Pravidla pro URL umožňují řídit přístup uživatelů k WWW stránkám, jejichž URL vyhovují určitým kritériím. Doplňkovými funkcemi je filtrování stránek dle výskytu zakázaných slov, specifické blokování prvků WWW stránek (skripty, aktivní objekty atd.) a možnost vypnutí antivirové kontroly pro určité stránky.
K definici pravidel pro URL slouží stejnojmenná záložka v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP.
Pravidla v této sekci jsou vždy procházena shora dolů (pořadí lze upravit tlačítky se šipkami na pravé straně okna). Vyhodnocování se zastaví na prvním pravidle, kterému dané URL vyhoví. Pokud URL nevyhoví žádnému pravidlu, je přístup na stránku povolen (implicitně vše povoleno).
Poznámka: Přístup k URL, pro které neexistuje odpovídající pravidlo, je povolen všem přihlášeným uživatelům (implicitně vše povoleno). Chceme-li povolit přístup pouze k omezené skupině stránek a všechny ostatní stránky blokovat, je třeba na konec seznamu umístit pravidlo zakazující přístup k libovolnému URL.
V záložce Pravidla pro URL mohou být zobrazeny tyto sloupce:
Popis — textový popis pravidla (pro zvýšení přehlednosti). Zaškrtávací pole vlevo od popisu pravidla umožňuje pravidlo „zapnout“ a „vypnout“ (např. v případě, kdy má být pravidlo dočasně vyřazeno).
Akce — akce, která bude provedena při splnění podmínek tohoto pravidla (Povolit — povolit přístup na stránku, Zakázat — zakázat přístup na stránku a zobrazit informaci o zákazu, Zahodit — zakázat přístup na stránku a zobrazit prázdnou stránku, Přesměrovat — přesměrovat na stránku uvedenou v pravidle).
Podmínka — podmínka, za které pravidlo platí (URL vyhovuje určitým kritériím, stránka je klasifikována modulem ISS OrangeWeb Filter do určité kategorie atd.).
Vlastnosti — upřesňující volby v pravidle (např. antivirová kontrola, filtrování zakázaných slov atd.).
Následující sloupce jsou ve výchozím nastavení skryty. Zobrazit je lze pomocí funkce Nastavit sloupce v kontextovém menu — podrobnosti viz kapitola 3.2 Nastavení pohledů.
Skupina IP adres — skupina IP adres, pro kterou pravidlo platí. Jedná se o IP adresy klientů (tj. pracovních stanic uživatelů, kteří přes WinRoute přistupují k WWW stránkám).
Časová platnost — časový interval, ve kterém pravidlo platí.
Seznam uživatelů — výčet uživatelů a skupin uživatelů, na které se pravidlo vztahuje.
Poznámka: Výchozí instalace WinRoute obsahuje několik předdefinovaných pravidel pro URL. Tato pravidla jsou ve výchozím nastavení „vypnuta“. Správce WinRoute je může použít, případně upravit dle vlastního uvážení.
Chceme-li přidat nové pravidlo, označíme v tabulce pravidlo, pod které má být nové pravidlo vloženo, a stiskneme tlačítko
. Šipkovými tlačítky na pravé straně okna lze pořadí pravidel dodatečně upravit.Dialog pro definici nového pravidla:
Záložka Obecné slouží k nastavení základních podmínek pravidla a akcí, které mají být při splnění těchto podmínek provedeny.
Slovní popis funkce pravidla (pro snazší orientaci správce WinRoute).
Volba, pro které uživatele bude toto pravidlo platit:
libovolný uživatel — pro všechny uživatele přihlášené k firewallu.
Zapnutím volby nevyžadovat ověření bude pravidlo platit také pro uživatele, kteří nejsou k firewallu přihlášeni (anonymní uživatele).
Poznámka:
Velmi častým požadavkem je, aby firewall vyžadoval ověření uživatelů při přístupu na libovolnou WWW stránku. Toho lze docílit globálním nastavením v sekci Uživatelé, záložka Volby pro ověřování (viz kapitola 15.1 Zobrazení a definice uživatelských účtů). S použitím volby nevyžadovat ověření můžeme pak např. definovat pravidlo povolující přístup na určité stránky bez přihlášení.
Není-li ověření uživatelů vyžadováno, pak nemá volba nevyžadovat ověření v pravidlech pro URL žádný účinek.
vybraní uživatelé — pro vybrané uživatele a/nebo skupiny uživatelů.
