Спецификация Solar webProxy

• Astra Linux Special Edition 1.8
• РЕД ОС 7, 8
• Debian 12

Для управляемого перенаправления трафика рабочих станций используется модуль «Агент», который поддерживает ОС Windows и перенаправляет весь трафик рабочих станций на Solar webProxy, включая трафик приложений.

Администратор работает с системой через настраиваемые рабочие столы, собирая собственные панели мониторинга для оценки сетевой активности «здесь и сейчас» и оперативного контроля трафика и инцидентов.

Настраиваемые рабочие столы (дашборды) и виджеты:

• Несколько рабочих столов на одного пользователя
• Виджеты на рабочем столе для детального мониторинга
• Шаблоны дашбордов (мониторинг, статистика, досье и др.)
• Управление виджетами (добавление, удаление, настройка)
• Экспорт данных рабочего стола в PDF
• Настройка расписания отправки отчетов по электронной почте
• Настройка прав доступа другим пользователям

• Русский
• Английский

«Досье» в Solar webProxy — единый раздел, где в разрезе пользователей и групп консолидируются данные: кто это, к каким подразделениям и ролям относится сотрудник, какую веб-активность он проявляет. Информация подтягивается из корпоративных каталогов (Microsoft AD, FreeIPA, ALD Pro и др.), поэтому структура «Досье» соответствует реальной оргструктуре компании. За счёт этого политики доступа к веб-ресурсам и расследование инцидентов строятся вокруг конкретных людей и их групп.

Да

• Отчёты по запросам, трафику, категориям, персоналиям, IP-адресам источников и др.
• Возможность сохранения и экспорта отчётов

Настраиваемая отправка отчётов по расписанию на e-mail

Поддерживается развитое журналирование пользовательских и системных событий. Доступны access-log, audit-log, журналы работы антивируса, логи skvt-wizor в формате CEF, а также журналы в стандартных форматах Apache/Squid/Squid detailed. Предусмотрены отдельные разделы аудита действий администраторов системы.

Поддерживается 2FA по TOTP с использованием приложения (например, Multifactor):

• При входе кроме основного пароля вводится одноразовый код;
• Предусмотрена привязка аккаунта через QR-код и управление TOTP-токеном на уровне пользователя.

Есть возможность включения/отключения 2FA в настройках системы

Разграничение доступа к разделам интерфейса и системным функциям — пользователь видит и может изменять только то, что разрешено его правами.

В составе средств сопровождения доступны:

• Мониторинг системы в GUI,
• Просмотр состояния узлов и показателей ПО,
• Журналы событий,
• Таблица сетевых соединений,
• Утилита bug-report для формирования отчета об ошибках.

Возможна интеграция с Zabbix-агентом и настройка расширенной диагностики.

Балансировка трафика — HAProxy; отказоустойчивость — VRRP/VIP; есть сценарии балансировки SOCKS5 и балансировки при использовании антивируса/ICAP в многонодовой конфигурации

В интерфейсе доступны встроенные подсказки по параметрам конфигурации — при наведении пользователю показывается описание назначения и логики настройки.

Есть возможность просмотра связей ресурса с политикой для HTTP(S), FTP, SOCKS5

Архитектура Solar webProxy позволяет свободно наращивать число узлов и охватывать сколько угодно площадок и филиалов. Модуль MultiProxy обеспечивает централизованное управление политиками во всей распределённой сети, сохраняя единые правила и контроль.

Solar webProxy применяет политики безопасности с учетом набора параметров:

• членство в группе
• URL или IP-адрес ресурса
• ключевые слова
• расписание
• порты
• протоколы (HTTP, HTTPS, FTP over HTTP, SOCKS5)
• тип передаваемого файла
• категории веб-сайтов

Действия политики:

• Ничего не делать;
• Заблокировать
• Перенаправить
• Разрешить и не проверять дальше и т.д.

