12.2  Pravidla pro URL

Pravidla pro URL umožňují řídit přístup uživatelů k WWW stránkám, jejichž URL vyhovují určitým kritériím. Doplňkovými funkcemi je filtrování stránek dle výskytu zakázaných slov, specifické blokování prvků WWW stránek (skripty, aktivní objekty atd.) a možnost vypnutí antivirové kontroly pro určité stránky.

K definici pravidel pro URL slouží stejnojmenná záložka v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP.

Pravidla pro URL

Obrázek 12.1. Pravidla pro URL


Pravidla v této sekci jsou vždy procházena shora dolů (pořadí lze upravit tlačítky se šipkami na pravé straně okna). Vyhodnocování se zastaví na prvním pravidle, kterému dané URL vyhoví. Pokud URL nevyhoví žádnému pravidlu, je přístup na stránku povolen (implicitně vše povoleno).

Poznámka: Přístup k URL, pro které neexistuje odpovídající pravidlo, je povolen všem přihlášeným uživatelům (implicitně vše povoleno). Chceme-li povolit přístup pouze k omezené skupině stránek a všechny ostatní stránky blokovat, je třeba na konec seznamu umístit pravidlo zakazující přístup k libovolnému URL.

V záložce Pravidla pro URL mohou být zobrazeny tyto sloupce:

Následující sloupce jsou ve výchozím nastavení skryty. Zobrazit je lze pomocí funkce Nastavit sloupce v kontextovém menu — podrobnosti viz kapitola 3.2  Nastavení pohledů.

Poznámka: Výchozí instalace WinRoute obsahuje několik předdefinovaných pravidel pro URL. Tato pravidla jsou ve výchozím nastavení „vypnuta“. Správce WinRoute je může použít, případně upravit dle vlastního uvážení.

Definice pravidel pro URL

Chceme-li přidat nové pravidlo, označíme v tabulce pravidlo, pod které má být nové pravidlo vloženo, a stiskneme tlačítko Přidat. Šipkovými tlačítky na pravé straně okna lze pořadí pravidel dodatečně upravit.

Dialog pro definici nového pravidla:

Pravidlo pro URL — základní parametry

Obrázek 12.2. Pravidlo pro URL — základní parametry


Záložka Obecné slouží k nastavení základních podmínek pravidla a akcí, které mají být při splnění těchto podmínek provedeny.

Popis

Slovní popis funkce pravidla (pro snazší orientaci správce WinRoute).

Jestliže k tomuto URL přistupuje

Volba, pro které uživatele bude toto pravidlo platit:

  • libovolný uživatel — pro všechny uživatele přihlášené k firewallu.

    Zapnutím volby nevyžadovat ověření bude pravidlo platit také pro uživatele, kteří nejsou k firewallu přihlášeni (anonymní uživatele).

    Poznámka:

    1. Velmi častým požadavkem je, aby firewall vyžadoval ověření uživatelů při přístupu na libovolnou WWW stránku. Toho lze docílit globálním nastavením v sekci Uživatelé, záložka Volby pro ověřování (viz kapitola 15.1  Zobrazení a definice uživatelských účtů). S použitím volby nevyžadovat ověření můžeme pak např. definovat pravidlo povolující přístup na určité stránky bez přihlášení.

    2. Není-li ověření uživatelů vyžadováno, pak nemá volba nevyžadovat ověření v pravidlech pro URL žádný účinek.

  • vybraní uživatelé — pro vybrané uživatele a/nebo skupiny uživatelů.

    Tlačítko Nastavit otevírá dialog pro výběr uživatelů a skupin (přidržením kláves Ctrl a Shift můžete vybrat více uživatelů / skupin současně).

    Poznámka: Jméno uživatele má v pravidle význam IP adresy počítače, ze kterého je uživatel v daném okamžiku přihlášen k firewallu (podrobnosti viz kapitola 10.1  Ověřování uživatelů na firewallu).

A URL vyhovuje těmto kritériím

Specifikace URL (resp. množiny URL), pro které má toto pravidlo platit:

  • začíná — v této položce může být uvedeno kompletní URL

    (např. www.kerio.cz/index.html), podřetězec URL s použitím hvězdičkové konvence (např. *.ker?o.cz*) nebo jméno serveru (např. www.kerio.cz). Jméno serveru má význam libovolného URL na daném serveru (www.kerio.com/*).

