Уничтожьте Web Scum с помощью LANguard для ISA Server
Уничтожьте Web Scum с помощью LANguard для ISA Server 2000
Томас В. Шиндер
Недавно у нас была возможность протестировать LANguard от GFI Software (www.gfi.com) для ISA Server 2000 в небольшой муниципальной сетевой среде. У мэрии есть 300 клиентов локальной сети, которые имели бесплатный доступ в Интернет через RRAS NAT в течение последних шести месяцев. Администратор локальной сети установил и настроил ISA Server за пару недель до того, как позвонил мне, и у него не было никаких проблем с этим.
Хотя он был доволен ISA Server, он хотел иметь больший контроль над исходящим доступом, чем те, которые ему могли предоставить правила Site and Content. Он объяснил мне, что городские власти могут быть привлечены к ответственности за оскорбительный контент, который может появиться на компьютерах пользователей. Также были проблемы с загрузкой зараженных вирусом файлов пользователями из Интернета. Ему нужен был надежный и простой в настройке метод управления доступом к содержимому веб-страницы и загрузке файлов. Я упомянул LANguard для ISA Server. Он попросил меня установить LANguard для ISA Server и выполнить первоначальную настройку его тестового диска.
В этом обзоре функций веб-фильтрации LANguard я объясню, что может сделать LANguard, и пройдусь по мини-руководству по настройке проверки содержимого HTML с помощью продукта LANguard.
Что такое ЛАНгард?
LANguard — это фильтр содержимого HTTP и FTP с туннелированием. В отличие от правил Site and Content, поставляемых с ISA Server, LANguard может проверять HTML- содержимое веб-страниц и принимать решения о разрешении доступа к странице на основе текста, содержащегося в HTML-коде. LANguard можно настроить так, чтобы он работал как правила сайта и контента; где он проверяет только целевой URL-адрес и решает, одобрен он или нет. Фактически, LANguard расширяет возможности проверки URL-адресов, предоставляемые правилами сайта и контента ISA Server, поскольку вы можете ограничить доступ к URL-адресу на основе ключевых слов, содержащихся в URL-адресе. Правила сайта и контента ISA Server не имеют такой возможности.
LANguard может проверять содержимое файлов, загруженных через HTTP или FTP с туннелированием HTTP (FTP через клиент Web Proxy). Эта функция аналогична управлению доступом с помощью правил содержимого ISA Server. Однако LANguard значительно улучшает встроенную функцию ISA Server, поскольку вы можете уведомить пользователя и менеджера пользователя о том, что пользователи попытались получить доступ к заблокированному файлу. Затем менеджер пользователя может проверить файл, находящийся в карантине, и определить, должен ли пользователь его получить. Все, что нужно сделать диспетчеру, — это щелкнуть ссылку в сообщении электронной почты, и файл, помещенный в карантин, либо будет удален, либо отправлен пользователю по электронной почте.
Главной особенностью LANguard, которую LANguard добавляет к ISA Server, является мониторинг веб-активности в режиме реального времени. Вы можете видеть учетные записи пользователей, которые обращаются к веб-сайтам в режиме реального времени. Вы также получаете отчеты в режиме реального времени о количестве загружаемых данных для каждого пользователя. Это замечательная функция, которую следовало включить в базовый продукт ISA Server.
Особенностью LANguard, которая нам понравилась больше всего, является встроенная проверка на вирусы. Продукт можно настроить на автоматическую проверку веб- и FTP-содержимого на наличие вирусов. Это чрезвычайно ценный инструмент, так как многие вирусы загружаются через HTTP и FTP-туннелирование. LANguard не только проверяет наличие традиционных вирусов и червей, но также проверяет наличие опасных макровирусов MS Word. LANguard автоматически обновляет свои определения вирусов один раз в день, так что вам никогда не придется беспокоиться о том, чтобы вручную проверять сайт GFi на наличие обновленного списка, и при этом быть уверенным, что вы всегда в курсе последних определений вирусов.
Установка LANguard
Мы обнаружили, что установка LANguard абсолютно проста. Все, что вам нужно сделать, это дважды щелкнуть файл lanisa.exe, который можно загрузить с веб-сайта www.gfi.com. Во время установки нет вопросов, на которые нужно ответить, или параметров конфигурации. Машина должна быть членом домена Windows 2000 Active Directory, иначе LANguard не будет работать. Причина в том, что LANguard использует базу данных учетных записей Active Directory и не будет работать с локальным SAM сервера ISA или доменом Windows NT 4.0.
Машина была PIII-533 МГц с 512 МБ SDRAM. ISA Server был установлен в интегрированном режиме как автономный ISA Server. В сети работала среда Active Directory со всеми сетевыми службами, расположенными на одном компьютере во внутренней сети; никаких посторонних служб на самом ISA Server не устанавливалось. ISA Server был членом домена Active Directory. Уже существовали правила протокола, пропускной способности, сайта и контента, и мы ничего из них не меняли.
