Дом ру фильтрация контента настройка

Обновлено: 06.07.2024

«Использование облачных технологий позволяет нашим клиентам получить услугу с «доставкой в офис», минимизирует временные и денежные затраты. Подключая услуги, клиент получает гарантию, что пользуется наиболее востребованными и современными телеком-решениями», - комментирует руководитель межрегиональной службы корпоративных проектов компании «ЭР-Телеком» Елена Венцлавович.

«Услуга проста и интуитивно понятна. Доступ ко всем настройкам есть в «личном кабинете» на сайте, в который можно зайти из любой точки, подключенной к интернету. Настроить переадресацию и другие опции можно самостоятельно за считанные минуты», - отмечает генеральный директор компании «Домашние отели Петербурга» Павел Махорин из Санкт-Петербурга.

что.. прям в Чебоксары уже работает и можно подключиться?) а ценник?) что.. прям в Чебоксары уже работает и можно подключиться?) а ценник?) что.. прям в Чебоксары уже работает и можно подключиться?) а ценник?)

Применение технологий IP-телефонии позволяет операторам значительно снизить стоимость звонков и предоставлять различные интеллектуальные сервисы. Разнообразие решений в этой области позволяет подобрать наиболее выгодный для клиента вариант исходя из его потребностей. Например, в рамках IP-телефонии клиент может получить как стационарный телефон, так и виртуальный продукт – облачную АТС. По данным аналитиков, рынок облачных АТС ежегодно демонстрирует двукратный рост. Это говорит о растущей востребованности решений на базе IP-телефонии в корпоративном сегменте и свидетельствует об изменении отношения российского бизнеса к ИКТ-инновациям в целом.

Весеннее предложение для бизнеса – это объединение в комплекс нескольких телеком-услуг. Использование пакетных решений позволяет предпринимателям и руководителям компаний эффективно оптимизировать бизнес-процессы, получая услугу от одного оператора. Это снижает стоимость услуг, а также упрощает документооборот и отчетность. Решения в пакете позволяют постоянно оставаться на связи с партнерами и клиентами, а так же связать все филиалы и всех сотрудников в единую сеть, что особенно актуально для компаний с широкой филиальной сетью.

Современный руководитель постоянно находится в движении – встречи, командировки, деловые поездки – обычное дело. Но даже во время отпуска ответственность за эффективную работу бизнеса с руководителя не снимается, важно быть в курсе происходящего в офисе и держать руку на пульсе. Современные телекоммуникационные технологии позволяют даже в отпуске быть уверенным в бесперебойности функционирования компании. Возможность удаленного управления бизнесом, предусмотренная облачными сервисами, позволяет обеспечить непрерывность работы и контролировать бизнес-процессы из любой точки мира.

Среди крупнейших клиентов услуги облачного видеонаблюдения сегодня можно выделить торговые и бизнес-центры. В торговых центрах видеонаблюдение в облаке используется не только в целях безопасности, но и для решения бизнес-задач: управления клиентопотоком с помощью счетчика клиентов, мониторинга обслуживания покупателей, планирования рекламных активностей и оптимизации мерчандайзинга. Также услуга предусматривает функцию записи разговоров и доступ к видеоархиву в течение 30 дней, что может быть использовано при анализе конфликтных ситуаций.

В сегменте SMB облачная АТС может использоваться, например, в туристическом бизнесе, где роль бесперебойной телефонии в процессе работы менеджеров крайне высока. Многоканальный номер позволяет клиентам легко дозвониться и получить консультацию в любое время. Управление маршрутизацией вызовов, статистика и анализ трафика доступны в «личном кабинете» абонента. Для оценки качества работы менеджеров реализована функция записи разговоров. А благодаря голосовой почте ни один клиент не останется без внимания.

«Сегодня темп жизни все убыстряется. Руководители стали очень мобильны, подвижны. Они встречаются со своими коллегами, они много ездят в командировки, они ездят отпуск, в результате возникает необходимость постоянного удаленного контроля, как одного из важных факторов управленческого цикла. Потому что когда теряется контроль, снижается эффективность сотрудников. Современные технические средства и возможности позволяют осуществлять дистанционный контроль в непрерывном режиме.

