د LANCOM سیسټمونه LCOS 10.92 امنیتي اړتیاوې

د چاپ حق

© 2025 LANCOM Systems GmbH, Würselen (Germany). All rights reserved. While the information in this manual has been compiled with great care, it may not be deemed an assurance of product characteristics. LANCOM Systems shall be liable only to the degree specified in the terms of sale and delivery. The reproduction and distribution of the documentation and software supplied with this product and the use of its contents is subject to written authorisation from LANCOM Systems. We reserve the right to make any alterations that arise as the result of technical development. Windows® and Microsoft® are registered trademarks of Microsoft, Corp. LANCOM, LANCOM Systems, LCOS, LANcommunity, LANCOM Service LANcare, LANCOM Active Radio Control, and AirLancer are registered trademarks. All other names or descriptions used may be trademarks or registered trademarks of their owners. This document contains statements relating to future products and their attributes. LANCOM Systems reserves the right to change these without notice. No liability for technical errors and/or omissions. This product contains separate open-source software components which are subject to their own licenses, in particular the General Public License (GPL). The license information for the device firmware (LCOS) is available on the device‘s WEBد "اضافې> لایسنس معلومات" لاندې config انٹرفیس. که اړوند جواز غوښتنه وکړي، سرچینه files for the corresponding software components will be made available on a download server upon request. Products from LANCOM Systems include software developed by the “OpenSSL Project” for use in the “OpenSSL Toolkit” (www.openssl.org).
د LANCOM سیسټمونو محصولاتو کې کریپټوګرافیک سافټویر شامل دی چې د ایریک ځوان لخوا لیکل شوی (eay@cryptsoft.com).
د LANCOM سیسټمونو محصولاتو کې هغه سافټویر شامل دی چې د NetBSD بنسټ، Inc. او د هغې مرسته کونکو لخوا رامینځته شوی.
د LANCOM سیسټمونو محصولات LZMA SDK لري چې د ایګور پاولوف لخوا رامینځته شوی.

• LANCOM Systems GmbH
• د روهد او شوارز شرکت
• Adenauerstr. 20/B2
• 52146 Wuerselen
• جرمني
• www.lancom-systems.com

پیژندنه

د LANCOM امنیتي اړتیاوو سره، تاسو کولی شئ په خپل شبکه کې ځانګړي مینځپانګې فلټر کړئ ترڅو د لاسرسي مخه ونیسئ، د مثال په توګهampغیرقانوني، خطرناک، یا توهین کوونکی websites. Additionally, you can restrict private browsing on certain sites during working hours. This not only boosts employee productivity and network security but also ensures that full bandwidth is available exclusively for business processes. \LANCOM Security Essentials is an intelligent, dynamic webد سایټ فلټر. دا د درجه بندي سرور سره اړیکه نیسي چې په باوري او دقیق ډول ارزونه کوي webسایټونه د هغو کټګوریو پر بنسټ چې تاسو یې غوره کړي دي. د LANCOM امنیتي اساساتو فعالیت د داخل شوي څخه ټاکل شوي IP پتې چک کولو پراساس دی URLد ډیری پاڼو لپاره، د ډومین دننه فرعي لارښودونه هم په جلا توګه ارزول کیږي ترڅو د a مختلفې برخې URL په مختلف ډول درجه بندي کیدی شي.