Tlačítko Ctrl a Shift můžete vybrat více uživatelů / skupin současně).
otevírá dialog pro výběr uživatelů a skupin (přidržením klávesPoznámka: Jméno uživatele má v pravidle význam IP adresy počítače, ze kterého je uživatel v daném okamžiku přihlášen k firewallu (podrobnosti viz kapitola 10.1 Ověřování uživatelů na firewallu).
Specifikace URL (resp. množiny URL), pro které má toto pravidlo platit:
začíná — v této položce může být uvedeno kompletní URL
(např. www.kerio.cz/index.html
),
podřetězec URL s použitím hvězdičkové konvence (např.
*.ker?o.cz*
) nebo jméno serveru (např.
www.kerio.cz
). Jméno serveru má význam libovolného URL na
daném serveru (www.kerio.com/*
).
patří do skupiny URL — výběr skupiny URL (viz kapitola 14.4 Skupiny URL), které má URL vyhovovat
je kategorizováno modulem ISS OrangeWeb Filter — pravidlo bude platit pro všechny stránky, které modul ISS OrangeWeb Filter zařadí do některé z vybraných kategorií.
Tlačítko ISS OrangeWeb Filter. Podrobnější informace naleznete v kapitole 12.4 Hodnocení obsahu WWW stránek (ISS OrangeWeb Filter).
otevírá dialog pro výběr kategorií modululibovolné URL, ve kterém je server zadán IP adresou — takto musí být zadáno URL stránky či souboru na WWW serveru, který nemá záznam v DNS. Toto je charakteristické např. pro servery nabízející ke stažení soubory s nelegálním obsahem.
Není-li zakázán přístup na servery zadané IP adresou, mohou takto uživatelé obcházet pravidla pro URL, ve kterých jsou servery uváděny jménem!
Volba akce, která bude provedena, jestliže jsou splněny podmínky pro uživatele a URL:
Povolit přístup na stránku
Zakázat přístup na stránku — požadovaná stránka bude blokována. Uživateli se zobrazí buď stránka s informací o zákazu, prázdná stránka nebo bude přesměrován na jinou stránku (dle nastavení v záložce Upřesnění — viz dále).
Zaškrtnutím volby Zaznamenat budou všechny přístupy na stránky, které vyhověly tomuto pravidlu, zaznamenávány do záznamu Filter (viz kapitola 22.9 Záznam Filter).
V záložce Upřesnění obsahuje další podmínky, za kterých má pravidlo platit, a volby pro zakázané stránky.
Výběr časového intervalu platnosti pravidla (mimo tento interval je pravidlo neaktivní). Tlačítko 14.2 Časové intervaly).
otevírá dialog pro úpravu časových intervalů (podrobnosti viz kapitolaVýběr skupiny IP adres, pro kterou bude toto pravidlo platit (jedná se o zdrojové IP adresy, tedy adresy klientů). Speciální volba Libovolná znamená, že pravidlo nebude závislé na IP adrese klienta.
Tlačítko 14.1 Skupiny IP adres).
otevírá dialog pro úpravu skupin IP adres (podrobnosti viz kapitola
Omezení platnosti pravidla pouze na objekty určitého MIME typu
(např.: text/html
— HTML dokumenty,
image/jpeg
— obrázky typu JPEG apod.).
V této položce můžete vybrat některý
z předdefinovaných MIME typů nebo zadat vlastní. Při definici MIME typu
lze použít hvězdičku pro specifikaci libovolného subtypu (např.
image/*
). Samotná hvězdička znamená libovolný MIME typ
— pravidlo bude nezávislé na MIME typu objektu.
Upřesňující nastavení pro zakázané stránky. Jestliže se uživatel pokusí otevřít stránku, na kterou je tímto pravidlem zakázán přístup, pak WinRoute místo této stránky zobrazí:
Stránku s informací o zakázaném přístupu — uživatel se dozví, že požadovaná stránka je blokována firewallem. Tato stránka může být doplněna vysvětlením zákazu (položka Text zákazu).
Bude-li zaškrtnuta volba Uživatelé mohou toto pravidlo odemknout, pak se na stránce s informací o zákazu zobrazí tlačítko . Stisknutím tohoto tlačítka si uživatel může vynutit povolení přístupu na požadovanou stránku, přestože jej pravidlo pro URL zakazuje. Odemknutí pravidla je časově omezeno (standardně 10 minut). Každý uživatel může odemknout jen omezený počet zakazujících pravidel (maximálně 10 pravidel současně). Všechny požadavky na odemknutí se zaznamenávají do záznamu Security (viz kapitola 22.11 Záznam Security).
