Облачный фильтрАвтор: Михаил Брод
Опубликовано: 26.12.2011
Источник: SoftKey.info  "Облачные" вычисления, облачные сервисы, работа в "облаке" - несколько лет назад казалось, что эта технология резко начнет свое победное шествие. Действительно, ряд сервисов за это время получили достойное развитие, хотя и не в той мере, как предполагалось. Сервисы работы с документами и фотографиями, складского и бухгалтерского учета, проектных работ и управления продажами. Теперь в "облаках" появляются и сервисы, предназначенные для фильтрации доступа к веб-ресурсам.
Не секрет, что сотрудники различных компаний, имеющие доступ к Интернету, используют его не только для выполнения своей непосредственной работы, но и в личных целях. Они общаются в различных социальных сетях, читают публикации на новостных ресурсах или блогах, делают покупки в онлайновых магазинах, скачивают программы, фильмы, книги. А попутно заглядывают на ресурсы и совсем неподходящего для работы профиля. И при этом существует большая вероятность того, что посещение таких ресурсов может оказаться опасным - на них могут размещаться вредоносные или нежелательные программы, которые могут проникнуть на рабочий компьютер, а через них - в локальную сеть организации.
Защита локальной сети - больное место системного администратора. Да еще в связи с требованиями множества драконовских законов, в том числе о защите персональной информации. У руководства организаций проблема несколько шире - и защита внутренней информации, а это значит недопущение вредоносных программ и ограничение доступа к разнообразным развлекательным ресурсам, интернет-магазинам, социальным сетям, блокам, системам обмена мгновенными сообщениями, словом, ко всему тому, что отвлекает сотрудников от плодотворного труда и снижает их производительность.
Существуют специальные программы, предназначенные для ограничения доступа к ресурсам различной направленности. Обзор некоторых из них был опубликован недавно на сайте Hard'n'Soft. Но в нем в первую очередь обсуждались средства родительского контроля, и предназначены были программы для индивидуального использования. Для управления доступом в компаниях, как в небольших, так и в крупных, требуются иные решения. Одно из них предлагает компания Entensys. Это - GateWall DNS Filter.
Программа может устанавливаться в локальной сети организации, но можно вместо этого подключиться к сервису, выполненному на основе этого решения. Необходимо отметить, что фильтрация трафика, а не DNS-запросов дает бОльшую защиту, но зато фильтрацию запросов организовать и реализовать намного проще, особенно для большого количества пользователей, находящихся как в одной, так и разных сетях и подсетях.
Основной проблемой систем, предназначенных для фильтрации трафика, является качество базы сайтов. Можно найти и использовать бесплатные сервисы или программы, выполняющие такие задачи и блокирующие запросы к опасным или развлекательным ресурсам. Но прежде чем принимать их на вооружение, надо внимательно познакомиться - а какова база сайтов, используемая ими. Зачастую база содержит относительно небольшой объем сайтов, что не дает хорошего уровня защиты.
В основе решения GateWall DNS Filter положено использование технологии Entensys URL Filtering, выполняющей фильтрацию запросов с проверкой их в специальной базе сайтов. На сегодняшний день база включает свыше пятисот миллионов адресов, сгруппированных в несколько десятков категорий. База включает сайты с сомнительным содержанием на различных языках, включая русский, содержит сайты с вредоносными программами, развлекательного характера и т.д. База данных постоянно пополняется и полностью адаптирована для России, в ней учтены предпочтения российских пользователей.
Технологии, реализованные в системе GateWall DNS Filter, позволяют фильтровать сайты самых разных категорий, например "Поиск работы" или "Религиозное содержание", пользователи получают доступ к отчетам и аналитике, могут настраивать работу фильтра по своему желанию. Сервис GateWall DNS Filter работает в облачной среде на платформе Amazon, что обеспечивает высокую производительность и надежность.
Удобство применения сервиса заключается в том, что не требуется в организации устанавливать никакого дополнительного программного обеспечения, а для использования требуется лишь изменить настройки прохождения DNS-запросов. И сразу после этого сервис может быть задействован. Администратору необходимо выполнить требуемые настройки, определить категории сайтов, к которым будет запрещен доступ, и, наоборот, внести необходимые сайты в списки постоянно доступных. Работа в облаке означает, что администратор не тратит свое время на поддержку собственных серверов, при этом обеспечивается высокий уровень надежности и сохранности данных.
