Руководство по настройке фильтрации URL-адресов и пользовательских блочных страниц

Фильтрация URL-адресов — это расширенный тип фильтрации веб-содержимого на основе полного или частичного URL-адреса. В отличие от применения фильтрации на основе полных доменных имен (FQDN), видимых в заголовке трафика, фильтрация URL-адресов требует инспекции протокола TLS для выявления конкретного назначения, к которому пользователь пытается получить доступ. Например, www.bing.com виден без проверки TLS, но www.bing.com/images не виден. Фильтрация URL-адресов обеспечивает точное фильтрацию веб-содержимого и повышает точность фильтрации веб-контента по категориям.

В этом руководстве вы узнаете, как:

  • Настройте политики фильтрации веб-содержимого, чтобы разрешить или заблокировать определенные URL-адреса.
  • Связывание политик фильтрации веб-содержимого с профилем безопасности.
  • Настройте настраиваемое сообщение об ошибке для заблокированных сайтов.
  • Убедитесь, что веб-сайты разрешены или заблокированы должным образом.

Необходимые условия

Выполните инструкции по настройке проверки TLS. Проверка TLS является обязательным условием для фильтрации URL-адресов.

Основные понятия

Понимание разницы между полным доменным именем и фильтрацией URL-адресов имеет решающее значение для эффективной разработки политики.

Аспект Фильтрация полного доменного имени Фильтрация URL-адресов
Требуется проверка TLS Нет Да
Видимость Только домен Полный путь
Пример соответствия www.youtube.com www.youtube.com/shorts
Сценарий использования Блокировать или разрешать целые сайты Блокировать или разрешать определенные сайты
Степень детализации Грубой Мелкозернистый

Objective

Это руководство основано на предыдущих уроках. В руководстве по фильтрации FQDN вы заблокировали доступ к Bing, и вам было выдано сообщение об ошибке, которое неудобно для пользователя. В руководстве по проверке TLS вы включили проверку TLS, что является необходимым условием для фильтрации URL. Изучив это руководство, вы:

  • Детализированно разрешать определенные URL-адреса Bing, оставляя других заблокированных, чтобы продемонстрировать детальное фильтрацию веб-содержимого (подробный список разрешений).
  • Создайте политику для блокировки определенного URL-адреса, www.youtube.com/shortsоставляя остальное пространство домена разрешенным (подробный список блоков).
  • Настройте настраиваемое сообщение об ошибке, которое пользователи видят при блокировке.

Примеры пошаговых видеороликов

В следующем видео показано, как настроить фильтрацию URL-адресов.

В следующем видео показано, как настроить пользовательские страницы ошибок.

В следующем видео демонстрируется пользовательский опыт фильтрации URL-адресов.

Шаг 1. Создание политик фильтрации веб-содержимого

Создайте политику для блокировки коротких видео YouTube.

  1. В администраторском центре Microsoft Entra перейдите к Global Secure Access>Secure>политики фильтрации веб-контента.
  2. ВыберитеCreate policy (Создать политику).
    • Имя: выберите Заблокировать YouTube Shorts.
    • Действие: Выберите Блок.
  3. Нажмите кнопку Далее.
  4. Выберите Добавить правило.
    • Имя: выберите YouTube Shorts.
    • Тип назначения: выберите FQDN (полное доменное имя).
    • Назначение: выберите www.youtube.com/shorts,youtube.com/shorts.
  5. Нажмите кнопку "Добавить".
  6. Нажмите кнопку "Далее", а затем нажмите кнопку "Создать политику".

Создайте политику для разрешения использования Карт Bing

  1. ВыберитеCreate policy (Создать политику).
    • Name: выберите Разрешить Bing Maps.
    • Действие: выберите "Разрешить".
  2. Нажмите кнопку Далее.
  3. Выберите Добавить правило.
    • Name: выберите Bing Maps.
    • Тип назначения: выберите URL-адрес.
    • Назначение: выберите *.bing.com/maps,bing.com/maps.
  4. Нажмите кнопку "Добавить".
  5. Нажмите кнопку "Далее", а затем нажмите кнопку "Создать политику".

Шаг 2. Связывание политик фильтрации веб-содержимого с профилем безопасности

  1. Перейдите на панель профилей безопасности .
  2. Выберите профиль безопасности из руководства по проверке TLS (а не базовый профиль безопасности), а затем выберите область политик ссылок .
  3. Выберите "Привязать политику", а затем выберите "Существующую политику веб-фильтрации".
  4. В названии политики выберите «Блокировать шорты YouTube» и присвойте ему приоритет 200. Состояние должно быть включено. Нажмите кнопку "Добавить".
  5. Выберите «Связать политику», затем снова выберите «Существующая политика веб-фильтрации».
  6. В разделе Policy name выберите Allow Bing Maps и присвойте ему приоритет 150. Состояние должно быть включено. Нажмите кнопку "Добавить".
  7. Нажмите кнопку Далее.
  8. Выберите "Создать профиль".

