноситься между собой условия правила каждой вкладки. Если выбран тип логики «И», то правило будет срабатывать только при одновременном выполнении условий каждой вкладки. Если выбран тип логики «ИЛИ», то правило будет срабатывать при выполнении любого из условий. Закладка Время указывает время работы правила. Данная настройка не зависит от выбранного типа логики. Тип действия определяет действия для сработавшего правила. Это может быть: § Блокировать - пользователь получит блокирующую страницу вместо запрошенной веб-страницы. § Предупредить - пользователь получит предупреждение, что вебстраница, которую он собирается открыть может содержать запрещенные материалы. Пользователь может принять предупреждение и продолжить просмотр или воздержаться от посещения сомнительного ресурса. www.usergate.ru 48 § Записать в лог - пользователь просматривает веб-страницу без какихлибо ограничений, но его активность регистрируется модулем статистики. Свой редирект определяет страницу блокировки для данного правила. Если страница не указана, то будет использоваться страница блокировки, указанная в разделе «Настройки». Страницу блокировки можно указывать в следующих форматах: § IP-адрес, IP:порт, например, 123.123.123.123:1234; § домен, домен:порт. Например, mydomain.com:1234; § URL, например, http://mydomain.com:1234/block.php. При блокировке сайта с помощью DNS-фильтрации пользователь будет переадресован на IP-адрес страницы блокировки. Если указан URL, то IP-адрес будет определен по указанному URL. При блокировке с помощью HTTP- или HTTPS-фильтрации пользователь будет переадресован на URL, указанный в этом поле. www.usergate.ru 49 Категории морфологии. На этой вкладке можно выбрать категории морфологии, на основании которых будет анализироваться содержимое сайта, а также добавить в исключения категории сайтов, которые анализировать не нужно. Важно! Для уменьшения ложных срабатываний рекомендуется исключить из проверки на морфологию следующие категории: § § § § § § Информационная безопасность; Новости; Правительство; Политика; Финансы. Бизнес. www.usergate.ru 50 Регулярные выражения. На этой вкладке можно указывать регулярные выражения, которые будут использованы при анализе содержимого сайта. Время - дни и часы, когда правило активно. Данная настройка не зависит от выбранного типа логики. www.usergate.ru 51 Важно! После создания правила фильтрации не забудьте его назначить пользователю или группе пользователей в соответствующем разделе настроек. Важно! Если у вас создано несколько правил фильтрации, назначенных пользователю, то только первое совпавшее правило будет применено к пользователю. Более подробно смотрите в разделе «Принцип работы» в главе «Порядок обработки запросов пользователей». Запросы на добавление в белый список На данной странице показаны запросы от пользователей на внесение запрещенных ресурсов в белый список. Вы можете добавить запрошенный URL в белый список или отказать в этом. www.usergate.ru 52 Проверить URL На данной странице можно проверить, к какой категории сайтов принадлежит интересующий адрес, а также отправить запрос на смену этой категории, если вы считаете, что текущая не соответствует содержимому сайта. Здесь же реализована возможность проверить, какой морфологической базой блокируется введенный адрес (при использовании морфологического фильтра). Обратите внимание, что DNS-правила отображаются зеленым цветом, HTTPоранжевым. www.usergate.ru 53 www.usergate.ru 54 Журналы История входов В данном разделе отображается история аутентификации на данном конкретном узле (компьютере) или на группе компьютеров, связанных в кластер. www.usergate.ru 55 Журнал событий Данная страница служит для отображения истории изменений настроек UserGate Web Filter и действий, произведенных администратором системы. www.usergate.ru 56 Статистика Данный раздел позволяет просматривать статистику использования сети Интернет по пользователям, по доменам, по категориям сайтов, по сработавшим правилам и причинам блокировки. Пользователь может выбрать интересующий его диапазон дат и создать отчет. Кроме этого, отчеты могут быть выгружены в табличном виде или напечатаны на принтере. Раздел «Поисковые запросы» показывает все поисковые запросы пользователей, у которых эта опция включена. www.usergate.ru 57 На закладке «Журнал Правил» отображаются