• Users cannot bypass webد LANCOM Security Essentials لخوا د سایټ تصدیق په براوزر کې د سایټ IP پته دننه کولو سره. LANCOM Security Essentials دواړه غیر کوډ شوي (HTTP) او کوډ شوي (HTTPS) چیک کوي. webسایټونه. د BPjM ماډل د LANCOM امنیتي اساساتو برخه ده یا د LANCOM BPjM فلټر اختیار سافټویر جواز له لارې په جلا توګه ترلاسه کیدی شي. د BPjM ماډل د رسنیو کې د ماشومانو او ځوانانو د ساتنې لپاره د فدرالي ادارې (Bundeszentrale für Kinder- und Jugendmedienschutz) لخوا خپور شوی او هغه ډومینونه بندوي چې باید په آلمان کې ماشومانو او تنکیو ځوانانو ته د لاسرسي وړ نه وي. هغه جواز چې تاسو د LANCOM امنیتي اساساتو لپاره اخیستی د یوې ځانګړې وسیلې کټګورۍ او یوې ځانګړې مودې (یا یو کال یا درې کاله) پورې اړه لري. د کاروونکو شمیر لامحدود دی. تاسو ته به مخکې له مخکې خبر درکړل شي کله چې ستاسو جواز پای ته رسیږي.
• You can test the LANCOM Security Essentials on any router that supports this function. To do so, you must activate a time-limited 30-day demo license once per device. Demo licenses are created directly from within LANconfig. Right-click the device, select Activate Software Option from the context menu, and in the following dialog, click the link next to Need a demo license?. You will automatically be connected to the LANCOM registration server webسایټ، چیرې چې تاسو کولی شئ د وسیلې لپاره مطلوب ډیمو جواز غوره او راجستر کړئ.
• کټګورۍ مسلکيfiles store all settings related to categories. You select from predefined main and subcategories in your LANCOM Security Essentials: 73 categories are grouped into 12 thematic groups, e.g., “Pornography”, “Shopping”, or “Illegal”. Each group allows you to enable or disable the included categories. Subcategories for “Pornography” include “Pornography”, “Sex toys”, “Sexual content”, “Nudity”, “Lingerie”, and “Sex education”.
  Additionally, administrators can enable an override option for each category during configuration. When override is active, users can temporarily access a blocked site by clicking a corresponding button—but the administrator will receive a notification via e-mail, SYSLOG, and/or SNMP trap.
  Using the category profile تاسو جوړ کړی، د سپین لیست او تور لیست سره یوځای، تاسو کولی شئ د مینځپانګې فلټر پرو جوړ کړئfile چې کاروونکو ته د فایر وال له لارې ټاکل کیدی شي. د مثال په توګهample، تاسو کولی شئ مسلکي جوړ کړئfile “Employees_Department_A”, which is then assigned to all computers in that department.
  During installation, LANCOM Security Essentials automatically sets up useful default settings that only need to be activated for initial operation. In subsequent steps, you can further adapt the behaviour of LANCOM Security Essentials to your specific use case.
  Useful default settings are also automatically configured for the BPjM module. For exampپه IPv4 یا IPv6 فایر وال کې د فایر وال یو ډیفالټ قاعده شتون لري چې د سیسټم اعتراض "BPJM" د منزل سټیشن په توګه دی. د سرچینې سټیشنونه د هغو شبکو په توګه تعریف کړئ چې باید د BPjM ماډل لخوا خوندي شي. د قاعدې په فعالولو سره، د BPjM ماډل پیل کیږي.

د LANCOM امنیتي اساساتو کارولو لپاره اړتیاوې

The following requirements must be met in order to use LANCOM Security Essentials:

1. The LANCOM Security Essentials option is activated.
2. فایر وال باید فعال شي.
3. د فایر وال قاعده باید د مینځپانګې فلټر پرو غوره کړيfile.
4. د ټاکل شوي منځپانګې فلټر پروfile باید یوه کټګوري تعریف کړئ profile and optionally a white and/or blacklist for every time period of the day. To cover different time periods, a content filter profile can consist of multiple entries.
   If a specific time period is not covered by an entry, unrestricted access to webپه دې موده کې به سایټونه ممکن وي.

که د منځپانګې فلټر پروfile که چیرې وروسته نوم بدل شي، د فایر وال قانون هم باید تنظیم شي.

چټک پیل

د LANCOM امنیتي اړتیاوو نصبولو وروسته، ټول ترتیبات د چټک کمیشن کولو لپاره مخکې له مخکې تنظیم شوي دي.

• The operation of the LANCOM Security Essentials may be subject to data protection regulations in your country or to company policies. Please check applicable rules before commissioning.
• In LANconfig, the settings of the LANCOM Security Essentials are listed under Content Filter.

Activate the content filter using the following steps:

1. Launch the setup wizard for the corresponding device.
2. Select the setup wizard to configure the content filter.
3. Select one of the predefined security profiles (اساسي پروfile، کارپوریټ پروfile، د والدینو کنټرول پروfile):
   • بنسټیز پروfile: دا پروfile mainly blocks access to categories such as pornography, illegal, violent or discriminatory content, drugs, spam, and phishing.
   • د کار پروfile: د اساسي پرو سربیرهfile ترتیبات، دا پروfile also blocks categories such as shopping, job search, games, music, radio, and certain communication services like chat.
   • Parental control profile: د اساسي پرو سربیرهfile ترتیبات، دا پروfile includes stricter blocking for nudity and weapons.

If the firewall is disabled, the wizard will enable it. The wizard then checks whether the firewall rule for the content filter is set correctly and adjusts it if necessary. With these steps, the content filter is activated, and the default settings will apply to all stations in the network using the selected content filter profile د خالي تور لیستونو او سپین لیستونو سره. که اړتیا وي نو دا تنظیمات ستاسو اړتیاو سره سم تنظیم کړئ. وزرډ تل د وخت چوکاټ لپاره د مینځپانګې فلټر فعالوي.

