9 июня 2023
Совместная работа контроля приложений
и web-фильтрации
Best Practices по Континент 4
Статья 1. Введение
Статья 2. Контроль приложений
Статья 3. WEB-фильтрация
Статья 4. Совместная работа контроля приложений и web-фильтрации
Статья 5. Идентификация пользователей
Статья 6. Защита от вторжений
Статья 2. Контроль приложений
Статья 3. WEB-фильтрация
Статья 4. Совместная работа контроля приложений и web-фильтрации
Статья 5. Идентификация пользователей
Статья 6. Защита от вторжений
Запросить триальные лицензии вы можете заполнив форму
Получить триальную лицензию
Наш специалист свяжется с вами в ближайшее время
Приветствую всех читателей! В прошлых статьях мы рассмотрели контроль приложений и веб-фильтрацию. Сегодня мы с вами рассмотрим совместную работу контроля приложений и веб-фильтрации.
Для ускорения обработки трафика в комплексе Континент 4 используются параллельные цепочки обработки (URL-фильтрация или Контроль приложений). Попадая в одну из цепочек, трафик не попадает в другую. В случае наличия профиля фильтрации в правиле МЭ, трафик будет обрабатываться цепочкой URL-фильтрации. Если же в поле «Приложение» добавлены приложения, то трафик обработает цепочка контроля приложений.
Для ускорения обработки трафика в комплексе Континент 4 используются параллельные цепочки обработки (URL-фильтрация или Контроль приложений). Попадая в одну из цепочек, трафик не попадает в другую. В случае наличия профиля фильтрации в правиле МЭ, трафик будет обрабатываться цепочкой URL-фильтрации. Если же в поле «Приложение» добавлены приложения, то трафик обработает цепочка контроля приложений.
Исходя из сказанного выше можно сделать вывод, что URL-фильтрация и контроль приложений не работают совместно. На самом деле работают, но с некоторыми исключениями.
Возможно использовать URL-фильтрацию и контроль приложений, придерживаясь следующих правил:
В данном случае контроль приложений будет работать для приложений, использующих в работе отличные от WEB/FTP-фильтрации протоколы (http, https, ftp).
Давайте рассмотрим несколько примеров совместного использования WEB/FTP-фильтрации и контроля приложений. На скриншоте ниже представлен список правил.
- Правила без профиля фильтрации, использующие в качестве сервиса https, http, ftp необходимо располагать выше правил, использующих профиль фильтрации;
- Правила с профилем URL-фильтрации должны располагаться выше правил с контролем приложений для одинаковых сетевых объектов (источник, получатель, сервис);
- Избегать совпадений или пересечений сетевых объектов в правилах URL-фильтрации и контроля приложений;
- Правила с более узкими сетевыми объектами располагать выше правил с широкими. Например, правило с хостом в качестве отправителя/получателя должно быть выше правила с сетью.
В данном случае контроль приложений будет работать для приложений, использующих в работе отличные от WEB/FTP-фильтрации протоколы (http, https, ftp).
Давайте рассмотрим несколько примеров совместного использования WEB/FTP-фильтрации и контроля приложений. На скриншоте ниже представлен список правил.
- Первое правило для скачивания обновлений на ЦУС. Специально расположено выше правила с профильной WEB/FTP-фильтрацией;
- Второе правило разрешает DNS трафик;
- Третье правило разрешает доступ по RDP до сервера;
- Четвертое правило доступ до ресурса tssolution.ru. Специально расположено выше правила с профильной WEB/FTP-фильтрацией. Как пример для организации доступа до какого-то внутреннего или партнерского ресурса, в котором нет необходимости использовать профиль фильтрации;
- Пятое правило явно разрешает определенные группы WEB/FTP-фильтрации с машины администратора;
- Шестое правило запрещает группы WEB/FTP-фильтрации для «Local Net», включая машину администратора;
- Седьмое правило разрешает администратору использование приложений для построения VPN-соединений. По всем сервисам, кроме https, т.к https трафик будет перенаправлен в цепочку обработки URL по 5 и 6 правилам;
- Восьмое правило разрешает администратору доступ с использованием приложений P2P. По всем сервисам, кроме https;
- Девятое правило блокирует весь оставшийся трафик.
Проверим совместное использование WEB/FTP-фильтрации и контроля приложений. Для этого попробуем открыть ресурс tssolution.ru с машины администратора. Ресурс успешно откроется. В журнале будет запись о сработавшем правиле под номером 4.
Далее попробуем открыть явно разрешенные группы WEB/FTP-фильтров с машины администратора. Попробуем перейти на ok.ru. Ресурс открывается, в журнале имеется соответствующая запись. Мы видим, что сработало 5 правило, по которому явно разрешается доступ.
Переход на фишинговый ресурс с машины администратора будет заблокирован, т.к обрабатывается уже 6 правилом и явно не разрешен правилом выше.
Попробуем перейти на ресурс ok.ru с другой машины, входящей в сетевой объект «Local Net». Ресурс заблокирован, т.к обрабатывается 6 правилом, профилем фильтрации в котором запрещены социальные сети.
Далее проверим работоспособность контроля приложений. Попробуем загрузить файл используя торрент клиент с машины администратора.
Загрузка происходит, т.к она явно разрешена 8 правилом и не использует для взаимодействия протоколы WEB/FTP-фильтров(ftp/http/https).
Загрузка происходит, т.к она явно разрешена 8 правилом и не использует для взаимодействия протоколы WEB/FTP-фильтров(ftp/http/https).
Загрузка файла используя торрент клиент с оставшихся машин сетевого объекта «Local Net» не будет происходить, т.к будет обрабатываться закрывающим правилом, блокирующим весь оставшийся трафик.
Заключение
На этом закончим. Сегодня мы рассмотрели очень важную тему. В следующей статье рассмотрим не менее важные компоненты, обеспечивающие идентификацию пользователей.
Автор: Никита Семёнов, инженер TS Solution.
Автор: Никита Семёнов, инженер TS Solution.