Расширенная фильтрация веб-прокси

Установка плагина os-proxy-useracl #

Для работы с пользовательскими и групповыми списками нужно установить плагин os-proxy-useracl.

Пройдите в раздел Система -> Прошивка -> Обновления. На вкладке Плагины нажмите на кнопку + напротив плагина os-proxy-useracl для его установки.

После установки плагина os-proxy-useracl, в разделе Службы -> Веб-прокси появляется подраздел ACL на пользователей и группы.

Создание списков фильтрации. #

Предварительно необходимо создать списки, которые будут в дальнейшем использоваться для создания правил фильтрации.

Поддерживается следующие типы списков:

• Пользователи и группы — здесь можно составить списки пользователей и групп как локальных (прописанных на устройстве NPS AV), так и пользователей и групп с настроенным методом аутентификации LDAP или Kerberos (в домене Active Directory). 2Для создания данного списка необходимо ввести описательное имя для этого списка, имя, как оно прописано в локальной базе или базе LDAP/Active Directory, указать тип данного списка Пользователь или Группа и выбрать метод аутентификации — Local Database (локальная база) либо другая, созданная ранее.

2

Настройка LDAP-коннектора описана в разделе Настройка аутентификации в Active Diretory через LDAP на прокси.

• MAC-адреса — список доступа, основанный на физическом адресе сетевого адаптера подключаемого устройства. Для создания данного списка необходимо ввести описательное имя для этого списка и mac-адрес в формате XX:XX:XX:XX:XX:XX 3
  

  

3

используйте запятую или Enter для нового элемента, в это поле также можно вставить список, разделенный запятыми.

• Сети источника — список доступа, основанный на IP адресе сетевого адаптера подключаемого (подключаемых) устройств. Для создания данного списка необходимо ввести описательное имя для этого списка и IP адрес источника (допускается указание одиночных IP-адресов и IP-сетей):

  192.168.1.77
  192.168.1.0/24
  

  

• Сети назначения — список доступа, основанный на IP адресе ресурса, к которому необходимо управлять доступом. Для создания данного списка необходимо ввести описательное имя для этого списка и IP адрес ресурса (допускается указание одиночных IP-адресов и IP-сетей):

  192.168.1.77
  192.168.1.0/24
  

  

• Домены — список доменов ресурсов, к которым необходимо управлять доступом. Для создания данного списка необходимо ввести описательное имя для этого списка, а также указать домен (домены).При установке флажка Регулярное выражение информацию необходимо вводить в формате регулярных выражений.

  

• Browser/user-agentsДля создания данного списка необходимо ввести описательное имя для этого списка, а также указать user-agent используемого браузера, доступ с которого необходимо регулировать в формате регулярных выражений.
• MIME типы — список MIME типов контента доступ к которому необходимо регулировать. Плагин имеет уже предварительно сконфигурированный список, который вы можете дополнить своими записями.
• Расписания — список расписаний, с помощью которых можно будет настроить/ограничить доступ к ресурсам в течение указанного промежутка времени и по дням недели.
• Удалённые списки контроля доступа — подключаемые удалённые списки, которые формируются вами либо третьей стороной на отдельном ресурсе и могут быть использованы в правилах блокировки и разрешения доступа.

  В настройках присутствуют три предустановленных списка доступа:

  • Блокировка рекламы от https://pgl.yoyo.org/adservers
  • Список IP Роскомнадзора
  • Список URL Роскомнадзора

  Вы можете добавить свой список, нажав кнопку +

  Имя файла	имя файла (как файл будет называться в устройстве NPS AV)
  URL	URL адрес загрузки списка доступа
  имя пользователя	необязательное поле в случае использования парольного подключения.
  пароль	необязательное поле в случае использования парольного подключения.
  Игнорировать сертификаты SSL	игнорировать проверку SSL-сертификата для самоподписанных сертификатов.
  Тип чёрного списка	Поддерживается три формата списков: Домены, URL-адреса, IP адреса 4
  Описание	описание списка

  4

  Формат файлов — по одному значению в строке. Строки, начинающиеся с # — игнорируются.

  После добавления записи с удаленным списком, его необходимо скачать, нажав кнопку Скачать списки контроля доступа либо Скачать списки контроля доступа и применить.

  Примечание

  Также можно создать задачу в планировщике заданий для периодического обновления (скачивания) удаленных списков, нажав соответствующую кнопку Запланировано с помощью планировщика задач Cron .

Создание правил фильтрации #

Правила фильтрации используют списки, созданные на этапе Создание списков фильтрации.

Для создания правил перейдите в меню Службы: Веб-прокси: ACL на пользователей и группы -> Правила

Поддерживаются правила следующих видов:

• HTTP access — правила предоставления/ограничения доступа.
• SSL Bump — правила исключений для операций SSL Bump.
• ICAP — правила управления обработкой ICAP.
• TCP Outgoing Address — правила маршрутизации исходящих запросов средствами прокси-сервера.

Для создания правила предоставления/ограничения доступа необходимо создать правило фильтрации и заполнить необходимые атрибуты :

Для создания правила исключения операций SSL Bump, необходимо создать правило исключения и заполнить необходимые атрибуты :

Для создания правила исключения обработки ICAP (чаще всего антивирус), необходимо создать правило и заполнить необходимые атрибуты :

Для создания правила, согласно которому прокси-сервер будет осуществлять те либо иные исходящие запросы с использованием указанного IP адреса, необходимо создать правило исключения и заполнить необходимые атрибуты :

Атрибуты правил фильтрации.

• Черный/Белый — Запрещающее (Черный) или разрешающее (Белый) правило.
• Приоритет — Порядок обработки. По умолчанию вновь созданному правилу присваивается приоритет 0 (наивысший — правило обрабатывается первым) и оно располагается в начале списка. В дальнейшем вы можете двигать правила вверх/вниз тем самым меняя порядок обработки правил. Также вы можете менять приоритет в самом правиле.

  Примечание

  Если номер правила совпадет с существующим, оно займет место существующего, сдвинув последнее вниз по списку.

• Пользователь/Группа — Выберите список пользователей/групп, которые будут обрабатываться в данном правиле.
• Домены — Выберите список доменов, которые будут обрабатываться в данном правиле.
• Netpolice — Выберите списки Netpolice, которые будут обрабатываться в данном правиле. 5
• IP-адреса источника — Выберите список адресов сетей источника, которые будут обрабатываться в данном правиле.
• IP-адреса назначения — Выберите список адресов сетей назначения, которые будут обрабатываться в данном правиле.
• Browser/user-agents — Выберите список юзер-агентов браузеров, которые будут обрабатываться в данном правиле.
• Расписания — Выберите список расписаний, которые будут обрабатываться в данном правиле.
• MIME типы — Выберите список MIME ресурсов, которые будут обрабатываться в данном правиле.
• MAC-адреса — Выберите список MAC адресов, которые будут обрабатываться в данном правиле.
• Удаленные списки контроля доступа — Выберите удаленный список, который будет обрабатываться в данном правиле.

5

Netpolice — система контентной фильтрации, разрабатываемая Центром анализа интернет-ресурсов. Для использования в фильтрах списков Netpolice необходимо наличие установленной лицензии.