Для того, чтобы веб-прокси смог фильтровать трафик пользователей, этот трафик должен проходить через веб-прокси. Существует несколько способов настройки веб-прокси на компьютерах пользователей.
Веб-прокси использует порт 3128 для проксирования HTTP, HTTPS (метод CONNECT) и FTP (метод GET).
Для настройки браузера, зайдите в сетевые настройки и укажите адрес и порт прокси-сервера. Убедитесь, что IP-адрес веб-прокси прописан в исключениях.
На следующем изображении пример настройки прокси-сервера в веб-браузере Internet Explorer [1].
Примечание
Многие браузеры под управлением ОС Windows могут принимать настройки прокси-сервера из настроек Internet-Explorer.
Автоматическая настройка веб-прокси с помощью групповых политик Active Directory
Если используется доменная среда Active Directory, то настройки веб-прокси можно распространять на клиентские компьютеры с помощью групповых политик .
Примечание
Для настройки веб-прокси с помощью групповых политик, воспользуйтесь соответствующим разделом документаци к используемуму у вас контроллеру домена или помощью специалиста, ответственного на настройку групповых политик в вашей организации.
Автоматическая настройка веб-прокси с помощью протокола автоматической настройки прокси
Данный механизм подразумевает использование протокола автоматической настройки прокси (WPAD )
Traffic Inspector Next Generation имеет поддержку данного протокола.
В случае использования встроенной поддержки протокола автоматической настройки прокси, обратитесь к соответствующему разделу документации.
Прокси-сервер Traffic Inspector Next Generation поддерживает работу в прозрачном режиме.
Смысл «прозрачного проксирования» заключается в том, что пользователи не имеют явных настроек на веб-прокси, но тем не менее их трафик все равно будет перехвачен и попадет на веб-прокси.
Настройки на устройстве Traffic Inspector Next Generation
Перед тем, как переходить к настройкам фильтрации, осуществите базовую настройку веб-прокси в соответствии с инструкцией Базовые настройки веб-прокси .
Фильтрация трафика осуществляется при его обработке веб-прокси сервером. Если пользователи будут иметь возможность работать в обход веб-прокси, то правила прокси не будут применены.
Для того, чтобы запретить обращение пользователей в Интернет в обход веб-прокси, произведите следующие действия.
Пройдите в Межсетевой экран -> Правила на вкладку LAN и создайте два правила со следующими настройками:
Правило для блокировки HTTP-трафика, идущего мимо прокси
Действие
Блокировка
Интерфейс
LAN
Протокол
TCP
Источник
LAN net
Диапазон портов назначения
HTTP
Описание
Блокировка HTTP-трафика мимо прокси
Правило для блокировки HTTPS-трафика, идущего мимо прокси
Действие
Блокировка
Интерфейс
LAN
Протокол
TCP
Источник
LAN net
Диапазон портов назначения
HTTPS
Описание
Блокировка HTTPS-трафика мимо прокси
Traffic Inspector Next Generation имеет ряд преднастроенных правил, которые разрешают любое обращение в Интернет со стороны внутренней локальной сети. Для того, чтобы новые правила применялись, их нужно разместить до преднастроенных правил. Расположите правила в порядке, указанном на скриншоте:
Основным механизмом фильтрации веб-прокси является использование плагина os-proxy-useracl, который предлагает расширенный функционал по фильтрации с использованием:
различных списков доступа (пользователи, группы, домены источника/назначения и др.)
выборочной фильтрации контента с использованием протокола ICAP
распределения запросов по исходящим каналам
Для использования расширенной фильтрации веб-прокси необходимо установить плагин os-proxy-useracl.
Предварительно необходимо создать списки, которые будут в дальнейшем использоваться для создания правил фильтрации.
