Création de règles de politique pour le filtrage d'URL Web

Vous pouvez créer plusieurs règles de politique opérant ensemble pour contrôler et signaler la navigation web, afin d'assurer le respect des politiques de sécurité d'entreprise ou autres exigences.
  1. Pour créer une règle de politique
  2. Cliquez sur
    Services
    >
    Web Security Services
    >
    Web URL Filtering
    .
  3. Cliquez sur
    Nouvelle règle
    .
  4. Dans l'onglet
    Règle
    , entrez un nom descriptif pour cette règle. Le nom de la règle apparaît dans le tableau
    Règles de politique
    et dans les statistiques, les rapports et les en-têtes X. Le nom de la règle peut également apparaître dans l'alerte que les utilisateurs voient quand un site Web est bloqué.
  5. Sélectionnez une action pour cette règle.
    • Autoriser
      autorise l'accès au site Web.
    • Autoriser et consigner
      autorise l'accès et entre des détails dans le journal chaque fois que la règle est appliquée, ce qui vous permet de suivre l'activité. L'activité de règle contribue également aux statistiques du système.
    • Bloquer
      refuse l'accès. L'utilisateur voit le message d'alerte d'utilisateur que vous définissez dans
      Services
      >
      Web Security Services
      >
      Web URL Filtering
      >
      Alertes
      >
      Alertes d'utilisateur
      .
    • Bloquer et consigner
      refuse l'accès et entre des détails dans le journal chaque fois que la règle est appliquée, ce qui vous permet de suivre l'activité. L'utilisateur voit le message d'alerte d'utilisateur. L'activité de règle contribue également aux statistiques du système.
    • Quota
      autorise ou bloque l'accès en fonction des restrictions de temps ou de bande passante que vous spécifiez. L'utilisateur voit le message d'alerte de quota que vous définissez dans
      Services
      >
      Web Security Services
      >
      Web URL Filtering
      >
      Alertes
      >
      Alertes de quota
      .
    • Quota et journal
      autorise ou bloque l'accès selon les restrictions spécifiées et entre des détails dans le journal chaque fois que la règle est appliquée, de sorte que vous puissiez suivre l'activité. L'utilisateur voit le message d'alerte de quota. L'activité de règle contribue également aux statistiques du système.
    Chaque fois que vous créez une nouvelle règle, vous devriez choisir une action qui inclut la consignation, de sorte que vous puissiez évaluer les performances des règles et apporter les modifications requises. Quand vous êtes certain que la règle se comporte comme prévu, vous pouvez la modifier pour sélectionner l'action qui n'inclut pas la consignation.
  6. Cliquez sur les onglets supplémentaires pour définir les filtres de la règle. Vous pouvez vous déplacer entre les onglets sans perdre les paramètres que vous choisissez.
    Les filtres de règles de politique décrivent les filtres dans chaque onglet.
  7. Lorsque vous avez terminé de créer la règle, cliquez sur
    Enregistrer et quitter
    . La nouvelle règle apparaît au bas de la liste
    Règles de politique
    .
  8. Dans la colonne
    Modifier la priorité
    , cliquez sur la flèche vers le haut pour déplacer la règle vers la position appropriée dans la liste.
    Quand vous avez plusieurs règles, les règles sont appliquées dans l'ordre dans lequel elles apparaissent dans le tableau. Si une règle provoque une action
    Bloquer
    , par exemple, toutes les actions
    Autoriser
    suivantes sont ignorées.
  9. Dans la colonne
    Etat de la règle
    , cliquez sur le lien
    Inactif
    pour activer la règle.
  10. Attendez environ 10 minutes que les modifications avancent dans l'infrastructure Web Security, puis testez votre jeu de règles.
Filtres de règle de politique
Onglet
Description de filtre
Heure
Si vous voulez qu'une règle ne soit appliquée qu'à certaines heures de la journée, cliquez sur
Heure
et ajoutez une ou plusieurs conditions de période.
Par exemple, il peut être nécessaire de bloquer le trafic sur certains sites Web uniquement du lundi au vendredi pendant des heures ouvrables normales.
Lorsque vous définissez des règles de quota Web, il est utile de configurer des quotas différents pour les différentes périodes. Par exemple, vous pouvez restreindre la navigation Web des utilisateurs au minimum pendant les heures ouvrables où l'activité est la plus forte. Les quotas Web sont réinitialisés quotidiennement à 00:00 dans votre fuseau horaire par défaut.
Le réseau Web Security étant global, vous devez spécifier un fuseau horaire où la règle s'applique. Toutes les règles doivent être définies sur le même fuseau horaire. Pour configurer une règle qui dépasse minuit, définissez deux périodes : l'une couvrant la période jusqu'à minuit (par exemple, 19h00 - 0h00) et l'autre couvrant la période après minuit (par exemple, 0h00 - 7h00).
Si vous avez besoin de configurer des utilisateurs dans différents fuseaux horaires, contactez l'équipe de support.
Groupes
Vous pouvez assigner une règle à n'importe quels groupes apparaissant dans l'onglet Groupes. Il s'agit habituellement de groupes Active Directory qui sont ajoutés au service et mis à jour avec l'outil de synchronisation.
Si vous avez besoin de règles qui requièrent les informations ou l'identification des utilisateurs en dehors de votre Active Directory, vous pouvez créer un groupe personnalisé dans l'onglet
Web URL Filtering
>
Groupes personnalisés
.
Quotas
Quand vous sélectionnez l'action Quota ou Quota et consigner pour une règle, l'onglet Quotas devient actif. Cliquez sur cet onglet afin de configurer des quotas pour la règle.
