Общие конфигурационные параметры

Для конфигурации перехвата HTTP-трафика доступны следующие основные параметры:

• Перехватывать входящую информацию. Выбор опции позволит перехватывать входящую информацию, передаваемую по протоколу HTTP (загруженные URL).
• Перехватывать исходящую информацию. Выбор опции позволит перехватывать исходящую информацию, передаваемую по протоколу HTTP (запросы, файлы и т.д.).

Максимальный размер перехватываемого HTTP Post-запроса (в байтах) задан по умолчанию для всех ресурсов в предустановленном правиле фильтрации Content-Length вкладки Фильтры.

Для создания пользовательского ограничения максимального размера файлов, передаваемых по протоколу HTTP и подлежащих перехвату, необходимо создать пользовательское правило фильтрации трафика по веб-полю Content-Length.

Настройки перехвата HTTP агентами при защищенном SSL - соединении

Система позволяет детектировать и обеспечивать фильтрацию данных, отправленных по HTTP- протоколу с использованием SSL-соединения, либо без него.

Если контроль шифрованного трафика включен, перехват HTTP(S) осуществляется автоматически. Если необходимо применить особенные настройки перехвата шифрованного трафика HTTP(S) используйте возможности фильтрации.

Для поиска шифрованных запросов создайте правило фильтрации на вкладке Фильтры расширенных настроек протокола HTTP. Выберите тип SSL в списке условий фильтрации и установите для него требуемое значение в соответствии с режимом фильтрации.

Настройка фильтрации перехвата HTTP - трафика

Для настройки фильтрации HTTP-запросов перейдите на вкладку Фильтры окна Настройки протокола HTTP и отметьте опцию Включить фильтрацию по параметрам HTTP-запроса. Фильтрация исходящего трафика по протоколу HTTP позволит избежать перехвата запросов, размер которых выходит за установленные рамки, заведомо не содержащих пользовательский контент либо по другим параметрам не представляющих интереса в контексте обеспечения информационной безопасности. Фильтрация задается путем создания и настройки правил фильтрации, контролирующих выполнение определенных пользователем условий перехвата данных.

В системе по умолчанию предустановлены правила, входящие в состав соответствующей папки дерева фильтров Filtering rules. Предустановленные правила содержат фильтры перехвата следующих типов данных:

- запросов, отправленных заданными приложениями;

- запросов, отправленных на заданные веб-ресурсы;

- запросов определенного размера;

- запросов служебных программ (без использования клиентских приложений);

- запросов на получение фавикона веб-ресурса;

- прочих типов запросов, не представляющих интереса для анализа пользовательской информации.

На вкладке Фильтры предлагается два режима фильтрации: белый список и черный список фильтров перехвата HTTP. Ко всему списку правил, которые отображаются в дереве правил фильтрации и при этом активированы, можно применить только один из режимов:

• Если правила фильтрации, перечисленные в дереве, включены в белый список (выбрана опция Перехватывать HTTP-запросы, удовлетворяющие указанным выше фильтрам), перехватываться будут только запросы, удовлетворяющие условиям указанных правил; все остальные данные будут игнорироваться. Рекомендуется отключать предустановленные правила фильтрации при работе в режиме белого списка для исключения паразитного трафика (удовлетворяющего предустановленным фильтрам) из перехвата.
• Если правила фильтрации, перечисленные в дереве, включены в черный список (выбрана опция Перехватывать все HTTP-запросы, кроме удовлетворяющих указанным выше фильтрам), перехватываться будут все запросы за исключением удовлетворяющих указанным в списке правилам. Игнорироваться будут только данные, удовлетворяющие условиям правил, перечисленных в окне.

В группе Filtering rules можно создавать другие группы правил либо создавать отдельные правила, если необходимость в разделении на группы отсутствует. Также группы и отдельные правила могут быть созданы на любой ступени иерархии. Корневая группа Filtering rules и группа Предустановленные правила недоступны для удаления.

Все предустановленные правила доступны для редактирования, а также могут быть активированы либо отключены по желанию пользователя путем установки или снятия соответствующего правилу флажка.

Информация, отображаемая в списке для каждой группы (правила), включает название и описание группы (правила). Содержимое группы можно развернуть для просмотра и свернуть, нажав соответственно на кнопки  / , которые расположены слева от названия группы (в зависимости от текущего состояния).

Для активации/отключения какого-либо правила установите/снимите флажок выделения соответствующего правила фильтрации в дереве правил.

