Здравствуйте, в прошлой статье я прошелся по правовым аспектам доступа в сеть Интернет, архитектуре и стеку необходимого ПО. В этой статье будем настраивать ИКС и, собственно, сделаем следующее:
настроим групповые политики для автоматического прописывания прокси на клиентах
создадим правила для прокси и для МЭ и научимся их отличать
подключим https сертификат для фильтрации траффика
По данной статье подготовил ролик на Rutube
Итак, у нас есть вот такая тестовая инфраструктура:
DHCP сервер раздает следующую динамику:
ip-адреса в диапазоне от 192.168.200.30 - 192.168.200.200
шлюз – 192.168.200.10 – ИКС будет и прокси-сервером и шлюзом
dns1: 192.168.200.1
dns2: 192.168.200.2
В данном случае ИКС является и шлюзом, и прокси-сервером.
Прокси-сервер поддерживает туннельные TCP-соединения методом CONNECT, позволяя работать с протоколом SSL. Прокси – это служба, которая слушает порт 3128 (по умолчанию), и применяет правила к траффику, пришедшему на этот порт.
Как траффик перенаправляется на порт 3128? – все благодаря данной настройки браузера:
Автоматизируем данную настройку, создав групповую политику на контроллере домена, и, применив ее к подразделению, где находится пользователь.
Управление групповой политикой – щелкните подразделение правой кнопкой мыши и выберите пункт Создать объект групповой политики в этом домене и связать его...
Уточняю – групповую политику применяем к подразделению, в котором находятся наши пользователи. Поэтому в групповой политике идем в Конфигурацию пользователя – Настройка – параметры панели управления – Параметры обозревателя – создаем конфигурацию для IE 10
Обратите внимание параметры, подчеркнутые красным – это неактивные параметры – их необходимо активировать, нажав F8.
Внесем исключение прокси в эту групповую политику – теперь траффик на *.a-real.ru будет идти через шлюз сетевой карты ПК и попадать на межсетевой экран ИКС. Сначала эта страничка не будет открываться, так как нужно создать разрешающее правило на межсетевом экране.
Для начала создадим пользовательский диапазон и внесем туда a-real.ru
Создадим правило на МЭ
Таким образом, данный сайт будет открываться у всех клиентов и траффик не будет перехватываться прокси.
Давайте теперь разберемся в правилах прокси Для начала создадим список сайтов, которые необходимо запретить – создадим категорию:
Пользователи и статистика -> Категории трафика
Создадим набор правил и добавим туда запрещающее правило прокси
Данное правило запрещает перечисленные url из выбранной категории. Но бывают ситуации, когда есть огромный список url в каком-нибудь запрещающем правиле (в категории в правиле) и надо какой-то сайт из этого списка разрешить, но копаться нет времени и желания, то тогда можно создать разрешающее правило прокси и внести туда сайт, доступ к которому надо открыть. Разрешающее правило прокси нужно для того, чтобы сделать исключение из запрещающего правила прокси, установленного на пользователя или группу.
Основу разобрали, теперь давайте погрузимся в тему фильтрации https…
Если данного функционала вам достаточно, то можете не включать https-фильтрацию.
Что же такое https-фильтрация – если упрощенно, то это расшифровка трафика с помощью подмены https-сертификата. На ИКС создается сертификат, он распространяется с помощью групповой политики на клиенты, и, в результате, ИКС способен расшифровывать странички. Зачем это нужно – например для анализа действий пользователя – точно ли он использует Интернет для рабочих задач – когда мы включили данную технологию и увидели какие поисковые запросы вводят пользователи… дальше не буду комментировать… в общем, было весело… Но вы должны понимать, что это увеличивает нагрузку на сервер, увеличивает логи и замедляет Интернет, то есть такая конфигурация требует больше ресурсов – здесь виртуалка может и не справиться – железный сервер может быть решением, но все зависит от конкретной конфигурации и нагрузки. У нас используется виртуальная машина, но используют Интернет в компьютерных классах не часто, поэтому и выбрали виртуализацию.
Но все же есть более важная задача, которую необходимо решать с использованием именно https-фильтрации – это задача контролирования интернет-траффика в компьютерных классах – согласно 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию» необходимо заблокировать содержимое по спискам Роскомнадзора и Минюста. Список Роскомнадзора – это список сайтов, а вот список Минюста – это список слов и словосочетаний – это шаблоны, по которым нужно сканировать страничку, и при нахождении шаблона на ней блокировать. Так как большинство сайтов в наше время используют https сертификаты, то необходимо их расшифровывать – как раз https-фильтрация на ИКС это и делает.
Для включения расшифровки страниц с помощью https-сертификата необходимо:
на ИКСе создать https-сертификат,
распространить https-сертификат с помощью групповой политики на клиенты,
включить расшифровку страниц с помощью https-сертификата в службе прокси на ИКС
Для включения контент-фильтра необходимо:
в наборе правил создать правило контентной фильтрации
в службе прокси включить галочку: Использовать контент-фильтр
включить службу контент-фильтр и настроить его.
Чтобы сделать исключение из правил контентной фильтрации необходимо создать правило – Исключение прокси в наборе правил (не путайте с исключениями прокси в настройках браузера), в него внести url, к которому не надо применять фильтрацию.
В службе прокси включается и SkyDNS – он блокирует сайты из списка сайтов от Роскомнадзора (но для этого необходимо купить лицензию ИКС, включающую SkyDNS).
Также я подготовил видео, где показана настройка ИКС и политик.
Подведем итоги:
если сайт нужен всем и его не надо фильтровать (или сайт не работает через прокси), то открываем его на МЭ и добавляем в исключения прокси в групповой политике – траффик пойдет мимо службы прокси
если сайт нужно заблокировать, создаем запрещающее правило прокси в ИКС.
если сайт заблокирован запрещающим правилом, а его надо открыть создаем разрешающее.
если нужно расшифровывать странички пользователя применяем расшифровку страниц с помощью https-сертификата.
если к url-у не надо применять контент-фильтр – создаете исключение прокси в наборе правил.
в компьютерных классах всегда включаем https-фильтрацию, для обычных пользователей все зависит от политики вашего учреждения.
ИКС позволяет довольно быстро и легко настроить доступ в Интернет соблюдая все необходимые правовые нормы, но благодаря этим нормам тривиальная задача обрастает многочисленными нюансами - дальше комментировать даже не буду – отдам это право вам мои дорогие читатели))). Описал все по шагам, если что-то забыл – пишите, учту.
Ссылка на офф сайт ИКС
Ссылка на документацию ИКС
