Приветствую сообщество.
Бьюсь который час, но никак не могу понять, как блокировать все сайты, кроме определенных для любого приложения, которое стучится туда по http…
Я так понимаю, что это нужно прописывать в глобальных правилах. Запретить все, и выше создать разрешающее правило, но это почему-то не срабатывает. Блокируется все…
Блокируется всё, потому что ведь есть ещё различные системные соединения, при блокировании которых, специальном или нечаянном, блокируется всё.
К таким соединениям могут относится DHCP-запросы, DNS-запросы, связь с vpn-сервером, связь с time-сервером и т.д.
Какова цель блокирования всех адресов ? Чтобы никто не открывал нехорошие или неположенные сайты (например, на работе) или ещё для чего-то нужна блокировка ?
Есть различные способы блокирования, всё зависит от целей.
Попробуйте заблокировать через Заблокированные сетевые зоны, там можно блокировать, например, диапазоны адресов. А нужные адреса просто не включайте.
Цель - заблокировать доступ ко всем сайтам, кроме списка утвержденных. Из любого приложения. А то этих браузеров развелось 
Через зоны - не айс, нужно блокировать все, кроме определенных сайтов, а не наоборот.
Тогда лучше в правилах браузеров (лучше сразу в предустановленной политике для браузеров) в правиле по разрешению исходящих TCP в Адресе назначения прописать специально созданную зону, в которую добавить доверенные IP.
А чтобы никто никакой браузер не установил или же чтобы никто не смог для него правила прописать, поставьте пароль на настройки CIS и там же галочку, чтобы не было всплывающих сообщений в фаерволе.
Интересно, а как можно заблокировать установку только браузеров? Что-то не нахожу такого в комодо. Можно конечно что-нибудь сделать подобное, так потом половина нужных программ не установится. Мне кажется - это не выход. Тем более есть portable - версии браузеров - и мазилы и оперы, работающих без установки. Вообщим перехитрить легко.
А чем не нравится вариант с заблокированными зонами? Создать там зоны по диапозонам адресов, в которые не входят разрешенные адреса. Мне кажется не так уж и сложно, все в одном месте, и не надо прописывать в политике каждого браузера.
А если поступить от обратного, в разделе: “Мои заблокированные зоны” - Добавить - “Новый заблокированный адрес”, там прописать диапазон адресов к которым необходимо дать доступ и в том же окне поставить галку в поле “Исключить выбранный адрес”. По логике фаер, после этих манипуляций, должен блокировать доступ ко всем IP-адресам, кроме прописанного диапазона, ИМХО.
viktorsvv , при включенном модуле “ЗАЩИТА” в нём можно много всего настроить и перехитрить этот работающий и правильно настроенный модуль нельзя.
А в данном случае можно ещё прописать в “Глобальных правилах” в самом верху 2 правила:
• Разрешить TCP Исходящие Из IP Любой В IP [Группа доверенных сайтов] Где Порты Отправления 1025-65535 И Порты Назначения [21, 80, 443, 8000, 8080, порт прокси, если используется]
• Запретить TCP Исходящие Из IP Любой В IP Любой Где Порты Отправления 1025-65535 И Порты Назначения [80, 443, 8000, 8080, порт прокси, если используется]
Либо одним правилом прописать, но опять же в самом верху списка:
• Запретить TCP Исходящие Из IP Любой В IP НЕ [Группа доверенных сайтов] Где Порты Отправления 1025-65535 И Порты Назначения [21, 80, 443, 8000, 8080, порт прокси, если используется]
Так мы перекроем весь ненужный трафик браузеров.
!!! Также следует в группу доверенных сайтов включить серверы обновлений для нужного ПО (обычно достаточно антивируса/фаервола и серверов майкрософта), т.к. они обновляются обычно по http (т.е. обращаются на TCP-порт 80).
А по поводу зоны (диапазонов): если много разрешённых сайтов, то не так и просто будет всех их прописать, ведь их IP могут меняться, да и таким образом надо не забыть и о DHCP-сервере, DNS-серверах, каких-то локальных ресурсах, серверах AOL (если аська используется) и т.д. и т.п. разве всё сразу упомнишь ?
Так что проще именно запретить либо браузерам работать по http/https/ftp/прокси со всеми узлами, кроме доверенных, либо в Глобальных правилах это же ограничение прописать.
2 WIGF
Про ограничения в глобальных правилах согласен, не обратил внимание , что надо блокировать только по http. Только вот мне не понятен первый предложенный вами вариант- как блокировать браузеры, кроме некоторых определенных в дефенсе?
Я имел в виду, что можно в Defense+ запретить установку новых браузеров, запретить запуск программ, кроме прописанных и запускаемых из-под explorer.exe, запретить каких бы то ни было программ с флешек и т.д. Либо вообще отключить оповещения для Defense+ и при этом перевести его в Параноидальный режим, т.е. ничего нового нельзя будет запустить.