Crear las reglas de políticas para el filtrado de URL web

Es posible crear varias reglas de políticas que se usan juntas para controlar e informar sobre la navegación web para asegurar el cumplimiento de las políticas de seguridad corporativas u otros requisitos.
  1. Para crear una regla de política
  2. Haga clic en
    Servicios
    >
    Web Security Services
    >
    Web URL Filtering
    .
  3. Haga clic en
    Nueva regla
    .
  4. En la ficha
    Regla
    , escriba un nombre descriptivo para esta regla. El nombre de la regla aparece en la tabla
    Reglas de políticas
    y en las estadísticas, los informes y los encabezados X. El nombre de la regla puede además aparecer en la alerta que los usuarios ven cuando un sitio web es bloqueado.
  5. Seleccione una acción para esta regla.
    • Permitir
      admite el acceso al sitio web.
    • Permitir y registrar
      admite el acceso e incluye los detalles en el registro cada vez que se aplica la regla, de modo que se pueda realizar un seguimiento de la actividad. La actividad de la regla además contribuye a las estadísticas del sistema.
    • Bloquear
      deniega el acceso. El usuario ve el mensaje de alerta de usuario que se define en la ficha
      Servicios
      >
      Web Security Services
      >
      Web URL Filtering
      >
      Alertas
      >
      Alertas del usuario
      .
    • Bloquear y registrar
      deniega el acceso e incluye los detalles en el registro cada vez que se aplica la regla, de modo que se pueda realizar un seguimiento de la actividad. El usuario ve el mensaje de alerta de usuario. La actividad de la regla además contribuye a las estadísticas del sistema.
    • Cuota
      permite o bloquea el acceso en función de las restricciones de tiempo o de ancho de banda que se especifican. El usuario ve el mensaje de alerta de la cuota que se define en la ficha
      Servicios
      >
      Web Security Services
      >
      Web URL Filtering
      >
      Alertas
      >
      Alertas de cuotas
      .
    • Cuota y registro
      permite o bloquea el acceso en función de las restricciones especificadas e incluye los detalles en el registro cada vez que se aplica la regla, de modo que se pueda realizar un seguimiento de la actividad. El usuario ve el mensaje de alerta de la cuota. La actividad de la regla además contribuye a las estadísticas del sistema.
    Cada vez que se crea una nueva regla, es necesario elegir una acción que incluya el registro, de modo que se pueda evaluar qué tan bien las reglas funcionan y realizar los cambios según sea necesario. Cuando le parezca que la regla funciona como se espera, se puede editar la regla para seleccionar la acción que no incluye el registro.
  6. Haga clic en las fichas adicionales para definir los filtros para la regla. Es posible moverse entre las fichas sin perder la configuración que se elige.
    Los Filtros de las reglas de políticas describen los filtros en cada ficha.
  7. Cuando se finaliza la creación de la regla, haga clic en
    Guardar y salir
    . La nueva regla aparece en la parte inferior de la lista
    Reglas de políticas
    .
  8. En la columna
    Cambiar prioridad
    , haga clic en la flecha hacia arriba para mover la regla a la posición apropiada en la lista.
    Cuando tiene varias reglas, las reglas se aplican en el orden en el cual aparecen en la tabla. Si una regla causa una acción
    Bloquear
    , por ejemplo, se omite cualquier acción subsiguiente
    Permitir
    .
  9. En la columna
    Estado de regla
    haga clic en el vínculo
    Inactiva
    para activar la regla.
  10. Espere aproximadamente 10 minutos para que los cambios se transmitan a la infraestructura de seguridad web y después pruebe su conjunto de reglas.
Filtros de las reglas de políticas
Ficha
Descripción del filtro
Hora
Si desea que una regla se aplique solamente a ciertas horas del día, haga clic en
Hora
y añada una o más condiciones de períodos.
Por ejemplo, es posible que sea necesario bloquear el tráfico a ciertos sitios web solamente de lunes a viernes durante las horas de oficina regulares.
Cuando se configuran las reglas de cuota web, puede ser útil configurar diversas cuotas para diferentes períodos. Por ejemplo, se puede restringir la navegación web de los usuarios a un mínimo durante las horas pico de trabajo. Las cuotas web se restablecen a diario a las 00:00 en su zona horaria predeterminada.
La red de seguridad web es global, de forma que es necesario especificar una zona horaria en donde la regla se aplica. Todas las reglas se deben configurar en la misma zona horaria. Para configurar una regla que divida la medianoche, defina dos períodos: uno que cubra el período hasta la medianoche (por ejemplo, de 19:00 a 00:00) y uno que cubra el período desde la medianoche (por ejemplo, de 00:00 a 07:00).
Si necesita configurar reglas para diversas zonas horarias, contacte con el equipo de soporte.
Grupos
Es posible asignar una regla a cualquier grupo que aparezca en la ficha Grupos. Estos son generalmente los grupos de Active Directory que se añaden al servicio y se mantienen con la Herramienta de sincronización.
Si necesita reglas que requieran la información o la identificación de los usuarios fuera de Active Directory, se puede crear un grupo personalizado en la ficha
Web URL Filtering
>
Grupos personalizados
.
Cuotas
Cuando se selecciona la acción Cuota o Cuota y registro para una regla, la ficha Cuotas se activa. Haga clic en esta ficha para configurar las cuotas para la regla.
