Управление веб-доступом пользователей с помощью правил пользователя

Создание правила

Правила пользователей – основной инструмент, с помощью которых регулируется доступ пользователей к ресурсам сети Интернет.

Правила создаются в разделе [Корень консоли\Traffic Inspector []\Правила\Правила пользователей].

Примечание

После того, как пользователь аутентифицировался в Traffic Inspector, по умолчанию, он может обратится на любой ресурс в Интернете. Создавать для этого отдельные разрешающие правила не требуется.

В наиболее общем случае, существует два основных метода передачи трафика шлюзом Traffic Inspector:

  • трафик маршрутизируется / NAT’ируется шлюзом Traffic Inspector
  • трафик передается через web-прокси Traffic Inspector

В некотором соответствии с этими двумя методами, существует два типа правил пользователей:

  • IP-фильтры
  • URL-фильтры

Тип правила выбирается при его создании на вкладке Тип трафика.

_images/rule_type.png

Основное отличие IP-фильтров от URL-фильтров следующее. IP-фильтры являются более универсальными по сравнению с URL-фильтрами, в том смысле, что они действуют на любой трафик, обрабатываемый программой Traffic Inspector (т.е. действуют одновременно и на маршрутизируемый трафик, и на проксируемый трафик).

С другой стороны, IP-фильтры несколько ограничены с точки зрения тех критериев срабатывания, которые могут быть указаны в фильтре. В случае с IP-фильтрами – это ID протокола, номера портов, IP-адрес(а) назначения.

URL-фильтры действуют только на трафик, проходящий через web-прокси Traffic Inspector. С другой стороны, фильтры прокси обеспечивают продвинутые типы фильтрации / блокировки (фильтрация по метаинформации протокола HTTP, по MIME-типам, по размеру скачиваемого объекта, по URL, по URL-категориям (с помощью модуля NetPolice).

По действию, правило может быть на:

  • Разрешение + «действия»
  • Запрет
  • Только «действия»
_images/rule_type_2.png

Наиболее часто используются правила на Разрешение + «действия» и на Запрет. Правила Только «действия» нужны для шейпинга трафика (ограничений по скорости, задания приоритета).

Назначение правила

После того, как правило создано, оно должно быть назначено в одну из категорий.

Примечание

Если правило не назначено, то оно не будет применяться к трафику.

В современных версиях Traffic Inspector существует 7 категорий, в которые могут быть назначены правила:

  • Запрет для неавторизованных
  • Общие разрешения
  • Общие правила до группы
  • Правила группы «До»
  • Правила пользователя
  • Правила группы «После»
  • Общие правила после группы

Ниже приводится название категории и местонахождение настройки в Консоли администратора:

   
Запрет для неавторизованных [Корень консоли\Traffic Inspector\Правила\Правила пользователей\Контекстное меню\Свойства\Запрет для неавторизованных]
Общие разрешения [Корень консоли\Traffic Inspector\Правила\Правила пользователей\Контекстное меню\Свойства\Общие разрешения]
Общие правила до группы [Корень консоли\Traffic Inspector\Правила\Правила пользователей\Контекстное меню\Свойства\Правила до группы]
Правила группы «До» [Корень консоли\Traffic Inspector\Пользователи и группы\Группа\Контекстное меню\Свойства\Правила группы «До»]
Правила пользователя [Корень консоли\Traffic Inspector\Пользователи и Группы\Группа\Пользователь\Свойства\Правила]
Правила группы «После» [Корень консоли\Traffic Inspector\Пользователи и группы\Группа\Контекстное меню\Свойства\Правила группы «После»]
Общие правила после группы [Корень консоли\Traffic Inspector\Правила\Правила пользователей\Контекстное меню\Свойства\Правила после группы]

Результирующий список правил, действующих на пользователя

Пользователь может быть:

  • неавторизованным
  • авторизованным
  • негрупповым (не принадлежит ни к одной группе)
  • групповым (принадлежит к некоторой группе)

В зависимости от свойств пользователя (авторизованный vs неавторизованный, групповой vs негрупповой), к нему применима разная совокупность категорий (и правил).

На неавторизованных пользователей действуют правила категорий:

  • Запрет для неавторизованных
  • Общие разрешения

На авторизованных негрупповых пользователей действуют правила категорий:

  • Общие разрешения
  • Общие правила до группы
  • Правила пользователя
  • Общие правила после группы

На авторизованных групповых пользователей действуют правила категорий:

  • Общие разрешения
  • Общие правила до группы
  • Правила группы «До»
  • Индивидуальные правила пользователя
  • Правила группы «После»
  • Общие правила после группы

Исчерпывающий список правил, действующий на пользователя в данный момент, можно увидеть в Консоли администратора в правой части экрана, если кликнуть на учетную запись пользователя.

_images/action_pane.png

Как пользоваться категориями

Определенные категории в большей или меньшей степени подходят для реализации тех или иных задач.

