Руководство Администратора межсетевого экрана Акер 3.01

       

Создание профилей доступа


Настройку WWW proxy можно рабить на два этапа: сначала создаются универсальные профили доступа, а затем устанавливается соответствие между этими профилями и группами пользователей.

Профили доступа позволяют определить, какие Web страницы доступны для просмотра и какой вид доступа разрешен (например, можно создать профиль, не позволяющий передач файлов через FTP). Можно создавать любое необходимое количество профилей доступа, однако, для использования WWW proxy обязательно должен быть создан хоть один профиль.

Для доступа к окну профилей доступа необходимо:

  • Выбрать меню Регистрация в главном окне
  • Выбрать опцию Профиль доступа WWW

    Окно профилей доступа WWW 

    Окно профилей содержит все WWW профили доступа, определенные в межсетевом экране. Оно состоит из списка, в котором каждый профиль показан на отдельной строке.

  • Кнопка Да закрывает окно профилей.
  • Кнопка Помощь показывает окно помощи по данному разделу.
  • Полоса прокрутки с правой стороны используется для просмотра профилей, не уместившихся в окне.
  • Для выполнения любого действия с конкретным профилем нажмите правой клавишей мыши на этом профиле. Откроется следующее меню (Это меню возникает всегда при нажатии правой клавиши мыши, даже если нет выделенных профилей. В этом случае доступны только опции Добавить и Вставить.):

  • Добавить: Эта опция позволяет добавить новый профиль в список. Если выделен какой-либо профиль, новый вставляется на место выделенного. Во всех других случаях он добавляется в конец списка.
  • Удалить: Эта опция удаляет выделенный профиль из списка
  • Редактировать: Эта опция открывает окно свойств для выделенного профиля.
  • Копировать: Эта опция копирует выделенный профиль в буфер.
  • Вырезать: Эта опция удаляет выделенный профиль из списка и копирует его в буфер.


  • Вставить: Эта опция копирует профиль из буфера в список. Если профиль выделен, новый будет помещен на место выделенного. Во всех прочих случаях он копируется в конец списка.
  • Указание: Можно получить доступ ко всем этим опциям через инструментальное меню в верхней части окна.
    В этом случае сначала выделите профиль, нажав на нем левой клавишей мыши, а затем нажмите необходимую опцию.

    Для удаления профиля доступа он не должен использоваться ни одним из пользователей (более подробно об этом см. раздел Редактирование параметров WWW proxy).

    В случае добавления или редактирования профилей откроется упомянутое выше окно свойств: Окно свойств для профилей доступа WWW

    Это окно состоит из четырех папок: первая определяет общие опции профиля, а другие - опции фильтрации для каждого протокола, который поддерживается WWW (HTTP/HTTPS, FTP и Gopher).

    Протокол HTTPS для первоначального URL фильтруется по правилам HTTP протокола. Однако после установления соединения межсетевой экран не может фильтровать по содержимому пакетов, поскольку между клиентом и удаленным сервером данные передаютс в зашифрованном виде.

  • Общие опции профиля:


  • В общих опциях профиля определяются следующие поля:

    Имя: Имя профиля доступа. Это имя будет фигурировать в списке профилей (показанном выше) и в окне настройки WWW proxy. Не может существовать двух профилей с одинаковыми именами. Разрешить URL с IP адресами:Если эта опция задана, будет разрешен доступ к URLs с IP адресами вместо имен (например, http://127.0.0.1/index.html). Если эта опция не установлена, доступ возможен только к URL, заданным с помощью имен.

    Если WWW proxy настроен для фильтрации URLs, то эту опцию задать, чтобы сделать невозможным для пользователей доступ к URLs через IP адреса. Иначе, даже если имена блокированы, пользователь сможет получить доступ к URL через его IP адрес. Можно добавить IP адреса в правила фильтрации профиля (если необходима фильтрация), однако, из-за постоянных изменений IP адресов и тому, что некоторые серверы имеют больше одного IP адреса, это становится чрезвычайно сложным делом.

    Блокировать: Это поле определяет специальную фильтрацию для WWW страниц, блокируя (или нет) те характеристики, которые считаются опасными для некоторых систем. Она в свою очередь состоит из трех опций, которые можно установить независимо: Javascript, Java и Active X.