Todas las cuotas se aplican durante el
Período
que se visualiza en esta ficha. Si es necesario cambiar la
Zona horaria
o el
Período
, haga clic en la ficha
Hora
y realice los cambios necesarios.
Configure sus filtros de la cuota:
  1. Elija
    Por usuario
    para aplicar la cuota a cada usuario o
    Compartida
    para aplicar la cuota a la actividad acumulativa de todos los usuarios.
  2. Para restringir los usuarios por la cantidad de tiempo que pasan navegando la Web, seleccione
    Aplicar cuota de tiempo
    y especifique las horas y los minutos del tiempo de navegación total.
  3. Para restringir los usuarios por la cantidad de ancho de banda que usan cuando navegan, seleccione
    Aplicar cuota de ancho de banda
    . Escriba el máximo de MB de datos que se transferirán, en megabytes totales, hasta 1 000 000 000 MB (1 PB).
Si especifica las cuotas de tiempo y de ancho de banda, se aplica la regla cuando se alcanza cualquier límite.
Categorías de URL
Web Security Service clasifica los sitios web en categorías. Elija las categorías de URL que desee aplicar a la regla. Por ejemplo, se puede crear una regla de bloqueo para las categorías que no cumplen con sus políticas corporativas.
La categoría
No clasificado
cubre cualquier sitio web que aún no se categorice. Estos pueden ser los sitios web que son nuevos. El contenido podría ser indeseable, de forma que no se debe permitir el tráfico a los sitios web en esta categoría. Es posible crear una regla
Bloquear
para las direcciones URL de la categoría
No clasificado
cercanas a la parte superior de la lista de políticas. Web Security Service proporciona actualizaciones frecuentes a las categorías. Cuando el sitio se clasifica en una categoría permitida, ya no es bloqueado.
Direcciones URL específicas
Es posible que desee bloquear o permitir ciertos sitios web, sin importar las categorías a las que pertenecen. En
Direcciones URL específicas
, escriba la dirección del sitio o la dirección IP de los sitios que desee bloquear o permitir. Esta regla debe estar aparte de sus reglas de categoría de URL. Priorice las reglas de dirección URL específicas sobre las reglas de categoría de URL en su lista
Reglas de políticas
.
El portal coloca restricciones en el formato de la URL y en los caracteres que se usan para añadir URL específicas al perfil.
  1. Las direcciones IP se pueden usar como nombres de host, pero las rutas no se pueden agregar después de la dirección IP. Por ejemplo, puede agregar
    10.10.10.1
    , pero no
    10.10.10.1/dir/
    .
  2. No es posible agregar una dirección URL con asteriscos "
    *
    " como parte de la ruta después de la barra "
    /
    ". Por ejemplo, no es posible agregar
    symantec.com/dir*/
    .
  3. El carácter de tilde "
    ~
    " no está permitido en ninguna parte de una dirección URL.
  4. Algunos caracteres como "
    ?
    " y "
    =
    " no están permitidos como parte de la ruta de una dirección URL. Por ejemplo, no es posible agregar
    www.symantec.com/batch?sbqmi=l7xsjiKIE
    a una política.
  5. Recuerde que las etiquetas de nombre de host pueden contener solamente letras y números en ASCII.
Tipos de contenido
Es necesario especificar
Tipos de contenido
solamente en una regla de bloqueo. Una regla de permiso podría permitir fácilmente tráfico indeseable que usa un tipo normalmente aceptable de MIME.
La ficha
Tipos de contenido
tiene dos secciones distintas: Tipos MIME y Tipos de archivo.
  • El tipo de MIME se refiere al tipo de datos que el servidor web declara que está enviando al navegador (tipo de MIME de IANA).
    Para bloquear un tipo de MIME que no se enumera, escríbalo como un tipo de MIME en el cuadro
    Agregar nuevo tipo de MIME
    y haga clic en
    Agregar
    . Seleccione el nuevo tipo de MIME para añadirlo a la regla.
  • Cuando se selecciona un tipo de archivo para una regla, la regla impide que todos los archivos con la extensión de archivo especificada sean descargados de un sitio web. La extensión de archivo se compara con la parte de la URL correspondiente a la terminal, de forma que una regla que incluye la extensión ‘exe’ coincidiría con una URL de ‘www.exampleURL.com/games/fun.exe’. Si el archivo que es descargado es un archivo de almacenamiento (por ejemplo, un archivo .zip), las extensiones de archivo además se comparan con los archivos dentro del archivo de almacenamiento.
    Para bloquear un archivo con una extensión que no se enumera, escríbalo como
    Tipo de archivo personalizado
    y haga clic en
    Agregar
    . Seleccione el nuevo tipo de archivo para añadirlo a la regla.
    Los tipos de archivo ‘doc.url’ y ‘doc.exe’ y las extensiones similares ‘dobles’ se usan a veces para engañar. Los usuarios pueden pensar que están haciendo clic en un archivo ‘doc’, en lugar de un vínculo a un sitio web o programa. Aunque el software malicioso es bloqueado por el servicio web de protección Anti-spyware y contra software malicioso, estas extensiones deben ser bloqueadas por una de sus propias reglas. Esta regla debe colocarse cerca de la parte superior de la lista de las políticas.
Es posible eliminar los tipos de MIME y los tipos de archivo personalizados de la lista si ya no se requieren en ninguna política. O se puede anular su selección si no se requieren en la regla.