Выбираем интернет-фильтр для организации

18 Января 2011
Сегодня подключение корпоративной сети к Интернету с технической точки зрения - достаточно простая задача, которая решается без каких-либо проблем. Отсутствие в компании политики использования глобальной сети сотрудниками может привести не только к заметному снижению их производительности, но и к повышению риска поражения корпоративной информационной системы вредоносным программным обеспечением со всеми вытекающими из этого последствиями.

Сегодня подключение корпоративной сети к Интернету с технической точки зрения - достаточно простая задача, которая решается без каких-либо проблем. Однако существует еще и организационный момент. Отсутствие в компании политики использования глобальной сети сотрудниками может привести не только к заметному снижению их производительности, но и к повышению риска поражения корпоративной информационной системы вредоносным ПО со всеми вытекающими из этого последствиями. И это не говоря уже о том, что бесконтрольный доступ к Интернету означает повышенные затраты на оплату канала связи.

Политика использования Интернета может решить все перечисленные выше проблемы. В ней должно быть описано, какие сайты могут посещать сотрудники, для каких целей они могут выходить в глобальную сеть, а также может быть установлен ряд дополнительных условий, например, ограничено время выхода и т.п. Понятно, что мало разработать такую политику и дать ознакомиться с ней всем сотрудникам. Даже если заставить их подписать обязательство соблюдать правила, это не поможет. Все равно люди будут общаться в "Одноклассниках" или других социальных сетях, скачивать музыку, посещать сомнительные сайты и т.п. Для придания политике использования глобальной сети работоспособности нужно специальное программное обеспечение – интернет-фильтр, который способен ограничивать действия сотрудников в Интернете в соответствие с установленной политикой.

Стоит отметить, что сегодня существует два вида интернет-фильтров. К первому относятся те из них, которые привязаны к прокси-серверам и являются как бы расширением для них. Второй тип – "независимые" продукты, которые работают сами по себе и не зависят от того, каким образом "раздается" Интернет в корпоративной сети. У каждого из вариантов есть свои достоинства и недостатки. Сегодня мы сравним и разберем несколько интернет-фильтров разного типа.

Здесь нужно сделать одно важное замечания. Из нашего обзора мы специально исключили пусть даже всемирно известные, но неадаптированные для российского рынка продукты. Дело в том, что такие интернет-фильтры хорошо справляются с англоязычными ресурсами, однако имеют некоторые проблемы с русскоязычными сайтами. Между тем, именно веб-проекты на родном языке являются самыми популярными в нашей стране. И даже не стоит смотреть на заявления разработчиков о том, что "наш продукт поддерживает более 50 языков". Важно не только и не столько количество языков, как объем и качество категоризации базы сайтов на русском языке.

Kerio Web Filter

Kerio Web Filter

Kerio Web Filter – это весьма интересное решение для реализации корпоративной политики использования Интернета. Однако необходимо отметить, что оно является дополнительным модулем к известному и популярному в нашей стране продукту Kerio Control. Это система, которая используется для комплексного решения задачи подключения корпоративной сети к Интернету. То есть применять Kerio Web Filter можно только совместно с Kerio Control.

На первый взгляд, это серьезный недостаток данного продукта, который существенно ограничивает сферу его применения. Однако у данного подхода есть и заметные преимущества. Дело в тесной интеграции интернет-фильтра, прокси-сервера и защиты в единое целое. Этим оно отличается от "нагромождения" одной системы на другую. Во-первых, управлять таким "хозяйством" гораздо проще, а это сказывается не только на стабильности работы, но и на стоимости обслуживания информационной системы, а, во-вторых, интеграция позволяет осуществлять общий мониторинг и получить общую систему отчетов.

Но давайте вернемся к разбору возможностей Kerio Web Filter. Самой, пожалуй, главной из них является система блокировки доступа к разным сайтам в зависимости от того, к какой категории они относятся. Для этого используется специальная база данных, состоящая из 53 рубрик. В принципе, такого числа категорий вполне достаточно для того, чтобы точно настроить права доступа сотрудников и быть уверенным в том, что они используют Интернет по делу, а не в личных целях. Примечательно, что настройка может осуществляться как отдельно по пользователям, так и по целым их группам.

В процессе работы Kerio Web Filter не только блокирует доступ к сайтам нежелательной тематики, но и собирает статистику посещений веб-проектов по категориям. Таким образом, администратор или ответственное лицо может точно узнать, на что именно расходуется интернет-трафик и на что тратят сотрудники свое время в Интернете. На базе собранной статистики специальный модуль Kerio Star (централизованная система анализа и отчетности) может генерировать различные типы отчетов.

Помимо непосредственно фильтрации сайтов по категории обычно от интернет-фильтра требуется и некоторые другие ограничения, например, установка разрешений на доступ к Сети в зависимости от времени суток, запрет на загрузку файлов определенного типа и т.п. Однако в Kerio Web Filter всего этого нет. Дело в том, что все эти возможности уже реализованы в Kerio Control, так что дублировать их в интернет-фильтре нет необходимости.

Таким образом, Kerio Web Filter – инструмент для "категоризации" доступа к Интернету. Других возможностей у него нет. Впрочем, они и не нужны, поскольку все они реализованы в "основном" продукте – Kerio Control.