Внешний интерфейс представлял собой линию ADSL, которая, к счастью, не использовала ужасный PPPoE.
Эти требования к оборудованию немного меньше, чем рекомендует GFI. В своей документации они рекомендуют как минимум PIII 700 МГц и 256 МБ ОЗУ. В течение 7-дневного тестового периода пользователи не жаловались на проблемы с производительностью. Однако мы не проводили формальных оценок пропускной способности.
LANguard — это подключаемый модуль ISAPI для ISA Server. Он отображается в консоли управления ISA как фильтр веб-приложений, как показано на рисунке ниже:
Поскольку LANguard устанавливается как веб-фильтр, вы должны установить ISA Server либо в интегрированном режиме, либо в режиме только кэширования. Если вы устанавливаете ISA Server в режиме брандмауэра, он не будет работать, так как зависит от службы веб-прокси.
Настройка LANguard
LANguard очень легко настроить, и он будет делать именно то, что вы хотите. Однако, прежде чем LANguard сделает именно то, что вы хотите, вам придется подумать о том, какой контент вы хотите заблокировать. Планирование и тестирование — ключ к успешному использованию LANguard.
Вещи для настройки включают в себя:
Проверка на вирусы
Свойства сервера
Проверка контента
Проверка файлов
Настройка проверки на вирусы
Вирусы, загружаемые из Интернета, представляют собой серьезную проблему во всех сетях. LANguard для ISA Server может сканировать все файлы, загруженные через HTTP или FTP с туннелированием HTTP через браузер. Поскольку LANguard не сканирует FTP-запросы, проходящие через службу брандмауэра, необходимо убедиться, что клиенты брандмауэра и SecureNAT не используют клиентские приложения FTP для доступа к FTP-сайтам в Интернете. Самый простой способ справиться с этой ситуацией — установить ISA Server только в режиме кэширования.
Однако, если вы устанавливаете в интегрированном режиме, вам придется быть бдительными и бить пользователей, которые используют FTP-приложения. Лучший способ сделать это — установить клиент брандмауэра на все компьютеры, а затем просмотреть журналы брандмауэра. Сканируйте журналы брандмауэра на наличие исходящих подключений через TCP-порт 21. Поскольку вы используете клиент брандмауэра, имя пользователя будет в журнале. Возьмите с собой корпоративную охрану и сопроводите пользователя из здания. Вы можете выбросить вещи из его стола в окно позже, чтобы он их забрал.
Вы можете настроить LANguard для сканирования HTTP-трафика, FTP-трафика или обоих. LANguard также может проверять наличие макросов Word и блокировать содержащие их файлы Word. Лучше всего то, что LANguard автоматически обновляет базу данных вирусов, поэтому вам не нужно беспокоиться о загрузке файлов вручную и их установке. Вам необходимо создать фильтры пакетов, чтобы разрешить стандартный FTP-доступ к сайту LANguard с самого ISA Server.
Настройка свойств сервера
Щелкните правой кнопкой мыши узел конфигурации LANguard ISA на левой панели и щелкните свойства. Вы видите, что появляется ниже:
В этом диалоговом окне необходимо настроить две вещи:
Менеджер по умолчанию
SMTP-сервер
Менеджер по умолчанию — это человек, который будет получать уведомления о том, что пользователь получил доступ к запрещенным материалам. У менеджера есть возможность удалить или одобрить загруженный контент. Вы можете настроить разных менеджеров для каждого пользователя или группы. Этот параметр задает менеджера по умолчанию, который будет получать уведомления в случае, если пользователю или группе не назначен менеджер в Active Directory.
SMTP-сервер — это почтовый сервер, который должен получать уведомления. Этот почтовый сервер должен иметь возможность пересылать почту пользователям вашей внутренней сети. В нашей сети был сервер Exchange, поэтому IP-адрес этого сервера вводится в текстовом поле Имя сервера.
Настройка проверки содержимого
Чтобы настроить проверку содержимого HTTP, просто щелкните значок «Новое правило» на правой панели, как показано на рисунке ниже.
После нажатия значка «Новое правило» в список правил проверки содержимого добавляется новая запись с именем «Новое правило проверки содержимого». Если вы хотите переименовать правило, просто щелкните значок «Переименовать правило». После изменения имени дважды щелкните новое правило. Откроется страница свойств правила, как показано на рисунке ниже.
В этом диалоговом окне есть много параметров. Вы можете указать, хотите ли вы проверять текст, содержащийся в FTP- и/или HTTP- трафике. Вы также вводите свои ключевые слова в этом диалоговом окне.
Первое ключевое слово, которое вы вводите, всегда будет иметь оператор IF. Последующие ключевые слова имеют операторы IF, AND или OR. Это дает вам большой контроль над тем, что разрешено, а что нет.