Standard settings in the Content Filter

The following elements have been created in the default configuration of the Content Filter:

Firewall rule

The preset firewall rule is named CONTENT-FILTER and uses the action object CONTENT-FILTER-BASIC.

Firewall action objects

There are three firewall action objects:

• CONTENT-FILTER-BASIC
• CONTENT-FILTER-WORK
• CONTENT-FILTER-PARENTAL-CONTROL

These action objects work with the corresponding content-filter profiles.

Content filter profiles

There are three content filter profiles. ټول منځپانګه-فلټر پروfileکاروونکي تل د وخت چوکاټ کاروي، تور لیست زما تور لیست او سپین لیست زما سپین لیست. هر د مینځپانګې فلټر پروfile د مخکې ټاکل شوي کټګورۍ پرو څخه یو کارويfiles:

• CF-BASIC-PROFILE: دا د منځپانګې فلټر پروfile features a low level of restrictions and works with the category profile BASIC-CATEGORIES.
• CF-PARENTAL-CONTROL-PROFILE: دا د منځپانګې فلټر پروfile protects minors (e.g. trainees) from unsuitable Internet content, and it works with the category profile PARENTAL-CONTROL.
• CF-WORK-PROFILE: دا د منځپانګې فلټر پروfile is intended for companies wishing to place restrictions on categories such as Job Search or Chat. It works with the category profile د کار کټګورۍ.

د وخت موده

There are two predefined timeframes:

• ALWAYS: 00.00-23.59 hrs
• NEVER: 00.00-0.00 hrs

تور لیست

• The preset blacklist is named MY-BLACKLIST and it is empty. Here you can optionally enter URLهغه چې باید منع شي.

سپینه لیست

• The preset whitelist is named MY-WHITELIST and it is empty. Here you can optionally enter URLهغه چې باید اجازه ورکړل شي.

کټګورۍ مسلکيfiles

• There are three category profiles: اساسي کټګورۍ، د کار کټګورۍ او د والدینو کنټرول. د پرو کټګورۍfile هغه کټګورۍ مشخص کوي چې اجازه ورکړل شي او منع شي، او د کومې لپاره یو اووررایډ فعال کیدی شي.

عمومي ترتیبات

تاسو کولی شئ په LANconfig کې د Content Filter > General لاندې د نړیوال Content Filter ترتیبات جوړ کړئ:

Activate Content Filter

This allows you to activate the content filter.

In case of error

This lets you define what happens in the event of an error. For example، که چیرې د درجه بندي سرور ته لاسرسی ونشي، دا ترتیب ټاکي چې ایا کارونکی کولی شي په آزاده توګه لټون وکړي یا که ټول web لاسرسی بند شوی دی.

On license expiration

The license for using LANCOM Security Essentials is valid for a specific period. You will be reminded of the upcoming license expiration 30 days, one week, and one day in advance (to the email address configured in LANconfig under Log & Trace > General > E-mail addresses > E-mail for license expiry reminder). Here, you can specify whether webد جواز له پای ته رسېدو وروسته باید سایټونه بند شي یا بې چک شي. د دې ترتیب پر بنسټ، کاروونکی کولی شي د جواز له پای ته رسېدو وروسته په آزاده توګه لټون وکړي یا ټول web لاسرسی به رد شي.

To ensure the reminder is actually sent to the specified email address, you must configure the appropriate SMTP account.

On Non-HTTPS via TCP port 443

حرام

Disallows non-HTTPS traffic on port 443.

اجازه ورکړل شوه

Allows non-HTTPS traffic on port 443.
TCP port 443 is reserved by default exclusively for HTTPS connections. Some applications that do not use HTTPS still use TCP port 443. In such cases, you can allow TCP port 443 to accept non-HTTPS traffic.

• If you allow non-HTTPS connections on port 443, the traffic will not be classified but instead generally permitted. By default, non-HTTPS traffic on port 443 is not allowed.

Max. proxy connections

Set the maximum number of simultaneous proxy connections allowed. This helps limit system load. A notification is triggered if this number is exceeded. You can configure the type of notification under Content Filter > Options > Event notification.

Proxy processing timeout

Specify the time in milliseconds the proxy is allowed for processing. If this time is exceeded, a timeout error page is returned.

Save Content Filter information to flash ROM activated

If enabled, this option stores content filter information in the device’s Flash ROM.