все сработавшие правила. Для отображения правил в статистике необходимо включить опцию «Логирование» в каждом правиле. www.usergate.ru 58 UserGate Web Filter Applianceи Virtual Appliance Обзор UserGate Web Filter Appliance представляет собой программно-аппаратный комплекс на базе UserGate Web Filter. UserGate Web Filter Virtual Appliance представляет собой образ виртуальной машины, предназначенный для развертывания в виртуальной среде UserGate Web Filter Appliance и UserGate Web Filter Virtual Appliance могут быть использованы для быстрого развертывания фильтрации: § подключить устройства; § настроить IP-адреса; § начать использование. Быстрый запуск UserGate Web Filter Appliance поставляется уже преднастроенным, поэтому для его запуска необходимо проделать всего несколько шагов: 1. Подключите LAN-интерфейс UserGate Filter Appliance к компьютерной сети и WAN-интерфейс к сети Интернет. 2. Убедитесь, что ваш компьютер имеет IP-адрес, относящийся к сети 192.168.1.0/24. Если это не так, то назначьте своему компьютеру адрес из диапазона 192.168.1.1-192.168.1.253, например 192.168.1.252 с маской 255.255.255.0. 3. Подключитесь к веб-консоли UserGate Web Filter Appliance по адресу: http://192.168.1.254:4040/admin/. По умолчанию: § адрес сервера - http://192.168.1.254:4040/admin/; § имя пользователя – «Admin»(с большой буквы); § пароль – «admin» (с маленькой буквы). Пароль можно изменить позднее. www.usergate.ru 59 4. Введите ПИН-код для регистрации продукта. www.usergate.ru 60 5. Активируйте пользователей на вкладке Пользователи. www.usergate.ru 61 6. Укажите корректные для вашей сети IP-адреса для LAN и WAN. Важно! Если вы измените IP-адрес локальной сети, то вам придется подключиться к веб-консоли заново, используя новый адрес - http://newIP-address/admin/. Важно: Если у вас в UserGate Web Filter Appliance или в UserGate Web Filter Virtual Appliance имеется только один сетевой интерфейс, и вы хотите изменить IP-адрес на IP-адрес, принадлежащий другой подсети, то вам необходимо иметь адреса обоих подсетей на своем компьютере. 7. Отредактируйте URL для заблокированных HTTP-запросов на странице настроек HTTP. Укажите здесь новый адрес LAN вместо 127.0.0.1: http://NEW-LAN-IP:8001/ www.usergate.ru 62 8. Отредактируйте IPv4-адрес для заблокированных DNS-запросов на странице Настройки. Укажите здесь новый адрес LAN вместо 127.0.0.1. 9. Поменяйте пароль для пользователя Admin. Не используйте простые пароли, запомните или запишите новый пароль. www.usergate.ru 63 10. Подключите компьютеры пользователей для фильтрации трафика. Это можно осуществить одним из следующих способов: § На клиентских компьютерах указать в качестве маршрута по умолчанию (default gateway) IP-адрес UserGate Web Filter. Если вы используете DHCP-сервер для присвоения IP-адресов пользовательским устройствам, то вы можете указать новый маршрут по умолчанию с помощью DHCP-сервера. § Указать прокси сервера в браузерах пользователей: HTTP прокси: IP-адрес UserGate Web Filter порт 8090; HTTPS прокси: IP-адрес UserGate Web Filter порт 8090. После выполнения вышеперечисленных действий UserGate Web Filter Appliance готов к работе. Для более детальной настройки обратитесь к справочному руководству. www.usergate.ru 64 Обновление программного обеспечения Разработчик постоянно работает над улучшением программного продукта. О появлении новой версии вы узнаете посредством уведомления в веб-консоли продукта в разделе Лицензия. Для установки новой версии вам потребуется произвести следующие действия: § Подключите к UserGate Web Filter Appliance монитор и клавиатуру. § Включите Appliance и дождитесь, пока система загрузится. § Войдите в систему, используя учетную запись webfilter и пароль, который вы установили на веб-консоль: § Выполните следующие команды: sudo apt-get update sudo apt-get install webfilter4-appliance § По окончании установки повторно зарегистрируйте продукт. Важно! Для выполнения обновления программного обеспечения Appliance должен иметь доступ в интернет. Важно! Обновление напрямую с версии 3.x до версии 4.x и не поддерживается. Необходимо удалить версию 3.x, затем установить 4.x, после чего необходимо создать заново все настройки фильтрации. Восстановление настроек по умолчанию В некоторых случаях, например, если пароль пользователя Admin утерян, может возникнуть