Как обойти веб фильтрацию. Системы контентной веб-фильтрации
В данном разделе вы можете настроить список правил, используемых Dr.Web ICAPD для блокировки веб-страниц, посещаемых пользователями, а также определить правила применения блокировки и проверки файлов в зависимости от их типа.
Определяет параметры блокировки доступа к веб-сайтам различных категорий а также содержит перечни используемых черных и белых списков доступа.
Блокировка доступа к веб-сайтам различных категорий
Флажки Блокировать (Блокировать сайты для взрослых и т.д.) позволяют включить или отключить блокировку доступа пользователей к сайтам соответствующих категорий. Если блокировка включена, при попытке доступа пользователь получит от сервера в ответ HTML-страницу с уведомлением о заблокированном доступе к сайту.
Управление черными и белыми списками
Dr.Web ICAPD поддерживает списки доступа, представляющие собой наборы адресов веб-ресурсов, доступ к которым может быть разрешен или запрещен. Помимо списков категорий, которые поставляются вместе с Dr.Web ICAPD и автоматически пополняются компанией «Доктор Веб», администратор может также создать произвольное количество пользовательских списков.
Вы можете задавать не только черные, но и белые списки. Пользовательские черные списки запрещают доступ, а белые списки разрешают доступ к веб-сайтам.
Доступны два вида пользовательских белых списков:
Доверенный список . Для всего контента узлов сети, находящихся в этом списке, антивирусная проверка не производится.
Разрешающий список . Разрешается доступ к узлам сети, находящимся в этом списке, даже если они находятся в блокируемых категориях, но не в пользовательском черном списке.
Обратите внимание на следующие особенности пользовательских списков:
Если некоторый узел сети находится в доверенном списке, то доступ к нему регулируется как обычно – проверкой на нахождение в блокируемых категориях с учетом правил, а также в черном пользовательском списке.
Если некоторый узел сети находится в черном списке, то доступ к нему блокируется безусловно, т.е. нельзя создать переопределяющего правила, разрешающего доступ к этому узлу. Кроме того, этот список имеет приоритет над разрешающим белым списком, т.е. если один и тот же узел сети указан в пользовательском черном списке и в разрешающем белом, то доступ к нему будет блокирован.
Параметры:
Каталог dws-файлов – путь к каталогу на защищаемой станции, в котором хранятся файлы категорий интернет-ресурсов, поставляемых вместе с Dr.Web ICAPD.
Белые списки для фильтрации по содержимому – пользовательский белый список с разрешенными узлами. Содержит список путей к текстовым файлам на защищаемой станции, разделенных запятыми. Заданные файлы содержат список узлов, контент которых не будет проверяться на соответствие с черным списком. Тем не менее, передаваемый контент будет проверяться на вирусы. Настройка необходима для предоставления доступа к веб-сайтам, которые заблокированы настройками черного списка.
Файлы черных списков – пользовательский черный список. Содержит список путей к текстовым файлам на защищаемой станции, разделенных запятыми. В заданных файлах перечислены узлы сети, доступ к веб-сайтам на которых запрещается.
Файлы белых списков – пользовательский белый список с доверенными узлами. Содержит список путей к текстовым файлам на защищаемой станции, разделенных запятыми. Заданные файлы содержат список узлов, контент которых не будет отправляться на антивирусную проверку. Тем не менее, передаваемый контент будет проверяться на соответствие с черным списком. Обратите внимание, что этот параметр лишь отключает антивирусную проверку файлов, поступающих от узлов, но не разрешает доступ к самим узлам.
Фильтрация по MIME
Правила фильтрации MIME , в котором вы можете задать правила определения, файлы какого типа и размера будут отправляться на антивирусную проверку.
Этот текст всегда начинается со строки MimeStart , заканчивается строкой MimeEnd и содержит правила фильтрации файлов, по одному на строку.
Для правил фильтрации используется следующий синтаксис (элементы выражения разделяются пробелами):
где
▫ * – файл любого типа;
▫ application – исполняемые и архивированные файлы, документы в формате PDF, MS Word и др.;
▫ audio – аудиофайлы (mp3 , wav , wma и др.);
▫ image – изображения (gif , jpg , png , svg и др.);
▫ message – сообщения между веб-серверами и клиентами;
▫ multipart – контейнеры (почтовые файлы, запакованные файлы);
▫ text – текст или исходный код ( html , xml , css и др.);
▫ video – видеофайлы (mpeg-1 , mp4 , wma );
▫ model – файлы трехмерных моделей.