Allow wildcard certificates

لپاره websites using wildcard certificates (with CN entries such as *.mydomain.de de), enabling this function uses the main domain (mydomain.de) for filtering. The filtering process occurs in the following order:

• Check the server name in the “Client Hello” (depending on the browser used)
• Check the CN in the received SSL certificate
• Wildcard entries are ignored
• If the CN is not usable, the “Alternative Name” field is evaluated
• DNS reverse lookup of the corresponding IP address and evaluation of the resulting hostname
• If wildcards are included in the certificate, the main domain is used instead (as described above)
• د IP پته چیک کړئ

Settings for blocking

تاسو تنظیم کړئ webد سایټ د بندولو ترتیبات دلته:

LANconfig: Content filter > Blocking / Override > Blocking & error
Command line: Setup > UTM > Content-Filter > Global-Settings

Alternative blocking URL:

دا هغه ځای دی چې تاسو کولی شئ د بدیل پته دننه کړئ URL. که چیرې لاسرسی بند شي، نو URL دلته داخل شوی به د غوښتل شوي پر ځای ښکاره شي web سایټ. تاسو کولی شئ دا بهرنۍ HTML پاڼه د خپل شرکت د کارپوریټ ډیزاین ښودلو لپاره وکاروئ، د مثال په توګهample، یا د جاواسکریپټ معمولونو په څیر دندې ترسره کولو لپاره، او داسې نور. تاسو کولی شئ ورته هم وکاروئ tags here as used in the blocking text. If you do not make any entry here, the default page stored in the device will be displayed..

احتمالي ارزښتونه:

• • د اعتبار وړ URL پته
• ډیفالټ:
  • خالي

Alternative error URL:

دا هغه ځای دی چې تاسو کولی شئ د بدیل پته دننه کړئ URL. د غلطۍ په صورت کې، URL دلته داخل شوی به د معمول پرځای ښکاره شي web سایټ. تاسو کولی شئ دا بهرنۍ HTML پاڼه د خپل شرکت د کارپوریټ ډیزاین ښودلو لپاره وکاروئ، د مثال په توګهample، یا د جاواسکریپټ معمولونو په څیر دندې ترسره کولو لپاره، او داسې نور. تاسو کولی شئ ورته هم وکاروئ tags here as used in the error text. If you do not make any entry here, the default page stored in the device will be displayed..

• احتمالي ارزښتونه:
  • د اعتبار وړ URL پته
• ډیفالټ:
  • خالي

Source addr. for alt. block URL:

This is where you can configure an optional sender address to be used instead of the one that would normally be automatically selected for this target address. If you have configured loopback addresses, you can specify them here as sender address.

احتمالي ارزښتونه:

• Name of the IP networks whose address should be used
• INT for the address of the first Intranet
• DMZ for the address of the first DMZ.

If there is an interface called DMZ, its address will be taken in this case.

• LB0…LBF for the 16 loopback addresses
• مېلمه
• Any IP address in the form x.x.x.x

ډیفالټ:

• خالي
  The sender address specified here is used unmasked for every remote station.

د متبادل غلطۍ لپاره د سرچینې اضافه URL:

• This is where you can configure an optional sender address to be used instead of the one that would normally be automatically selected for this target address. If you have configured loopback addresses, you can specify them here as sender address.

احتمالي ارزښتونه:

• Name of the IP networks whose address should be used
• INT for the address of the first Intranet
• DMZ for the address of the first DMZ.

If there is an interface called DMZ, its address will be taken in this case.

• LB0…LBF for the 16 loopback addresses
• مېلمه
• Any IP address in the form x.x.x.x

ډیفالټ:

• خالي

The sender address specified here is used unmasked for every remote station.

Block text

دا هغه ځای دی چې تاسو کولی شئ هغه متن تعریف کړئ چې د بلاک کولو په وخت کې ښودل کیږي. د بلاک کولو مختلف متنونه د مختلفو ژبو لپاره تعریف کیدی شي. د بلاک کولو متن ښودل د براوزر (کارونکي اجنټ) لخوا لیږدول شوي ژبې ترتیب لخوا کنټرول کیږي.

ژبه

Entering the appropriate country code here ensures that users receive all messages in their browser’s preset language. If the country code set in the browser is found here, the matching text will be displayed. You can add any other language.
Examples of the country code:

• de-DE: German-Germany
• de-CH: German-Switzerland
• de-AT: German-Austria
• en-GB: English-Great Britain
• en-US: English-United States

The country code must match the browser language setting exactly, e.g. “de-DE” must be entered for German (“de” on its own is insufficient). If the country code set in the browser is not found in this table, or if the text stored under that country code is deleted, the predefined default text (“default”) will be used. You can modify the default text.

احتمالي ارزښتونه:

• 10 alphanumerical characters

ډیفالټ:

• خالي

متن

Enter the text that you wish to use as block text for this language.