необходимость вернуться к заводским настройкам. Следует учитывать, что в этом случае все настройки, сделанные вами, будут сброшены, и вам предстоит произвести настройку заново. Для выполнения сброса настроек проделайте следующую процедуру: § Подключите к UserGate Web Filter Appliance монитор и клавиатуру. § Включите Appliance и во время загрузки выберите Factory Defaults. § Система вернет все свои настройки в заводское состояние и перезагрузится. www.usergate.ru 65 После перезагрузки вам необходимо произвести полную настройку продукта. Смена пароля для доступа к linux-консоли Подключиться к linux-консоли возможно двумя способами – подсоединить клавиатуру и монитор непосредственно к UserGate Web Filter Appliance, либо подключиться удаленно, используя SSH-клиента. Доступ к консоли дает возможность полностью контролировать компьютер с установленным UserGate Web Filter Appliance. Мы настоятельно рекомендуем сменить пароль на подключение к консоли. Для подключения к консоли используется linux-пользователь webfilter. Пароль пользователя webfilter синхронизован с паролем пользователя веб-консоли Admin. Таким образом, для смены пароля необходимо в веб-консоли в разделе «Настройки» сменить пароль пользователя Admin. www.usergate.ru 66 Техническая поддержка Раздел технической поддержки на сайте компании http://entensys.ru/support содержит дополнительную информацию по настройке UserGate Web Filter. Кроме этого, здесь же Вы можете оставить заявку на решение вашей проблемы. www.usergate.ru 67 Приложение 1. Установка сертификата локального удостоверяющего центра Установка сертификата в браузеры Internet Explorer, Chrome в ОС Windows Откройте папку, куда вы скачали сертификат, и дважды кликните по нему (user.der): www.usergate.ru 68 Откроется информация о сертификате. Нажмите на кнопку «Установить сертификат»: www.usergate.ru 69 Запустится мастер импорта сертификатов. Выполните импорт, следуя всем рекомендациям, предлагаемым мастером импорта сертификатов: Выберите хранилище сертификата и нажмите кнопку «Обзор»: www.usergate.ru 70 Выберите «Доверенные корневые центры сертификации» и нажмите кнопку «ОК»: Нажмите кнопку «Готово»: www.usergate.ru 71 Когда появляется предупреждение системы безопасности, нажмите кнопку «Да»: Установка сертификата завершена. www.usergate.ru 72 Установка сертификата в браузер Safari, Chrome в ОС MacOSX Перейдите в папку, куда вы скачали сертификат и дважды кликните по нему: Запустится программа «Связка ключей». Выберите «Всегда доверять данному сертификату»: Введите свой пароль для подтверждения данной операции: www.usergate.ru 73 Сертификат установлен. www.usergate.ru 74 Установка сертификата в браузер Firefox Установка сертификата в браузер Firefox выполняется аналогично для всех операционных систем. Рассмотрим установку на примере ОС Windows. Откройте настройки браузера Firefox (ИнструментыàНастройки): Перейдите в раздел «Дополнительные» и выберите закладку «Сертификаты». Кликните по кнопке «Просмотр сертификатов»: www.usergate.ru 75 Нажмите кнопку «Импортировать» и укажите путь к скачанному сертификату (файл user.der): www.usergate.ru 76 Установите галочку «Доверять при идентификации веб-сайтов» и нажмите «OK»: www.usergate.ru 77 Установка сертификата завершена. www.usergate.ru 78 Приложение №2. Таблица соответствия категорий, указанных в требованиях Министерства Образования РФ к СКФ для образовательных учреждений, с категориями Entensys URL Filtering 2.0. Категории Министерства Образования РФ Категории Entensys URL Filtering 2.0 Peer-To-Peer Пиринговые сети Алкоголь. Реклама алкоголя, пропаганда потребления алкоголя. Сайты компаний, производящих алкогольную продукцию Алкоголь и табак Баннеры и рекламные программы Баннерные сети, всплывающая реклама, рекламные программы Реклама и всплывающие окна Библиотеки Искусство Вождение и автомобили Транспорт Вредоносное программное обеспечение Незаконное программное обеспечение Бот-сети Сомнительные сайты Вредоносные сайты Вредоносные программы Сетевые ошибки Фишинг и мошенничество Спам сайты Хакерство Поздравительные открытки Развлечения Мода и красота Досуг и развлечение Досуг и отдых Рестораны и питание Спорт Путешествия Здоровье и медицина Здоровье и медицина Половое воспитание www.usergate.ru 79 Злоупотребление свободой СМИ – информация с ограниченным доступом. Сведения