При необходимости может быть указано как целое семейство MIME, так и конкретный тип (например: video – любые видеофайлы, а video/mpeg – видео типа MPEG).
Для объекта всегда применяется правило, заданное для MIME-типа, наиболее близкого MIME-типу объекта. Таким образом, правило для MIME-типа "*" , подходящее любому типу, применяется, только если не имеется правил с более близким классом типов MIME.
<действие1> – наименование действия ( scan , pass , reject ), которое следует выполнить в случае, если размер объекта данного MIME-типа не превосходит размер, указанный в поле <размер> .
<размер> – пороговый размер. Если размер объекта данного MIME-типа не будет превосходить пороговый, то к нему применится действие <действие1> , иначе к нему будет применено действие <действие2> .
<действие2> – наименование действия ( scan , pass , reject ), которое следует выполнить в случае, если размер объекта превосходит указанный <размер> .
Если в качестве размера указать ключевое слово all , то это означает, что первое действие (<действие1> ) будет применяться ко всем объектам данного MIME-типа, вне зависимости от их размера. В этом случае <действие2> не указывается.
Допускаются следующие значения действий:
scan – отправить файл на антивирусное сканирование;
pass – пропустить файл к пользователю без проверки;
reject – заблокировать файл и вернуть другой объект. Обратите внимание, что это действие должно указываться с дополнительным ключом, определяющим, какие данные возвращаются пользователю:
▫ -report – вернуть пользователю вместо запрошенного файла HTML-уведомление о блокировке;
▫ -trunc – вернуть пользователю запрошенный файл, усеченный до нулевой длины (пустой файл).
Порядок следования правил в секции не имеет значения.
Определения
Эта секция содержит единственное многострочное поле-редактор Определения , в котором вы можете задать собственные макросы, используемые в переопределяющих правилах доступа к веб-сайтам. Макросы задаются в секции .
Правила
Эта секция содержит единственное многострочное поле-редактор Правила разрешения/блокировки , в котором вы можете задать собственные правила разрешения и/или запрещения доступа к веб-сайтам. Правила задаются в секции .
Правда, некоторые из них в условиях особо жесткой фильтрации не работают. Например «Великий китайский фаервол» теперь не пропускает исходящие подключения к VPN, хотя еще до недавнего времени их никак не ограничивал.
DNS-серверы
Это самый ненадежный способ, но упомянуть о нем все-таки стоит. Некоторые интернет-провайдеры используют фильтрацию на уровне DNS-серверов, которые автоматически перенаправляют запросы к заблокированным сайтам на другие адреса. В некоторых организациях для фильтрации трафика применяется и другие подобные решения.
Если фильтрация реализована на уровне DNS и запросы к другим DNS-серверам не блокируются, можно просто задать в настройках сетевого соединения другой сервер, не контролируемый ИТ-администратором или интернет-провайдером. Можно, например, использовать Google Public DNS – там-то уж точно ничего не фильтруют.
Tor
Позволяет анонимно перемещаться по Интернету за счет того, что пропускает все запросы через зашифрованную сеть и использует в качестве выходной точки нефильтруемые неконтролируемые серверы. Открывать с помощью Tor незашифрованные страницы с конфиденциальной информацией не стоит, зато заблокированные сайты смотреть можно в любой сети.
Разработчики Tor ведут долгую, непрекращающуюся борьбу с режимами, добивающимися блокировки сервиса – например, в Иране. Tor может оказаться выходом даже там, где не работают обычные VPN, прокси и SSH-туннели.
Однако у Tor есть большой недостаток – он работает в разы медленнее обычного веб-браузера. Для доступа к заблокированным сайтам такое решение годится, но для повседневного веб-серфинга подходит разве что иранским и китайским диссидентам.
