Как осуществить контент-фильтрацию?

Question

[Иван Семенов]

Доброго всем времени суток!
На днях поставили задачу сделать контент-фильтрацию в учреждении, вот ломаю голову как это осуществить.
Есть Cisco ASA 5525X с FirePOWER сервисами: Protection Control; URL Filtering; Malware. Какой из этих сервисов может фильтровать по тексту, т.е. осуществлять контентную филтьрацию.
Либо есть Шлюз на FreeBSD, может к нему есть какой-нибудь фильтр?

Comments

[CityCat4]

Нужно именно фильтрацию по тексту или же просто чтобы не было вконтактика?

[Иван Семенов]

CityCat4: Именно по содержанию Web-страниц, т.е. блокировал страницы только те на которых есть какие либо слова или выражения запрещенные.

[CityCat4]

Иван Семенов: А что насчет динамического контента? Графики? Юзер дернул мышкой трижды в нужном месте - и у него открылась картинка с сиськами... А через прокси пойдет запрос вида GET abdcadbcadbc...

[Иван Семенов]

CityCat4: Тогда значит фильтр любого контента.

[CityCat4]

Иван Семенов: Контента еще нет :) Он создается бразуером на основе действий пользователя. Изначально браузер не показывает сиськи - он показывает вполне приличную девушку в купальнике. Пользователь делает хитрый пасс мышом - и купальника на девушке нет! В данных о пассе мышом нет ничего противозаконного - только циферки. (Разумеется, это все я придумал только что. Но как пример - как заблокировать подобное?)
Это я к тому, что задача может оказаться сложнее, чем Вы думаете...

Answer 1

[Alexander]

Сама ASA может фильтровать до L4, так же на ней можно реализовать фильтр по регулярным выражениям, но только для http трафика. С сервисами FirePower это полноценный NGFW. Конкретно ваша задача решается через URL Filtering

Comments

[Иван Семенов]

А может подсказать куда поглядеть по настройки такой фильтрации?
Я так понимаю через сервис URL Filtering можно настроить контент-фильтрацию (фильтр web-контента).

[Alexander]

В user acttivities у вас будет кто куда и как ходит, на основе этого задаете политики фильтрации контента. Поисковик по интересующим вас вопросам и cisco.com вам помогут. Или обратитесь к тому кто интегрировал сервис.

[Иван Семенов]

Alexander: А если на cisco нет пользователей, а все пользователи заведены на отдельной машине под управление freebsd.

[Alexander]

Что значит на Cisco нет пользователей. У вас же она в качестве FireWall используется? Соответственно будите видеть source:port/dest:port+URL. Если IP адреса натятся до нее, то будите видеть тоже самое но с постоянным source. Если у вас есть специализированное железо под ваши задачи(ASA+FirePower), то лучше использовать его. Если хочется делать свой велосипед(сделать контент-фильтрацию на freebsd), то воспользуйтесь squid.

[Иван Семенов]

Всем огромное спасибо!
Выход нашел, ставим на FreeBSD модуль DansGuardian и подключаем к нему список слов на основе которых нужно осуществлять контент-фильтрацияю.

[gadzhikuliev]

Коллеги, а с такой задачей кто-нибудь сталкивался?

Как настроить прозрачное проксирование Squid + Cisco ASA по WCCP?