Поддерживается следующие типы списков:
Пользователи и группы - здесь можно составить списки пользователей и групп как локальных (прописанных на устройстве TING), так и пользователей и групп с настроенным методом аутентификации LDAP или Kerberos (в домене Active Directory). [2]
Для создания данного списка необходимо ввести описательное имя для этого списка, имя, как оно прописано в локальной базе или базе LDAP/Active Directory, указать тип данного списка Пользователь или Группа и выбрать метод аутентификации - Local Database (локальная база) либо другая, созданная ранее.
Примечание
Применительно к функционалу доменных списков, LDAP используется для проверки существования пользователя или группы в момент создания списка доступа, и для установления принадлежности пользователя к доменной группе в процессе работы списка доступа.
Предупреждение
При работе с Microsoft AD существует проблема поиска пользователя в первичной группе (как правило, это группа Users либо Пользователи домена). Это приводит к тому, что правило, созданное для этой группы не работает.
MAC-адреса - список доступа, основанный на физическом адресе сетевого адаптера подключаемого устройства.
Для создания данного списка необходимо ввести описательное имя для этого списка и mac-адрес в формате XX:XX:XX:XX:XX:XX [3]
Сети источника - список доступа, основанный на IP адресе сетевого адаптера подключаемого (подключаемых) устройств.
Для создания данного списка необходимо ввести описательное имя для этого списка и IP адрес источника (допускается указание одиночных IP-адресов и IP-сетей):
192.168.1.77192.168.1.0/24
Сети назначения - список доступа, основанный на IP адресе ресурса, к которому необходимо управлять доступом.
Для создания данного списка необходимо ввести описательное имя для этого списка и IP адрес ресурса (допускается указание одиночных IP-адресов и IP-сетей):
192.168.1.77192.168.1.0/24
Домены - список доменов ресурсов, к которым необходимо управлять доступом.
Для создания данного списка необходимо ввести описательное имя для этого списка, а также указать домен (домены).
При установке флажка Регулярное выражение информацию необходимо вводить в формате регулярных выражений.
Browser/user-agents
Для создания данного списка необходимо ввести описательное имя для этого списка, а также указать user-agent используемого браузера, доступ с которого необходимо регулировать в формате регулярных выражений.
MIME типы - список MIME типов контента доступ к которому необходимо регулировать. Плагин имеет уже предварительно сконфигурированный список, который вы можете дополнить своими записями.
Расписания - список расписаний, с помощью которых можно будет настроить/ограничить доступ к ресурсам в течение указанного промежутка времени и по дням недели.
Удалённые списки контроля доступа - подключаемые удалённые списки, которые формируются вами либо третьей стороной на отдельном ресурсе и могут быть использованы в правилах блокировки и разрешения доступа.
В настройках присутствуют три преустановленных списка доступа:
имя файла (как файл будет называться в устройстве TING)
URL
URL адрес загрузки списка доступа
имя пользователя
необязательное поле в случае использования парольного подключения.
пароль
необязательное поле в случае использования парольного подключения.
Игнорировать сертификаты SSL
игнорировать проверку SSL-сертификата для самоподписанных сертификатов.
Тип чёрного списка
Поддерживается три формата списков: Домены, URL-адреса, IP адреса[4]
Описание
описание списка
После добавления записи с удаленным списком, его необходимимо скачать, нажав кнопку Скачать списки контроля доступа либо Скачать списки контроля доступа и применить.
Примечание
Также можно создать задачу в планировщике заданий для периодического обновления (скачивания) удаленных списков, нажав соответствующую кнопку Запланировано с помощью планировщика задач Cron .
TCP Outgoing Address - правила маршрутизации исходящих запросов средствами прокси-сервера.
Для создания правила предоставления/ограничения доступа необходимо создать правило фильтрации и заполнить необходимые атрибуты :
Для создания правила исключения операций SSL Bump, необходимо создать правило исключения и заполнить необходимые атрибуты :
Для создания правила исключения обработки ICAP (чаще всего антивирус), необходимо создать правило и заполнить необходимые атрибуты :
Для создания правила, согласно которому прокси-сервер будет осуществлять те либо иные исходящие запросы с использованием указанного IP адреса, необходимо создать правило исключения и заполнить необходимые атрибуты :
Внимание
Используемый IP адрес должен быть настроен в системе.
