Введение

Данная статья описывает полную настройку прокси-сервера ИКС для блокировки сайтов по категориям веб-фильтра Garnet.

• 1. Предварительные требования
• 2. Настройка прокси-сервера
• 3. Настройка HTTPS-фильтрации
• 4. Активация веб-фильтра Garnet
• 5. Категории трафика Garnet
• 6. Создание запрещающего правила прокси с категорией Garnet
• 7. Устранение неполадок

1. Предварительные требования

1.1. Лицензирование

Важно!

• Веб-фильтр Garnet — платный модуль. Для его использования необходимо оплатить доступ к модулю.

• В бесплатной версии ИКС Lite веб-фильтр Garnet не доступен.

• Для работы с категориями «Список сайтов для блокировки от Минюста», «Список сайтов для блокировки от Роскомнадзора» и «Реестр безопасных образовательных сайтов» необходим модуль «Техподдержка» (первый год активен по умолчанию, далее требуется ежегодное приобретение).

2. Настройка прокси-сервера

2.1. Открытие модуля «Прокси»

Перейдите в меню Сеть > Прокси.

2.2. Включение прокси-сервера

На вкладке «Прокси-сервер» должны быть запущены службы Прокси-сервер и Фильтр HTTP-трафика.

2.3. Базовая настройка прокси

Перейдите на вкладку «Настройки» и выполните следующие действия:

• Порт прокси-сервера: укажите порт (по умолчанию 3128).

• Автоматическое правило МСЭ: установите флаг «Автоматически создавать разрешающее правило» для создания правила межсетевого экрана, разрешающего доступ на порт прокси из локальных и DMZ-сетей.

• Порядок авторизации: выберите один из вариантов:

• по IP, затем по логину/паролю;

• только по логину/паролю;

• только по IP.

• Тип авторизации (если выбран порядок «по IP, затем по логину/паролю» или «только по логину/паролю»):

• Basic — не рекомендуется (пароль передаётся в открытом виде);

• Digest — выбран по умолчанию, более защищённый метод;

• Внешняя (через домен NTLM, Kerberos, LDAP).

2.4. Настройка кеша

Укажите размеры кеша:

• Размер дискового кеша — не должен превышать размер доступного места на Основном системном разделе.

• Размер кеша в оперативной памяти — должен быть меньше свободной оперативной памяти.

Важно! При использовании многопроцессорной архитектуры (SMP) дисковый кеш отключается, все объекты кешируются только в оперативной памяти.

2.5. Прозрачный или явный прокси

Вариант 1: Прозрачный прокси

• Установите флаг «Использовать прозрачный прокси».

• Порты для перенаправления: по умолчанию порт 80 (HTTP).

• Порты HTTPS: по умолчанию порт 443.

• Исключения для прозрачного прокси: при необходимости укажите IP-адреса или имена сайтов (домены), которые не будут обрабатываться прокси.

Преимущества прозрачного прокси:

• Не требует дополнительных настроек на клиентских компьютерах.

• Трафик перехватывается автоматически межсетевым экраном.

Вариант 2: Явный прокси

• В браузере клиента необходимо прописать адрес ИКС и порт прокси.

• Для авторизации Kerberos/LDAP необходимо прописать доменное имя ИКС.

2.6. Подключение веб-фильтра Garnet

• На вкладке «Настройки» в разделе подключения модулей установите флаг «Использовать Garnet».

• Нажмите «Сохранить».

3. Настройка HTTPS-фильтрации

3.1. Создание корневого сертификата

• Перейдите в меню Защита > Сертификаты.

• Добавьте корневой сертификат (СА) со стандартными настройками.

• Укажите срок действия более 1 года (чтобы не менять сертификат у пользователей).

• Нажмите «Добавить».

• В появившемся окне укажите «Не шифровать закрытый ключ».

3.2. Выбор сертификата для HTTPS-фильтрации

• Перейдите в меню Сеть > Прокси > Настройки.

• В поле «Сертификат для HTTPS фильтрации» выберите созданный сертификат.

3.3. Выбор режима HTTPS-фильтрации

Для работы Garnet достаточно выбрать «Фильтровать без подмены сертификата». Если у вас уже настроена расшифровка трафика с подменой сертификата, в таком режиме тоже будет работать.

3.4. Установка сертификата на клиентские компьютеры

Для браузеров, использующих системное хранилище (Chrome, Yandex, Internet Explorer):

• Экспортируйте сертификат из модуля «Сертификаты» (без ключа).

• На клиентском ПК дважды нажмите на сертификат.

• Нажмите «Установить сертификат...».

• Выберите «Поместить все сертификаты в следующее хранилище».

• Нажмите «Обзор...» и выберите «Доверенные корневые центры сертификации».

Для браузеров с собственным хранилищем на примере Firefox:

• Откройте настройки браузера → Дополнительные → Сертификаты → Просмотр сертификатов.

• Перейдите в «Центры сертификации» → «Импортировать».

• Выберите сертификат с ИКС.

• Установите флаги:

• «Доверять при идентификации веб-сайтов»;

• «Доверять при идентификации пользователей электронной почты».

3.5. Исключения для HTTPS-фильтрации

• В поле «Не фильтровать HTTPS для» можно добавить:

• IP-адреса пользователей;

• Домены (teams, edu, zoom, microsoft, whatsapp, интернет-банки).

Если указаны пользователи или их IP-адреса, то их трафик не будет расшифровываться и установка сертификата для них не требуется. Также не будет расшифровываться трафик, идущий на указанные ресурсы. Это может быть полезно, если ресурсы отказываются работать с подменённым сертификатом в целях безопасности.

• Нажмите «Сохранить».