Для изменения условий существующего правила фильтрации выделите его в списке и нажмите кнопку Изменить. Для удаления выбранного фильтра нажмите кнопку Удалить.

Для импорта/экспорта фильтров нажмите кнопку Инструменты и выберите нужный вариант:

• Импорт для загрузки ранее созданных фильтров в редактируемый профиль. Выберите в открывшемся окне файл формата STRF, содержащий требуемые данные и нажмите Открыть для загрузки файла. В открывшемся окне Импорт правил отметьте нужные правила, установите режим импорта и нажмите Импорт для завершения процесса.
• Экспорт для сохранения настроек фильтров редактируемого профиля в файл формата STRF. В открывшемся окне Экспорт правил отметьте нужные правила и нажмите Экспорт. Введите в открывшемся окне имя файл формата STRF, в который будут сохранены правила и нажмите Сохранить для загрузки файла.

Создание группы правил фильтрации

Для того, чтобы создать группу правил, в панели инструментов окна нажмите кнопку Добавить и выберите в списке пункт Группу.

В открывшемся диалоговом окне введите название создаваемой группы правил в поле ввода Название группы и ее описание (при необходимости) в соответствующем поле ввода. Нажмите OK для добавления группы.

Создание правила фильтрации

Для создания пользовательского правила фильтрации в корневой группе Filtering rules или в другой группе, если таковая была создана ранее, следуйте приведенным ниже рекомендациям.

1. В панели инструментов окна нажмите кнопку Добавить и выберите в раскрывающемся списке опцию Правило фильтрации.
2. В открывшемся диалоговом окне введите название создаваемого правила в поле ввода Название правила и его описание (при необходимости) в соответствующем поле ввода.
3. Для того, чтобы перейти к работе с условиями поиска, в разделе, расположенном под текстовым полем Описание, нажмите Добавить условие.
4. Сформируйте условия для поиска информации, подлежащей фильтрации (подробнее см. п. Формирование условий фильтрации текущего параграфа). Фильтрация будет осуществляться системой SecureTower в автоматическом режиме.

При создании нового или редактировании существующего правила доступен ряд дополнительных операций. Дополнительные операции доступны из меню Инструменты. Для перехода к работе с меню нажмите кнопку "Инструменты"  и выберите требуемую операцию из списка (подробнее см. п. Создание поискового запроса Руководства пользователя).

Формирование условий фильтрации

Фильтрация может производиться по определенному IP-адресу (либо выборочно по локальному или удаленному IP-адресу), по указанному порту (либо выборочно по локальному или удаленному порту), по размеру данных, по дате, времени, дням недели перехвата, а также по типу HTTP-метода и Web - параметрам (именам полей заголовка запроса). Типы и параметры условий доступны для выбора в раскрывающихся списках.

• Фильтрация по дате, по времени, дням недели

Для фильтрации по дате и времени можно задать условия Равно (для анализа трафика только за указанный день или указанный момент времени), Не равно (для анализа трафика за весь период, кроме указанного), В диапазоне (анализ трафика за указанный период), Вне диапазона (анализ трафика за все время, кроме указанного периода).

Для фильтрации трафика по дням недели можно задать условия Равно (анализ трафика только за указанные дни недели) либо Не равно (анализ трафика за все дни недели, кроме указанного).

• Фильтрация по IP-адресу/порту

Для фильтрации по IP-адресам и портам можно указать следующие условия: локальный/удаленный IP-адрес или порт, равно/не равно для отдельного значения, в диапазоне/вне диапазона для диапазона значений.

• Фильтрация по HTTP-методу

Система позволяет находить GET-, POST-запросы, отправленные по HTTP(S)-протоколу.

Для фильтрации запросов, отправленных с использованием определенного HTTP-метода, выберите тип условия HTTP-метод и установите нужный метод.

Данное условие рекомендуется использовать в комбинации с другими типами условий для создания наиболее эффективных правил.

• Фильтрация по веб-полю

Фильтрация по значению web-полей заголовка запроса (по протоколу HTTP(S)) доступна для следующих предустановленных имен полей:

- URI (поиск запросов, запрашиваемый URI которых удовлетворяет заданному условию);

- Host (поиск запросов, удовлетворяющих условию, заданному для поля заголовка HOST);

- Content-Length (поиск запросов, длина которых в байтах удовлетворяет условию);

- User-Agent (поиск запросов, удовлетворяющих условию, заданному для поля заголовка User-Agent).