Объем предоставляемой дополнительной скидки на абонентскую плату при подключении услуги «Доступ в Интернет» зависит от сроков действия контракта и может быть рассчитан на 6 или 12 месяцев:
- 15% скидка предоставляется на ежемесячную абонентскую плату при заключении договора на 6 месяцев;
- 20% скидка на ежемесячную абонентскую плату при заключении договора на 12 месяцев;

Объем дополнительной скидки, предоставляемой в рамках специального предложения при подключении услуги «Доступ в Интернет», зависит от сроков действия контракта и может быть рассчитан на 6 или 12 месяцев:
- 15% скидка предоставляется на ежемесячную абонентскую плату при заключении договора на 6 месяцев;
- 20% скидка на ежемесячную абонентскую плату при заключении договора на 12 месяцев.

Акция предназначена для компаний, сотрудники которых совершают большое количество междугородних и международных звонков. В первую очередь, это федеральные торговые сети, логистические предприятия, региональные представительства российских и зарубежных компаний, гостиничный и туристический бизнес.

Простой и удобный интерфейс позволяет клиенту в интерактивном режиме подобрать подходящий набор услуг, выбрав оптимальное количество минут телефонии по нужным направлениям и необходимую скорость интернета. Конфигурации пакетов включают безлимитные вызовы на городские телефоны, облачную АТС, потоковую телефонию E1 с неограниченным количеством вызовов и SIP-телефонию с неограниченным количеством номеров.

Родительский контроль с помощью роутера

Интернет несет в себе множество соблазнов, поэтому желание родителей как-то обезопасить детей от «тлетворного влияния» всемирной паутины вполне понятно. В то же время, полностью запрещать Интернет — не лучший выход: в сети много полезной и важной информации. К счастью, отделить «полезный» Интернет от «вредного» вполне возможно и для этого достаточно правильно настроить роутер, раздающий дома Wi-Fi.

Что лучше — роутер или специальные программы?

Для родительского контроля создано большое количество приложений, которые устанавливаются на компьютер или смартфон и не дают посещать с него сайты с сомнительным содержанием.

Некоторые брандмауэры и антивирусы тоже имеют функцию родительского контроля. За счет более глубокого вмешательства в системные процессы, они способны контролировать и ограничивать установку небезопасных программ, устанавливать лимиты времени работы и доступа к Интернет, блокировать доступ к приложениям, сайтам, социальным сетям, вести учет деятельности в сети и даже определять «нежелательные» слова в переписке, которую ведет ребенок.


Однако минусы у программ родительского контроля тоже есть. Во-первых, большинство из них платные. Во-вторых, смышленые дети исхитряются обойти блокировку. В-третьих, приложение защищает только то устройство, на которое установлено (а иногда защита и вовсе работает только в одном браузере). Стоит ребенку войти в сеть с другого телефона или компьютера — и никаких ограничений не будет.

Другое дело — родительский контроль на роутере. Он будет распространяться на все подсоединенные к нему устройства. И избавиться от этого контроля не так просто.

Что нужно знать для настройки роутера

Нужно понимать, что такое MAC-адрес и IP-адрес.

МАС-адрес — это уникальный физический адрес устройства, подключающегося к сети. Состоит из восьми пар цифр и букв (от a до f), разделенных двоеточием. Выглядит примерно как 4f:34:3a:27:e0:16.

IP-адрес — это сетевой адрес устройства в локальной сети или сети Интернет, он состоит из четырех чисел (от 0 до 255), разделенных точкой (например, 124.23.0.254).

Любое устройство, даже обесточенное, имеет МАС-адрес. IP-адрес устройство получает, когда подключается к сети. Очень часто роутеры выдают IP-адреса динамически, из незанятых. Утром устройство может получить один IP-адрес, а вечером — уже другой. А на другом роутере — вообще третий.

Можно использовать следующую аналогию: МАС-адрес — это ФИО человека, а IP-адрес — его прозвище в коллективе. «Иванов Иван Иванович», «Ванёк», «сынок» и «Иваныч» могут обозначать одного и того же человека, но «Иванов Иван Иванович» он всегда, а «сынок» — только для родителей.


МАС-адрес используется для физической идентификации клиента и именно по этому адресу настраивается фильтрация в маршрутизаторе. Разобраться, кого как зовут поможет вкладка «Клиенты» веб-интерфейса роутера — там обычно есть полный список подключенных устройств, МАС-адреса, сетевые имена и IP-адреса.


IP-адрес меняется, а MAC-адрес — нет. В принципе, его можно сменить, но на некоторых устройствах (смартфонах, некоторых сетевых картах, сетевых устройствах) это сделать довольно непросто.