احتمالي ارزښتونه:

• 254 الفانومیریک حروف

ډیفالټ:

• خالي

Special values:

You can also use special tags د متن د بندولو لپاره که تاسو غواړئ مختلف پاڼې ښکاره کړئ د دلیل پورې اړه لري چې ولې web site was blocked (e.g. forbidden category or entry in the blacklist).

لاندې tags په توګه کارول کیدی شي tag ارزښتونه:

• <CF-URL/> د منع شوي لپاره URL
• <CF-CATEGORIES/> for the list of categories why the web site was blocked
• <CF-PROFILE/> د مسلکي لپارهfile نوم
• <CF-OVERRIDEURL/> د دې لپاره URL د فعالولو لپاره کارول کیږي URL (دا په ساده ډول مدغم کیدی شي tag or in a button)
• <CF-LINK/> adds a link for activating the override
• <CF-BUTTON/> for a button to activate the override
• <CF-IF att1 att2> … </CF-IF> to display or hide parts of the HTML document. The attributes are:
• BLACKLIST: If the site was blocked because it is in the profile تور لیست
• CATEGORY: If the site was blocked due to one of its categories
• ERR: If an error has occurred.
• OVERRIDEOK: If users have been allowed an override (in this case, the page should display an appropriate button)

Since there are separate text tables for the blocking page and the error page, this attribute only makes sense if you have configured an alternative URL په بلاک کولو کې ښودلو لپاره. که چیرې څو ځانګړتیاوې په یو کې تعریف شوي وي tag، برخه به هغه وخت ښکاره شي کله چې لږترلږه یو له دې شرایطو څخه پوره شي. ټول tags and attributes can be abbreviated to the first two letters (e.g. CF-CA or CF-IF BL). This is necessary as the blocking text may only contain a maximum of 254 characters.

ExampLe:

<CF-URL/> بند شوی ځکه چې دا د کټګوریو سره سمون خوري . ستاسو د منځپانګې مسلکيfile دی .

د tags دلته تشریح شوي په بهرني HTML پاڼو کې هم کارول کیدی شي (بدیل URLs د بلاک کولو په وخت کې ښودل کیږي).

Error text

دا هغه ځای دی چې تاسو کولی شئ هغه متن تعریف کړئ چې د تېروتنې په صورت کې ښودل شي.

ژبه

Entering the appropriate country code here ensures that users receive all messages in their browser’s preset language. If the country code set in the browser is found here, the matching text will be displayed. You can add any other language.

Examples of the country code:

• de-DE: German-Germany
• de-CH: German-Switzerland
• de-AT: German-Austria
• en-GB: English-Great Britain
• en-US: English-United States

The country code must match the browser language setting exactly, e.g. “de-DE” must be entered for

German (“de” on its own is insufficient). If the country code set in the browser is not found in this table, or if the text stored under that country code is deleted, the predefined default text (“default”) will be used. You can modify the default text.

احتمالي ارزښتونه:

• 10 alphanumerical characters

ډیفالټ:

• خالي

متن

Enter the text that you wish to use as error text for this language.

احتمالي ارزښتونه:

• 254 الفانومیریک حروف

ډیفالټ:

• خالي

Special values:

You can also use HTML tags for the error text.

The following empty element tags په توګه کارول کیدی شي tag ارزښتونه:

• <CF-URL/> د منع شوي لپاره URL
• <CF-PROFILE/> د مسلکي لپارهfile نوم
• <CF-ERROR/> for the error message

ExampLe:

<CF-URL/> بند شوی ځکه چې یوه تېروتنه رامنځته شوې ده:

Override settings

د اووررایډ فعالیت اجازه ورکوي چې a webسایټ ته لاسرسی کیدی شي که څه هم دا د منع شوي په توګه طبقه بندي شوی. کارونکی باید د منع شوي پاڼې د خلاصولو غوښتنه کولو لپاره د اوورراید تڼۍ باندې کلیک وکړي. تاسو کولی شئ دا ځانګړتیا تنظیم کړئ ترڅو مدیر ته خبر ورکړل شي کله چې د اوورراید تڼۍ کلیک شي (LANconfig: د مینځپانګې فلټر> اختیارونه> پیښې).

If the override type “Category” has been activated, clicking on the override button makes all of the categories for that URL د کارونکي لپاره د لاسرسي وړ راتلونکې بلاک کولو پاڼه چې ښودل کیږي یوازې یوه کټګوري لري چې تشریح کوي چې ولې لاسرسی URL was blocked. If the override type “Domain” has been activated, then the entire domain can be accessed.