4. Активация веб-фильтра Garnet

4.1. Открытие модуля Garnet

Перейдите в меню Защита > Веб-фильтр Garnet.

4.2. Проверка статуса службы

На вкладке «Веб-фильтр Garnet» проверьте:

• Статус службы (запущен, остановлен, выключен, не настроен).

• Срок действия лицензии.

• Журнал последних событий.

4.3. Включение службы

Важно! По умолчанию служба находится в состоянии «не настроен».

Для активации:

• Убедитесь, что на вкладке «Настройки» прокси-сервера установлен флаг «Использовать Garnet» (см. раздел 2.6).

• Нажмите кнопку «Включить» на вкладке «Веб-фильтр Garnet», если служба выключена.

4.4. Настройки Garnet

На вкладке «Настройки»:

Убедитесь, что флаг «Использовать в прокси» установлен (соответствует флагу в настройках прокси).

При необходимости настройте:

• Размер кеша прокси.

• Время ожидания ответа от облачного сервиса.

• Нажмите «Сохранить».

4.5. Проверка URL

Для проверки категоризации сайта:

• Введите URL в поле проверки.

• Нажмите «Проверить».

• Отобразится список категорий Garnet, к которым относится сайт.

Если результаты проверки неполные или неверные, используйте форму обратной связи для улучшения алгоритмов.

5. Категории трафика Garnet

5.1. Просмотр категорий

Веб-фильтр Garnet определяет следующие категории сайтов:

• Сайты, распространяющие вредоносное ПО или посвященные обману пользователей

• Сайты, распространяющие нелегальный контент

• Сайты для взрослых

• Сайты для обмена/скачивания/доступа к контенту

• Сайты, посвященные социальному взаимодействию (социальные сети)

• Сайты коммерческих или финансовых организаций

• Новости и политика

• Сайты досугового и развлекательного характера

• Сайты, посвященные купле-продаже

• Сайты об IT, веб-почта, поисковые системы

• Сайты государственных учреждений и некоммерческих организаций

• Сайты технического назначения

• Сайты религиозной и антирелигиозной направленности

• Маркетплейсы

• Сайты знакомств

• Медицина и здоровье

• Финансы и экономика

• Военная тематика и оружие

• Наука и знания

• Хобби

• Реклама и спам

• Почта

• Поисковые системы

• Хостинг

• Азартные игры

• Веб-ресурсы в сети Tor

• Кафе, рестораны, еда

• Музыка и поэзия

• Животные

• Наркотики

• Алкоголь и табак

• Мессенджеры

• Криптовалюта

• Игры

• Спорт

5.2. Просмотр категорий в ИКС

• Перейдите в меню Пользователи и статистика > Категории трафика.

• На вкладке «Категории трафика Garnet» отображаются группы категорий с логотипом Garnet.

Возможности посмотреть, какие сайты входят в категорию, нет, поскольку они определяются автоматически с помощью машинного обучения.

6. Создание запрещающего правила прокси с категорией Garnet

6.1. Открытие модуля пользователя

• Перейдите в меню Пользователи и статистика > Пользователи.

• Откройте индивидуальный модуль нужного пользователя, либо группу пользователей.

• Перейдите на вкладку «Правила и ограничения».

6.2. Добавление запрещающего правила

• Нажмите «Добавить».

• Выберите «Запрещающее правило прокси».

6.3. Настройка правила

Откроется окно добавления правила. Заполните поля:

• Описание правила.

• Введите описание, например: «Блокировка социальных сетей» или «Блокировка новостных сайтов».

• URL назначения: категорию трафика Garnet.

• Выберите протокол или оставьте «любой» (HTTP, HTTPS, FTP).

• Выберите метод или оставьте «любой».

Важно! Для корректной работы действий «Запретить доступ» и «Вывести сообщение» необходимо, чтобы метод CONNECT был разрешен. Если в поле «Метод» указано «любой», необходимо создать разрешающее правило прокси с методом CONNECT.

• Укажите IP-адрес или оставьте «любой».

6.4. Выбор действия

Выберите одно из действий:

• Запретить доступ — пользователю отображается сообщение «Доступ запрещен».

• Перенаправить на адрес — соединение перенаправляется на заданный адрес.

• Вывести сообщение — пользователю отображается сообщение «Доступ запрещен» с заданной надписью.

6.5. Время действия

Нажмите на поле выбора времени и укажите:

• Дату начала и окончания действия правила.

• Время начала и окончания.

• Дни недели.

6.6. Сохранение правила

• Нажмите «Добавить».

• Созданное правило отобразится на вкладке «Правила и ограничения».

7. Устранение неполадок

7.1. Служба Garnet не запускается

Проблема: Статус службы «не настроен».

Решение:

1. Убедитесь, что в настройках прокси установлен флаг «Использовать Garnet».

2. Убедитесь, что лицензия на модуль активна.

3. Проверьте журнал событий на вкладке «Веб-фильтр Garnet».

7.2. HTTPS-сайты не фильтруются

Проблема: В статистике видны только HTTP-запросы.

Решение:

Убедитесь, что в поле «Сертификат для HTTPS фильтрации» выбран сертификат.

7.3. Категории Garnet не определяются

Проблема: При проверке URL категория не определяется.

Возможные причины:

• Служба Garnet остановлена или не настроена.

• Сервис Garnet недоступен.

• Алгоритмы машинного обучения не распознали сайт.

Решение:

1. Проверьте статус службы Garnet.

2. Используйте форму обратной связи для корректировки категоризации.

3. Очистите кеш службы кнопкой «Очистить кеш службы».

7.4. Правило создано, но не блокирует сайты

Проблема: Запрещающее правило настроено корректно, но сайты из категории Garnet всё ещё открываются.

Возможные причины и решения: