Настройка блокировки доступа к определенным сайтам в аппаратных шлюзах серии ZyWALL USG

Как в аппаратных шлюзах серии ZyWALL USG можно заблокировать конкретные сайты (например, сайты социальных сетей), не покупая лицензию функции контентной фильтрации Content Filter?

Существует два способа настройки блокировки доступа к определенным сайтам в аппаратных шлюзах серии ZyWALL USG.

Способ 1. Через Content Filter > Custom Service.

1.1. В меню Configuration > Anti-X > Content Filter > Filter Profile > Add > Custom Service создайте новый профиль фильтрации, где в разделе Forbidden Web Sites укажите DNS-имена сайтов соцсетей (например: *odnoklassniki.ru, *vk.com, *facebook.com), а в разделе Blocked URL Keywords укажите ключевые слова из URL, по которым будет блокироваться доступ (например, *odnoklassniki*, *vk*, *vkontakte*, *facebook*).


1.2. Затем в разделе General Settings поставьте галочку в поле Enable Custom Service и нажмите ОК.

1.3. Перейдите на вкладку General и поставьте галочку в поле Enable Content Filter. В разделе Policies добавьте правило, в котором укажите учетные записи пользователей или сегмент сети, для которых будет работать фильтр, созданный в пунктах 1.1 – 1.2.

В разделе Message to display when a site is blocked в поле Denied Access Messager можно указать сообщение, которое будут видеть пользователи при попытке доступа к запрещенным сайтам.

1.4. Выполните перезагрузку аппаратного шлюза ZyWALL USG.

Теперь пользователи увидят сообщение "The web access is restricted. Please contact with administrator." при доступе к блокируемым сайтам (в нашем примере при доступе к сайтам vk.com и facebook.com).


Способ 2. Через DNS.

В ZyWALL USG можно настроить перенаправление на несуществующий адрес при запросе конкретного DNS-имени.

2.1. В меню Configuration > System > DNS > Address/PTR Record > Add добавьте доменное имя (например, *.vk.com) и любой незанятый IP-адрес в локальной сети (например, 192.168.13.13).

 

2.2. Выполните перезагрузку аппаратного шлюза ZyWALL USG.

Отметим, что второй способ будет работать, только в том случае, если на клиентских компьютерах будет указан аппаратный шлюз ZyWALL USG в качестве DNS-сервера.

В ZyWALL USG в меню Configuration > Interface > Ethernet в настройках локального интерфейса в разделе DHCP Setting в поле First DNS Server должно быть установлено значение ZyWALL.

Для того чтобы пользователи не могли самостоятельно вручную установить IP-адрес DNS-сервера, нужно на ZyWALL USG в настройках межсетевого экрана Firewall заблокировать порт 53/TCP,UDP, который использует система DNS (Domain Name System). Информацию о настройке межсетевого экрана Firewall в ZyWALL USG вы найдете в статье: «Настройка межсетевого экрана Firewall в аппаратных шлюзах серии ZyWALL USG»

Второй способ предоставляет возможность блокировать также https-запросы, что не позволяет делать Content Filter.

KB-3040

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.