Меню

Url filter как настроить

Мой МеморизИТ

Заблокируем доступ Одноклассники и Вконтакте. Блокировать будем на нашем внутреннем интерфейсе Vlan100

Cisco фильтрация по URL : 8 комментариев

это всё хорошо но вот youtube уже https. а как заблочить его ?

Как вариант попробовать
class-map match-any blocked-content
match protocol http server «https://*youtube*

А ещё такой вопрос, как бы так сделать чтоб данный фильтр обходили скажем VIP клиенты из определённой ACL

И вот ещё что, при просмотре различных страничек с этим фильтром возникают тормоза ибо на них есть всякие кнопки из соц сетей , а возможно не делать DROP а услать скажем либо локальный URL со страничкой access denied или просто текст access denied ? Простите меня ламера за такие вопросы я только начинаю работать с циской ) без всяких курсов итд приходится сразу в бой. Ибо циски поставили в срочном порядке вместо умершего dlink шлюза.

Артем, отпишитесь мне в icq либо на почту, попробуем решить вашу проблему….

строка №5 не прописывается.
policy-map необходимо где то заранее включать?

Добрый день
Спасибо за инструкцию, очень полезна
А как сделать так, что бы не блокировались сайты для какого-то конкретного ip, например компьютер босса?

Правильнее вынести диапазон в отдельный vlan и на уровне этого vlan не фильтровать…

Хотя… Можно попробовать объявить 2-й class-map с параметрами match source-addr 192.168.0.55 255.255.255.0 где 0.55 ip директора
ну и в policy-map
class url-boss
permit

Добавить комментарий Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Источник

9. Check Point Getting Started R80.20. Application Control & URL Filtering

Добро пожаловать на 9-й урок! После небольшого перерыва на майские праздники мы продолжаем наши публикации. Сегодня мы обсудим не менее интересную тему, а именно — Application Control и URL Filtering. То, ради чего иногда Check Point и покупают. Нужно заблокировать Telegram, TeamViewer или Tor? Для этого и нужен Application Control. К тому же мы затронем еще один интересный блейд — Content Awareness, а также обсудим важность HTTPS-инспекции. Но обо всем по порядку!

Как вы помните, в 7 уроке мы начали обсуждать политику Access Control, однако до сих пор мы затронули лишь блейд Firewall и немного поигрались с NAT-ом. Теперь добавим еще три блейда — Application Control, URL Filtering и Content Awareness.

Application Control & URL Filtering

Почему я рассматриваю App Control и URL Filtering в одном уроке? Это не спроста. На самом деле уже довольно трудно четко разграничить где есть приложение, а где есть просто сайт. Тот же facebook. Что это? Сайт? Да. Но в его состав входит множество микро приложений. Игры, видео, сообщения, виджеты и т.д. И всем этим желательно управлять. Именно поэтому, App Control и URL filtering всегда активируют вместе.

Теперь что касается базы приложений и сайтов. Посмотреть их можно в SmartConsole через Object Explorer. Там есть для этого специальный фильтр Applications/Categories. Кроме того, есть специальный ресурс — Check Point AppWiki. Там всегда можно посмотреть, есть ли в базе чекпоинта то или иное приложение (ну или ресурс).

Также есть сервис Check Point URL Categorization, там всегда можно проверить, к какой «чекпоинтовской» категории относится тот или иной ресурс. Можно даже запросить смену категории, если вы считаете, что она определяется неправильно.

В остальном с этими блейдами все довольно очевидно. Создаете аксес лист, указываете ресурс/приложение, которое нужно блокировать или наоборот разрешить. На этом все. Чуть позже мы увидим это на практике.

Читайте также:  Как настроить роутер mtu

Content Awareness

Не вижу смысла повторяться по этой теме в рамках нашего курса. Я очень подробно расписал и показал это блейд в предыдущем курсе — 3. Check Point на максимум. Content Awareness.

HTTPS Inspection

Аналогично с HTTPS инспекций. Я довольно неплохо расписал и теоретическую и практическую часть этого механизма здесь — 2.Check Point на максимум. HTTPS-инспекция. Однако HTTPS инспекция важна не только для безопасности, но и для точности определения приложений и сайтов. Об этом рассказывается в видео уроке ниже.

Видео урок

В данном уроке я подробно расскажу про новую концепцию Layer-ов, создам простейшую политику блокировки Facebook, сделаю запрет на скачивания исполняемых файлов (с помощью Content Awaress) и покажу как включить HTTPS инспекцию.

Stay tuned for more and join our YouTube channel 🙂

Источник

Записки IT специалиста

Технический блог специалистов ООО»Интерфейс»

  • Главная
  • Squid — настраиваем URL-фильтрацию по спискам.

Squid — настраиваем URL-фильтрацию по спискам.

Перед многими системными администраторами встает вопрос ограничения доступа пользователей к тем или иным ресурсам сети интернет. В большинстве случаев в ресурсоемкой и сложной контент фильтрации нет необходимости, вполне достаточно URL-списков. Реализовать такой метод вполне возможно средсвами прокси-сервера squid не привлекая стороннего ПО.

Метод «черных» и «белых» списков идеально подходит для ограничения доступа к ресурсам, адреса которых заранее известны, но по какой-либо причине являются нежелательными, например социальные сети. По сравнению с контентной фильтрацией такой способ имеет множество недостатков, но с другой стороны он гораздо проще в реализации и требует гораздо меньше вычислительных ресурсов.

Эффективность данного метода следует рассматривать с точки зрения поставленной задачи, так если требуется заблокировать для сотрудников соцсети и ряд развлекательных ресурсов, на которых они проводят больше всего времени, то фильтрация по URL-спискам способна полностью решить эту проблему. В тоже время такая фильтрация окажется малоэффективной, если нужно ограничить доступ к любым ресурсам определенного содержания.

В дальнейшем мы будем подразумевать, что читатель обладает начальными навыками администрирования Linux. Также напомним, что все приведеные ниже команды следует выполнять от супрепользователя.

Прежде всего создадим файл списка. Располагаться он может в любом месте, но будет логично разместить его в конфигурационной директории squid — /etc/squid (или /etc/squid3 если вы используете squid3)

и приступим к его заполнению. При указании URL следует использовать RegExp синтаксис, мы не будем подробно останавливаться на этом вопросе, так как это выходит за рамки статьи, подробнее с правилами RegExp можно ознакомиться здесь. Для примера заблокируем популярные соцсети:

Обратите внимание, точка в RegExp является служебным симоволом и поэтому должна быть экранирована символом \ (обратный слеш).

В конфигурационном файле squid (/etc/squid/squid.conf) создадим acl список, в который включим хосты или пользователей, для которых будет производиться фильтрация.

В нашем случае фильтрация включена для всех хостов в диапазоне адресов 10.0.0.100-199, т.е. мы будем фильтровать интернет только для определенной группы пользователей.

Затем подключим наш список:

Ключ -i указывает на то, что список нечувствителен к регистру.

Теперь перейдем в секцию правил и перед правилом

Еще раз обратим ваше внимание, что все правила в squid обрабатываются последовательно, до первого вхождения, поэтому если мы разместим более общее правило перед более частным, то оно работать не будет. То же самое справедливо и для перекрывающихся правил — сработает самое первое.

Сохраним изменения и перезапустим squid:

Попробуем посетить сайт из списка, если все сделано правильно, то вы увидите сообщение squid о запрете доступа к данному ресурсу.

Читайте также:  Как настроить очередь треков

В дальнейшем вы можете дополнять списки, не забывая каждый раз после этого перезапускать squid.

Рассмотрим немного иную ситуацию, требуется фильтровать интернет для всех, кроме определенной группы. В этом случае создадим acl для исключенных пользователей:

и изменим запрещающее правило следующим образом:

Также вы можете использовать несколько URL-списков и списков доступа, гибко регулируя доступ для разных групп пользователей.

Вернемся к регулярным выражениям. Допустим, что нам нужно заблокировать не ресурс целиком, а его часть, тогда составим строку таким образом, чтобы она обязательно содержала нужную часть адреса, например строка:

Заблокирует доступ к социальной сети Мой мир, но не будет препятствовать доступу к Майл.ру.

В качестве строки можно использовать не только доменное имя, но и его часть. Так если мы внесем в список простую строку

то это приведет к блокировке всех ресурсов, у которых данное сочетание входит в доменное имя, т.е. и mail.ru и hotmail.com. Поэтому к составлению списков, особенно содержащих короткие простые сочетания, нужно подходить осторожно.

Рассмотрим простой, но показательный пример. Допустим нужно заблокировать известный сайт auto.ru и его поддомены. Если мы, не долго думая, напишем

То вместе с требуемым порталом будут заблокированы все сайты имеющие данное сочетание в имени, например abc-auto.ru. Есть о чем задуматься. Если с поддоменами все просто, достаточно написать

и все что содержит точку перед искомым адресом будет заблокировано, то с основным доменом сложнее, самое время вспомнить про полный формат адреса:

Теперь будут заблокированы только адреса начинающиеся с http://auto.ru, конструкция (www\.)? обозначает, что префикс www c точкой могут быть, а могут не быть. Зато другие сайты, содержащие auto.ru будут нормально открываться.

Напоследок рассмотрим еще одну ситуацию, как сделать, чтобы на заблокированом сайте были доступны некоторые страницы. Например, страничка компании в Вконтакте или вы хотите обезопасить определенные адреса от случайного попадания под фильтр в будущем. Для этого следует добавить к системе «белый» список. Создадим файл списка:

внесем в него нужные адреса, для примера разблокируем страничку Вконтакте новостного портала Утро.ру:

и добавим правило перед запрещающим, в итоге должно получиться:

Так как разрешающее правило расположено раньше, то указанные в «белом» листе ресурсы будут доступны, несмотря на то, что будут попадать под правила «черного».

Как видим, технология URL-фильтрации по спискам при помощи squid очень проста и позволяет в кратчайшие сроки ограничить доступ к нежелательным ресурсам, ниже приведен набор используемых нами списков, которыми вы можете воспользоваться.

Источник



Url filter как настроить

Доступ к сайтам контролируется URL-фильтром. URL-фильтр позволяет оградить пользователя от посещения нежелательных интернет-ресурсов. Чтобы настроить URL-фильтр, вы можете выбрать отдельные сайты или категории сайтов.

При попытке открыть сайт из списка запрещенных, вы увидите страницу блокировки.

URL-фильтр поддерживает встроенный браузер Android, а также браузеры Google Chrome, Яндекс.Браузер, Microsoft Edge, Firefox, Opera, Adblock Browser, Dolphin Browser, Спутник и Boat Browser.

На главном экране приложения выберите опцию URL-фильтр (см. Рисунок 16 ).

URL-фильтр может запросить доступ к специальным возможностям Android. Доступ необходим для корректной работы URL-фильтра в установленных браузерах. Без доступа URL-фильтр не сможет работать.

Рисунок 16. URL-фильтр

Dr.Web позволяет выбрать определенные категории сайтов, доступ к которым должен быть запрещен. Раскройте список Категории сайтов и выберите нужные категории:

• Сайты для взрослых;

Выбирая эту категорию, вы включаете семейный поиск в поисковых системах Google, Yandex, Bing, Yahoo и Rambler. Это значит, что из результатов поиска будут полностью исключены материалы «для взрослых».

Читайте также:  Rd client ipad как настроить

• URL, добавленные по обращению правообладателя;

• Пулы для добычи криптовалют.

По умолчанию URL-фильтр запрещает доступ к сайтам, известным как источники распространения вирусов.

Белый и черный списки

Вы можете составить списки сайтов, доступ к которым разрешается или блокируется вне зависимости от остальных настроек URL-фильтра. По умолчанию списки пусты.

Чтобы добавить сайт в белый или черный список

1. В окне URL-фильтра раскройте раздел Белый и черный списки .

2. Выберите список, в который вы хотите добавить адрес.

3. Нажмите значок в правом нижнем углу окна.

4. Укажите URL сайта в одном из перечисленных форматов:

Вы можете добавить только конкретные URL сайтов, добавление масок или ключевых слов не поддерживается.

5. Нажмите Добавить URL .

Если вы попытаетесь добавить URL, который уже есть в противоположном списке, вам будет предложено переместить его.

Разрешить доступ только к сайтам из белого списка

Включите эту опцию, чтобы просматривать только те сайты, которые вы занесли в Белый список . Доступ ко всем остальным сайтам будет запрещен.

При работе в режиме централизованной защиты настройки URL-фильтра могут быть изменены или заблокированы в соответствии с политикой безопасности вашей компании или списком оплаченных услуг.

Источник

Как настроить функцию фильтрации по IP адресам на беспроводном маршрутизаторе TP-Link

Если вы хотите ограничить число компьютеров, имеющих доступ в Интернет, вы можете воспользоваться функцией IP Address Filtering (Фильтрация по IP адресам).

Чтобы настроить фильтр, вам необходимо использовать статический IP адрес для вашего компьютера.

Откройте браузер и введите в адресную строку IP адрес маршрутизатора (по умолчанию 192.168.1.1 ). Нажмите Enter (Ввод).

Введите логин и пароль для входа в web -интерфейс, по умолчанию и логин, и пароль admin .

Нажмите Security -> Firewall (Безопасность -> Брандмауэр) в левой части страницы.

Выберите Enable Firewall (Включить брандмауэр), затем укажите Enable IP Address Filtering (Включить фильтрацию по IP адресам).

Если вы хотите разрешить доступ в Интернет только нескольким компьютерам, выберите Deny the packets not specified by any filtering rules to pass through the router (Отклонить пакеты, не указанные в правилах фильтрации). Те компьютеры, IP адреса которых указаны в правилах, будут иметь доступ в Интернет. Если вы хотите запретить доступ указанным компьютерам, выберите Deny these PCs with enabled rules to access the Internet (Запретить компьютерам, указанным в правилах, доступ в Интернет).

Нажмите Save (Сохранить), чтобы сохранить настройки.

Нажмите Security -> IP Address Filtering (Безопасность -> Фильтрация по IP адресам) в левой части страницы.

Нажмите Add New (Добавить), чтобы создать и настроить правило.

Введите IP адрес компьютера, которому вы хотите разрешить доступ в Интернет, в соответствующее поле. Активируйте правило.

Если вы хотите разрешить доступ в Интернет другим компьютерам, нажмите Add New (Добавить), чтобы создать новое правило. Если IP адреса компьютеров идут по порядку, вы можете указать эти IP адреса в виде массива, например 192.168.1.10-192.168.1.20 .

Если вы хотите, чтобы на данном компьютере только открывались Интернет-страницы и сервисы, установите номер порта в графе WAN Port ( WAN Порт). Например, вы хотите сделать так, чтобы компьютер с IP адресом 192.168.1.10 мог открывать web -страницы, установите 80 в поле WAN Port , поскольку номер порта для просмотра web – 80.

Нажмите Save (Сохранить), чтобы сохранить настройки.

Теперь компьютерам, IP адреса которых прописаны в правилах, будет предоставлен доступ в Интернет. Если вы указали номер порта WAN , компьютер будет иметь доступ только к тем сервисам, для которых установлены порты.

Источник