    Если какая- либо из этих опций установлена, соответствующие апплеты будут фильтроваться.

    Фильтрация Javascript, Java и Active X ведет к тому, что фильтруемая страница выглядит, как будто броузер не поддерживает эти языки. В некоторых случаях это может привести к потере функциональных качеств Web страниц.

  • Опции фильтрации WWW


  • Опции фильтрации WWW позволяют определить правила фильтрации URL для протоколов HTTP/HTTPS, FTP и Gopher. Для упрощения определения этих правил фильтрации созданы три папки с одинаковыми форматами, каждая папка предназначена для своего протокола. Чтобы проиллюстрировать создание правил, выберем папку для протокола HTTP. Ее формат показан ниже:

    Эта папка состоит из списка, в котором каждое правило показано в отдельной строке. Кроме этой строки, существует поле Действие по умолчанию, в котором можно определить действие, выполняемое, в случае когда адрес, к которому клиент хочет получить доступ, не соответствует никакому правилу фильтрации: если установлена опция разрешать, доступ будет разрешен, если опция не разрешать, межсетевой экран откажет в доступе. Чтобы выполнить любое действие на конкретном правиле, нажмите правой клавишей мыши на этом правиле. Откроется следующее меню (это меню появляется всегда, если нажать правой клавишей мыши, даже если нет выделенных правил. В этом случае будут доступны только опции Добавить и Вставить).

  • Добавить: Эта опция позволяет добавить новое правило в список. Если выделено какое-либо правило, новое вставляется на место выделенного правила. Во всех других случаях новое правило добавляется в конец списка.


  • Удалить: Эта опция удаляет выделенное правило из списка.


  • Редактировать: Эта опция открывает окно редактирования для выделенного правила.


  • Копировать: Эта опция копирует выделенное правило в буфер.


  • Вырезать: Эта опция удаляет выделенное правило из списка и копирует его в буфер.


  • Вставить: Эта опция копирует правило из буфера в список. Если правило выделено, новое будет копироваться на место выделенного.


    Во всех других случаях оно копируется в конец списка.


  • Указание: Ко всем этим опциям можно получить доступ через инструментальнное меню, расположенное над списком. В этом случае сначала выделите правило, нажав на нем левой клавишей мыши, а затем выберите необходимую опцию. Порядок следования правил в списке очень важен. Как только межсетевой экран получает запрос на доступ к некоторому адресу, он просматривает список с самого начала в поисках правила, которому удовлетворяет адрес. Обнаружив его, он начинает выполнять действие, соответствующее этому правилу.

    В случае добавления или редактирования правил открывается упомянутое выше окно редактирования: Окно редактирования для WWW правил

    В этом окне можно настроить все параметры, связанные с правилом фильтрации для WWW proxy. Для определения правила нужно заполнить следующие поля::

    Действие: Определяет действие, которое выполняется для всех адресов, которые соответствуют правилу. Значение пропускать позволяет получить доступ к URL. Значение не пропускать запрещает доступ. Операция: Тип поиска, указанный пользователем, который выполняется с URL. Эта опция содержит следующие варианты выбора:

  • Содержит: Выражение может находиться в любой позиции.


  • Не содержит: URL не содержит выражения.


  • Соответствует: URL должен в точности соответствовать выражению.


  • Не соответствует: URL должен отличаться от выражения.


  • Начинается с: URL должен начинаться с выражения.


  • Не начинается с: URL не должен начинаться с выражения.


  • Оканчивается: URL должен заканчиваться выражением.


  • Не оканчивается на: URL не должен заканчиваться выражением.


  • Текст: Подлежащее поиску выражение. Это поле содержит последовательный текст, который сравнивается с URL в соответствии с правилами, определенными в поле операция. Временная таблица

    В этой таблице можно задать часы и дни недели, в течение которых дейтсвует правило. Строки описывают дни недели, колонки - часы. Если правило дожно действовать в определенный час, клетка должна быть заполнена, в противном случае она должна быть пустой.Для облегчения процсса редактирования вы можете, нажав левую кнопку мыши на клетке, вести мышь, не отпуская кнопку. Таблица будет модифицироваться в соответствии с движением мыши


    Содержание раздела