о специальных средствах, технических приемах и тактике проведения контртеррористических операций Оружие Злоупотребление свободой СМИ – информация, содержащая скрытые вставки и иные технические способы воздействия на под-104№ п/п Тематическая категория Содержание скрытое воздействие сознание людей и (или) оказывающая вредное влияние на их здоровье Ресурсы с сомнительным контентом Злоупотребление свободой СМИ – наркотические средства, сведения о способах, методах разработки, изготовления и использования, местах приобретения наркотических средств, психотропных веществ и их прекурсоров, пропаганда какихлибо преимуществ использования отдельных наркотических средств, психотропных веществ, их аналогов и прекурсоров Злоупотребление свободой СМИ – экстремизм Информация, содержащая публичные призывы к осуществлению террористической деятельности, оправдывающая терроризм, содержащая другие экстремистские материалы Ненависть и нетерпимость Насилие Ненависть и нетерпимость Насилие Знакомства Знакомства Информация с ограниченным доступом. Информация, составляющая государственную или иную охраняемую законом тайну Политика Правительство Информация, пропагандирующая порнографию Порнография Компьютерные игры Игры Бизнес Корпоративные сайты Финансы Общие Недвижимость Корпоративные сайты, интернетпредставительства негосударственных учреждений Некоммерческие организации и НПО www.usergate.ru 80 Личная и немодерируемая информация. Немодерируемые форумы, доски объявлений и конференции, гостевые книги, базы данных, содержащие личную информацию (адреса, телефоны и т. п.), личные странички, дневники, блоги Модерируемые доски объявлений (ресурсы данной категории, содержащие информацию, не имеющую отношения к образовательному процессу, модерируемые доски сообщений/объявлений, а также модерируемые чаты Персональные сайты Частные IP-адреса Социальные сети Потоковое медиа и загрузки Веб-почта Социальные сети Чат Наркотические средства. Сведения о способах, методах разработки, изготовления и использования, местах приобретения наркотических средств, психотропных веществ и их прекурсоров, пропаганда какихлибо преимуществ использования отдельных наркотических средств, психотропных веществ, их аналогов и прекурсоров Наркотики Нелегальная помощь школьникам и студентам. Банки готовых рефератов, эссе, дипломных работ и пр. Школьные хитрости Ненадлежащая реклама. Информация, содержащая рекламу алкогольной продукции и табачных изделий Алкоголь и табак Неприличный и грубый юмор. Неэтичные анекдоты и шутки, в частности обыгрывающие особенности физиологии человека Ресурсы с сомнительным контентом Нижнее белье, купальники Нагота Обеспечение анонимности пользователя, обход контентных фильтров. Сайты, предлагающие инструкции по обходу прокси и доступу к запрещенным страницам Анонимайзеры Образовательные ресурсы Образование Онлайн-казино и тотализаторы Азартные игры Отправка SMS с использованием интернетресурсов. Сайты, предлагающие услуги по отправке SMS-сообщений Реклама и всплывающие окна Платные сайты. Запаркованные домены Онлайн-переводчики www.usergate.ru 81 Поиск работы, резюме, вакансии Поиск работы Преступления – Клевета (распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию); Преступная деятельность Преступления-клевета, экстремизм Преступная деятельность Компьютеры и технологии Программное обеспечение Download-архивы Информационная безопасность Пропаганда войны, разжигание ненависти и вражды, пропаганда порнографии и антиобщественного поведения. Информация, направленная на пропаганду войны, разжигание национальной, расовой или религиозной ненависти и вражды; информация, пропагандирующая порнографию, культ насилия и жестокости, наркоманию, токсикоманию, антиобщественное поведение Религии и атеизм Система поиска изображений СМИ Табак, реклама табака, пропаганда потребления табака. Сайты, пропагандирующие потребление табака; реклама табака и изделий из него Торговля и реклама Убийства, насилие Чаты Экстремистские материалы или экстремистская деятельность (экстремизм) Ненависть и нетерпимость Культы Религия Фотоальбомы и фотообменники Поисковые системы и порталы Форумы и новостные группы Новости Алкоголь и табак Реклама и всплывающие окна Покупки Жестокое обращение с детьми Насилие Чат Интернет-мессенджеры Ненависть и нетерпимость www.usergate.ru 82