The settings for the override function are to be found here:

LANconfig: Content filter > Blocking / Override > Override
Command line: Setup > UTM > Content-Filter > Global-Settings

Override-Active

This is where you can activate the override function and make further related settings.

Override duration

د اوورراید موده دلته محدود کیدی شي. کله چې موده پای ته ورسیږي، نو ورته ډومین او/یا کټګورۍ ته د لاسرسي لپاره هره هڅه به بیا بنده شي. د اوورراید تڼۍ باندې یو ځل بیا کلیک کول اجازه ورکوي چې web site to be accessed again for the duration of the override and, depending on the settings, the administrator will be notified once more.

احتمالي ارزښتونه:

• 1-1440 (دقیقې)

ډیفالټ:

• ۱۱۷ دقیقې

Override type:

This is where you can set the type of override. It can be allowed for the domain, for the category of web site to be blocked, or for both.

احتمالي ارزښتونه:

کټګوري

For the duration of the override, all URLهغه کسان چې د اغیزمنو کټګوریو لاندې راځي اجازه لري (او همدارنګه هغه کسان چې دمخه به یې د ردولو پرته اجازه ورکړل شوې وي).

ډومین

For the duration of the override all URLs in this domain are allowed, irrespective of the categories they belong to.

Category-and-Domain

For the duration of the override, all URLهغه کسان چې د دې ډومین پورې اړه لري او همدارنګه د اجازه ورکړل شویو کټګوریو پورې اړه لري اجازه لري. دا تر ټولو لوړ محدودیت دی.

Override text

دا هغه ځای دی چې تاسو کولی شئ هغه متن تعریف کړئ چې کاروونکو ته ښودل کیږي چې د اوور رایډ تصدیق کوي.

ژبه

Entering the appropriate country code here ensures that users receive all messages in their browser’s preset language. If the country code set in the browser is found here, the matching text will be displayed. You can add any other language.

Examples of the country code:

• de-DE: German-Germany
• de-CH: German-Switzerland
• de-AT: German-Austria
• en-GB: English-Great Britain
• en-US: English-United States

The country code must match the browser language setting exactly, e.g. “de-DE” must be entered for German (“de” on its own is insufficient). If the country code set in the browser is not found in this table, or if the text stored under that country code is deleted, the predefined default text (“default”) will be used. You can modify the default text.

احتمالي ارزښتونه:

• 10 alphanumerical characters

ډیفالټ:

• خالي

متن

Enter the text that you wish to use as override text for this language.

احتمالي ارزښتونه:

• 254 alphanumerical characters

ډیفالټ:

• خالي

Special values:

You can also use HTML tags د متن د بندولو لپاره که تاسو غواړئ مختلف پاڼې ښکاره کړئ د دلیل پورې اړه لري چې ولې web site was blocked (e.g. forbidden category or entry in the blacklist).

لاندې tags په توګه کارول کیدی شي tag ارزښتونه:

• <CF-URL/> د هغه څه لپاره چې په اصل کې منع شوي وو URL that is now allowed
• <CF-CATEGORIES/> for the list of categories that have now been allowed as a result of the override (except if domain override is specified).
• <CF-BUTTON/> displays an override button that forwards the browser to the original URL.
• <CF-BUTTON/> displays an override link that forwards the browser to the original URL.
• <CF-HOST/> or <CF-DOMAIN/> displays the host or the domain for the allowed URL. د tags are of equal value and their use is optional.
• <CF-ERROR/> generates an error message in the event that the override fails.
• <CF-DURATION/> displays the override duration in minutes.
• <CF-IF att1 att2> … </CF-IF> to display or hide parts of the HTML document. The attributes are:
• CATEGORY when the override type is “Category” and the override was successful
• DOMAIN when the override type is “Domain” and the override was successful
• BOTH when the override type is “Category-and-Domain” and the override was successful
• ERROR when the override fails
• OK if either CATEGORY or DOMAIN or BOTH are applicable

If several attributes are defined in one tag، برخه باید ښکاره شي که چیرې لږترلږه یو له دې شرایطو څخه پوره شي. ټول tags and attributes can be abbreviated to the first two letters (e.g. CF-CA or CF-IF BL). This is necessary as the blocking text may only contain a maximum of 254 characters.

ExampLe:

کټګورۍ دي په ډومین کې ډومین دی لپاره خپور شو دقیقې. د ردولو تېروتنه:

پروfileد منځپانګې فلټر کې

د منځپانګې فلټر لاندې > پروfileتاسو کولی شئ د مینځپانګې فلټر پرو جوړ کړئfileهغه چې د چک کولو لپاره کارول کیږي web د منع شوي منځپانګې لپاره سایټونه. د منځپانګې فلټر پروfile تل یو نوم لري او د مختلفو وختونو لپاره، دا د مطلوب کټګورۍ پرو فعالويfile او، په اختیاري توګه، یو تور لیست او یو سپین لیست. د مختلفو وختونو لپاره د مختلفو ترتیباتو چمتو کولو لپاره، د منځپانګې فلټر ډیری پروfile داخلې د ورته نوم سره رامینځته کیږي. د مینځپانګې فلټر پروfile په دې توګه د ټولو هغو داخلو مجموعې څخه جوړ شوی چې ورته نوم لري. فایر وال دې منځپانګې فلټر پرو ته اشاره کويfile.

Please note that you must make corresponding settings in the firewall in order to use the profileد LANCOM منځپانګې فلټر کې.

پروfiles

د مسلکي لپاره ترتیباتfileدلته موندل کیدی شي:

LANconfig: منځپانګه filer > پروfiles > مسلکيfile
د قوماندې کرښه: تنظیم > UTM > د منځپانګې فلټر > پروfiles > مسلکيfile

نوم

د پروfile name that the firewall references must be specified here.

د وخت موده

د دې کټګورۍ پرو لپاره د وخت چوکاټ غوره کړئfile and, optionally, the blacklist and the whitelist. The timeframes

ALWAYS and NEVER are predefined. You can configure other timeframes under:

• LANconfig: Date & time > General > Time frame
• Command line: Setup > Time > Timeframe

One profile may contain several lines with different timeframes.

احتمالي ارزښتونه:

• تل
• هیڅکله نه
• Name of a timeframe profile

If multiple entries are used for a content-filter profile او د دوی د وخت چوکاټونه سره یو ځای کیږي، نو په فعالو ننوتنو کې شاملې ټولې پاڼې به د دې مودې لپاره بندې شي. که چیرې د مینځپانګې فلټر پرو لپاره ډیری ننوتنې وکارول شيfile او د وخت موده نامعلومه پاتې ده، ټولو ته لاسرسی web sites will be unchecked for this period.

تور لیست

Name of the blacklist profile دا د دې منځپانګې فلټر پرو لپاره غوښتنه کول ديfile during the period in question. A new name can be entered, or an existing name can be selected from the blacklist table.

احتمالي ارزښتونه:

• Name of a blacklist profile
• New name

سپینه لیست

Name of the whitelist profile دا د دې منځپانګې فلټر پرو لپاره غوښتنه کول ديfile during the period in question. A new name can be entered, or an existing name can be selected from the whitelist table.

احتمالي ارزښتونه:

• Name of a whitelist profile
• New name

کټګورۍ مسلکيfile

د کټګورۍ نوم پروfile دا د دې منځپانګې فلټر پرو لپاره غوښتنه کول ديfile during the period in question. A new name can be entered, or an existing name can be selected from the category table.

احتمالي ارزښتونه:

• Name of a category profile
• New name

Blacklist addresses (URL)

دا هغه ځای دی چې تاسو یې تنظیم کولی شئ web هغه سایټونه چې باید بند شي.

• LANconfig: منځپانګه files > مسلکيfiles > تور لیست شوي پتې (URL)
• د قوماندې کرښه: تنظیم > UTM > د منځپانګې فلټر > پروfiles > تور لیست

نوم

Enter the name of the blacklist for referencing from the content-filter profile.

احتمالي ارزښتونه:

• Blacklist name

پته (URL)

ته لاسرسی URLs entered here will be forbidden by the blacklist.

احتمالي ارزښتونه:

• د اعتبار وړ URL پته

The following wildcard characters may be used:

• * for any combination of more than one character (e.g. www.lancom.* encompasses the webسایټونه www.lancom.com, www.lancom.de, www.lancom.eu, www.lancom.esاو داسې نور)
• ? for any one character (e.g. www.lancom.e* encompasses the web سایټونه www.lancom.eu, www.lancom.es)

URLs باید د مخکښ http:// پرته داخل شي. مهرباني وکړئ په یاد ولرئ چې د ډیری په حالت کې URLs, a forward slash is automatically added as a suffix to the URL, e.g. “www.mycompany.de/”. For this reason, it is advisable to enter the URL as: “www.mycompany.de*”.

انفرادي URLs د خالي ځای په واسطه جلا شوي دي.

Whitelist addresses (URL)

دا هغه ځای دی چې تاسو یې تنظیم کولی شئ web هغه ځایونه چې لاسرسی ورته اجازه ورکول کیږي.