Атрибуты правил фильтрации.
Черный/Белый - Запрещающее (Черный) или разрешающее (Белый) правило.
Приоритет - Порядок обработки.
По умолчанию вновь созданному правилу присваивается приоритет 0 (наивысший - правило обрабатывается первым) и оно располагается в начале списка. В дальнейшем вы можете двигать правила вверх/вниз тем самым меняя порядок обработки правил. Также вы можете менять приоритет в самом правиле.
Примечание
Если номер правила совпадет с существующим, оно займет место существующего, сдинув последнее вниз по списку.
Пользователь/Группа - Выберите список пользователей/групп, которые будут обрабатываться в данном правиле.
Домены - Выберите список доменов, которые будут обрабатываться в данном правиле.
Netpolice - Выберите списки Netpolice, которые будут обрабатываться в данном правиле. [5]
IP-адреса источника - Выберите список адресов сетей источника, которые будут обрабатываться в данном правиле.
IP-адреса назначения - Выберите список адресов сетей назначения, которые будут обрабатываться в данном правиле.
Browser/user-agents - Выберите список юзер-агентов браузеров, которые будут обрабатываться в данном правиле.
Расписания - Выберите список расписаний, которые будут обрабатываться в данном правиле.
MIME типы - Выберите список MIME ресурсов, которые будут обрабатываться в данном правиле.
MAC-адреса - Выберите список MAC адресов, которые будут обрабатываться в данном правиле.
Удаленные списки контроля доступа - Выберите удаленный список, который будет обрабатываться в данном правиле.
Примечание
Не обязательно задавать все поля. Правило «срабатывает» только в том случае, когда все критерии, заданные в нем совпадают.
Функционал данной фильтрации не требует установки дополнительных плагинов в систему, однако обладает меньшим функционалом, чем Расширинная фильтрация веб-прокси. и ее использование целесообразно только в тех случаях, когда функционал расширенной фильтрации не требуется.
Предупреждение
Во избежание конфликтов, не рекомендуется одновременная настройка и использование базовой и расширенной фильтрации.
Веб-прокси Squid поддерживает широчайшие возможности фильтрации по различным критериям. В настоящее время, через веб-интерфейс Traffic Inspector Next Generation можно управлять следующими типами фильтрации:
Ниже описывается ввод различных значений в текстовые поля веб-интерфейса. Не забывайте нажимать клавишу Enter после ввода каждого элемента или ставить запятую после каждого элемента. В противном случае, элемент не будет добавлен в поле.
Фильтрация по IP-адресам
Настройки данного типа фильтрации доступны в разделе Службы -> Веб-прокси -> Администрирование, вкладка Перенаправляющий прокси, пункт меню Список управления доступом.
Ниже описывается ввод IP-адресов в текстовые поля. Допускается указание одиночных IP-адресов и IP-сетей:
192.168.1.77192.168.1.0/24
В поле Разрешенные подсети можно задать сети, из которых разрешено работать через веб-прокси. Сети, к которым шлюз подключен через LAN-адаптеры, считаются разрешенными по умолчанию.
В поле IP-адреса без ограничений можно задавать IP-адреса хостов. Для пользователей, работающих с данных IP-адресов, не будут применяться аутентификация и черные списки доступа.
В поле Заблокированные IP-адреса можно задавать IP-адреса хостов. Запрещенный хост не сможет пользоваться услугами данного прокси.
Фильтрация по портам назначения
Настройки данного типа фильтрации доступны в разделе Службы -> Веб-прокси -> Администрирование, вкладка Перенаправляющий прокси, пункт меню Список управления доступом, поле Разрешенные TCP-порты назначения.
При указании портов, можно использовать диапазоны, например:
222–226
И добавлять комментарии, разделяемые двоеточием, например:
22:ssh
Примечание
Squid преднастроен таким образом, что разрешает проксирование запросов только к некоторому множеству портов, считающихся безопасными (указаны на скриншоте). Проксирование SSL/TLS-соединений методом CONNECT разрешено только для порта TCP/443.