Настройка роутера с помощью специальных вкладок родительского контроля

Родительский контроль — проблема весьма актуальная и производители роутеров массово оснащают прошивки своих устройств средствами для блокирования нежелательного контента. У роутеров D-link и ТР-Link блокировка настраивается через вкладку «Яндекс.DNS», а у TP-Link и Sagemcom вкладка называется «Родительский контроль».

Подобные вкладки есть и у других производителей, с особыми названиями и тонкостями — универсальной инструкции по настройке не существует.

Вкладка «Яндекс.DNS» роутеров D-link и TP-link использует бесплатную одноименную службу, о которой будет подробнее написано ниже. Вообще Яндекс.DNS можно использовать на любом роутере, но роутер D-link с новой прошивкой позволяет задать ограничения конкретным устройствам в сети.

С помощью этой вкладки можно оставить «полный» доступ только с определенных устройств, а все новые, входящие в сеть, будут входить в ограниченном режиме — например, в «детском». Для этого следует закрепить за «родительскими» устройствами определенные IP-адреса на странице LAN.


Затем на вкладке «Яндекс.DNS-Устройства и правила» выставить им правило «Без защиты».


На вкладке «Яндекс.DNS-Настройки» следует задать режим по умолчанию «Детский».


Готово. Теперь роутер позволяет смотреть всё подряд только разрешенным устройствам, а все остальные — под контролем.

У роутеров TP-link есть несколько версий прошивки с родительским контролем. В старых прошивках в этой вкладке можно создать черный или белый список сайтов и, в зависимости от выбранного режима работы, запретить доступ к сайтам в списке или, наоборот, разрешить доступ только к указанным в списке.


Фактически это просто URL-фильтр, который есть в любом роутере. Единственная разница — здесь можно задать МАС-адрес контролирующего компьютера, к которому правила родительского контроля применяться не будут.


На прошивках поновее можно также задать расписание включения контроля и задать список устройств, на которые будет распространяться контроль.


А вот новейшая прошивка TP-Link предоставляет побольше возможностей. Здесь уже можно к различным устройствам применить разные уровни фильтрации контента.


Настройки позволяют широко варьировать уровень фильтрации как по возрасту посетителей «всемирной сети» (Дошкольники, Школьники, Подростки, Совершеннолетние), так и по категориям контента (Материалы для взрослых, Азартные игры, Социальные сети и т. д.).


Функционал прошивки может поспорить и с некоторыми платными программами и сервисами. Здесь же можно настроить и расписание действия родительского контроля.

Вкладка «Родительский контроль» на роутерах Sagemcom скрывает обычный URL-фильтр без возможности определения клиентов, для которых он будет действовать и расписание доступности Интернета.


Расписание, в отличие от URL-фильтра, можно привязать к отдельным клиентам.

Настройка роутера без вкладок родительского контроля

Если вкладки «Родительский контроль» нет в веб-интерфейсе вашего устройства, нужно попробовать обновить прошивку. Если же и после обновления ничего похожего не появилось, придется обойтись штатными возможностями, которые есть во всех моделях маршрутизаторов — фильтрацией по URL и сменой адреса DNS-сервера.

Настройка URL-фильтра

URL-фильтр позволяет ограничить доступ к определенным сайтам по их именам.

В большинстве устройств URL-фильтр может работать одном из двух режимов: черного или белого списка. В режиме черного списка будут доступны все сайты, кроме перечисленных.


В режиме белого списка будут доступны только перечисленные сайты.


Поскольку перечислить все «неблагонадежные» сайты абсолютно нереально, чаще всего роутер настраивается по «жесткому» второму варианту. В качестве основы можно использовать какой-нибудь рекомендованный белый список и добавлять в него сайты по необходимости.

URL-фильтр удобен, если его действие можно применять или не применять к определенным устройствам в сети. Редкие роутеры позволяют гибко настраивать каждый разрешенный адрес на каждое устройство. Обычно маршрутизаторы позволяют задать как минимум список клиентов, на которых URL-фильтр не действует. Если и такой возможности устройство не предоставляет, вам придется менять настройки роутера каждый раз, как потребуется посетить сайт не из «белого списка». Это совсем неудобно и лучше воспользоваться другими функциями ограничения доступа.

Смена адреса DNS-сервера


Удобнее всего пользоваться такими сервисами, если настройки роутера позволяют задавать разный DNS-сервер для разных клиентов (или групп клиентов, или хотя бы сетей). Иначе вам, опять же, придется менять настройки роутера всякий раз, как вы увидите «заглушку» вместо нужного сайта.