VPN
Можно подключиться к и пропускать через нее весь трафик с локального компьютера. Скажем, при подключении к VPN в Исландии весь сетевой трафик будет сначала направляться в Исландию, и только оттуда – к запрошенным сайтам. В обратном направлении трафик тоже будет проходить через Исландию, прежде чем попасть на конечный компьютер. Соединение полностью шифруется, поэтому провайдер, сетевой оператор или даже надзирающие государственные органы видят только, что идет обмен данными по зашифрованному соединению с VPN. Чтобы заблокировать такой трафик, придется заблокировать подключение к VPN.
VPN широко используются не только для обхода фильтрации, но и для подключения к рабочим сетям, поэтому такие соединения обычно не блокируют. Хотя в Китае с недавних пор их начали перекрывать.
Существуют бесплатные VPN-сервисы, но надежное скоростное соединение все-таки стоит денег, будь то плата VPN-провайдеру или покупка хостинга для организации собственной VPN-сети.
Прокси
К заблокированным сайтам можно пробиться и через обычные прокси-серверы, действующие на уровне веб-браузера или всей операционной системы. Функционируют они примерно так же, как VPN, но гораздо менее надежны – в частности, далеко не все программы их поддерживают. Если вы готовы платить, лучше потратиться на VPN.
Но если требуется быстро получить доступ к заблокированному сайту, можно попытаться сделать это через веб-прокси. Существует множество подобных сервисов, включая широко известный . Для просмотра достаточно ввести адрес нужного ресурса на сайте веб-прокси.
Правда, работает такой прием не всегда – иногда сами прокси-серверы могут оказаться заблокированы. К тому же они добавляют на все страницы рекламу – надо же им как-то выживать, если учесть, что сами по себе такие сервисы бесплатны. Но в любом случае, если требуется быстро посмотреть заблокированный сайт, не тратя время на установку и настройку более продвинутых решений, можно попробовать прокси.
SSH-туннелирование
SSH-туннели похожи на VPN в том отношении, что тоже пропускают весь трафик через зашифрованный канал. Если вы готовы за это платить, VPN предпочтительнее. Но у многих гиков уже и так есть удаленный SSH-сервер, который можно использовать для этих целей.
При наличии такого сервера можно наладить SSH-туннелирование, чтобы весь трафик с локального компьютера перенаправлялся через этот сервер по защищенному соединению. Таким образом можно зашифровать трафик, чтобы предотвратить перехват данных в публичных сетях Wi-Fi, да к тому же обойти фильтрацию в локальной сети. Эффект получается такой же, как если бы вы сидели за SSH-сервером и открывали сайты прямо на нем, хотя скорость передачи данных получается несколько ниже.
В Windows можно создать SSH-туннель с помощью
Ваши дети пользуются Интернетом, и Вы хотите обезопасить их от экстремизма и жесткости в сети Интернет, от пропаганды алкоголя и наркотиков, а также от информации для взрослых? Но как определить, какие именно Интернет-ресурсы не стоит посещать, если в сети миллионы сайтов?
Услуга «Родительский контроль» от byfly предназначена именно для того, чтобы защитить вас и ваших близких от нежелательной информации.
Как это работает?
Блокировка (фильтрация) нежелательного контента, то есть содержимого Интернет-ресурсов осуществляется системой FortiGuard®, в базе которой содержится более 100 млн. сайтов. База данных системы постоянно пополняется. Для того чтобы обеспечить фильтрацию нежелательной информации, все сайты в системе разбиты по категориям. Проверить, к какой категории принадлежит тот или иной Интернет-ресурс, можно на официальном сайте системы FortiGuard® http://www.fortiguard.com/static/webfiltering.html
С перечнем категорий сайтов, попадающих под фильтрацию можно ознакомиться .
Таким образом, если сайт попадает в категорию, которая включена в список фильтрации, то трафик от этого сайта будет блокироваться.
Обратите внимание: добавление или удаление Интернет-ресурсов в списки фильтрации, а также изменение категории Интернет-ресурса, силами РУП «Белтелеком» не производится. Все сопровождение системы фильтрации осуществляется компанией-владельцем данной системы.
