Введение

Что такое веб-фильтрация? Зачем она необходима? И как ее настроить на FortiGate? Именно такие вопросы стали основной причиной написания данной статьи.

Что такое веб-фильтрация?

Начнем с самого начала. Что это такое? Это фильтрация определенного контента, содержащегося на веб-сайтах в сети Интернет. Думаю, ни для кого не секрет, что на данный момент в сети Интернет огромное множество веб-сайтов с контентом различного рода. Это может представлять проблему даже для маленького офиса. Сложно проследить, чем занимается работник в рабочее время. В это время он может заниматься самыми различными делами. Конечно же, скорее всего он будет заниматься работой — и это самый лучший исход. Однако в это время он может заниматься своими личными делами - общаться в социальных сетях или совершать покупки через интернет магазины. Это довольно неприятно, так как замедляет рабочий процесс. Но это еще не самый худший сценарий. Он может посещать веб-ресурсы, запрещенные законодательством, через сеть организации, что может привести к различным проблемам с законом.

Это довольно небольшой обзор проблем, которые призвана решать веб-фильтрация. Думаю, в целесообразности ее использования у вас не осталось сомнений. Поэтому, теперь необходимо рассмотреть принцип ее работы и настройку на FortiGate.


Как работает веб-фильтрация?

Работает веб-фильтрация довольно просто. После того, как установлено TCP соединение, клиент запрашивает у сервера доступ к веб-сайту с помощью HTTP запроса. Сервер предоставляет доступ к сайту с помощью HTTP ответа. В ход вступает веб-фильтр. Он содержит так называемые регулярные выражения. Веб-фильтр ищет в ответе от веб сервера данные регулярные выражения. Если совпадение найдено - выбирается соответствующее действие. Регулярные выражения позволяют контролировать блокировку и доступ к веб-сайтам очень гибко. Они могут состоять как из различных запрещенных фраз, так и из имен хостов или URL, которые необходимо заблокировать.


Настройка веб-фильтрации

Рассмотрим настройку веб-фильтрации на FortiGate. Она доступна во всех режимах инспекции — Flow Based и Proxy. Однако режим Flow Based поддерживает меньше функций

Веб-фильтр, как и рассмотренный в прошлый статьях функционал, работает как профиль безопасности. Аналогично с остальными профилями безопасности, он отдельно настраивается и применяется к политикам брандмауэра.

Рассмотрим настройку веб-фильтрации в режиме Flow-Based. Для этого настроим режим работы FortiGate (см. рис. 1).

Рисунок 1. Настройка режима работы FortiGate

Теперь, необходимо перейти во вкладку Security Profiles→ Web Filter (см. рис. 2).

Рисунок 2. Меню в разделе Web Filter

Web Filter может быть по умолчанию скрыт. Чтобы его включить, необходимо зайти в меню System→Feature Visibility и возле поля Web Filter перевести ползунок в состояние enable.

Создадим свой профиль, запрещающий доступ к сайту facebook.com. Для этого переходим в меню создания нового профиля. Наблюдаем примерно такую же картину, как и в предыдущем меню. Сначала необходимо дать профилю имя. Назовем его DenyFacebook. По умолчанию включена фильтрация, основанная на категоризации FortiGuard. Для каждой категории или подкатегории можно выбрать определенное действие: 

• Allow — разрешить доступ к веб сайту; 
• Block — запретить доступ к веб сайту; 
• Monitor — следить за трафиком данного веб сайта. 

На данный момент эта фильтрация нам не нужна, поэтому в поле FortiGuard category based filter переводим ползунок в состояние disable.

Теперь, в области Static URL Filter в поле URL Filter переводим ползунок в состояние enable. Должно появиться окно, в котором необходимо нажать на клавишу Create. В появившемся окне необходимо ввести нужный URL и выбрать для него действие. URL вводится в виде регулярного выражения. Введем *facebook.com. Это позволит заблокировать любые URL, которые будут вести на facebook.com. Выберем действие Block. Следует упомянуть о действии Exemt, доступном только в Static URL Filter. Оно применяется для проверенных источников. Трафик, попавший под это действие, избегает проверки всеми остальными профилями безопасности.

Так же присутствует возможность блокировки веб-сайтов, содержащих определенный контент. (см. рис. 3)

Рисунок 3. Пример настройки профиля

Теперь применим созданный профиль безопасности к политике, которую мы создали в одной из прошлых статей.

Проверим — facebook.com действительно недоступен.


Рассмотрим работу веб-фильтра в режиме Proxy Based

Для того, чтобы начать настройку, необходимо переключить FortiGate в режим прокси. Это можно сделать в меню System → Settings. Теперь заходим в меню Security Profiles → Web Filter и выбираем ранее созданный нами профиль DenyFacebook. Настройка абсолютно аналогична, однако режим прокси поддерживает дополнительные функции, такие как: поисковые системы, опции прокси, разрешения для определенных пользователей (см. рис. 4).

Рисунок 4. Настройка веб-фильтра Proxy Based

Заключение

При умелом использовании веб-фильтрации можно значительно укрепить безопасность сети. Поэтому я советую вам практиковаться, используя различные методы и разные регулярные выражения для определения шаблонов, которые подойдут именно вам и обеспечат максимальную безопасность вашей сети.