Интересен вариант использования сервиса для интернет-провайдеров. Во-первых, снижается вероятность заражения компьютеров клиентов при посещении сайтов, содержащих вредоносные коды, - провайдер в настройках сервиса может запретить посещение данной категории сайтов для всех своих клиентов. Во-вторых, использование сервиса позволит интернет-провайдеру реализовать требования закона "О защите детей", в котором говорится о необходимости использования провайдерами специальных средств защиты детей от информации, причиняющей вред их здоровью или развитию. Решение GateWall DNS Filter, с его постоянно обновляемой базой сетевых ресурсов, обеспечит провайдерам возможность выполнения требования и этого закона.
Нагрузочное тестирование сервиса показывает, что он способен обрабатывать не менее 2500 DNS-запросов в секунду. К его особенностям можно отнести следующее:
- постоянно пополняемая база сайтов;
- возможность фильтрации и мониторинга сайтов любых категорий;
- возможность создания "белых" и "черных" списков сайтов;
- полноценная русскоязычная поддержка.
Внешне работа фильтра не представляет никакой сложности - получил присланный запрос, проверил адрес сайта по текущим правилам, по вхождению в черно-белые списки и дал заключение - годится сайт для просмотра или доступ к нему не разрешен. Здесь-то и появляется возможность заблокировать доступ к любым сайтам, в том числе к тем, что не нравятся вашему начальству.
В "облачном" решении каждая организация работает по своим правилам. За их настройку отвечает свой администратор. Он же может создавать и различные дополнительные списки сайтов. Администратор может создавать группы пользователей с собственными правилами, дополняющими общие. Для удобства управления в каждой группе пользователей может назначаться свой администратор, который может создавать подгруппы, формировать для них собственные настройки доступа, распределять по подгруппам своих пользователей. И если спускаться до самого низа, то есть до пользователя, то он также может создавать свои дополнительные правила, не противоречащие правилам групп и подгрупп, в которые он входит.
Правила управления определяют запрет доступа к сайтам в зависимости от категории или времени суток, фильтрацию сайтов на основе черных и белых списков. В качестве дополнительных условий в правилах можно указать время, день недели, одну или несколько категорий сайтов. Например, администратор может запретить посещение сайтов, отнесенных к социальным сетям, сайтам развлекательного типа в рабочее время, разрешив посещение их после завершения рабочего дня. При этом для каждой группы можно создавать множество правил, одни из которых будут полностью исключать доступ к вредоносным сайтам, другие предоставлять доступ к социальным сетям во внерабочее время и так далее.
Облачное решение может быть легко применено для настройки доступа в однородных организациях, например в школах. Для этого не потребуется никакого дополнительного оборудования, лишь перенастройка политики доступа к серверам DNS. Зато легко будет обеспечить защиту доступа к нежелательным ресурсам из образовательных заведений.
Организация доступа - это основная, но не единственная задача, какую обеспечивает облачный фильтр. Большое внимание при разработке было уделено получению отчетных и статистических данных. Вот уж где раздолье для руководства - проверять, кто из сотрудников на какие сайты пытался попасть.
Панель управления сервисом несколько отличается от панели управления программы, хотя по функционалу полностью ей соответствует. Один из разделов предназначен для управления правилами доступа, другой - для получения статистической информации. В разделе настройки правил можно создать требуемое количество с указанием запрещенных категорий и установкой временных интервалов. Настроить списки. Добавить определенные сайты в категории по вашему усмотрению.
В разделе статистики можно получить информацию по активности использования Интернета (за день, неделю, месяц), информацию по запросам, в том числе в разрезе категорий, а также сводные данные по десятке наиболее востребованных категорий. Сведения о таких категориях представлены в виде графиков.
Программа позволяет выполнять первичную и тонкую настройку доступа к различным категориям сайтов, корректировать правила, основываясь на результатах анализа запросов. И таким образом повышать надежность и защищенность компьютеров пользователей, а также снижать нерационально затрачиваемое рабочее время. Постоянное централизованное обновление базы сетевых ресурсов снижает нагрузку на администратора по уточнению правил доступа, а руководство может быть спокойным - новые развлекательные сайты, сайты общения, фишинга и прочие, прочие, прочие сразу же будут подпадать под действие установленных правил.
|