Подключиться к услуге "Родительский контроль" можно или в сервисных центрах РУП «Белтелеком», или самостоятельно в кабинете пользователя. Услуга доступна абонентам byfly (кроме линейки «Мобил» и абонентов подключенных по сети Wi-Fi) и абонентам пакетов услуг. Обращаем Ваше внимание на некоторые особенности работы услуги:
. Услуга «Родительский контроль» является гибко настраиваемой: если блокировка нежелательной информации требуется Вам не постоянно, а время от времени, то в любой момент Вы можете включить/отключить услугу по своему усмотрению. При этом оплата будет взиматься только за те периоды (сутки), в которые вы пользовались услугой.
. При заказе и отказе от услуги «Родительский контроль» соединение с сетью Интернет прерывается. Если модем, выданный Вам для подключения к Интернет, находится в режиме router, повторное соединение устанавливается автоматически. Если модем находится в режиме bridge, Вам необходимо после разрыва соединения с сетью Интернет установить его повторно.
. Установление соединения с Интернет в автоматическом режиме (после включения/отключения услуги) может быть произведено не моментально, а в течение нескольких минут после включения/отключения услуги.
Воспользоваться возможностями услуги родительский контроль можно также, подключившись к тарифному плану "Домосед семейный" (скорость 3 Мбит/с и родительский контроль с тарифным планом "Легкий") В рамках этого тарифного плана Вы получите одновременно и услуги доступа к сети Интернет и необходимую защиту от нежелательной информации.
Тарифы на услугу для населения (кроме индивидуальных предпринимателей):
.
Тарифы на услугу для юридических лиц и индивидуальных предпринимателей:
Фильтрация трафика: “Родительский контроль”
При предоставлении услуги «Родительский контроль» плата взимается за каждые полные или неполные сутки независимо от количества заказов услуги в течение суток.
Сокращенный список категорий фильтрации не включает социальные сети
.
Веб-фильтр Remparo централизованно регулирует доступ пользователей к ресурсам в Интернете без необходимости вручную вносить каждую отдельную страницу в черный список. Remparo автоматически определяет тематику страницы и в зависимости от политики фильтрации принимает решение о блокировке доступа к ней, не затрагивая все остальные документы сайта.
Применение веб-фильтра повышает эффективность использования Интернета на рабочем месте. Remparo расширяет периметр безопасности корпоративных и домашних пользователей, упрощает предоставление качественной услуги «Родительский контроль» у провайдеров и осуществляет фильтрацию по спискам Роскомнадзора.
Как работает веб-фильтр
Remparo анализирует содержимое запрошенной страницы, выделяет главные ключевые слова, определяет их вес, связи между терминами и определяет тематику страницы. После этого веб-фильтр применяет заданные администратором правила: блокирует доступ к проанализированной странице или выводит предупреждение о наличии на ней недопустимого контента. При этом Remparo блокирует лишь изученную страницу, а не весь сайт.
В качестве дополнительного фильтра Reparo использует черные списки сайтов из Федерального списка экстремистских материалов Министерства Юстиции РФ, а также из Единого реестра запрещенных сайтов (Роскомнадзор). Широкий выбор политик фильтрации Remparo позволяет классифицировать пользователей на группы и для каждой задавать разную фильтрацию и расписание.
В основе контентного веб-фильтра Remparo - технология «Семантическое зеркало», разработанная компанией «Ашманов и партнеры». Проект находится на стадии разработки и является резидентом Сколково.
Почему нас выбирают
Remparo - единственный в России веб-фильтр с глубоким лингвистическим онлайн-анализом страниц. Его основной метод работы - фильтрация по содержимому, а вспомогательный - по черным и белым спискам.
Созданный нами веб-фильтр обладает высокой производительностью, сравнимой с производительностью DPI-решений, легок в эксплуатации, анализирует документы на русском и английском языках, с возможностью подключать поддержку других языков. Remparo соответствует существующему законодательству и подзаконным актам Российской Федерации «О защите детей от информации, причиняющей вред их здоровью и развитию», включая 436-ФЗ, 114-ФЗ, 187-ФЗ, а также Методическим рекомендациям Министерства образования.
Лингвистические технологии в веб-фильтре Remparo
Лингвистический анализ включает морфологический, синтаксический и семантический анализ текста веб-страниц, что обеспечивает высокую точность определения ее тематики. Набор релевантных категорий для запрашиваемой страницы устанавливается с помощью технологии лингвистического анализа «Семантическое зеркало».