  • patří do skupiny URL — výběr skupiny URL (viz kapitola 14.4  Skupiny URL), které má URL vyhovovat

  • je kategorizováno modulem ISS OrangeWeb Filter — pravidlo bude platit pro všechny stránky, které modul ISS OrangeWeb Filter zařadí do některé z vybraných kategorií.

    Tlačítko Vybrat hodnocení... otevírá dialog pro výběr kategorií modulu ISS OrangeWeb Filter. Podrobnější informace naleznete v kapitole 12.4  Hodnocení obsahu WWW stránek (ISS OrangeWeb Filter).

  • libovolné URL, ve kterém je server zadán IP adresou — takto musí být zadáno URL stránky či souboru na WWW serveru, který nemá záznam v DNS. Toto je charakteristické např. pro servery nabízející ke stažení soubory s nelegálním obsahem.

    Upozornění

    Není-li zakázán přístup na servery zadané IP adresou, mohou takto uživatelé obcházet pravidla pro URL, ve kterých jsou servery uváděny jménem!

Akce

Volba akce, která bude provedena, jestliže jsou splněny podmínky pro uživatele a URL:

  • Povolit přístup na stránku

  • Zakázat přístup na stránku — požadovaná stránka bude blokována. Uživateli se zobrazí buď stránka s informací o zákazu, prázdná stránka nebo bude přesměrován na jinou stránku (dle nastavení v záložce Upřesnění — viz dále).

Zaškrtnutím volby Zaznamenat budou všechny přístupy na stránky, které vyhověly tomuto pravidlu, zaznamenávány do záznamu Filter (viz kapitola 22.9  Záznam Filter).

V záložce Upřesnění obsahuje další podmínky, za kterých má pravidlo platit, a volby pro zakázané stránky.

Pravidlo pro URL — upřesňující parametry

Obrázek 12.3. Pravidlo pro URL — upřesňující parametry


Platí v časovém intervalu

Výběr časového intervalu platnosti pravidla (mimo tento interval je pravidlo neaktivní). Tlačítko Změnit otevírá dialog pro úpravu časových intervalů (podrobnosti viz kapitola 14.2  Časové intervaly).

Platí pro skupinu IP adres

Výběr skupiny IP adres, pro kterou bude toto pravidlo platit (jedná se o zdrojové IP adresy, tedy adresy klientů). Speciální volba Libovolná znamená, že pravidlo nebude závislé na IP adrese klienta.

Tlačítko Změnit otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola 14.1  Skupiny IP adres).

Platí pro MIME typ

Omezení platnosti pravidla pouze na objekty určitého MIME typu (např.: text/html — HTML dokumenty, image/jpeg — obrázky typu JPEG apod.).

V této položce můžete vybrat některý z předdefinovaných MIME typů nebo zadat vlastní. Při definici MIME typu lze použít hvězdičku pro specifikaci libovolného subtypu (např. image/*). Samotná hvězdička znamená libovolný MIME typ — pravidlo bude nezávislé na MIME typu objektu.

Volby pro zákaz

Upřesňující nastavení pro zakázané stránky. Jestliže se uživatel pokusí otevřít stránku, na kterou je tímto pravidlem zakázán přístup, pak WinRoute místo této stránky zobrazí:

  • Stránku s informací o zakázaném přístupu — uživatel se dozví, že požadovaná stránka je blokována firewallem. Tato stránka může být doplněna vysvětlením zákazu (položka Text zákazu).

    Bude-li zaškrtnuta volba Uživatelé mohou toto pravidlo odemknout, pak se na stránce s informací o zákazu zobrazí tlačítko Odemknout. Stisknutím tohoto tlačítka si uživatel může vynutit povolení přístupu na požadovanou stránku, přestože jej pravidlo pro URL zakazuje. Odemknutí pravidla je časově omezeno (standardně 10 minut). Každý uživatel může odemknout jen omezený počet zakazujících pravidel (maximálně 10 pravidel současně). Všechny požadavky na odemknutí se zaznamenávají do záznamu Security (viz kapitola 22.11  Záznam Security).

    Odemykat pravidla mohou pouze uživatelé, kteří mají příslušné právo (viz kapitola 15.1  Zobrazení a definice uživatelských účtů). Z toho vyplývá, že pravidla nikdy nemohou odemykat nepřihlášení (anonymní) uživatelé.