Для выбора параметра и указания его значения нажмите на поле раскрывающегося списка Содержит.

Из списка условий выберите необходимое и задайте его значение в поле ввода. При выборе параметра Список значений укажите значения, используя перенос строки для разделения. При этом используйте следующий формат ввода:

• *<значение>* - указание значения, содержащегося в выбранном поле заголовка;
• *<значение> - указание значения, которым заканчивается выбранное поле заголовка;
• <значение>* - указание значения, с которого начинается выбранное поле заголовка;
• <значение> - значение, которое полностью совпадает с содержимым выбранного поля заголовка (вводится без дополнительных символов).

Также возможно указать имя пользовательского поля заголовка запроса и задать его значение, для этого удалите одно из предустановленных имен и введите требуемое имя поля HTTP - запроса. В таком случае будут найдены и заблокированы запросы, которые содержат заголовок с определенным значением поля, заданного пользователем.

Логические операторы

Поиск можно производить с учетом некоторых из указанных условий (операция «ИЛИ») либо нескольких условий одновременно (операция «И»).

При выборе поисковой операции «И» правило сработает только в тех случаях передачи информации, которые удовлетворяют ВСЕМ указанным условиям поиска одновременно. Для этого в разделе Выберите операцию, применяемую к условиям в блоке отметьте опцию «И».

При выборе поисковой операции «ИЛИ» фильтрация будет осуществляться только в тех случаях, которые удовлетворяют ОДНОМУ из указанных условий поиска либо ОДНОМУ из блоков условий. Для этого в разделе Выберите операцию, применяемую к условиям в блоке отметьте опцию «ИЛИ».

Для того, чтобы добавить новое условие поиска, нажмите Добавить условие. Для удаления какого-либо условия нажмите кнопку "Удалить"  , расположенную в правой части соответствующего условия. По умолчанию в данном окне предоставляется форма для введения первого условия, однако его можно удалить, если необходимо создать блок условий.

Для того, чтобы добавить целый блок условий, нажмите Добавить блок. Создание блоков позволяет воспользоваться возможностью автоматического поиска с учетом сложных условий. Новые блоки или условия можно также создавать в составе других блоков и условий.

В случае необходимости помещения всех введенных условий поиска в один блок, нажмите Обрамить блоком.

После того как условия были обрамлены блоком, вы можете отменить обрамление, нажав Отменить обрамление.

Настройка фильтрации по формату данных MIME

MIME описывает механизмы для передачи различных типов информации с помощью протокола HTTP. Такой информацией может являться текст (на языках, отличных от английского) и нетекстовые форматы данных, такие как изображения, видео, звук и приложения.

Фильтрация HTTP-запросов по MIME-типу в системе выполняется на основании результатов анализа MIME-типа ответов сервера. При этом HTTP- запрос на который был получен ответ сервера с заданным MIME-типом, будет перехвачен и сохранен в базе данных либо проигнорирован в соответствии с настройками.

В Консоли администратора можно настроить фильтрацию перехвата по типу данных MIME. Это позволит перехватывать только запросы, содержащие интересующие типы данных, а также избежать излишней нагрузки на базу данных благодаря отключению перехвата ненужных типов данных.

Для того, чтобы установить фильтры по MIME-типу для перехвата HTTP - запросов, следуйте рекомендациям, приведенным ниже:

1. Перейдите на вкладку Фильтрация по MIME-типам в окне Настройки протокола HTTP.
2. Отметьте опцию Включить фильтрацию по MIME-типам.
3. С помощью переключателя в нижней части окна установите один из двух возможных режимов фильтрации:

• Выберите Перехватывать HTTP-запросы, удовлетворяющие указанным выше критериям. Перехватываться будут только HTTP - запросы, MIME-типы ответов на которые представлены в списке. Все остальные данные будут игнорироваться.
• Выберите Перехватывать все HTTP-запросы, кроме удовлетворяющих указанным выше критериям. Перехватываться будут все запросы за исключением запросов, ответы на которые имеют MIME-тип, представленный в списке.

4. Для того, чтобы добавить новый тип данных, нажмите кнопку Добавить и введите требуемый тип в поле ввода.
5. Для удаления какого-либо типа данных MIME из фильтра выберите требуемый тип данных в списке и нажмите кнопку Удалить.
6. Для сохранения введенных изменений нажмите кнопку ОК.