Модуль «Контент-фильтр» предназначен для настройки и блокировки интернет-страниц, содержащих в себе заданные ключевые слова или регулярные выражения.
Для открытия модуля перейдите в меню Защита > Контент-фильтр.(Рис. 1)
В данном режиме весь проходящий трафик будет расшифровываться при помощи подмены сертификата. Подмена сертификата позволит прокси-серверу работать с полными URL-адресами страниц, к которым обращается пользователь, и полным содержимым этих страниц.
Этот режим следует выбрать, например, если вы планируете использовать контент-фильтр (фильтрацию по словам на странице). Тогда прокси-сервер ИКС сможет обрабатывать слова на страницах сайтов и сравнивать их с запрещенными.
После этого правила фильтрации начнут работать, однако в связи с подменой сертификата при запросе браузер пользователя будет сообщать о некорректном сертификате. Это ожидаемое поведение браузера, так как для подмены сертификата используется самоподписной сертификат, созданный при настройке HTTPS-фильтрации . Чтобы исключить данное предупреждение, выполните следующие действия:
В модуле «Сертификаты»(Рис. 2) экспортируйте данный сертификат на устройство конечного пользователя. Экспорт ключа сертификата не требуется.
На каждом клиентском компьютере добавьте сертификат в доверенные корневые центры сертификации. Рассмотрим, как это сделать, на примере Windows:
1) дважды нажмите левой кнопкой мыши на сертификат;
2) нажмите кнопку «Установить сертификат…» — откроется мастер импорта сертификата;
3) в качестве места хранения сертификата выберите «Поместить все сертификаты в следующее хранилище», нажмите кнопку «Обзор…» и выберите «Доверенные корневые центры сертификации». Сертификат будет импортирован в глобальное хранилище системы и будет работать для тех браузеров, которые используют системные хранилища сертификатов (например, Internet Explorer, Chrome, Yandex).
Для большинства пользователей организации требуется фильтрация с подменой сертификата. Это делается в разделе прокси. Для создания исключений, выберите режим «Расшифровывать трафик с подменой сертификата» и добавьте исключения в поле «Не фильтровать HTTPS для» — введенные IP-адреса будут фильтроваться без подмены сертификата если требуется исключить определенных пользователей или отдельные домены. Соединения пользователей (доменов), указанных в этом поле, не будут расшифровываться и, соответственно, импортировать сертификат для них нет необходимости. Добавление доменов в исключения может потребоваться для корректной работы безопасных сервисов с проверкой MITM-атак, таких как почтовые или банковские сервисы.