Principe de lecture des règles de filtrage Web et conseils


 

Les règles ne se comprennent pas comme un par-feu !

Même si des flèches vous permettent de monter ou descendre les règles, comprenez que ce qui prime pour le filtrage Web est le « Groupe » qui est associé à la règle.
Voici un exemple afin de vous expliquer le principe.

Nous désirons bloquer les sites porn,dating,malware,audio-video pour tout le monde et pour le groupe Active Directory « VIP » autoriser les sites audio-video.

Voici quelques règles faussement interprétées mais qui pour vous pourraient être logiques:

Option 1:

  1. Règle Défault: Liste noire porn,dating,malware,audio-video
  2. Règle VIP : Liste blanche audio-video

Faux!: Les VIP peuvent accéder à « tous les sites » car la règle ne comporte pas de liste noire.

Option 2:

  1. Règle Défault: Liste noire porn,dating,malware,audio-video
  2. Règle Tous systèmes (*) : Liste noire porn,dating,malware,audio-video
  3. Règle VIP : Liste blanche audio-video, Liste noire porn,dating,malware

Faux!: La règle tous systèmes sera toujours calculée et le filtrage Web ne passera pas par la règle VIP

Option 3:

  1. Règle Défault: Liste noire porn,dating,malware,audio-video
  2. Règle VIP : Liste blanche audio-video, Liste noire porn,dating,malware*

Inutile!: La liste blanche audio-video est inutile dans ce cas de figure.

La Bonne règle:

  1. Règle Défault: Liste noire porn,dating,malware,audio-video
  2. Règle VIP : Liste noire porn,dating,malware

Vrai: Le Group Active Directory va être interdit à visiter sites porn,dating,malware et le reste des sites vont être autorisés.
Tous les « autres » utilisateurs passeront par la règle par défaut et seront interdits à visiter les sites dans audio-video.

Ce qu’il faut comprendre:

Le filtrage Web analyse les règle par le groupe associé. Si le groupe correspond, il analyse les sites en liste noire et les sites en liste blanche puis s’arrête de lire les autres règles.
Pensez alors à indiquer les autres catégories en liste noire que vous auriez mis de façon générale.

 

Les listes blanches ne sont présentes uniquement pour contredire une liste noire.

Dans une règle spécifique ne mettez pas de listes blanches inutilement  ce qui pourrait surcharger le filtrage Web à charger des catégories en mémoire.

Par exemple:

On veut bloquer les sites porn,dating,malware,spyware, tracker,publicite et autoriser les sites webapps, industry, shopping:

Une règle comme ceci:

  • Liste noire: porn,dating,malware,spyware, tracker,publicite
  • Liste blanche: webapps, industry, shopping

Inutile !: De facto les sites webapps, industry, shopping ne sont pas bloqués.

La Bonne règle:

  1. Liste noire: porn,dating,malware,spyware, tracker,publicite
  2. Liste blanche: aucune

 

Évitez de charger toutes les catégories

Chaque catégorie choisi va faire l’œuvre de la mise en mémoire de la base de sites ( plusieurs millions de sites Internet)

Voici un exemple de ce qui ne faut pas faire:

On veut tout interdire pour le groupe Active Directory « stagiaires » sauf quelques sites internet.

  1. Liste noire: Les 150 catégories.
  2. Liste blanche: Catégorie personnelle « stagiaire »

Trop consommatrice! : Mise en mémoire de 35.000.000 de sites Internet pour n’autoriser que 20 sites Internet !

La Bonne règle

  1. Règle qui se termine par « Finir la règle: Rien d’autre (none)
  2. Liste blanche: Catégorie personnelle « stagiaire »

 

21-02-2015 14-18-42

Le mode rien d’autre veut dire qu’un site inconnu
dans les listes blanches est de facto interdit.

Laissez un commentaire