Например, чаты AOL — проклятие любой компании. Однако вы не можете просто отфильтровать ключевое слово AOL, потому что имя AOL появляется на очень многих сайтах технических новостей. Однако вы можете создать правило для блокировки сайта, на котором есть AOL И чат на одной странице.
Точно так же, если вы хотите заблокировать порносайты, вы должны потребовать хотя бы пару популярных порнослов. Например, вы не хотите блокировать ключевое слово « секс», потому что существует много законного контента, содержащего это слово. Однако, если вы создали правило с ключевыми словами SEX AND LESBIAN AND HOT, есть большая вероятность, что вы не заблокируете ничего, что кому-то нужно для выполнения своей работы. Но если пользователю необходимо попасть на сайт для законных рабочих целей, вы можете разрешить доступ позже, после получения отчета о попытке пользователя получить доступ к странице.
Чтобы добавить ключевое слово, просто нажмите кнопку «Добавить слово», и вы увидите, что появится ниже.
Параметр «Проверить URL-адреса» настраивает LANguard на проверку только URL-адреса, а не HTML-содержимого страницы. Это делает его более похожим на встроенное правило Site and Content сервера ISA. Параметр «Сопоставлять только слова целиком» позволяет вводить такие слова, как « секс », и такие слова, как M «Смена пола», не отображаются как запрещенный контент.
Когда вы нажмете вкладку «Действия», вы увидите то, что показано ниже.
Флажок «Блокировать соединение и выполнить действие» находится там, где нужно действие! Цель фильтрации контента — гарантировать, что пользователи не получат доступ к неутвержденному контенту. У вас есть выбор: получить информацию о неосмотрительности пользователя или просто отклонить запрос, не будучи проинформированным.
Во фрейме уведомлений вы выбираете, кто и как люди будут уведомлены о нарушении. Уведомление пользователя с помощью текста сообщения немедленно уведомляет нарушителя о том, что он получил доступ к неутвержденному материалу, как показано на рисунке ниже. (обратите внимание, что для работы этой функции на ISA Server должна быть запущена служба обмена сообщениями).
Пользователь также может быть уведомлен по электронной почте о том, что он напутал, выбрав Уведомить пользователя по электронной почте. Сообщение, которое они получат, будет выглядеть примерно так, как вы видите ниже.
Вы также можете уведомить руководителя этого человека о нарушении, выбрав опцию Уведомить руководителя по электронной почте. Сообщение будет отправлено диспетчеру по умолчанию, если у вас нет конкретного менеджера, указанного для пользователя или группы в Active Directory Uses and Computers. Сообщение, которое получает менеджер, выглядит так, как показано ниже.
Вы также можете уведомить руководителя этого человека о нарушении, выбрав опцию Уведомить руководителя по электронной почте. Сообщение будет отправлено диспетчеру по умолчанию, если у вас нет конкретного менеджера, указанного для пользователя или группы в Active Directory Uses and Computers. Сообщение, которое получает менеджер, выглядит так, как показано ниже.
Обратите внимание, что параметр «Действие» в электронном письме полезен только в том случае, если пользователь пытался загрузить файл с ограниченным доступом. Вы можете утвердить URL-адрес, но пользователь все равно не сможет получить к нему доступ. Вам придется изменить политику доступа, чтобы разрешить это. Будущие обновления LANguard будут включать в себя возможность менеджера разрешать пользователю доступ к определенному URL-адресу.
Когда вы нажмете на вкладку «Пользователи», вы увидите то, что появится ниже.
Вы можете выбрать пользователей и группы, к которым вы хотите применить это правило, или вы можете применить правило ко всем, а затем составить список исключений.
Когда пользователь сталкивается с запрещенной страницей, он увидит то, что показано на рисунке ниже:
Другие функции LANguard
Другие функции LANguard включают проверку содержимого файлов, загруженных по HTTP. Эта функция расширяет возможности проверки содержимого HTML, предоставляемые LANguard. Наш опыт работы со средствами проверки файлов по протоколу HTTP был превосходным, и мы не сталкивались с какими-либо проблемами производительности, когда проверка файлов включена на мощном компьютере с ISA Server.
Вывод
В этом обзоре LANguard мы рассмотрели основные функции, доступные в продукте. LANguard обеспечивает проверку содержимого HTTP и туннелированного FTP и файлов, а также отчеты в режиме реального времени об активности пользователя по протоколу HTTP. Вы увидели, как настраивать свойства службы и как реализовать фильтрацию содержимого для HTTP и туннельного FTP-доступа.
Администраторы нашей муниципальной сети были впечатлены! Он рассказал нам, что планировал запросить заказ на покупку LANguard и реализовать его не только в мэрии, но и в здании суда. LANguard для ISA Server оставил нам еще одного счастливого клиента.
ISAServer.org дает продукту LANguard 5 звезд, и я считаю LANguard лидером на рынке надстроек Web Filter для ISA Server 2000.