Пример настройки межсетевых экранов D-Link NetDefend Как запретить доступ пользователям к facebook 1 На межсетевых экранах D-Link NetDefend доступ к веб сайтам ограничивается при помощи HTTP ALG, но HTTP ALG на межсетевых экранах DFL-210/260/800/860/1600/2500, а также на прошивках ниже 2.60 для экранов DFL-260E/860E/1660/2560 не может анализировать https трафик. Поэтому доступ к ресурсам, которые работают по https протоколу, не получится запретить при помощи HTTP ALG. Доступ к таким сайтам можно запретить по IP адресам. Некоторые ресурсы могут иметь довольно большое количество IP адресов, и соответственно, что бы ограничить доступ к такому ресурсу необходимо ограничить доступ ко всем IP адресам. Рассмотрим, как это сделать на примере ресурса facebook. На сегодняшний день данный ресурс имеет в своём распоряжении следующие диапазоны IP адресов: 31.13.24.0/21 31.13.64.0/18 65.201.208.24/29 65.204.104.128/28 66.92.180.48/28 66.93.78.176/29 66.199.37.136/29 66.220.144.0/20 67.200.105.48/30 69.63.176.0/20 69.171.224.0/19 74.119.76.0/22 103.4.96.0/22 173.252.64.0/18 199.201.64.0/22 204.15.20.0/22 Нам необходимо будет запретить доступ ко всем этим диапазонам. Следует учесть, что в будущем ресурс может приобрести новые диапазоны адресов, которые тоже потребуется добавить в данный список. 1. Заходим в Objects>Address Book и выбираем Add>Address Folder 2 2. В поле Name указываем Facebook и нажимаем OK. 3. Заходим в Objects>Address Book>Facebook и выбираем Add>IP4 Address 4. Указываем: Name: f1 Address: 31.13.24.0/21 и нажимаем ОК. 3 5. Опять заходим в Objects>Address Book>Facebook и выбираем Add>IP4 Address 6. Указываем: Name: f2 Address: 31.13.64.0/18 и нажимаем ОК. 7. Аналогичным образом добавляем все диапазоны сетей facebook 8. Заходим в Objects>Address Book>Facebook и выбираем Add>IP4 Group 4 9. В поле Name пишем facebook, а в поле Group members переносим все facebook сети в колонку Selected и нажимаем ОК. 10. Заходим в Rules>IP Rules>lan1_to_wan1 и нажимаем Add>IP Rule 11. Указываем: Name: facebook Action: Drop Service: all_services Source Interface: lan1 Source Network: lan1net Destination Interface: wan1 Destination Network: facebook и нажимаем ОК. 5 12. Заходим в Rules>IP Rules>lan1_to_wan1, щёлкаем правой кнопкой мышки на правиле "facebook" и выбираем Move to Index 13. В появившемся окне указываем 2 и нажимаем ОК. Таким образом мы запретили всем пользователям сети доступ к facebook. Если каким-то пользователям необходимо разрешить доступ к facebook, то для них можно создать разрешающее правило. Для этого сначала необходимо создать объекты для адресов тех, кому разрешён доступ. 14. Заходим в Objects>Address Book и выбираем Add>IP4 Address 6 15. Указываем Name: director Address: 192.168.50.20 и нажимаем ОК. 16. Аналогично создаём объекты для всех остальных пользователей, например Name: admin Address: 192.168.50.30 и нажимаем ОК. и т.д. 17. Заходим в Objects>Address Book и выбираем Add>IP4 Group 7 18. В поле Name пишем allow_facebook, а в поле Group members переносим объекты всех пользователей, которым разрешён доступ в колонку Selected и нажимаем ОК. 19. Заходим в Rules>IP Rules>lan1_to_wan1 и нажимаем Add>IP Rule 20. Указываем: Name: allow_facebook Action: NAT Service: all_services Source Interface: lan1 Source Network: allow_facebook Destination Interface: wan1 Destination Network: facebook и нажимаем ОК. 8 21. Заходим в Rules>IP Rules>lan1_to_wan1, щёлкаем правой кнопкой мышки на правиле "allow_facebook" и выбираем Move to Index 22. В появившемся окне указываем 2 и нажимаем ОК Порядок правил должен выглядеть следующим образом 9 23. Сохраняем и активируем конфигурацию 10