Анализируется информация, передаваемая в запросах и ответах протоколов:

• HTTP(S) (включая сценарии анализа FTP-трафика через HTTP-прокси)
• SOCKS5 (включая сценарии анализа FTP-трафика при работе через SOCKS5-прокси)

Дополнительно возможно выявление нестандартных протоколов, которые передаются по портам 80, 443 за счет функционала DPI.

Разграничение доступа к веб-ресурсам с использованием Basic, NTLM, Kerberos, IP-аутентификации, включая SSO-сценарии.

Поддерживается применение правил по URL- или IP-адресу ресурса, включая работу со списками ресурсов.

В системе используются webCAT и пользовательский категоризатор customlist; доступно подключение внешних категоризаторов. В составе категоризатора Solar webCAT доступны потоки угроз Solar TI Feeds для фильтрации и блокировки подозрительного трафика; базы категорий и TI-фиды автоматически обновляются по подписке.

Раздел «Пользовательские категории» для создания и изменения пользовательскими категориями (customlist) из интерфейса.
Импорт пользовательских категорий из .txt через кнопку «Импорт категорий»

Инструмент «Проверка категории» для проверки принадлежности ресурса к категории

Фильтрация по ключевым словам в теле HTTP-запросов/ответов с поддержкой стоп-слов и исключений; применяется к POST/GET и содержимому загружаемых файлов.

Поддерживается использование регулярных выражений в условиях политики (в том числе в конструкторе условий).

Поддерживается — правила отрабатывают по заданному расписанию.

Поддерживается — порт может быть условием правила для точного управления протокольными сценариями.

Solar webProxy позволяет применять политики к передаваемым файлам с учётом их типа и атрибутов: MIME-типа, расширения, имени файла, размера, хэша файла, сигнатуры содержимого и других идентификаторов.

Антивирусная проверка трафика/файлов (HTTP, HTTPS, FTP over HTTP); поддерживаются сценарии интеграции с внешним AV по ICAP

В системе реализован режим отложенного скачивания: при работе с крупными файлами пользователь получает ссылку на объект после проверок антивирусом или правилами фильтрации.

Есть отдельный раздел «Фильтрация FTP» со слоями перенаправления по ICAP, фильтрации запросов и ответов. Поддерживается контроль взаимодействия FTP-клиентов с FTP-серверами через HTTP- и SOCKS5-прокси.

В политике присутствуют слои и действия, позволяющие управлять соединениями по SOCKS5, включая сценарии направленного анализа FTP-трафика.

Поддерживается слой «Вскрытие HTTPS» для расшифровки TLS/SSL-соединений и последующего применения правил контентной фильтрации к зашифрованному трафику.

Встроенная база adBlock используется как часть политики для блокирования рекламных баннеров.

Система выполняет автоматизированное помещение в архив данных о передаваемой информации, соответствующей заданным критериям политики.

Доступен функционал «Контроль приложений» для управления трафиком приложений как отдельным объектом политики.

Распознаются обращения к ИИ-платформам по доменам, URL и заголовкам. Поддерживается настройка политик доступа к ИИ-сервисам и контроль исходящих запросов (тексты/файлы) с проверкой MIME-типа и расширений, с возможностью блокировки.

Поддерживается перенаправление трафика на ICAP для дополнительных проверок и взаимодействие с другими ICAP-серверами.

Solar webProxy поддерживает работу в каскаде: может направлять пользовательский веб-трафик через вышестоящий прокси-сервер (parent-proxy).

Правила, которые определяют как Solar webProxy отправляет трафик наружу: можно направлять трафик через вышестоящий прокси, выбирать исходящий IP, задавать приоритет трафика, а также при необходимости помечать FTP-соединения для дальнейшей обработки. Применяется первое подходящее правило.

Защита корпоративной сети от веб-рисков за счет анализа трафика и применения политик к данным HTTP/HTTPS/FTP over HTTP/SOCKS5, включая DPI уровня L7 и контроль действий пользователей.