  • Запрет для неавторизованных
  • Общие разрешения
  • Общие правила до группы
  • Правила группы «До»
  • Правила пользователя
  • Правила группы «После»
  • Общие правила после группы

Категория Общие разрешения может использоваться для разрешения ресурсов, которые должны быть доступны для абсолютно всех пользователей (для авторизованных пользователей и для неавторизованных пользователей). Например, со стороны внешнего интерфейса Traffic Inspector может быть ряд сетей, к которым должен быть свободный доступ (например, локальная сеть провайдера).

  • Запрет для неавторизованных
  • Общие разрешения
  • Общие правила до группы
  • Правила группы «До»
  • Правила пользователя
  • Правила группы «После»
  • Общие правила после группы

Если вы создали правило в категории Общие разрешения, то тем самым открыли доступ к ресурсу как авторизованным, так и не авторизованным пользователям. Иногда, доступ для неавторизованных пользователей все же нежелателен. Для запрета доступа неавторизованным пользователям в таком случае можно использовать категорию Запрет для неавторизованных.

  • Запрет для неавторизованных
  • Общие разрешения
  • Общие правила до группы
  • Правила группы «До»
  • Правила пользователя
  • Правила группы «После»
  • Общие правила после группы

Общие правила до групп и Общие правила после групп нужно использовать, когда некоторое правило является достаточно универсальным, чтобы назначить его на всех без исключения авторизованных пользователей (пользователей в группах и пользователей вне групп).

  • Запрет для неавторизованных
  • Общие разрешения
  • Общие правила до группы
  • Правила группы «До»
  • Правила пользователя
  • Правила группы «После»
  • Общие правила после группы

Исходите из того, что вы разрабатываете политики доступа для каждой группы в отдельности. Создайте группы пользователей и распределите пользователей по группам. Определяйте политику доступа на группу и назначайте правила в категории Правила группы «До» и Правила группы «После». При таком подходе, для каждой группы можно настроить свою собственную политику.

По возможности, не смешивайте правила на разрешение и запрет в одной категории. Например, правила на запрет можно размещать только в категориях «После»:

  • Запрет для неавторизованных
  • Общие разрешения
  • Общие правила до группы
  • Правила группы «До»
  • Правила пользователя
  • Правила группы «После»
  • Общие правила после группы

Правила на разрешения можно размещать только в категориях «До»:

  • Запрет для неавторизованных
  • Общие разрешения
  • Общие правила до группы
  • Правила группы «До»
  • Правила пользователя
  • Правила группы «После»
  • Общие правила после группы

Примечание

Правила обрабатываются в порядке сверху вниз в рамках конкретной категории. Разрешение или запрет являются терминальными (окончательными) действиями, после которых пакет далее по списку правил проверяться не будет. Из этого следует, например, то, что правила на действия (шейпинг, переоценка трафика) должны предшествовать разрешающим / запрещающим правилам.

Порядок действий при работе с правилами

  1. Определите тип фильтрации

Определитесь, как будете блокировать ресурс - по IP-адресам или по URL-идентификаторам. Если вы выбираете блокировку по URL-идентификаторам или продвинутую разновидность фильтрации по метаинформации в протоколе HTTP, то вам понадобятся URL-фильтры и пользователи должны будут работать через прокси. Если вам нужна традиционная блокировка по IP-адресам, то используйте IP-фильтры.

  1. Определите стратегию блокировки

При настройке системы правил можно использовать два противоположных подхода:

  • Запрещено все, что не разрешено
  • Разрешено все, что не запрещено

Запрещено все, что не разрешено

При такой логике, пользователи будут иметь доступ исключительно к тем к ресурсам, которые вы точечно разрешите. Все остальные ресурсы будут недоступны. Для реализации данного подхода, проделайте следующие действия.

  1. Создайте правило пользователя / IP-фильтр на запрет.

Правило должно запрешать любой трафик в принципе. Правило назначается в категорию Правила группы «После» в свойствах группы.

  1. Создайте разрешающие правило для DNS, ICMP и других вспомогательных инфраструктурных протоколов.

Назначьте эти правила в категорию Правила группы «До» в свойствах группы.

  1. Создайте правила для ресурсов, доступ к которым должен быть точечно разрешен

Назначьте эти правила в категорию Правила группы «До» для группы.

  1. Если необходимо, то создайте правила для шейпинга трафика, переоценке трафика и поместите их в категорию Правила группы «До». Правила для шейпинга / переоценки должны располагаться выше, чем разрешающие правила.

Разрешено все, что не запрещено

При такой логике, пользователи будут иметь доступ к большинству ресурсов, но некоторые ресурсы будут точечно запрещены. Для реализации данного подхода, cоздайте правила для ресурсов, доступ к которым должен быть точечно запрещен. Назначьте эти правила в категорию Правила группы «После» в свойствах группы пользователей.