В некоторых вариантах соединения с провайдером DNS-сервер задать невозможно — он предоставляется провайдером автоматически и в настройках соединения его просто нет. В этом случае можно попробовать задать его с помощью настроек DHCP-сервера роутера — DNS-сервер службы следует вписать в строку Primary DNS.


Из наиболее распространенных сервисов родительского контроля на основе DNS можно отметить Яндекс.DNS, OpenDNS и SkyDNS.

Яндекс.DNS — российский сервис, предоставляющий два уровня защиты — «безопасный» (без мошеннических сайтов и вирусов) и «семейный» (то же, плюс блокируются еще сайты для взрослых).


Для установки «безопасного» режима следует указать в качестве адреса DNS-сервера один из двух серверов Яндекса: 77.88.8.88 или 77.88.8.2. Для «семейного» режима адреса другие — 77.88.8.7 или 77.88.8.3.

Плюсы сервиса — отличная скорость, высокая эффективность и полная бесплатность. Минусы — нельзя настроить или добавить категории блокируемых сайтов. Социальные сети, например, не блокируются. Если вы хотите запретить ребенку доступ к «Вконтакте», вам придется использовать URL-фильтр в дополнение к Яндекс.DNS.

OpenDNS (он же Cisco Umbrella) — служба DNS-серверов, принадлежащая американской компании Cisco.


Кроме общедоступных DNS-серверов, OpenDNS предоставляет сервера с защитой от нежелательного содержимого. Например, Family Shield c защитой от сайтов для взрослых имеет адреса DNS серверов 208.67.222.123 или 208.67.220.123. А вот бесплатный вариант Home с возможностью настройки блокируемого контента в России недоступен — можно использовать только платный вариант Home VIP.

В плюсах у OpenDNS — платные варианты с возможностью конфигурирования. В минусах — нет безопасного варианта без фильтрации «взрослого» контента, да и фильтр нацелен, в основном, на обслуживание англоязычного сегмента Интернета, так что некоторые русскоязычные сайты для взрослых могут пройти сквозь фильтр.

SkyDNS — платный сервис фильтрации нежелательного контента. Приобретя аккаунт, вы получите богатые возможности по конфигурированию фильтра. Можно выбрать, сайты какой категории блокировать (тут и безопасность, и сайты для взрослых, и социальные сети, и игры, и многое другое), задать различные профили с разными настройками блокировок, установить расписание действия того или иного профиля, и многое другое.


Существует расширение для роутеров Zyxel, которое упрощает настройку сервиса и позволяет применять к разным устройствам в сети разные профили.


Это сильно расширяет возможности контроля и наблюдения — в личном кабинете сервиса можно получить полную статистику по сетевой активности из вашей сети.

Плюс сервиса — широчайшие возможности настройки. Минусы — кроме отсутствия бесплатных сервисов — ваш профиль должен быть привязан к статическому IP-адресу. Если провайдер выдает вам при подключении динамический IP-адрес (что происходит в 99,9% случаев) вам придется разбираться с конфигурированием DDNS на вашем роутере, подключать одну из служб DDNS и привязывать к ней ваш профиль. Или же подключать услугу статического IP у провайдера. Впрочем, на сайте SkyDNS есть описание настроек DDNS для большинства распространенных роутеров.

Как не позволить обойти родительский контроль

У многих людей любая попытка контроля вызывает желание его обойти, даже если в этом нет никакой реальной надобности, и ваши дети — не исключение. Самый строгая фильтрация Интернета будет абсолютно бесполезна, если вы оставите «лазейки» для её обхода.

Во-первых, смените имя и пароль доступа к веб-интерфейсу на что-нибудь посложнее стандартного admin/admin.

Во-вторых, имея физический доступ к роутеру, пароль на нем можно сбросить (правда, это ведет и к сбросу всех остальных настроек).

В-третьих, заблокируйте различные способы обхода блокировки. Tor Browser, например, без малейших проблем обходит любые сервисы на основе DNS. Единственный способ пресечь этот обход — жесткая фильтрация по белому списку.

Если вы фильтруете контент не для всей сети, а только для определенных устройств, то смена МАС-адреса моментально выведет гаджет вашего ребенка «из-под колпака».Наиболее сложен для обхода URL-фильтр в режиме «белого списка» для всей сети (без привязки к МАС-адресам), но подумайте — нужна ли такая жесткая блокировка? Ведь есть мобильные сети, общедоступные Wi-Fi сети и т. п. Если совсем «перекрыть кислород» ребенку, он может начать искать совершенно неподконтрольные вам способы получения информации — нужно ли вам это? В родительском контроле (и не только в нем) наилучший эффект дает именно «золотая середина».




