Фільтрування вмісту на пристроях Apple
iOS, iPadOS, macOS і visionOS 1.1 підтримують багато способів фільтрування вмісту, включно з обмеженнями, глобальним HTTP-проксі, відфільтрованим DNS, DNS-проксі й експертним фільтруванням вмісту.
Конфігурування вбудованих фільтрів вмісту
На пристроях Apple можна обмежувати доступ до певних вебсайтів у Safari і програмах сторонніх розробників. Цю функцію використовують організації з простими або обмеженими потребами фільтрування вмісту. Організаціям зі складними чи законодавчо зумовленими вимогами до фільтрування вмісту слід використовувати глобальний HTTP-проксі або експертні опції фільтрування, надавані сторонньою програмою для фільтрування вмісту.
Рішення для керування мобільними пристроями (MDM) може конфігурувати такі опції вбудованого фільтра:
Усі вебсайти: вебвміст не фільтрується.
Обмеження вмісту для дорослих: автоматичне обмеження доступу до багатьох «дорослих» вебсайтів.
Блоковані сайти: дозволяє доступ всім вебсайтам, якщо їх немає в настроюваному списку блокування.
Тільки певні вебсайти: обмеження доступу до наперед визначених вебсайтів, які можна налаштувати.
Вбудований фільтр конфігуровано за допомогою набору даних WebContentFilter в iOS, iPadOS і visionOS 1.1 набору даних ParentalControlsContentFilter в macOS. Керування вбудованим фільтром за допомогою MDM також обмежує доступ у Safari до очищення історії перегляду і даних вебсайтів.
Глобальний HTTP-проксі з інспекцією TLS/SSL
Пристрої Apple підтримують конфігурацію глобального HTTP-проксі. Глобальний HTTP-проксі скеровує більшість вебтрафіку пристрою через визначений проксі-сервер або параметр, який застосовується до всіх мереж Wi-Fi, стільникових і Ethernet. Ця функція зазвичай використовується організаціями K-12 чи компаніями для фільтрування інтернет-вмісту в системах із пристроями, які є власністю організації, і які користувачі можуть забирати додому. Це дозволяє фільтрувати трафік на пристроях як в навчальному закладі чи офісі, так і вдома. Для глобального HTTP-проксі iPhone, iPad і Apple TV мають бути під наглядом. Більше інформації наведено в розділі Про нагляд за пристроями Apple і параметрах набору даних MDM Global HTTP Proxy (Глобальний HTTP-проксі).
Для підтримки глобального HTTP-проксі, можливо, доведеться внести зміни в параметри мережі. Плануючи глобальний HTTP-проксі для свого середовища, візьміть до уваги наведене нижче й залучіть до розробки конфігурації свого постачальника служби фільтрування.
Зовнішній доступ. Проксі-сервер організації має мати доступ ззовні, щоб пристрої мали доступ до нього, коли вони знаходяться за межами внутрішньої мережі організації.
Проксі PAC. Глобальний HTTP-проксі підтримує або конфігурування вручну (через зазначення IP-адреси або DNS-назви проксі-сервера), або автоматично (за допомогою проксі PAC URL). За допомогою конфігурації через проксі PAC-файл можна інструктувати клієнта автоматично вибрати відповідний проксі-сервер для отримання заданої URL, включно з обходом проксі за потреби. Для більшої гнучкості можна використати PAC-файл.
Сумісність із контрольованою мережею Wi-Fi. Конфігурація глобального HTTP-проксі може дозволити клієнтові тимчасово обходити параметри проксі для під’єднання до мережі Wi-Fi зі сторінкою входу. Для цього користувач має прийняти умови або зробити платіж через вебсайт, перж ніж буде надано доступ до інтернету. Контрольовані мережі Wi-Fi зазвичай використовуються в публічних бібліотеках, ресторанах швидкого харчування, кав’ярнях та інших публічних місцях.
Використання проксі з сервісом кешування. PAC-файл можна використовувати для налаштування контролю за використанням користувачами сервісу кешування. Якщо неправильно конфігурувати рішення фільтрування, це може дозволити користувачам обходити сервіс кешування в мережі організації або навмисно використовувати сервіс кешування для пристрою, коли він знаходиться вдома в користувача.