Преимущества лингвистического анализа
Применение лингвистических методов анализа страниц позволяет блокировать отдельные страницы, а не сайты целиком. Это позволяет эффективно применять веб-фильтр Remparo к ресурсам с часто изменяющимся контентом: социальные сети, форумы, новостные ресурсы и т.д., в которых другие методы фильтрации не работают. Кроме того, веб-фильтр быстро реагирует на изменение содержания страницы и появление новых сайтов с нежелательным содержанием.
10 июня 2016 в 15:47Как заблокировать все веб-сайты социальных сетей с помощью Web Content Filter (Фильтра Веб Контента)?
- Tutorial
Мы начинаем публикацию серии статей об оборудовании Draytek с описанием кейсов и необходимых настроек для разного рода задач. Надеемся, что эти статьи будут вам полезны. Итак, начнем:
Facebook или другие зашифрованные HTTPS сайты могут блокироваться с помощью «URL Content Filter»(Фильтр URL контента) и «DNS Filter» (Фильтр DNS). Тем не менее, если мы хотим заблокировать все веб-сайты социальных сетей, Web Content Filter (Фильтр Веб контента) – это самый удачный выбор.
Web Content Filter – простой фильтр на основе категорий, который помогает сетевым администраторам эффективно контролировать использование Интернета, чтобы удовлетворять все запросы бизнеса. Здесь показано, как использовать Web Content Filter и DNS Filter и блокировать все веб-сайты социальных сетей.
1. Перейдите в CSM >> Web Content Filter Profile (CSM>>Профиль Фильтра Веб контента).
a. Убедитесь, что лицензия Cyren активирована. (Проверьте: «Как зарегистрировать мой маршрутизатор Vigor и активировать бесплатную лицензию WCF Trial?»).
b. Щелкните на Index 2 (Индекс 2), чтобы установить профиль.
2. Для того, чтобы установить профиль Web Content Filter, необходимо выполнить следующие действия:
a. Отредактируйте profile name (название профиля), в данном случае мы вводим название Social Network (Социальная Сеть)
b. Выберите тип действия Block (Блокировать)
c. Выберите Social Network (Социальная Сеть) в Категориях
3. Перейдите в CMS >> DNS Filter (CMS >> Фильтр DNS) и активируйте DNS Filter
a. Щелкните на номер Индекса профиля в Таблице DNS Filter Profile (Профиль DNS Фильтра)
b. Введите Profile Name (Название профиля)
c. Выберите WCF в качестве Web Content Filter Profile, созданного на Этапе 2
d. Щелкните OK и сохраните
4. Чтобы применить Web Content Filter и DNS Filter, перейдите в Сетевой экран >> Установка Фильтра >> Шаг 2. (Фильтр данных по умолчанию)
a. Щелкните на номер Filter Rule (Правило фильтра)
b. Активируйте Filter Rule
c. Отредактируйте Источник IP, если вы хотите заблокировать только некоторые IP социальных сетей
d. Выберите Фильтр как Pass Immediately (Пройти немедленно)
e. Выберите Web Content Filter в качестве профиля, созданного на Этапе 2
f. Выберите DNS Filter в качестве профиля, созданного на Этапе 3
g. Щелкните OK и сохраните
5. После завершения вышеуказанных настроек, все веб-сайты социальных сетей будут заблокированы с помощью Web Content Filter и DNS Filter с Маршрутизатором Vigor , даже если веб-сайт использует HTTPS. На картинке ниже Вы видите заблокированный Facebook, Instagram и Twitter.
Исправление проблем:
Если веб-сайты не блокируются, как ожидалось, пожалуйста, сделайте следующее:
1. Очистите куки браузера и его историю.
2. Очистите кэш DNS на компьютере, для пользователей Windows, это можно сделать путем ввода команды «ipconfig/flushd» в командной строке.
3. Убедитесь, что шлюз по умолчанию – это Маршрутизатор Vigor
4. Проверьте DNS-сервер компьютера, введите «nslookup» и проверьте DNS-сервер Вашего компьютера.
A. Если сервер является открытым DNS-сервером, убедитесь, что шлюз компьютера установлен на
