Фильтрация контента и доменов в UniFi

UniFi Gateways предоставляют функцию фильтрации контента, позволяющую блокировать доступ к вредоносным, откровенным и неподобающим веб-сайтам в пределах вашей сети. Это функция уровня DNS, которую можно гибко применять к отдельным VLAN или клиентским устройствам. 

Настройка фильтрации контента

1. Перейдите в раздел «Фильтрация контента»: Настройки > CyberSecure > Content Filter. 
2. Создайте имя: Назначьте имя политике.
3. Выберите источник: Примените политику к определённым сетям и/или клиентским устройствам.
4. (Необязательно) Включите блокировку рекламы: Использует внутреннюю базу UniFi для блокировки доменов, связанных с рекламой.
5. (Необязательно) Включите Безопасный поиск: Использует встроенный функционал Google, Bing и/или YouTube для блокировки откровенного контента.
6. Выберите политику фильтрации:
   1. Отключено
   2. Базовая: Предустановленная конфигурация, блокирующая домены, связанные с вредоносным, откровенным или «взрослым» контентом.
   3. Расширенная: Продвинутое решение на базе Cloudflare с более чем 100 категориями фильтров, управляемых ведущей в отрасли командой специалистов по безопасности. Оптимально для профессиональных и корпоративных сред, где требуется строгая политика или контроль, продиктованный требованиями комплаенса. Подробнее см. CyberSecure Enhanced от Proofpoint и Cloudflare.
7. (Необязательно) Создайте списки разрешений и блокировок:
   1. Allowlist (разрешённые): Используйте для добавления доменов, которые в противном случае были бы заблокированы выбранной политикой фильтрации.
   2. Blocklist (заблокированные): Используйте для блокировки дополнительных доменов, не входящих в уже действующую политику фильтрации.
8. (Необязательно) Настройте расписание: Укажите время действия политики.

Как это работает

Фильтрация контента работает путём перенаправления DNS-трафика на UniFi Gateway для проверки. Запросы сверяются с внутренними списками блокировок (или расширенными категориальными фильтрами), и доступ блокируется до того, как браузер подключится к сайту. Этот механизм позволяет фильтровать без дополнительной настройки на клиентских устройствах и обновляется автоматически.

Примечание: DNS Shield нельзя использовать одновременно с фильтрацией контента на UniFi Gateways версии 4.2 и ниже.

Поддержка локального DNS-разрешения

Так как фильтрация контента основана на перенаправлении DNS, запросы к внутренним или вручную настроенным DNS-серверам (например, используемым в Active Directory) могут завершиться ошибкой, если маршрутизация не настроена явно.

Таблица ниже обобщает требования к DNS и SNAT в зависимости от вашей топологии:

Чтобы восстановить корректное разрешение внутренних DNS-зон, выполните шаги ниже.

Создание правила DNS-форвардинга

1. Перейдите в раздел правил DNS-форвардинга:
   1. Network 9.3: Настройки > Policy Engine > DNS.
   2. Network 9.4: Настройки > Policy Table.
2. Нажмите:
   1. В Network 9.3: Создать DNS.
   2. В Network 9.4: Создать новую политику > выбрать "DNS".
3. Добавьте новую запись домена:
   1. Domain: ваш внутренний домен (например, corp.local)
   2. Target IP: IP-адрес вашего контроллера домена

Создание правила Source NAT (SNAT)

Требуется только для Policy-Based IPsec или Route-Based VPN без VTI-адресов.

1. Перейдите в раздел NAT:
   1. Network 9.3: Настройки > Policy Engine > NAT.
   2. Network 9.4: Настройки > Policy Table.
2. Нажмите:
   1. В Network 9.3: Создать новое > Src. NAT.
   2. В Network 9.4: Создать новую политику > выбрать "NAT" > Src. NAT.
3. Настройте правило:
   1. Тип правила: Source NAT
   2. Описание: например, SNAT для DNS к удалённому DC
   3. Протокол: UDP и TCP
   4. Source IP: оставить пустым
   5. Destination IP: IP-адрес контроллера домена
   6. Translated IP: IP-адрес LAN-интерфейса шлюза
      Интерфейс: LAN (если требуется)

Это гарантирует, что ответные пакеты от DNS-сервера смогут корректно достичь шлюза.