Продукти Apple і проксі-служби. Служби Apple вимикають з’єднання, які використовують перехоплення HTTPS (інспекцію TLS/SSL). Якщо трафік HTTPS проходить через вебпроксі, ви повинні вимкнути перехоплення HTTPS для хостів, зазначених у статті служби підтримки Apple про використання продуктів Apple у корпоративних мережах.
Примітка. Деякі програми, наприклад FaceTime, не використовують з’єднання HTTP й не можуть скеровуватися через проксі-сервер HTTP, а тому обходять глобальний HTTP-проксі. Керувати програмами, які не використовують з’єднання HTTP, можна за допомогою експертного фільтрування вмісту.
Функція | Підтримка |
|---|---|
Потребує нагляду на пристроях iPhone та iPad |
|
Потребує нагляду на комп’ютері Mac |
|
Забезпечує організаційну видимість |
|
Може фільтрувати хости |
|
Може фільтрувати шляхи в URL-адресах |
|
Може фільтрувати рядки запиту в URL-адресах |
|
Може фільтрувати пакети |
|
Може фільтрувати інші протоколи, а не лише http |
|
Особливості архітектури мережі | Трафік спрямовується через проксі, що може вплинути на затримку мережі та її пропускну спроможність. |
Конфігурація мережевого проксі
Проксі-сервер діє як посередник між користувачем та інтернетом. Використання проксі-сервера гарантує безпеку мережі, надає засоби адміністрування та кешування. Використовуйте набір даних MDM Proxy (Проксі), щоб конфігурувати параметри проксі для комп’ютерів Mac, які зареєстровано в рішенні MDM. Цей набір даних підтримує конфігурування проксі для таких протоколів:
HTTP
HTTPS
FTP
RTSP
SOCKS
Gopher
Докладніше дивіться в розділі Параметри MDM Network Proxy Configuration (Конфігурація проксі-серверів).
Функція | Підтримка |
|---|---|
Потребує нагляду на пристроях iPhone та iPad |
|
Потребує нагляду на комп’ютері Mac |
|
Забезпечує організаційну видимість |
|
Може фільтрувати хости |
|
Може фільтрувати шляхи в URL-адресах |
|
Може фільтрувати рядки запиту в URL-адресах |
|
Може фільтрувати пакети |
|
Може фільтрувати інші протоколи, а не лише http | Деякі протоколи. |
Особливості архітектури мережі | Трафік спрямовується через проксі, що може вплинути на затримку мережі та її пропускну спроможність. |
Набір даних MDM DNS Proxy (DNS-проксі)
Ви можете конфігурувати параметри набору корисних даних DNS Proxy (DNS-проксі) на пристроях iPhone, iPad, Mac і Apple Vision Pro, які зареєстровано в рішенні MDM. За допомогою набору даних DNS Proxy (DNS-проксі) ви можете вибрати програми, які мають використовувати мережеві розширення DNS-проксі та спеціальні значення постачальників. Застосування цього набору даних потребує супровідної програми, яку вказано за допомогою пакетного ідентифікатора програми (відомого також як bundle ID).
Більше інформації наведено в параметрах набору даних DNS Proxy (DNS-проксі) рішення MDM.
Функція | Підтримка |
|---|---|
Підтримка Apple Vision Pro |
|
Потребує нагляду на пристроях iPhone та iPad | У версіях систем до iOS 15 та iPadOS 15 нагляд обов’язковий. На пристроях із iOS 15 і iPadOS 15 та новіших цей набір даних не перебуває під наглядом і має інсталюватися через рішення MDM. |
Потребує нагляду на комп’ютері Mac |
|
Забезпечує організаційну видимість |
|
Може фільтрувати хости |
|
Може фільтрувати шляхи в URL-адресах |
|
Може фільтрувати рядки запиту в URL-адресах |
|
Може фільтрувати пакети |
|
Може фільтрувати інші протоколи, а не лише http | Лише пошуки DNS. |
Особливості архітектури мережі | Мінімальний вплив на продуктивність мережі. |
Набір даних MDM DNS Settings (Параметри DNS)
Ви можете конфігурувати параметри набору корисних даних DNS Settings (Параметри DNS) для користувачів iPhone, iPad (включно зі спільним iPad), Mac і Apple Vision Pro, які зареєстровано в рішенні MDM. Зокрема, цей набір даних використовується для налаштування DNS через HTTP (так званий DoH) чи DNS через TLS (так званий DoT). Це підвищує приватність користувача шляхом шифрування DNS-трафіку, а також може використовуватися для застосування фільтрованих служб DNS. Набір даних може вказувати конкретні DNS-запити, які використовують указані сервери DNS, або може застосовуватися до всіх DNS-запитів. Набір даних також може вказувати ідентифікатори SSID мереж Wi-Fi, указані сервери DNS яких використовуються для запитів.