Возможно, кто-то считает, что это исключительно российская новация. Вовсе нет. Практика фильтрации контента давно есть во многих странах, делается это по-разному. Например, во Франции министерство народного образования запустило автоматизированную и централизованную фильтрацию контента в школах на основании двух «чёрных списков»: в первом списке – порнографические ресурсы, во втором – расистские и антисемитские сайты. Он составлен в соответствии с общеевропейским проектом по развитию безопасного интернета (Safer Internet Action Plan).

В США «Акт о защите детей от интернета» был принят еще в 2001 году. Для фильтрации используются коммерческие фильтрующие программные пакеты, а в некоторых штатах — блокирование IP-адресов на уровне провайдера.

В Канаде в рамках проекта «Чистая связь» с 2006 года провайдеры, добровольно участвующие в программе, блокирует переход по ссылкам из «черного списка», который формируется аналитиками Канадского центра по защите детей (Canadian Centre for Child Protection). Провайдеры сами решают, как блокировать контент — по IP-адресу или доменному имени, а Sasktel BellCanada и Telus принципиально блокируют только ссылки, чтобы избежать случайного блокирования ресурсов, не содержащих запрещенного контента.

Большинство поисковых систем в Германии — Google, Lycos Europe, MSN Deutschland, AOL Deutschland, Yahoo!, T-Online и T-info — присоединились к соглашению «Добровольный самоконтроль для мультимедийных сервис-провайдеров». Они фильтруют интернет-сайты на основе списка, который определяется Федеральным департаментом по медиаресурсам, вредным для молодежи.

Самые жесткие меры в Европе установлены в Великобритании. Запрещенный интернет-контент блокируется на уровне операторов связи на основе стандарта Home Office Taskforce on Child Protection on the Internet. Кроме того, британское законодательство обязывает провайдеров отчитываться о том, принимают ли они меры по пресечению доступа к запрещенным интернет-сайтам. Интернет-провайдеры даже передают информацию в «Фонд интернет-наблюдения» (Internet Watch Foundation, IWF) и полицию о подозрительных пользователях и сетевых конференциях. Правда, это касается только распространения детской порнографии, которую в Англии фильтруют на уровне провайдеров для всех. Или, по крайней мере, пытаются.

Контентная и url-фильтрация необходима не только в библиотеках, школах и университетах, где делать это нужно обязательно.

Уже давно большинство компаний старается закрыть доступ к развлекательным ресурсам и социальным сетям для своих сотрудников. Нет нужды объяснять — почему. С другой стороны, делать это необходимо с умом. Ведь доступ к Facebook и LinkedIn для HR, PR и сотрудникам отдела продаж нужен для повседневной работы. Да, полностью закрыть доступ к ресурсам, которые в компании считаются нежелательными для посещения, нельзя. Можно обойти эти запреты, выходя в интернет со смартфона или планшета. Но хотя бы не через корпоративную сеть.

Для простоты рассмотрим настройки фильтрации контента на примере обычной школы. Настройка модуля NetPolice и правил пользователей по типу, группе и категории для любой другой организации происходит аналогично.

Что нам нужно сделать? Запретить для всех доступ к сайтам из списка Росреестра, настроить школьникам доступ только по разрешенным категориям, а учителям — доступ по всем категориям, кроме запрещенных.

1. Начинаем с создания групп пользователей. В нашем случае это группы «Учителя» и «Школьники». Разумеется, в компании необходимо будет создать больше групп: «Руководители», «Сотрудники», «PR», «HR» и так далее. Принцип создания групп пользователей тот же, что и в нашем примере.

Для создания группы пользователей переходим в раздел консоли управления «Пользователи и группы». В блоке «Пользователи и группы» во вкладке «Действия» нажимаем на ссылку «Добавить группу»:


2. Сначала создаём группу «Учителя»:


3. Теперь создаём правила для пользователей при помощи модуля NetPolice. В консоли управления переходим в раздел «Модули расширения – NetPolice – Правила» и добавляем его:


4. Называем правило «Запрет по категориям (учителя)» и выбираем категории запрета:



5. создаём пользовательское правило и выбираем тип правила «Запретить доступ»:


6. В настройке правила выбираем группу «Учителя». На этом настройка для этой группы завершена:


7. Теперь переходим к созданию правил для группы «Школьники». Сначала (пусть это не покажется странным) нам необходимо запретить доступ ко всем ресурсам:




7. Добавляем правило, разрешающее пользователям работу с DNS (53 порт), чтобы выход в интернет был возможен. Для этого создаём правило «DNS-клиент», выбираем протоколы TCP/UDP и изменяем диапазон портов назначения на 53 порт:



8. Теперь добавляем пользовательское правило, разрешающее ученикам просмотр сайтов:


9. В отличие от группы «Учителя», которой разрешено посещать любые ресурсы, кроме запрещенных, пользователи из группы «Школьники» могут попасть только на определенные интернет-ресурсы:



10. Создаём новую категорию и подтверждаем автоматическое создание нового правила на разрешение:



11. И, наконец, настраиваем правило для работы с группой «Школьники».


