Описание одного из вариантов корректного применения политик безопасности к вложенной структуре пользователей - иерархическая структура профилей.
Last updated
Was this helpful?
Пример. Необходимо настроить профили Контроля приложений в соответствии с требованиями:
Всем пользователям запрещены компьютерные игры, контент для взрослых, майнинг и криптовалюты;
Доступ к социальным сетям разрешен только Отделу продвижения;
Доступ к стриминговым сервисам разрешен только Отделу маркетинга;
Доступ к музыкальным приложениям разрешен только Федору Федорову из Отдела маркетинга.
В описанном примере Федор Федоров - сотрудник Отдела маркетинга, а Отдел маркетинга - структурное подразделение Отдела продвижения:
Создайте профили в соответствии с условиями примера:
1. Перейдите в раздел Профили безопасности -> Контроль приложений, чтобы создать профиль, запрещающий доступ к социальным сетям, стриминговым сервисам, музыкальным приложениям, компьютерным играм, контенту для взрослых, майнингу и криптовалютам. Нажмите Добавить и введите название профиля:
2. Настройте добавленный профиль:
Выберите группы приложений, которые необходимо запретить (перечислены в описании примера);
Установите настройку Запретить и нажмите Применить в правом верхнем углу;
После применения действия нажмите Сохранить в левом нижнем углу.
3. Создайте профиль для Отдела продвижения, разрешающий доступ к социальным сетям. Для этого:
Отредактируйте клонированный профиль: поменяйте название (например, на Для Отдела продвижения) и настройки доступа к приложениям (разрешите доступ к социальным сетям).
4. Аналогично создайте профиль для Отдела маркетинга, разрешающий доступ к стриминговым сервисам. Для этого клонируйте профиль Для Отдела продвижения, введите название (например, Для Отдела маркетинга) и разрешите в нем доступ к стриминговым сервисам.
5. Создайте профиль для Федора Федорова, разрешающий доступ к музыкальным сервисам. Для этого клонируйте профиль Для Отдела маркетинга и установите необходимые настройки.
В итоге должен получиться набор профилей, учитывающий настройки, описанные в примере:
Теперь необходимо создать и включить правила в Файрволе, чтобы применить настройки для конкретных групп пользователей и установить приоритет прохождения трафика:
1. Перейдите в раздел Правила трафика -> Файрвол -> FORWARD и нажмите Добавить.
2. Заполните поля:
Адрес источника - группа пользователей Все;
Действие - Разрешить;
Профили безопасности - Контроль приложений, профиль Запрет приложений;
3. Включите правило и нажмите Добавить.
4. Аналогично создайте правила для каждого профиля. При создании правила Файрвола укажите соответствующий профилю адрес источника. Например, при создании правила с профилем фильтрации Для Отдела маркетинга выберите в поле Адрес раздела Источник группу Отдел маркетинга:
5. Чтобы трафик проходил в соответствии с условиями примера, установите в Файрволе следующую последовательность правил:
Чем выше в таблице стоит правило, тем выше его приоритет. Разрешающее правило для сотрудника не сработает, если выше в таблице Файрвола находится правило, запрещающее трафик для отдела, в котором работает этот сотрудник.
6. Если в разделе Сервисы -> Защита и управление DNS включена опция Перехват пользовательских DNS-запросов, создайте правила INPUT для протоколов TCP и UDP с теми же профилями безопасности, источником и портом 53 в разделе Назначение. Это необходимо для инспекции перехваченного DNS-трафика, поскольку он направляется в INPUT.
Нажмите в столбце Управление на , а затем Доступ к приложениям;
Клонируйте созданный профиль, нажав на в столбце Управление;
