В данном разделе вы можете настроить список правил, используемых Dr.Web ICAPD для блокировки веб-страниц, посещаемых пользователями, а также определить правила применения блокировки и проверки файлов в зависимости от их типа.

Определяет параметры блокировки доступа к веб-сайтам различных категорий а также содержит перечни используемых черных и белых списков доступа.

Блокировка доступа к веб-сайтам различных категорий

Флажки Блокировать (Блокировать сайты для взрослых и т.д.) позволяют включить или отключить блокировку доступа пользователей к сайтам соответствующих категорий. Если блокировка включена, при попытке доступа пользователь получит от сервера в ответ HTML-страницу с уведомлением о заблокированном доступе к сайту.

Управление черными и белыми списками

Dr.Web ICAPD поддерживает списки доступа, представляющие собой наборы адресов веб-ресурсов, доступ к которым может быть разрешен или запрещен. Помимо списков категорий, которые поставляются вместе с Dr.Web ICAPD и автоматически пополняются компанией «Доктор Веб», администратор может также создать произвольное количество пользовательских списков.

Вы можете задавать не только черные, но и белые списки. Пользовательские черные списки запрещают доступ, а белые списки разрешают доступ к веб-сайтам.

Доступны два вида пользовательских белых списков:

Доверенный список . Для всего контента узлов сети, находящихся в этом списке, антивирусная проверка не производится.

Разрешающий список . Разрешается доступ к узлам сети, находящимся в этом списке, даже если они находятся в блокируемых категориях, но не в пользовательском черном списке.

Обратите внимание на следующие особенности пользовательских списков:

Если некоторый узел сети находится в доверенном списке, то доступ к нему регулируется как обычно – проверкой на нахождение в блокируемых категориях с учетом правил, а также в черном пользовательском списке.

Если некоторый узел сети находится в черном списке, то доступ к нему блокируется безусловно, т.е. нельзя создать переопределяющего правила, разрешающего доступ к этому узлу. Кроме того, этот список имеет приоритет над разрешающим белым списком, т.е. если один и тот же узел сети указан в пользовательском черном списке и в разрешающем белом, то доступ к нему будет блокирован.

Параметры:

Каталог dws-файлов – путь к каталогу на защищаемой станции, в котором хранятся файлы категорий интернет-ресурсов, поставляемых вместе с Dr.Web ICAPD.

Белые списки для фильтрации по содержимому – пользовательский белый список с разрешенными узлами. Содержит список путей к текстовым файлам на защищаемой станции, разделенных запятыми. Заданные файлы содержат список узлов, контент которых не будет проверяться на соответствие с черным списком. Тем не менее, передаваемый контент будет проверяться на вирусы. Настройка необходима для предоставления доступа к веб-сайтам, которые заблокированы настройками черного списка.

Файлы черных списков – пользовательский черный список. Содержит список путей к текстовым файлам на защищаемой станции, разделенных запятыми. В заданных файлах перечислены узлы сети, доступ к веб-сайтам на которых запрещается.

Файлы белых списков – пользовательский белый список с доверенными узлами. Содержит список путей к текстовым файлам на защищаемой станции, разделенных запятыми. Заданные файлы содержат список узлов, контент которых не будет отправляться на антивирусную проверку. Тем не менее, передаваемый контент будет проверяться на соответствие с черным списком. Обратите внимание, что этот параметр лишь отключает антивирусную проверку файлов, поступающих от узлов, но не разрешает доступ к самим узлам.

Фильтрация по MIME

Правила фильтрации MIME , в котором вы можете задать правила определения, файлы какого типа и размера будут отправляться на антивирусную проверку.

Этот текст всегда начинается со строки MimeStart , заканчивается строкой MimeEnd и содержит правила фильтрации файлов, по одному на строку.

Для правил фильтрации используется следующий синтаксис (элементы выражения разделяются пробелами):

<действие1> <размер> <действие2>

где

- MIME-тип файла, например:

▫ * – файл любого типа;

▫ application – исполняемые и архивированные файлы, документы в формате PDF, MS Word и др.;

▫ audio – аудиофайлы (mp3 , wav , wma и др.);

▫ image – изображения (gif , jpg , png , svg и др.);

▫ message – сообщения между веб-серверами и клиентами;

▫ multipart – контейнеры (почтовые файлы, запакованные файлы);

▫ text – текст или исходный код (html , xml , css и др.);

▫ video – видеофайлы (mpeg-1 , mp4 , wma );

▫ model – файлы трехмерных моделей.

При необходимости может быть указано как целое семейство MIME, так и конкретный тип (например: video – любые видеофайлы, а video/mpeg – видео типа MPEG).

Для объекта всегда применяется правило, заданное для MIME-типа, наиболее близкого MIME-типу объекта. Таким образом, правило для MIME-типа "*" , подходящее любому типу, применяется, только если не имеется правил с более близким классом типов MIME.