12. Возвращаемся к настройкам групп пользователей, ведь нам еще необходимо, чтобы весь трафик проходил через прокси-сервер и блокировался при запросах мимо прокси.


13. Первыми в списке должны идти правила на разрешения. Для группы «Учителя» правило «Запрет по категориям (учителя)» добавляется автоматически:



Этим возможности Traffic Inspector не ограничиваются. Кроме контентной фильтрации мы можем, создав так называемый «черный» список, запретить доступ к определенным сайтам, которые могут не быть включены в уже запрещенные категории. Например, таким образом в компании можно запретить для определенных категорий сотрудников доступ к социальным сетям и развлекательным сервисам.

Подробнее о настройках «черного» списка здесь.

Введение

Как я уже сказал, про ИКС у меня уже были статьи:

Всю базовую информацию о продукте вы можете посмотреть в первой статье. Кратко поясню, что ИКС - это программный шлюз на базе Freebsd с поддержкой zfs. Всё управление выполняется через web интерфейс. В консоль вообще ходить не надо, только в самых крайних случаях. Всё управление и настройка проходят в браузере. Основной функционал ИКС:

  • Multi WAN с резервированием каналов.
  • Firewall с удобным управлением через браузер.
  • Прокси сервер с контролем доступа по группам, учет трафика, ограничение доступа.
  • Централизованное управление пользователями, группами пользователей, серверами ИКС.
  • Файловый сервер.
  • Почтовый и jabber сервер.
  • IP телефония.

Больше, чем где либо еще, ИКС актуален в образовательных учреждениях Российской Федерации. В нём можно настроить контентную фильтрацию в соответствии с требованиями прокуратуры, ФЗ №436 "О защите детей от информации, причиняющей вред их здоровью и развитию", №139 "О внесении изменений в Федеральный закон "О защите детей от информации, причиняющей вред их здоровью и развитию", №149 "Об информации, информационных технологиях и о защите информации", методическими рекомендациями Минпросвещения. С его помощью можно успешно пройти проверку учебной сети.

Интернет Контроль Сервер находится в едином реестре отечественного ПО. Его полнофункциональную версию можно попробовать в течении 35 дней. Дальше нужно будет приобретать лицензию. С калькулятором стоимости можно ознакомиться на сайте. Стоимость зависит от множества параметров, так как в состав продукта входят модули сторонних разработчиков (SkyDNS, Kaspersky), которые оплачиваются отдельно.

Стоимость ИКС

Далее я подробно рассмотрю фильтрацию трафика и познакомлю вас со всеми возможностями ИКС по этой теме.

В фильтрации шифрованного трафика, а это сейчас почти весь трафик в интернете от сайтов, нужно понимать одну простую вещь. Это технически возможно только если вы будете расшифровывать весь проходящий через прокси трафик. Для этого нужно установить свой сертификат на прокси сервер, в данном случае ИКС, который будет сам шифровать все tls соединения с клиентами. А клиентам добавить этот сертификат в доверенные, чтобы браузер доверял этому сертификату и не выдавал предупреждение. Других способов просто не существует.

Давайте это настроим в ИКС. У вас он уже должен быть установлен. Инструкция есть в моей первой статье. Если не хотите её читать, то достаточно скачать шлюз, установить его, выбрав все дефолтные значения. Затем зайти в веб интерфейс и настроить WAN и LAN на сетевых интерфейсах. Всё, больше ничего делать не надо, чтобы протестировать контент фильтр.

Переходим к его настройке. Идём в раздел Защита -> Сертификаты и добавляем новый сертификат.

Добавление нового сертификата

Параметры сертификата

Когда нажмёте Добавить, выберите Не шифровать закрытый ключ. В этом же разделе сделайте экспорт этого сертификата, перенесите его на компьютеры, трафик которых вы будете расшифровывать и добавьте в доверенные корневые центры сертификации.