SurfControl Web Filter

SurfControl Web Filter

Продукты компании SurfControl также достаточно известны как по всему миру, так и в нашей стране. Среди них заметное место занимает SurfControl Web Filter. Хотя, на самом деле, это не один продукт, а целая серия решений для разных платформ: Windows, Novell, Microsoft ISA, Citrix, Cisco и пр. Примечательно, что среди продуктов SurfControl Web Filter есть как чисто программные, так и аппаратные решения. Хотя, несмотря на внешние различия, все они схожи по своим возможностям и предназначению. Поэтому мы рассмотрим наиболее массовый вариант - SurfControl Web Filter для Microsoft Windows. Как видно из названия, он не привязан к определенной платформе и может выполнять свои "обязанности" вне зависимости от того, какой прокси-сервер применяется в корпоративной информационной системе.

SurfControl Web Filter для Microsoft Windows представляет собой в полном виде программное решение. Данный продукт интегрируется в корпоративную сеть и постоянно работает в режиме "прослушивания" сетевого трафика. В нем есть сразу же несколько инструментов для реализации политики использования Интернета. Главным из них является ограничение доступа к сайтам по их тематике. Для этого используется динамическая база данных, состоящая из 45 категорий. Однако здесь необходимо отметить один очень важный момент. Дело в том, что в базовую поставку SurfControl Web Filter не входит "ускоренное" обновление базы данных веб-адресов. По заявлениям самих разработчиков, в этом случае срок категоризации новых сайтов колеблется от недели до нескольких месяцев. Поэтому всем пользователям предлагается подписаться на дополнительную услугу – RuFilter. В этом случае гарантируется регулярное обновление базы, а также проверка всех сайтов, посещенных сотрудниками компании, но неизвестных системе, в трехдневный срок.

Помимо этого в SurfControl Web Filter для Microsoft Windows реализован и ряд других инструментов для ограничения доступа сотрудников к глобальной сети. К ним относятся установка расписания работы в Интернете, ввод различных политик для разного времени суток, лимит на потребленный трафик и пр. Обычно все подобные возможности существуют в прокси-сервере, однако если почему-либо в корпоративной системе они не используются, можно применить их в SurfControl Web Filter.

GateWall DNS Filter

GateWall DNS Filter

GateWall DNS Filter – разработка компании Entensys Corporation, известной в нашей стране своим прокси-сервером UserGate Proxy&Firewall. Данная система появилась в продаже недавно - его представили только в этом году. Однако его база существует уже давно и активно используется в прокси-сервере. Поэтому саму основу GateWall DNS Filter нельзя назвать новинкой. Просто она была взята из прокси-сервера и вынесена в отдельный продукт. GateWall DNS Filter – платформонезависимый интернет-фильтр. Он может устанавливается как до, так и после DNS-сервера. Но в любом случае данный продукт работает вне зависимости от состава корпоративной информационной системы.

Главное предназначение GateWall DNS Filter – ограничение доступа пользователей локальной сети к сайтам определенных категорий. Для этого, как и в других интернет-фильтрах, используется категорированная база данных. Однако размещается она не локально, а на площадке разработчика, то есть речь идет об использовании облачных технологий. При поступлении запросов GateWall DNS Filter обращается к удаленной базе и получает от нее ответ. Плюсом такого подхода является гарантированная актуальность данных и отсутствие необходимости ее обновления. Кстати, всего в базе содержится более 500 миллионов записей (по данным разработчиков), разбитых на 82 категории.

Дополнительно в GateWall DNS Filter реализованы "белый" и "черный" список сайтов, а также привязка задаваемых правил к расписанию. С их помощью можно сделать политику использования Интернета в компании более гибкой. Также можно отметить систему сбора статистики и составления отчетов. С ее помощью можно наглядно увидеть, какие сайты посещают сотрудники и насколько рационально они применяют доступ к глобальной сети.

Подводим итоги

Сегодня мы рассмотрели три интернет-фильтра разных типов. Какой из них лучше? Однозначно ответить на этот вопрос нельзя. В каждом конкретном случае необходимо принимать собственное решение. Так, например, если в корпоративной сети развернут и работает прокси-сервер Kerio Control, то оптимальным вариантом будет приобретение продукта Kerio Web Filter. Их тесная интеграция в плане управления и отчетности позволит заметно упросить и удешевить процедуру внедрения и обслуживания.

Если стоит задача создания новой локальной сети или же подключения к Интернету уже имеющейся, то лучше заранее учесть все потребности и сразу использовать прокси-сервер с интегрированным интернет-фильтром. В этом случае можно использовать Kerio Control с Kerio Web Filter или же продукт UserGate Proxy&Firewall, в который уже включена функциональность рассмотренного нами сегодня GateWall DNS Filter.

Если корпоративная сеть уже подключена к Интернету, а использующийся прокси-сервер не обладает необходимыми функциональными возможностями, то придется внедрять в платформонезависимый интернет-фильтр. В его качестве можно использовать GateWall DNS Filter, который сочетает в себе облачные технологии и очень значительную по объему базу сайтов, оптимизированную для использования русскоязычными пользователями.

Ниже приведена сравнительная таблица, в которой в наглядной форме показаны основные особенности рассмотренных сегодня продуктов.

Kerio Web Filter

SurfControl Web Filter

GateWall DNS Filter

Платформа

Kerio Control

Многоплатформенный

Платформонезависимый

Фильтрация сайтов по категориям

+

+

+

Количество категорий в базе данных

53

45

82

Зависимость правил от расписания

+

+

+

Ведение статистики

+

+

+

Генерация отчетов

+

+

+

Запрет загрузки файлов определенного типа

В базовом продукте

+

-

Ограничение по потребленному трафику

В базовом продукте

+

-

Приобрести продукты Kerio Control, Kerio Web Filter и UserGate Proxy&Firewall можно у партнеров 1Софт.

Марат Давлетханов

Все права защищены. По вопросам использования статьи обращайтесь к администраторам сайта 

Короткая ссылка на новость: http://un-ltd.ru/~4dNMj