Замечание

Убедитесь, что профиль безопасности назначен политике Microsoft Entra Conditional Access.

Шаг 3. Настройка пользовательского сообщения об ошибке

  1. Перейдите к Global Secure Access>настройкам>управление сеансами.
  2. Перейдите на вкладку "Настраиваемая страница блокировки ".
  3. Задайте параметр пользовательское сообщение на Вкл.
  4. Введите произвольное сообщение и выберите "Сохранить".

Вы можете использовать ограниченный Markdown в пользовательском тексте сообщения. Например, можно включить ссылку на поддержку, например Need access? [Contact support](https://support.contoso.com) to request an exception.

Шаг 4. Проверка фильтрации URL-адресов и настраиваемой ошибки

Замечание

Только что созданные профили безопасности могут занять до часа, чтобы ввести в силу. Если вы связали новые правила с существующим профилем безопасности, который уже назначен вашему пользователю через условный доступ, он должен входить в силу через несколько минут.

  1. На тестовом устройстве откройте браузер и перейдите по адресу www.bing.com. Убедитесь, что вы заблокированы и отображается настраиваемое сообщение об ошибке.

    Снимок экрана: страница ошибки, настроенная пользователем, с настроенным сообщением о блокировке для заблокированного сайта.

  2. Перейдите на www.bing.com. Убедитесь, что доступ по-прежнему остается заблокированным из учебного пособия по фильтрации FQDN.

  3. Перейдите на www.bing.com/maps. Убедитесь, что доступ разрешен.

  4. Перейдите на www.youtube.com. Убедитесь, что доступ разрешен.

  5. Перейдите на www.youtube.com/shorts. Убедитесь, что доступ заблокирован.

Порядок оценки политики

В примере из этого руководства оценка политики выполняется следующим образом:

User navigates to bing.com:

1. Custom Security Profile (assigned via Conditional Access)
   └─ Allow Bing Maps (priority 100) → Does NOT match bing.com → Continue...
2. Baseline Profile (priority 65000)
   └─ Block Bing → Matches bing.com → BLOCK ✗

User navigates to bing.com/maps

1. Custom Security Profile (assigned via Conditional Access)
   └─ Allow Bing Maps (priority 100) → Matches bing.com/maps → ALLOW ✓

User navigates to youtube.com (homepage):

1. Custom Security Profile (assigned via Conditional Access)
   └─ Block YouTube Shorts (priority 100) → Does NOT match youtube.com/shorts → Continue...
2. Baseline Profile (priority 65000)
   └─ No YouTube rules → ALLOW ✓

User navigates to youtube.com/shorts:

1. Custom Security Profile (assigned via Conditional Access)
   └─ Block YouTube Shorts (priority 100) → Matches youtube.com/shorts → BLOCK ✗

В этом примере показано, как фильтрация URL-адресов обеспечивает выборочную блокировку или разрешение.

Полученные навыки

В этом руководстве вы выполнили следующие задачи:

  • Реализована уровневая фильтрация URL-адресов: Вы заблокировали YouTube Shorts, позволяя остальной части YouTube. В этом действии показано, как фильтрация URL-адресов обеспечивает точный контроль над веб-назначениями.
  • Создание правил исключений: Разрешено Bing Maps в то время как Bing остается заблокированным базовым профилем. В этом действии показано, как наслаивать политики для детализированного контроля доступа.
  • Настроенные пользовательские сообщения блокировок: Теперь пользователи видят полезную страницу ошибок вместо универсального сообщения "Сброс подключения". Это действие улучшает взаимодействие с пользователем и сокращает заявки в службу поддержки.
  • Понятная приоритетность политики: Сначала вычисляются номера с более низким приоритетом, что позволяет пользовательским профилям создавать исключения для базовых правил.

Почему для фильтрации URL-адресов требуется проверка TLS

Without TLS inspection:              With TLS inspection:
┌───────────────────┐             ┌───────────────────┐
│ TLS handshake     │             │ Decrypted traffic │
│                   │             │                   │
│ SNI: youtube.com  │  ← Visible  │ GET /shorts/abc   │  ← Now visible!
│                   │             │ Host: youtube.com │
│ [Encrypted data]  │  ← Hidden   │ Cookie: ...       │
│                   │             │ User-Agent: ...   │
└───────────────────┘             └───────────────────┘

Путь (/shorts) является частью HTTP-запроса, который находится внутри зашифрованного туннеля TLS. Только путем прекращения TLS прокси-сервер может просматривать и фильтровать по полному URL-адресу.

Следующий шаг

Настройка политик аналитики угроз

  • Last updated on