Добавление сертификата в доверенные корневые центры сертификации

Далее переходите в раздел Сеть -> Прокси -> Настройки и добавляйте новый сертификат в настройки прокси.

Добавление своего сертификата в прокси

Подробно этот процесс отражён в видео:

Подготовка к работе контентного фильтра в Интернет Шлюзе ИКС готова. Переходим к его тестированию.

Блокировка трафика по спискам Минюста и Роскомнадзора

Для начала убедимся, что у нас успешно загружены данные списки. Для этого идём в в раздел Защита -> Контент-фильтр -> База контент-фильтра. Здесь должны быть загружены 3 предустановленных списка:

  1. Список слов с сайта Минюста.
  2. Список слов с сайта Госнаркоконтроля.
  3. Список слов для школ.

Списки Минюста и Роскомнадзора

Для получения этих списков у вас должна быть активна лицензия "Техподдержка". После покупки шлюза она дается всем на 1 год, дальше нужно покупать продление. Указанные списки загружаются и обновляются с серверов компании ООО А-Реал Консалтинг, которая разрабатывает и поддерживает ИКС.

Если списки пустые, а лицензия активна, то перейдите в раздел Настройки модуля Контент-фильтр и обновите списки вручную, нажав Проверить наличие и обновление баз. Там же укажите подходящие настройки для регулярного обновления этих списков. Убедитесь, что теперь списки заполнены. Можете их посмотреть. Я очень много новой и необычной информации узнал из этих списков. Интересно, кто их составляет :)

Теперь применим списки ограничений для конкретных пользователей или групп. Идём в раздел Пользователи. Сначала посмотрим, какие готовые наборы правил у нас предустановлены. Открываем раздел Наборы правил и разворачиваем набор под названием Набор правил для школ.

Фильтрация трафика по спискам Минюста и Роскомнадзора

Редактирование запрещающего правила прокси

Теперь нам нужно применить это правило к какому-то пользователю или группе. Идём в раздел Пользователи и добавляем нового по IP адресу. На вкладке Правила и ограничения добавляем набор правил.

Набор правил фильтрации трафика для школ

Сначала попробуем клиентом зайти на запрещенный сайт. Например, из списка блокировок Минюста.

Запрет на сайты из списка минюста

Теперь попробуем что-то поискать, чтобы сработал контентный фильтр. Я не буду приводить примеры запросов текстом, чтобы не накликать беду на эту статью и не попасть под блокировки. Смотрите картинки.

Запрещенный поисковой запрос

Блокировка поискового запроса по контенту

Здесь уже сработало правило контентной фильтрации, для которого установлен стандартный текст на странице с ошибкой доступа. Попытка получить доступ к запрещенному контенту будет зафиксирована в событиях контент фильтра.

Логирование заблокированных запросов

Вот такой несложной настройкой можно выполнить требования государственных органов по обеспечению защиты детей от информации, причиняющей вред их здоровью и развитию.

Обращаю внимание на то, что все базовые предустановленные настройки уже готовы в наборах правил. Помимо ограничения по спискам, они включают в себя и другие настройки безопасности. Если у вас нет возможности и желания вручную настраивать каждое правило и детально разбираться в его работе, готовых настроек вам будет достаточно для базовой защиты и соответствия требованиям.

Отдельно нужно отметить, что контентная фильтрация требует достаточно больших вычислительных ресурсов. Для того, чтобы точно подобрать железо под вашу нагрузку, лучше заранее проконсультироваться с технической поддержкой. У них накоплен опыт эксплуатации системы в боевых условиях, так что они с большой вероятностью смогут точно сказать, какое железо вам понадобится.

Реестр безопасных образовательных сайтов

В ИКС присутствует много готовых списков сайтов, разбитых на категории. Одной из таких категорий является Реестр безопасных образовательных сайтов, который обновляется автоматически. Готового набора правил для того, чтобы разрешить доступ только к этому списку, а всё остальное запретить, нет. Я покажу на примере, как сделать такое правило. Для этого идём в наборы правил и добавляем новый.

Реестр безопасных образовательных сайтов

Подключаем этот набор правил к пользователю и проверяем, как работает.

Проверка работы правила блокировки

Блокировка сайта не из списка

Доступ к сайту из реестра безопасных образовательных сайтов

Сайт из списка успешно открылся, к остальным доступа нет.

Обращаю внимание, что правила в списке можно копировать и мышкой перемещать между разными наборами. Это существенно упрощает создание правил. Интерфейс максимально дружелюбен к пользователю и не требует глубоких знаний в предметной области. Разобраться можно самостоятельно, либо прибегнуть к помощи документации. Там хорошо работает поиск. Легко найти нужный материал по заданной теме.