<действие1> – наименование действия (scan , pass , reject ), которое следует выполнить в случае, если размер объекта данного MIME-типа не превосходит размер, указанный в поле <размер> .

<размер> – пороговый размер. Если размер объекта данного MIME-типа не будет превосходить пороговый, то к нему применится действие <действие1> , иначе к нему будет применено действие <действие2> .

<действие2> – наименование действия (scan , pass , reject ), которое следует выполнить в случае, если размер объекта превосходит указанный <размер> .

Если в качестве размера указать ключевое слово all , то это означает, что первое действие (<действие1> ) будет применяться ко всем объектам данного MIME-типа, вне зависимости от их размера. В этом случае <действие2> не указывается.

Допускаются следующие значения действий:

scan – отправить файл на антивирусное сканирование;

pass – пропустить файл к пользователю без проверки;

reject – заблокировать файл и вернуть другой объект. Обратите внимание, что это действие должно указываться с дополнительным ключом, определяющим, какие данные возвращаются пользователю:

▫ -report – вернуть пользователю вместо запрошенного файла HTML-уведомление о блокировке;

▫ -trunc – вернуть пользователю запрошенный файл, усеченный до нулевой длины (пустой файл).

Порядок следования правил в секции не имеет значения.

Определения

Эта секция содержит единственное многострочное поле-редактор Определения , в котором вы можете задать собственные макросы, используемые в переопределяющих правилах доступа к веб-сайтам. Макросы задаются в секции .

Правила

Эта секция содержит единственное многострочное поле-редактор Правила разрешения/блокировки , в котором вы можете задать собственные правила разрешения и/или запрещения доступа к веб-сайтам. Правила задаются в секции .

Все чаще интернет-трафик фильтруется, и участвуют в этом все, от публичных сетей Wi-Fi и корпоративных ИТ-администраторов до интернет-провайдеров и государственных органов. Однако способы обойти фильтрацию и добраться до заблокированных сайтов по-прежнему существуют.

Правда, некоторые из них в условиях особо жесткой фильтрации не работают. Например «Великий китайский фаервол» теперь не пропускает исходящие подключения к VPN, хотя еще до недавнего времени их никак не ограничивал.

DNS-серверы

Это самый ненадежный способ, но упомянуть о нем все-таки стоит. Некоторые интернет-провайдеры используют фильтрацию на уровне DNS-серверов, которые автоматически перенаправляют запросы к заблокированным сайтам на другие адреса. В некоторых организациях для фильтрации трафика применяется и другие подобные решения.

Если фильтрация реализована на уровне DNS и запросы к другим DNS-серверам не блокируются, можно просто задать в настройках сетевого соединения другой сервер, не контролируемый ИТ-администратором или интернет-провайдером. Можно, например, использовать Google Public DNS – там-то уж точно ничего не фильтруют.

Tor

Позволяет анонимно перемещаться по Интернету за счет того, что пропускает все запросы через зашифрованную сеть и использует в качестве выходной точки нефильтруемые неконтролируемые серверы. Открывать с помощью Tor незашифрованные страницы с конфиденциальной информацией не стоит, зато заблокированные сайты смотреть можно в любой сети.

Разработчики Tor ведут долгую, непрекращающуюся борьбу с режимами, добивающимися блокировки сервиса – например, в Иране. Tor может оказаться выходом даже там, где не работают обычные VPN, прокси и SSH-туннели.

Однако у Tor есть большой недостаток – он работает в разы медленнее обычного веб-браузера. Для доступа к заблокированным сайтам такое решение годится, но для повседневного веб-серфинга подходит разве что иранским и китайским диссидентам.

VPN

Можно подключиться к и пропускать через нее весь трафик с локального компьютера. Скажем, при подключении к VPN в Исландии весь сетевой трафик будет сначала направляться в Исландию, и только оттуда – к запрошенным сайтам. В обратном направлении трафик тоже будет проходить через Исландию, прежде чем попасть на конечный компьютер. Соединение полностью шифруется, поэтому провайдер, сетевой оператор или даже надзирающие государственные органы видят только, что идет обмен данными по зашифрованному соединению с VPN. Чтобы заблокировать такой трафик, придется заблокировать подключение к VPN.

VPN широко используются не только для обхода фильтрации, но и для подключения к рабочим сетям, поэтому такие соединения обычно не блокируют. Хотя в Китае с недавних пор их начали перекрывать.

Существуют бесплатные VPN-сервисы, но надежное скоростное соединение все-таки стоит денег, будь то плата VPN-провайдеру или покупка хостинга для организации собственной VPN-сети.

Прокси

К заблокированным сайтам можно пробиться и через обычные прокси-серверы, действующие на уровне веб-браузера или всей операционной системы. Функционируют они примерно так же, как VPN, но гораздо менее надежны – в частности, далеко не все программы их поддерживают. Если вы готовы платить, лучше потратиться на VPN.

Но если требуется быстро получить доступ к заблокированному сайту, можно попытаться сделать это через веб-прокси. Существует множество подобных сервисов, включая широко известный . Для просмотра достаточно ввести адрес нужного ресурса на сайте веб-прокси.

