Блокирование опасных сайтов с помощью наборов доменных имен и URL

За пределами сети существует бессчетное огромное количество угроз, которые, если предоставить им такую возможность, попробуют получить несанкционированный доступ к вашей сети и злоупотребить ее внутренними ресурсами. Главным сторожем сетей являются брандмауэры, ограничивающие ненужный трафик и предотвращающие несанкционированный доступ. Многие организации для решения связанных с этим заморочек употребляют ISA Server 2006.

Кроме угроз есть и другие задачи. Сотрудники могут растрачивать много времени на посещение не связанных с работой сайтов и ставить безопасность сети под опасность, посещая вредные веб-сайты.

Политика многих организаций воспрещает схожую деятельность в Вебе для тех, кто пользуется компьютерными ресурсами компании. Сетевым админам необходимо уметь держать под контролем доступ к таким ресурсам, также уметь перекрыть доступ к ненужным веб-сайтам.

Наборы доменных имен в ISA Server 2006

Есть много методов достигнуть вышеуказанной цели, но в данный статье мы сконцентрируемся на использовании наборов доменных имен (Domain Name Sets) и наборов URL (URL Sets) для блокирования доступа к небезопасным либо ненужным веб-сайтам. Все типы клиентов ISA Server могут использовать наборы доменных имен для блокирования доступа. Но только клиенты Web Proxy и Firewall могут обеспечивать контролируемость на групповом либо пользовательском уровне.

Наборы доменных имен позволяют вам перекрыть доступ к целому веб-сайту, к примеру, espn.com. Если вы создадите набор при помощи таковой записи: *.espn.com, вы заблокируете возможность юзерам посещать хоть какой веб-сайт в домене espn.com, после этого вам не будет необходимо волноваться о юзерах, разглядывающих целыми деньками спортивную статистику. Аналогично создается набор записью *.playboy.com, и юзеры больше не могут посещать веб-сайты в домене playboy.com, не будут просматривать ненадлежащие материалы, способные привести к сексапильным домогательствам либо другим дилеммам с персоналом.

Вы также сможете использовать наборы доменных имен для более подробного блокирования доступа, указывая определенный сервер домена. К примеру, вы сможете сделать запись www3.espn.com, тогда и сервер www3.espn.com будет заблокирован, при всем этом другие серверы домена espn.com останутся доступны.

Наборы доменных имен используются ко всем протоколам и типам клиентов. Другими словами, когда создается запись в наборах доменных имен, весь доменный трафик блокируется вне зависимости от типа клиента ISA Server 2006. Если же вас заинтересовывают только веб-соединения, а не все сетевые протоколы, вы сможете перекрыть доступ при помощи наборов URL.

Наборы URL в ISA Server 2006

Наборы URL подобны наборам доменных имен кроме того, что наборы URL заблокируют только доступ для веб-соединений. Чтоб наборы URL были эффективны, соединения должны идти через протокол HTTP либо HTTPS (FTP-серверы, настроенные как клиенты Web Proxy, также можно перекрыть) и управляться через фильтр Web Proxy.

К примеру, вы сможете сделать набор URL при помощи записи hotmail.com, и сделать правило для блокирования доступа к hotmail.com при использовании хоть какого протокола. Пробы получить доступ к hotmail.com при помощи веб-браузера будут блокированы, но юзеры с настроенными клиентами POP3 либо SMTP все равно сумеют получать почту с hotmail.com, потому что набор URL применяется только к сессиям HTTP, HTTPS и FTP через Web Proxy (HTTP-туннелирование).

Принципиально держать в голове о разнице меж наборами доменных имен и наборами URL. Наборы URL позволяют вам более четко ограничивать доступ, перекрыть трафик к определенным URL через протоколы HTTP и HTTPS, если клиент устанавливает соединения через фильтр Web Proxy. Напротив, наборы доменных имен работают более поверхностно, заблокируя доступ к доменам вне зависимости от протокола и типа клиента.

Создание правил доступа

Для того, чтоб наборы доменных имен и наборы URL заработали, нужно сделать правила доступа. Набор URL либо набор доменных имен можно сделать как функцию в мастере Access Rule Wizard. Чтоб сделать правила доступа для подходящего набора доменных имен либо URL проделайте последующее:

Откройте консоль управления ISA Server 2006 management console
Разверните имя сервера и изберите Firewall Policy
Щелкните на вкладку Tasks в панели Task
Изберите Create a New Access Rule
Введите имя для правила доступа. В этом случае введите Block ESPN и щелкните Next
Изберите Deny на страничке Rule Action и щелкните Next
Выбор на страничке Protocols будет зависеть от того, желаете ли вы сделать набор доменных имен либо набор URL – В случае набора доменных имен изберите All Outbound Traffic – Для набора URL изберите Selected Protocols и отметьте HTTP и HTTPS (и, может быть, FTP, если вам это требуется)
Щелкните Next
Щелкните Add на страничке Access Rule Sources
Щелкните на Networks и изберите Internal, после этого щелкните Close
Щелкните Next
Изберите Add на страничке Access Rule Destinations
На страничке Add Network Entities изберите требуемое – Domain Name Set либо URL Set
Введите заглавие для набора доменных имен либо набора URL в диалоговом окне
Щелкните New и добавьте домен, к которому вы желаете ограничить доступ – в этом случае это *.espn.com
Щелкните OK

Не запамятовывайте, что правила доступа обрабатываются поочередно. Удостоверьтесь, что новые правила и все другие ограничивающие правила перемещены в начало перечня. Смысл в том, чтоб запрещающие правила обрабатывались до разрешающих.

Определение того, что необходимо перекрыть

Возможность перекрыть ненужные и потенциально небезопасные веб-сайты – отлично, но существует огромное количество – тыщи, может быть, 10-ки тыщ веб-сайтов, которые можно было бы заблокировать. Пробовать заблокировать полностью все такие веб-сайты глупо.

Вероятным вариантом здесь будет мониторинг использования Веба, определение, на какие небезопасные веб-сайты заходят юзеры, после этого блокирование только этих веб-сайтов. Но таковой подход довольно скучен и занимает достаточно много времени. Может потребоваться отдельный сотрудник просто для отслеживания журнальных данных и сотворения правил, блокирующих доступ к ненужным доменам.

Есть возможность импортировать списки узнаваемых ненужных либо вредных доменов при помощи TXT-файлов либо XML-файлов. Этот способ достаточно эффективен, он позволяет просто и стремительно заблокировать огромное количество ненужных веб-сайтов. Но такие списки не всеобъемлющи. В их полностью могут отсутствовать веб-сайты, часто посещаемые вашими юзерами, что возвращает к необходимости мониторинга, хотя бы от варианта к случаю.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.