Примітка. У разі встановлення за допомогою MDM цей параметр застосовується лише до керованих мереж Wi-Fi.
Для отримання додаткової інформації див. розділ Параметри DNS. Параметри наборів даних MDM та Параметри DNSS на вебсайті Apple для розробників.
Функція | Підтримка |
|---|---|
Підтримка Apple Vision Pro |
|
Потребує нагляду на пристроях iPhone та iPad | Конфігурацію можна замикати на пристроях під наглядом. Конфігурацію можна заміщати VPN-програмою, якщо це дозволено рішенням MDM (керовані пристрої). |
Потребує нагляду на комп’ютері Mac | Конфігурацію можна замикати на пристроях під наглядом. Конфігурацію можна заміщати VPN-програмою, якщо це дозволено рішенням MDM (керовані пристрої). |
Забезпечує організаційну видимість |
|
Може фільтрувати хости |
|
Може фільтрувати шляхи в URL-адресах |
|
Може фільтрувати рядки запиту в URL-адресах |
|
Може фільтрувати пакети |
|
Може фільтрувати інші протоколи, а не лише http | Лише пошуки DNS. |
Особливості архітектури мережі | Мінімальний вплив на продуктивність мережі. |
Постачальники фільтра вмісту
Операційні системи iOS, iPadOS і macOS підтримують плагіни для експертного фільтрування вмісту вебтрафіку та сокет-трафіку. Мережевий фільтр вмісту на пристрої аналізує вміст користувацької мережі, коли той проходить через мережевий стос. Відтак фільтр вмісту визначає, блокувати той вміст чи дозволити йому дістатися цільового місця. Постачальники фільтрів вмісту доставляються через програму, інстальовану за допомогою MDM. Приватність користувача захищена, адже постачальник фільтра даних виконується в обмеженому ізольованому середовищі. Постачальник фільтра контролю може динамічно оновлювати правила фільтрування, запроваджені в програмі.
Більше інформації про постачальників фільтрів вмісту наведено на вебсайті розробників Apple.
Функція | Підтримка |
|---|---|
Потребує нагляду на пристроях iPhone та iPad | На пристрої iOS та iPadOS користувача потрібно інсталювати програму, а видалення можна попередити, якщо пристрій під наглядом. |
Потребує нагляду на комп’ютері Mac |
|
Забезпечує організаційну видимість |
|
Може фільтрувати хости |
|
Може фільтрувати шляхи в URL-адресах |
|
Може фільтрувати рядки запиту в URL-адресах |
|
Може фільтрувати пакети |
|
Може фільтрувати інші протоколи, а не лише http |
|
Особливості архітектури мережі | Трафік фільтрується на пристрої, тому вплив на мережу відсутній. |
Тунель VPN/пакет
Коли пристрої надсилають трафік через VPN чи тунель пакетів, діяльність у мережі можна відстежувати та фільтрувати. Ця конфігурація подібна для пристроїв, які безпосередньо з’єднані з мережею, де трафік між приватною мережею й інтернетом відстежується та фільтрується.
Функція | Підтримка |
|---|---|
Потребує нагляду на пристроях iPhone та iPad |
|
Потребує нагляду на комп’ютері Mac |
|
Забезпечує організаційну видимість |
|
Може фільтрувати хости | Трафік фільтрується лише через приватні мережеві з’єднання. |
Може фільтрувати шляхи в URL-адресах | Трафік фільтрується лише через приватні мережеві з’єднання. |
Може фільтрувати рядки запиту в URL-адресах | Трафік фільтрується лише через приватні мережеві з’єднання. |
Може фільтрувати пакети |
|
Може фільтрувати інші протоколи, а не лише http |
|
Особливості архітектури мережі | Трафік спрямовується через приватну мережу, що може вплинути на затримку мережі та її пропускну спроможність. |