Симптомы

• Добавил доменное имя в разрешающее правило МСЭ. Провайдер адреса не блокирует. Пользователь отмечает, что доступ срабатывает через раз в зависимости от того, в какой IP адрес резолвится FQDN.

Решение

В рамках работы с решением UserGate необходимо учитывать принципиальное различие между правилами межсетевого экрана (МСЭ) и правилами Фильтрации контента, так как они функционируют на разных уровнях модели OSI и решают разные задачи.

Правила МСЭ в UserGate работают на уровнях L3–L4 (сетевой и транспортный уровни). При обращении пользователя к веб-ресурсу, например https://example.com, первоначально выполняется DNS-разрешение доменного имени в IP-адрес. Далее сетевое соединение устанавливается уже с этим IP-адресом (например, 93.184.216.34) по соответствующему порту (как правило, TCP 443 для HTTPS). На этом этапе МСЭ анализирует только сетевые параметры: IP-адрес источника и назначения, порт и протокол. Решение о разрешении или блокировке принимается исключительно на основании этих данных.

При этом МСЭ не обладает информацией о том, к какому именно доменному имени обращается пользователь, особенно в условиях, когда на одном IP-адресе может размещаться множество различных веб-ресурсов (например, при использовании CDN или shared hosting). Тоже самое касается частой смены IP адресов веб-ресурсов (использование пула IP, балансировка на стороне сервера).

В отличие от этого, правила Фильтрации контента в UserGate работают на уровне L7 (прикладной уровень) и анализируют непосредственно содержимое сетевого трафика.

Для HTTPS-трафика используется механизм анализа SNI (Server Name Indication), который передаётся клиентом в процессе TLS-рукопожатия (Client Hello). Это позволяет определить доменное имя запрашиваемого ресурса (например, example.com) до установления защищённого соединения. На основании этого значения UserGate может применить политики доступа, включая разрешение или блокировку конкретных сайтов или категорий сайтов.

Для HTTP-трафика анализ осуществляется ещё более детально: система обрабатывает заголовок Host, а также сам HTTP-запрос (например, метод GET и запрашиваемый URL). Это позволяет не только определить домен, но и учитывать конкретные URL и пути при принятии решения.

Таким образом, Фильтрация контента обеспечивает значительно более точный и управляемый контроль доступа к веб-ресурсам, так как опирается на прикладные данные (домен, URL, категория ресурса), а не только на сетевые параметры.

Рекомендуется использовать правила Фильтрации контента для управления доступом пользователей к веб-ресурсам, поскольку они позволяют реализовать гранулярные политики безопасности (например, ограничение доступа по категориям сайтов, блокировка нежелательных ресурсов и т.д.), что невозможно достичь при использовании только правил МСЭ.

Примечание

Для разрешения доступа только к определённым веб-ресурсам (принцип "запрещено всё, что не разрешено") выполните следующую настройку:

Создайте 2 правила МСЭ:

• Разрешающее сервисы HTTP и HTTPS
• Запрещающее всё остальное

Создайте 2 правила ФК:

• Разрешающее по условию URL
• Запрещающее всё остальное