Ограничение доступа по категориям трафика

Как я уже показал, в ИКС существуют категории трафика. Причем списки этих категорий представлены не только общедоступными (Adblock) или собственными наборами правил и сайтов Garnet, но и сторонними коммерческими списками - SkyDNS, Kaspersky. Для использования списков SkyDNS и Веб фильтра Касперского нужно отдельно приобрести лицензию на эти продукты.

Ограничение доступа по категориям трафика

Вы можете использовать все доступные категории трафика для собственных наборов правил. К примеру, можно не использовать вообще никакие ограничения, а применить только правила AdBlock для блокировки рекламы.

Правило блокировки по спискам adblock

Веб-фильтр Garnet

Списки Garnet являются собственной разработкой и позволяют определять категории сайтов на основе анализа текстового содержимого при помощи алгоритмов машинного обучения. Доступ к этим спискам отдельно оплачивать не надо. Он приобретается вместе с самим шлюзом. Списки Garnet могут быть использованы в запрещающих, разрешающих правилах прокси или исключениях прокси для пользователей и групп пользователей.

Для того, чтобы проверить, к какой категории трафика будет отнесён тот или иной сайт, можно выполнить проверку. Для этого зайдите в настройки Веб-фильтра Garnet и проверьте url.

Веб-фильтра Garnet

Уточнение категории

Решил проверить еще один известный сайт данным фильтром.

Работа фильтра Garnet

Результат неожиданный. Элементы соц. сети, конечно, на нём присутствуют. Друг рассказывал. Но я ожидал здесь увидеть другую категорию. Предполагаю, что категория соц. сети появилась, потому что по данному урлу открывается страница заглушка, где контента из категории сайтов для взрослых просто нет. Я у друга взял список похожих сайтов и проверил работу фильтра. На них категория определялась верно.

Попробуем создать собственное запрещающее правило на основе категорий трафика Garnet. Например, запретим следующие категории:

  • Социальные сети
  • Запрещенный контент
  • Досуг

Добавим это правило в стандартный набор правил для школ, который уже преднастроен. Пропишем нашему правилу текст ошибки, чтобы можно было во время отладки идентифицировать именно его работу.

Запрещающее правило на основе категорий Garnet

Сайт mail ru был успешно заблокирован добавленным правилом.

Блокировка веб-фильтром Garnet

Cобственные списки и правила доступа

Вы никак не ограничены в собственных списках и правилах сайтов для контент фильтра и категорий трафика. Благодаря подсистеме отчетов о посещаемых ресурсах пользователей, вы можете контролировать посещаемые сайты, регулярно обновляя свой собственный список.

Статистика посещенных сайтов пользователями

Добавим в свою категорию указанные выше ресурсы.

Собственный список сайтов для блокировки

Создадим правило блокировки для пользователей на основе новой категории.

Правило блокировки сайтов

Смотрим, что получилось.

Проверка работы локального фильтра

Таким вот простым способом мы создали свой локальный список для блокировки. Аналогичным образом вы можете сделать список сайтов, на которые разрешён доступ, а всё остальное запретить.

Благодаря системе управления пользователями и группами, категориями трафика, а также наборами правил, вы можете очень гибко настраивать фильтрацию контента. Например, для учебных классов использовать одни наборы правил, для учителей другие, для сотрудников администрации, бухгалтерии третьи, для пользователей wifi четвёртые и т.д. Всё это доступно сразу после установки ИКС. Не нужно какое-то особенное обучение и внедрение. Справится практически любой персонал технической поддержки, который уже присутствует в организации.

Заключение

Подводя итог разбора контент-фильтра от ИКС можно сказать, что это хорошее решение для образовательных учреждений. Оно способно полностью закрыть вопрос с соблюдением законодательства. Причем не формально, а практически. Интернет шлюзом удобно пользоваться, он эффективно и просто решает поставленные задачи. Да, может показаться архаизмом заниматься подобными фильтрациями, когда у каждого школьника смартфон в кармане. Но это требование законодательства, так что рассуждать и выбирать, как и что фильтровать, не в компетенции администрации учреждений. Им остаётся только исполнять уже принятые постановления.

Помимо контроля трафика, ИКС предлагает дополнительный функционал в виде почтового, файлового, voip сервера. Так что можно обязательный функционал дополнить полезным и получить в рамках одной платформы комплексное решение типовых офисных задач.

Читайте также: