Product: SWG
Version: 7.5.x
С помощью правил фильтрации контента вы можете разрешить или запретить определенный контент, передаваемый по протоколам HTTP и HTTPS (если настроено инспектирование HTTPS). UserGate SWG может блокировать HTTPS-трафик без дешифрования контента, но только в случае применения правил блокирования по категориям контентной фильтрации UserGate SWG URL filtering или по спискам URL, в которых указаны только имена узлов. В этих случаях UserGate SWG использует SNI (Server Name Indication), а при отсутствии SNI — название узла из SSL-сертификата из пользовательских запросов для определения домена.
В качестве условий правила могут быть использованы параметры:
-
Пользователи и группы.
-
Наличие на веб-страницах определенных слов и выражений (морфология).
-
Принадлежность сайтов категориям.
-
URL.
-
Зона и IP-адрес источника.
-
Зона и IP-адрес назначения.
-
Тип контента.
-
Информация о реферере.
-
Время.
-
User agent браузера пользователя.
-
HTTP-метод.
-
Результат проверки подлинности браузера. Подробнее — в разделе «Работа с доверенными браузерами».
ПримечаниеФлажок «Инвертировать» меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).
Правила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Срабатывает только первое правило, в котором выполняются все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Вы можете изменить порядок правил в списке с помощью мыши или с помощью значков «Выше», «Ниже», «Наверх», «Вниз» в панели инструментов.
ПримечаниеЕсли запрещающее правило является более общим по сравнению с разрешающими правилами, то запрещающее правило отработает перед разрешающими, несмотря на порядок расположения. В итоге, запрещающее правило нужно делать более специфичным, чтобы порядок отрабатывался корректно.
ПримечаниеЕсли не создано ни одного правила, передача любого контента разрешена.
Чтобы создать правило контентной фильтрации, перейдите в раздел Настройки ➜ Политики безопасности ➜ Фильтрация контента, нажмите Добавить и укажите необходимые параметры.
|
Параметр
|
Описание
|
|
Включено
|
Включение или отключение правила
|
|
Название
|
Название правила
|
|
Теги
|
Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги»
|
|
Описание
|
Описание правила
|
|
Действие
|
Действие правила:
-
Запретить — блокировать веб-страницу.
-
Предупредить — предупредить пользователя о том, что страница нежелательна для просмотра. Пользователь сам решает, отказаться от просмотра или нет. Запись о просмотре страницы заносится в журнал.
-
Разрешить — разрешить просмотр веб-страницы
|
|
Записывать в журнал правил
|
При активации этой опции информация о срабатывание правила будет регистрироваться в соответствующем журнале статистики
|
|
Проверять потоковым антивирусом UserGate
|
Доступно только для правил с действием Запретить, т. е. при наличии вируса на странице ресурс будет запрещен. Если в правиле присутствуют другие условия (категории, время, и т. д.), антивирусная проверка будет выполняться только при совпадении всех условий правила
|
|
Сценарий
|
Выбор сценария, который должен быть активным для срабатывания правила. Подробнее о работе сценариев — в разделе «Сценарии».
Важно! Сценарий является дополнительным условием. Если сценарий не активировался (не сработал ни один из триггеров сценария), правило не сработает
|
|
Страница блокировки
|
Выбор страницы блокировки, которая будет показана пользователю при блокировке доступа к ресурсу. Вы можете использовать внешнюю страницу, указав Использовать внешний URL, либо указать страницу блокировки на UserGate SWG. В последнем случае можно выбрать желаемый шаблон страницы блокировки, который создается в разделе «Шаблоны страниц»
|
|
Источник
|
Зона, списки IP-адресов, списки GeoIP-адресов, списки URL источника трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Важно! Максимальное количество GeoIP, которое может быть указано: 15.
Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов или доменов
|
|
Назначение
|
Зона, списки IP-адресов, списки гео IP-адресов, списки URL назначения трафика.
Список URL должен включать только имена доменов.
Важно! Строки с символом «*» в таких списках не работают (игнорируются).
Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса.
Важно! Максимальное количество GeoIP, которое может быть указано: 15.
Обработка трафика происходит по следующей логике:
-
условия объединяются по ИЛИ, если указаны несколько списков IP-адресов или доменов;
-
условия объединяются по И, если указаны GeoIP и списки IP-адресов или доменов
|
|
Пользователи
|
Список пользователей, групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства»
|
|
Категории
|
Списки категорий UserGate URL filtering 4.0. Использование категорий требует наличия специальной лицензии. UserGate URL filtering 4.0 — это крупнейшая база электронных ресурсов, разделенных для удобства работы на категории.
Вы можете переопределить категорию для любого сайта, на который, по вашему мнению, категория назначена не верно или не назначена совсем. Подробнее о процедуре изменения категории сайта — в разделе «Запросы в белый список»
Важно! Блокировка по категориям сайтов может быть применена к трафику HTTPS без его дешифрования. Страница блокировки в таком случае показана не будет.
|
|
URL
|
Списки URL. При наличии соответствующей лицензии доступны для использования списки URL, обновляемые разработчиками UserGate. Вы также можете создавать собственные списки URL. Подробнее о работе со списками URL — в разделе «Списки URL»
Важно! Блокировка по спискам URL может быть применена к трафику HTTPS без его дешифрования, если в списках указаны только имена узлов (доменов). Страница блокировки в таком случае показана не будет.
|
|
Типы контента
|
Списки типов контента. Предусмотрена возможность управления видео контентом, аудио контентом, изображениями, исполняемыми файлами и другими типами. Вы также можете создавать собственные группы типов контента. Подробнее о работе с типами контента — в разделе «Типы контента»
|
|
Морфология
|
Список баз словарей морфологии, по которым будут проверяться веб-страницы. При наличии соответствующей лицензии для использования доступны словари, обновляемые компанией UserGate. Словари доступны на русском, английском, немецком, японском и арабском языках.
Вы также можете создавать собственные словари. Подробнее о работе с морфологическими словарями — в разделе «Морфология»
|
|
Время
|
Период, когда правило активно. Вы можете добавить необходимые временные интервалы в разделе «Календари»
|
|
Useragent
|
User agent пользовательских браузеров, для которых будет применено правило. Вы можете добавить необходимые user agent в разделе «User agent браузеров»
|
|
HTTP метод
|
Метод, используемый в HTTP-запросах. Как правило, это POST или GET
|
|
Рефереры
|
Список URL, в котором указаны рефереры (адреса страниц, с которых пользователь перешел к текущему ресурсу) для текущей страницы. Правило сработает, если для этой страницы реферер совпадет со списком указанных URL.
Функция часто используется, чтобы разрешить доступ к сетям CDN (Content Delivery Network) только посещая определенные сайты, но запретить открытие контента CDN напрямую
|
|
Доверенные браузеры
|
Проверка подлинности браузера для предоставления доступа к ресурсам. Выберите созданное ранее в разделе Настройки ➜ Пользователи и устройства ➜ Доверенные браузеры подключение к серверу регистрации доверенных браузеров. Подробнее о создании подключения к серверу регистрации доверенных браузеров — в разделе «Работа с доверенными браузерами»
|
|
Использование
|
Статистика срабатывания правила: общее количество срабатываний, время первого и последнего срабатываний.
Важно! При настроенном инспектировании данных, передаваемых по протоколам TLS/SSL, и срабатывании правила контентной фильтрации Default allow, созданного по умолчанию, счётчик будет срабатывать только для правила инспектирования SSL.
Чтобы сбросить счётчик срабатываний, выделите правила в списке и нажмите Сбросить счётчики
|
|
История
|
Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к этому правилу
|