Поддерживается проверка ответов ИИ-сервисов по доменам, MIME-типам и заголовкам. Реализуется блокировка вредоносных вложений и скриптов в ответах (в т.ч. офисные документы с макросами, исполняемые и скриптовые объекты), а также защита от фишинговых AI-страниц на основе доверенного списка официальных платформ. Дополнительно выполняется выявление утечек служебной информации в ответах ИИ-сервисов.

Встроенный межсетевой экран позволяет управлять прохождением трафика на сетевом уровне (фильтрация входящего/исходящего/транзитного трафика по IP/портам/протоколам), выполнять трансляцию адресов (DNAT/SNAT/MASQUERADE), ограничивать скорость соединений и применять сетевые ограничения доступа к узлам кластера.

Система поддерживает антивирусную проверку трафика и файлов: доступен собственный модуль антивируса для HTTP/FTP/HTTPS и возможность подключения сторонних антивирусов.

Возможность передавать трафик внешним источникам проверки по ICAP (например, внешние AV, DLP и песочницы).

Поддерживается создание политик вскрытия HTTPS-трафика с последующей проверкой содержимого правилами фильтрации и подключенными механизмами контроля.

Поддерживается использование Solar TI Feeds и их обновление совместно с обновлениями базы webCAT; в интерфейсе есть инструменты контроля актуальности синхронизаций/обновлений.

Реализован механизм отложенного скачивания: после проверки антивирусом или обработки политиками пользователю выдается безопасная ссылка на объект.

Встроены требования к сложности паролей и двухфакторная аутентификация.

Microsoft Active Directory, FreeIPA, ALD Pro для идентификации пользователей и групп при аутентификации и применении политик доступа.

Есть API Gateway как единая точка входа для внешних приложений.

Solar webProxy умеет передавать запросы/ответы на внешние ICAP-сервисы (антивирус, DLP, песочница и др.) и поддерживает сценарии построения комплексных цепочек проверок. Также доступен режим, когда сторонний прокси может использовать Solar webProxy как ICAP-сервер, с заданием ICAP-URL на стороне внешнего решения.

Реализовано журналирование в нескольких форматах, включая access-log, siem-log, cef-log, ip-translation-log с возможностью выбора формата выгрузки в syslog.

В кластере используется встроенная логика мониторинга на базе Zabbix, а также поддерживается передача метрик на пользовательский сервер Zabbix для построения собственных схем наблюдения и алертинга.

Помимо встроенного webCAT и пользовательского customlist поддерживается подключение внешних категоризаторов, включая SkyDNS и Blue Coat, с управлением режимами определения категории и параметрами подключения. Также поддерживается использование Solar TI Feeds как источника угрозных данных для усиления политик.

Solar webProxy передаёт веб-трафик и файлы на проверку в DLP-системы по протоколу ICAP. Реализована нативная интеграция через единое «Досье» (синхронизация персон между Solar webProxy и Solar Dozor), что упрощает сопоставление событий по одной и той же персоне и позволяет оперативно применять/ужесточать веб-политику для конкретной персоны/группы (например, если сотрудник попал “на контроль” в Dozor).

Solar webProxy дополняет NGFW как специализированный шлюз веб-безопасности: берёт на себя контроль интернет-доступа пользователей (политики доступа, веб-категоризация, фильтрация, контроль загрузок и отчётность), снижая нагрузку и сложность веб-политик на NGFW. В результате веб-риски управляются отдельным контуром, а NGFW остаётся фокусным элементом периметровой защиты.

Да

100% импортонезависимый продукт, в реестре отечественного ПО (№ 5984 от 19.11.19)

Сертифицированная версия Solar webProxy внесена в реестр ФСТЭК России как "Комплекс Межсетевой экран Solar" и соответствует требованиям по безопасности, устанавливающим уровни доверия (4 уровень) и Требованиям к межсетевым экранам по профилю защиты межсетевых экранов ИТ.МЭ.Б4.ПЗ