Odemykat pravidla mohou pouze uživatelé, kteří mají příslušné právo (viz kapitola 15.1 Zobrazení a definice uživatelských účtů). Z toho vyplývá, že pravidla nikdy nemohou odemykat nepřihlášení (anonymní) uživatelé.
Poznámka:
Při jakékoliv změně v pravidlech pro URL se ihned ruší všechna odemknutí.
Text zákazu nesmí z bezpečnostních a technických důvodů obsahovat žádné HTML tagy. Pokud prostý text nevyhovuje, doporučujeme použít přesměrování na jinou stránku (viz níže).
Prázdnou stránku — uživatel nezíská žádné informace o tom, proč se požadovaná stránka nezobrazila (nedozví se ani o existenci WinRoute).
Jinou stránku — prohlížeč uživatele bude přesměrován na zadané URL. Tuto volbu lze využít např. pro definici vlastní stránky s informací o zakázaném přístupu.
Záložka Pravidla pro obsah umožňuje upřesnit globální pravidla pro WWW stránky. Parametry v této záložce lze nastavovat pouze v případě, že se jedná o pravidlo povolující přístup (v záložce obecné je vybrána volba Povolit přístup na stránku).
V této sekci lze provést specifické nastavení filtrování objektů na WWW stránkách, které vyhovují tomuto pravidlu (podrobnosti viz kapitola 12.3 Globální pravidla pro prvky WWW stránek). Specifické nastavení v pravidle pro URL má vyšší prioritu než nastavení v uživatelském účtu (viz kapitola 15.1 Zobrazení a definice uživatelských účtů), resp. globální pravidla pro nepřihlášené uživatele (viz kapitola 12.3 Globální pravidla pro prvky WWW stránek).
Pro každý typ objektu může být nastavena jedna z následujících voleb:
Povolit — příslušný objekt bude na stránce ponechán,
Zakázat — příslušný objekt bude filtrován (odstraněn ze stránky),
Výchozí — pro příslušný objekt budou platit globální pravidla nebo pravidla pro daného uživatele (tzn. toto pravidlo pro URL nebude ovlivňovat filtrování příslušného objektu).
Zapnutím této volby bude blokován přístup na WWW stránky, které vyhovují tomuto pravidlu a obsahují zakázaná slova definovaná v sekci Konfigurace → Filtrování obsahu → Pravidla pro HTTP, záložka Zakázaná slova.
Podrobné informace o zakázaných slovech viz kapitola 12.5 Filtrování WWW stránek dle výskytu slov.
Po zaškrtnutí této volby bude prováděna antivirová kontrola dle nastavení v sekci Konfigurace → Filtrování obsahu → Antivirus (viz kapitola 13.3 Antivirová kontrola protokolů HTTP a FTP).
Tlačítkem v záložce Pravidla pro HTTP se otevírá dialog pro nastavení parametrů inspekčního modulu protokolu HTTP.
Volby Povolit záznam HTTP a Povolit záznam Web zapínají/vypínají zápis HTTP požadavků (resp. navštívených WWW stránek) do záznamů HTTP (viz kapitola 22.10 Záznam Http) a Web (viz kapitola 22.14 Záznam Web).
U položky Povolit záznam HTTP může být vybrán i formát záznamu: záznam WWW serveru Apache (http://www.apache.org/) nebo záznam proxy serveru Squid (http://www.squid-cache.org/). Nastavení typu záznamu je důležité zejména v případě, má-li být záznam zpracováván nějakým analytickým nástrojem.
Ve výchozím nastavení jsou povoleny oba záznamy (HTTP i Web) a pro záznam HTTP je nastaven typ Apache, který je pro správce firewallu (člověka) čitelnější.
Volba Použít filtrovací pravidla také pro lokální servery určuje, zda budou pravidla pro filtrování obsahu aplikována také na WWW servery v lokální síti, které jsou komunikačními pravidly (viz kapitola 7 Komunikační pravidla) zpřístupněny z Internetu. Ve výchozím nastavení je tato volba vypnuta — inspekční modul kontroluje pouze syntaxi protokolu HTTP a provádí záznam požadavků (resp. WWW stránek) dle výše popsaných nastavení.