Tous les quotas sont appliqués pendant la
Période
qui est affichée dans cet onglet. Si vous devez changer le
Fuseau horaire
ou la
Période
, cliquez sr l'onglet
Heure
et effectuez les modifications nécessaires.
Configurez vos filtres de quota :
  1. Choisissez
    Par utilisateur
    pour appliquer le quota à chaque utilisateur ou
    Partagé
    pour appliquer le quota à l'activité cumulative de tous les utilisateurs.
  2. Pour restreindre les utilisateurs selon la quantité de temps qu'ils passent à naviguer sur le Web, sélectionnez
    Appliquer le quota de temps
    et spécifiez les heures et les minutes de la durée totale de navigation.
  3. Pour restreindre les utilisateurs selon la quantité de bande passante qu'ils utilisent quand ils naviguent, sélectionnez
    Appliquer le quota de bande passante
    . Entrez la quantité maximum en Mo de données à transférer, en méga-octets entiers, jusqu'à 1 000 000 000 Mo (1 Po).
Si vous spécifiez des quotas de temps et de bande passante, la règle est appliquée quand l'une ou l'autre des limites est atteinte.
Catégories d'URL
Web Security Service classe les sites Web dans des catégories. Choisissez les catégories d'URL que vous voulez appliquer à la règle. Par exemple, vous pouvez vouloir créer une règle de blocage pour les catégories qui ne sont pas conformes à vos politiques d'entreprise.
La catégorie
Non classé
couvre tous les sites Web qui ne sont pas encore classés. Il peut s'agir de sites Web nouveaux. Le contenu pouvant être indésirable, vous ne devriez pas autoriser le trafic vers des sites Web de cette catégorie. Vous pouvez créer une règle
Bloquer
pour les URL
non classées
vers le haut de la liste de politiques. Web Security Service fournit des mises à jour fréquentes aux catégories. Quand le site est classé dans une catégorie autorisée, il n'est plus bloqué.
URL spécifiques
Vous souhaiterez peut-être bloquer ou autoriser certains sites Web, indépendamment des catégories auxquelles ils appartiennent. Dans
URL spécifiques
, entrez l'adresse de site ou l'adresse IP des sites que vous voulez bloquer ou autoriser. Cette règle doit être distincte de vos règles de catégorie d'URL. Placez toujours les règles d'URL spécifiques au-dessus des règles de catégorie d'URL dans votre liste
Règles de la politique
.
Le portail impose des restrictions sur le format d'URL et les caractères qui sont utilisés pour ajouter des URL spécifiques au profil.
  1. Des adresses IP peuvent être utilisées comme noms d'hôte, mais des chemins d'accès ne peuvent pas être ajoutés après l'adresse IP. Par exemple,
    10.10.10.1
    peut être ajouté, mais
    10.10.10.1/dir/
    n'est pas autorisé.
  2. Il est impossible d'ajouter une URL contenant un astérisque (
    *
    ) en tant qu'élément du chemin d'accès suivant la barre oblique (
    /
    ). Par exemple, il est impossible d'ajouter
    symantec.com/dir*/
    .
  3. Le tilde (
    ~
    ) n'est autorisé nulle part dans l'URL.
  4. Certains caractères tels que le point d'interrogation (
    ?
    ) et le signe égal (
    =
    ) ne sont pas autorisés dans le chemin d'accès d'une URL. Par exemple, l'URL
    www.symantec.com/batch?sbqmi=l7xsjiKIE
    ne peut pas être ajoutée à une politique.
  5. Souvenez-vous que les étiquettes de nom d'hôte peuvent seulement contenir des lettres et des chiffres ASCII.
Types de contenu
Vous devez spécifier les
Types de contenu
uniquement dans une règle de blocage. Une règle d'autorisation pourrait facilement autoriser un trafic indésirable utilisant un type MIME normalement acceptable.
L'onglet
Types de contenu
comporte deux sections distinctes : Types MIME et Types de fichier.
  • Le type de contenu correspond au type de données que le serveur Web déclare envoyer au navigateur (type MIME IANA).
    Pour bloquer un type MIME qui n'est pas dans la liste, entrez-le comme un type MIME personnalisé dans la zone
    Ajouter un nouveau type MIME
    et cliquez sur
    Ajouter
    . Sélectionnez le nouveau type MIME pour l'ajouter à la règle.
  • Quand vous sélectionnez un type de fichier pour une règle, la règle empêche tous les fichiers ayant l'extension de fichier spécifiée d'être téléchargés d'un site Web. L'extension de fichier est vérifiée par rapport à la partie terminale de l'URL, de sorte qu'une règle incluant l'extension "exe" correspondrait à une URL "www.exampleURL.com/games/fun.exe". Si le fichier téléchargé est un fichier d'archive (par exemple, un fichier .zip), les extensions des fichiers compris dans l'archive sont également vérifiées.
    Pour bloquer un fichier portant une extension qui n'est pas répertoriée, entrez-la comme un
    type de fichier personnalisé
    et cliquez sur
    Ajouter
    . Sélectionnez le nouveau type de fichier et ajoutez-le à la règle.
    Les types de fichier "doc.url" et "doc.exe" et les extensions similaires "doubles" sont parfois utilisées pour duper des utilisateurs. Ils pensent qu'ils cliquent sur un fichier .doc alors qu'ils cliquent en réalité sur un lien renvoyant vers un site Web ou un programme. Même si les services Web Anti-Spyware and Antivirus bloquent les logiciels malveillants, ces extensions doivent être bloquées dans une règle qui leur est propre. Cette règle doit être placée vers le sommet de la liste de politiques.
Vous pouvez supprimer des types MIME et de fichier personnalisés de la liste s'ils ne sont plus requis dans aucune politique. Ou vous pouvez les désélectionner s'ils ne sont pas requis dans la règle.