Question: Как настроить блокировку сайтов по URL на устройствах серии DFL?

Answer: 

Блокировать по URL на серии DFL можно несколькими способами:

  1. Используя IP политики.
  2. Через http/https ALG
  3. Через создание IP правила и использование в нем FQDN Address.

В рамках данного примера мы рассмотрим использование IP политик.

Внимание: IP политики не позволяют на HTTPS протоколе осуществлять фильтрацию по типу/размеру скачиваемым файлам.

Перед созданием IP политики необходимо создать 2 объекта:

  1. Сервис (service) — пред настроенный протокол.
  2. Web политику, в которой и сформируем черный список URL. В примере будем блокировать сайт facebook.com


Создание сервиса.

Пример для CLI.

add Service ServiceTCPUDP web_filter DestinationPorts=80,443 Protocol=HTTP_HTTPS

Пример для Web интерфейса.

Пройдите в Web интерфейсе Objects → Services, нажмите кнопку Add и выберите TCP/UDP Service.


Заполните поля следующим образом:

Name: web_filter
Type: TCP (выберите из выпадающего меню)
Source: 0-65535
Destination: 80,443
Protocol: HTTP and HTTPS (выберите из выпадающего меню)


Нажмите кнопку Ок.

Создание Web политики.

Пример для CLI.

Создадим профиль.

add Policy WebProfile url_filter

Выберим созданный профиль.

cc Policy WebProfile url_filter

Добавим URL в черный список.

add URLFilterPolicy_URL URL=facebook.com/*

Выйдем из выбранного профиля

сс

Пример для Web интерфейса.

Пройдите в Web интерфейсе Policies → Firewalling → Web, нажмите кнопку Add и выберите Web Profile.

На вкладке General, в поле Name, укажите url_filter.

Выберите вкладку URL Filter, нажмите кнопку Add и выберите URL.

В поле URL укажите facebook.com/*

Нажмите кнопку Ок, а затем еще раз нажмите кнопку Ок.

Создание IP политики для URL фильтрации.

Пример для CLI.

add IPPolicy SourceNetwork=InterfaceAddresses/lan1_net SourceInterface=lan1 DestinationInterface=wan1 DestinationNetwork=all-nets Service=web_filt
er Name=web_filter Action=Allow Index=1 SourceAddressTranslation=NAT NATSourceAddressAction=OutgoingInterfaceIP WebControl=yes Web_Policy=url_filter

Пример для Web интерфейса.

Пройдите в Web интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку Add, выберите IP Policy.

На вкладке General выполните настройки как показано ниже на рисунке.

Перейдите во вкладку Web Control и выполните настройки как показано на рисунке ниже.

Нажмите кнопку Ок.


Правило для фильтрации создано, но в таком положении оно работать не будет. Необходимо его разместить выше других правил разрешающих выход в интернет.

Кликните правой кнопкой мышки на имени правила, и выберите Move to Top.

Сохраните и активируйте настройки.

Внимание!!! Данное правило может заработать не сразу, если ресурсы в черном списке были открыты и прокэшированы браузером.