    Poznámka:

    1. Při jakékoliv změně v pravidlech pro URL se ihned ruší všechna odemknutí.

    2. Text zákazu nesmí z bezpečnostních a technických důvodů obsahovat žádné HTML tagy. Pokud prostý text nevyhovuje, doporučujeme použít přesměrování na jinou stránku (viz níže).

  • Prázdnou stránku — uživatel nezíská žádné informace o tom, proč se požadovaná stránka nezobrazila (nedozví se ani o existenci WinRoute).

  • Jinou stránku — prohlížeč uživatele bude přesměrován na zadané URL. Tuto volbu lze využít např. pro definici vlastní stránky s informací o zakázaném přístupu.

Záložka Pravidla pro obsah umožňuje upřesnit globální pravidla pro WWW stránky. Parametry v této záložce lze nastavovat pouze v případě, že se jedná o pravidlo povolující přístup (v záložce obecné je vybrána volba Povolit přístup na stránku).

Volby pro obsah WWW stránek vyhovujících pravidlu pro URL

Obrázek 12.4. Volby pro obsah WWW stránek vyhovujících pravidlu pro URL


Volby pro kontrolu obsahu WWW

V této sekci lze provést specifické nastavení filtrování objektů na WWW stránkách, které vyhovují tomuto pravidlu (podrobnosti viz kapitola 12.3  Globální pravidla pro prvky WWW stránek). Specifické nastavení v pravidle pro URL má vyšší prioritu než nastavení v uživatelském účtu (viz kapitola 15.1  Zobrazení a definice uživatelských účtů), resp. globální pravidla pro nepřihlášené uživatele (viz kapitola 12.3  Globální pravidla pro prvky WWW stránek).

Pro každý typ objektu může být nastavena jedna z následujících voleb:

  • Povolit — příslušný objekt bude na stránce ponechán,

  • Zakázat — příslušný objekt bude filtrován (odstraněn ze stránky),

  • Výchozí — pro příslušný objekt budou platit globální pravidla nebo pravidla pro daného uživatele (tzn. toto pravidlo pro URL nebude ovlivňovat filtrování příslušného objektu).

Zamezit přístup na WWW stránky...

Zapnutím této volby bude blokován přístup na WWW stránky, které vyhovují tomuto pravidlu a obsahují zakázaná slova definovaná v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Zakázaná slova.

Podrobné informace o zakázaných slovech viz kapitola 12.5  Filtrování WWW stránek dle výskytu slov.

Provádět antivirovou kontrolu obsahu dle pravidel

Po zaškrtnutí této volby bude prováděna antivirová kontrola dle nastavení v sekci Konfigurace → Filtrování obsahu → Antivirus (viz kapitola 13.3  Antivirová kontrola protokolů HTTP a FTP).

Upřesňující parametry pro inspekci protokolu HTTP

Tlačítkem Upřesnění v záložce Pravidla pro HTTP se otevírá dialog pro nastavení parametrů inspekčního modulu protokolu HTTP.

Nastavení parametrů inspekčního modulu protokolu HTTP

Obrázek 12.5. Nastavení parametrů inspekčního modulu protokolu HTTP


Volby Povolit záznam HTTP a Povolit záznam Web zapínají/vypínají zápis HTTP požadavků (resp. navštívených WWW stránek) do záznamů HTTP (viz kapitola 22.10  Záznam Http) a Web (viz kapitola 22.14  Záznam Web).

U položky Povolit záznam HTTP může být vybrán i formát záznamu: záznam WWW serveru Apache (http://www.apache.org/) nebo záznam proxy serveru Squid (http://www.squid-cache.org/). Nastavení typu záznamu je důležité zejména v případě, má-li být záznam zpracováván nějakým analytickým nástrojem.

Ve výchozím nastavení jsou povoleny oba záznamy (HTTP i Web) a pro záznam HTTP je nastaven typ Apache, který je pro správce firewallu (člověka) čitelnější.

Volba Použít filtrovací pravidla také pro lokální servery určuje, zda budou pravidla pro filtrování obsahu aplikována také na WWW servery v lokální síti, které jsou komunikačními pravidly (viz kapitola 7  Komunikační pravidla) zpřístupněny z Internetu. Ve výchozím nastavení je tato volba vypnuta — inspekční modul kontroluje pouze syntaxi protokolu HTTP a provádí záznam požadavků (resp. WWW stránek) dle výše popsaných nastavení.