Правда, работает такой прием не всегда – иногда сами прокси-серверы могут оказаться заблокированы. К тому же они добавляют на все страницы рекламу – надо же им как-то выживать, если учесть, что сами по себе такие сервисы бесплатны. Но в любом случае, если требуется быстро посмотреть заблокированный сайт, не тратя время на установку и настройку более продвинутых решений, можно попробовать прокси.

SSH-туннелирование

SSH-туннели похожи на VPN в том отношении, что тоже пропускают весь трафик через зашифрованный канал. Если вы готовы за это платить, VPN предпочтительнее. Но у многих гиков уже и так есть удаленный SSH-сервер, который можно использовать для этих целей.

При наличии такого сервера можно наладить SSH-туннелирование, чтобы весь трафик с локального компьютера перенаправлялся через этот сервер по защищенному соединению. Таким образом можно зашифровать трафик, чтобы предотвратить перехват данных в публичных сетях Wi-Fi, да к тому же обойти фильтрацию в локальной сети. Эффект получается такой же, как если бы вы сидели за SSH-сервером и открывали сайты прямо на нем, хотя скорость передачи данных получается несколько ниже.

В Windows можно создать SSH-туннель с помощью

10 июня 2016 в 15:47

Как заблокировать все веб-сайты социальных сетей с помощью Web Content Filter (Фильтра Веб Контента)?

• Tutorial

Мы начинаем публикацию серии статей об оборудовании Draytek с описанием кейсов и необходимых настроек для разного рода задач. Надеемся, что эти статьи будут вам полезны. Итак, начнем:

Facebook или другие зашифрованные HTTPS сайты могут блокироваться с помощью «URL Content Filter»(Фильтр URL контента) и «DNS Filter» (Фильтр DNS). Тем не менее, если мы хотим заблокировать все веб-сайты социальных сетей, Web Content Filter (Фильтр Веб контента) – это самый удачный выбор.

Web Content Filter – простой фильтр на основе категорий, который помогает сетевым администраторам эффективно контролировать использование Интернета, чтобы удовлетворять все запросы бизнеса. Здесь показано, как использовать Web Content Filter и DNS Filter и блокировать все веб-сайты социальных сетей.

1. Перейдите в CSM >> Web Content Filter Profile (CSM>>Профиль Фильтра Веб контента).
a. Убедитесь, что лицензия Cyren активирована. (Проверьте: «Как зарегистрировать мой маршрутизатор Vigor и активировать бесплатную лицензию WCF Trial?»).
b. Щелкните на Index 2 (Индекс 2), чтобы установить профиль.

2. Для того, чтобы установить профиль Web Content Filter, необходимо выполнить следующие действия:
a. Отредактируйте profile name (название профиля), в данном случае мы вводим название Social Network (Социальная Сеть)
b. Выберите тип действия Block (Блокировать)
c. Выберите Social Network (Социальная Сеть) в Категориях

3. Перейдите в CMS >> DNS Filter (CMS >> Фильтр DNS) и активируйте DNS Filter
a. Щелкните на номер Индекса профиля в Таблице DNS Filter Profile (Профиль DNS Фильтра)
b. Введите Profile Name (Название профиля)
c. Выберите WCF в качестве Web Content Filter Profile, созданного на Этапе 2
d. Щелкните OK и сохраните

4. Чтобы применить Web Content Filter и DNS Filter, перейдите в Сетевой экран >> Установка Фильтра >> Шаг 2. (Фильтр данных по умолчанию)
a. Щелкните на номер Filter Rule (Правило фильтра)
b. Активируйте Filter Rule
c. Отредактируйте Источник IP, если вы хотите заблокировать только некоторые IP социальных сетей
d. Выберите Фильтр как Pass Immediately (Пройти немедленно)
e. Выберите Web Content Filter в качестве профиля, созданного на Этапе 2
f. Выберите DNS Filter в качестве профиля, созданного на Этапе 3
g. Щелкните OK и сохраните

5. После завершения вышеуказанных настроек, все веб-сайты социальных сетей будут заблокированы с помощью Web Content Filter и DNS Filter с Маршрутизатором Vigor , даже если веб-сайт использует HTTPS. На картинке ниже Вы видите заблокированный Facebook, Instagram и Twitter.

Исправление проблем:

Если веб-сайты не блокируются, как ожидалось, пожалуйста, сделайте следующее:

1. Очистите куки браузера и его историю.

2. Очистите кэш DNS на компьютере, для пользователей Windows, это можно сделать путем ввода команды «ipconfig/flushd» в командной строке.

3. Убедитесь, что шлюз по умолчанию – это Маршрутизатор Vigor

4. Проверьте DNS-сервер компьютера, введите «nslookup» и проверьте DNS-сервер Вашего компьютера.

A. Если сервер является открытым DNS-сервером, убедитесь, что шлюз компьютера установлен на