Проверка настроек фильтрации с помощью security ideco

При правильной настройке общий уровень защиты должен показывать зеленый цвет. Если это не так, проверьте с помощью этой статьи настройки Контент-фильтра и других служб фильтрации трафика.

Предварительная проверка

Перейдите в веб-интерфейс Ideco NGFW и убедитесь, что все описанные ниже службы включены и функционируют корректно.

Раздел Правила трафика

Эти службы полноценно работают только при активной подписке на обновления Ideco NGFW. Для проверки статуса вашей лицензии и модулей, которые в неё входят, откройте раздел Управление сервисом -> Лицензия.

Раздел Сервисы

1. Откройте раздел Сервисы -> Прокси -> Исключения.

2. Убедитесь, что в типе Сеть источника нет сети, к которой относится IP-адрес вашего компьютера при входе на сайт security.ideco.ru.

3. В типе Сеть назначения:

  • Не должно быть неизвестных сетей;

  • Не используйте сеть с маской, которая включает в себя большое количество адресов.

Если ресурсы исключены в Прокси-сервере, они также не будут проверяться Контент-фильтром. Подробная информация о работе с исключениями представлена в статье.

Проверка настроек служб

Контент-фильтр

Правила Контент-фильтра должны запрещать следующие категории сайтов:

  • Анонимайзеры;

  • Ботнеты;

  • Фишинг/мошенничество;

  • Казино, лотереи, тотализаторы;

  • Порнография;

  • Список Минюста;

  • Астрология и гороскопы;

  • Знакомства;

  • Компьютерные игры;

  • Мультфильмы, аниме и комиксы;

  • Развлекательные новости и сайты про знаменитостей;

  • Онлайн-реклама и баннеры;

  • Торрент-трекеры.

Чтобы антивирус проверял HTTPS-трафик, необходимо создать правило расшифровки всего HTTPS-трафика для пользователей. Это правило будет применяться, в том числе к тем, кто проверяет настройки на сайте security.ideco.ru.

Проверьте, что Контент-фильтр работает. Для этого перейдите с компьютера пользователя на сайт: sex.com. Если фильтр работает, то отобразится страница блокировки.

Контроль приложений

Для защиты от "пожирателей времени и трафика" создайте правила, которые будут блокировать доступ к следующим протоколам:

  • Bittorrent;

  • Steam;

  • Worldofwarcraft;

  • Mining.

Предотвращение вторжений

В этой службе должны быть активны следующие группы правил:

  • Анонимайзеры;

  • GeoIP страны Юго-Восточной Азии;

  • GeoIP территории Африки и зависимые территории;

  • GeoIP Южная Америка и зависимые территории;

  • Пулы криптомайнеров.

Некоторые правила системы работают с помощью блокировки DNS-запросов пользователей, поэтому, если используете Ideco NGFW в качестве прокси-сервера, убедитесь, что DNS-запросы также проходят через него (например, сделайте так, чтобы контроллер домена Active Directory резолвил имена через Ideco NGFW).

После изменений правил проведите повторное тестирование с помощью security.ideco.ru.

Last updated