Фильтрация по типу User Agent (по типу браузера)
Настройки данного типа фильтрации доступны в разделе Службы -> Веб-прокси -> Администрирование, вкладка Перенаправляющий прокси, пункт меню Список управления доступом, поле Блокировать browser/user-agent строки.
При указании User Agent строк, можно использовать синтаксис регулярных выражений.
Регулярное выражение:
^(.)+Macintosh(.)+Firefox/37\.0
даст совпадение с версией Firefox revision 37.0 для Macintosh
Регулярное выражение:
^Mozilla
даст совпадение с всеми браузерами на базе Mozilla
Фильтрация по типу контента (по MIME-типам)
Настройки данного типа фильтрации доступны в разделе Службы -> Веб-прокси -> Администрирование, вкладка Перенаправляющий прокси, пункт меню Список управления доступом, поле Блокирировать ответы с конкретным MIME-типом.
MIME-тип можно указывать в синтаксисе регулярных выражений.
Регулярное выражение:
video/flv
даст совпадение с Flash Video
Регулярное выражение:
application/x-javascript
даст совпадение с Java-скриптами
Фильтрация по URL (по общим белым и черным спискам)
Порядок обработки списков
При использовании базовой фильтрации, Traffic Inspector Next Generation предусматривает несколько списков доступа для нужд фильтрации по URL.
Списки, используемые для разрешения доступа, называются белыми. Списки, используемые для запрещения доступа, называются черными.
Поддерживаются удаленные списки, т.е. списки, скачиваемые по сети с определенного URL.
Для понимания результирующей политики доступа, важно знать о порядке обработки списков:
общий белый список
общий чёрный список
скачиваемые чёрные списки
Синтаксис регулярных выражений в списках
При указании URL в списках можно использовать синтаксис регулярных выражений, например:
Регулярное выражение:
mydomain.com
даст совпадение с URL *.mydomain.com
Регулярное выражение:
^https?:\/\/([a-zA-Z]+)\.mydomain\.
даст совпадение с URL http(s)://textONLY.mydomain.*
Регулярное выражение:
\.gif$
даст совпадение с *.gif но не с *.giftest
Регулярное выражение:
\[0-9]+\.gif$
даст совпадение с 123.gif но не с test.gif
Настройки данного типа фильтрации доступны в разделе Службы -> Веб-прокси -> Администрирование, вкладка Перенаправляющий прокси, пункт меню Список управления доступом.
В поле Белый список можно задать URL разрещенных ресурсов.
В поле Черный список можно задать URL запрещенных ресурсов.
Примечание
Общий белый список имеет приоритет перед общим черным списком.
Фильтрация по скачиваемым спискам
Рассмотрим пример фильтрации рекламы с помощью скачиваемого списка.
Пройдите в Службы -> Веб-прокси -> Администрирование и кликните на вкладку Удаленные списки контроля доступа. Далее, кликните на + в нижнем правом углу формы для создания нового списка. Укажите следующие значения:
Нажмите Скачать списки контроля доступа и применить.
Настройка фильтрации рекламы с помощью скачиваемого списка завершена.
Фильтрация нежелательных категорий сайтов
Рассмотрим пример фильтрации нежелательных категорий сайтов с помощью скачиваемого списка.
Для данного примера мы используем Список для веб-категоризации UT1 , поддерживаемый Фабрисом Прижаном из Тулузского университета и распространяемый под лицензией Creative Commons либо список
http://www.shallalist.de , бесплатный для личного использования.
Создайте скачиваемый список.
Нажмите Скачать списки контроля доступа
Повторно откройте созданный список на редактирование.
В разделе категории выберите необходимые категории.
Данный функционал позволяет настроить ограничение скорости доступа к ресурсам Интернет и доступен только при настроенном режиме Расширинной фильтрации веб-прокси.
Примечание
Данная настройка ограничивает скорость веб-прокси только при незашифрованном трафике http://