LANconfig: منځپانګه files > مسلکيfiles > پتې سپینې لیست کړئ (URL)
د قوماندې کرښه: تنظیم > UTM > د منځپانګې فلټر > پروfiles > Whitelist

نوم

د منځپانګې فلټر پرو څخه د حوالې لپاره د سپین لیست نوم دننه کړئ.file.

احتمالي ارزښتونه:

• Name of a whitelist

پته (URL)

دا هغه ځای دی چې تاسو یې تنظیم کولی شئ websites which are to be checked locally and then accepted

احتمالي ارزښتونه:

• د اعتبار وړ URL پته

The following wildcard characters may be used:

• * for any combination of more than one character (e.g. www.lancom.* encompasses the webسایټونه www.lancom.com, www.lancom.de, www.lancom.eu, www.lancom.esاو داسې نور)
• ? for any one character (e.g. www.lancom.e* encompasses the web سایټونه www.lancom.eu, www.lancom.es)
• URLs باید د مخکښ http:// پرته داخل شي. مهرباني وکړئ په یاد ولرئ چې د ډیری په حالت کې URLs, a forward slash is automatically added as a suffix to the URL, e.g. “www.mycompany.de/”. For this reason, it is advisable to enter the URL as: “www.mycompany.de*”.

انفرادي URLs د خالي ځای په واسطه جلا شوي دي.

کټګورۍ مسلکيfiles

دلته تاسو د مسلکي کټګورۍ جوړوئfile او معلومه کړئ چې کوم کټګورۍ یا ډلې باید د درجه بندي کولو لپاره وکارول شي web د هرې کټګورۍ لپاره سایټونه مسلکيfile. تاسو کولی شئ انفرادي کټګوریو ته اجازه ورکړئ یا یې منع کړئ یا د هرې ډلې لپاره د اوور رائډ فعالیت فعال کړئ.

LANconfig: د منځپانګې فلټر > پروfiles > Categories
د قوماندې کرښه: تنظیم > UTM > د منځپانګې فلټر > پروfiles > کټګوري-پروfile

کټګورۍ مسلکيfile

د کټګورۍ نوم پروfile د منځپانګې فلټر پرو څخه د حوالې لپارهfile is entered here.

احتمالي ارزښتونه:

• Name of a category profile

Category settings

For each main category and the associated sub-categories, it is possible to define whether the URLs are to be allowed, forbidden or allowed with override only.

The following main categories can be configured:

• ناقانونه
• Cyberthreats
• فحشا
• اعلانونه
• لوبې
• Web غوښتنلیکونه
• پیرود
• مالیه
• Religions & occult
• معلومات
• Entertainment & Culture
• متفرقه

د کټګورۍ پروfile بیا باید د منځپانګې فلټر پرو ته وټاکل شيfile together with a time frame in order to become active.

احتمالي ارزښتونه:

• a Allowed, forbidden, override

Options for the Content Filter

د منځپانګې فلټر > اختیارونو لاندې، تاسو پریکړه کوئ چې ایا تاسو غواړئ د پیښو په اړه خبر شئ او د منځپانګې فلټر معلومات چیرته زیرمه شي.

پیښې

This is where you define how you wish to receive notification of specific events. Notification can be made by e-mail, SNMP or SYSLOG. For different event types you can specify whether messages should be output and, if so, how many.

ای میل

Here, you specify if and how e-mail notification takes place:

• نه
  No e-mail notification is issued for this event.
• سمدستي
  Notification occurs when the event occurs.
• ورځنی
  The notification occurs once per day.

Notifications can be sent for the following events:

• تېروتنه
  For SYSLOG: Source “System”, priority “Alert”.
  Default: SNMP notification
• License expiry
  For SYSLOG: Source “Admin”, priority “Alert”.
  Default: SNMP notification
• License exceeded
  For SYSLOG: Source “Admin”, priority “Alert”.
  Default: SNMP notification
• Override applied
  For SYSLOG: Source “Router”, priority “Alert”.
  Default: SNMP notification
• Proxy limit
  For SYSLOG: Source “Router”, priority “Info”.
  Default: SNMP notification

E-mail recipient

An SMTP client must be defined if you wish to use the e-mail notification function. You can use the client in the device, or another client of your choice.

No e-mail will be sent if no e-mail recipient is specified.

Content Filter snapshot

This is where you can activate the content filter snapshot and determine when and how often it should be taken. The snapshot copies the category statistics table to the last snapshot table, overwriting the old contents of the snapshot table. The category statistics values are then reset to 0.

وقفه

Here you decide whether the snapshot should be taken monthly, weekly or daily.

احتمالي ارزښتونه:

• میاشتنی
• اونۍ
• ورځنی

د میاشتې ورځ

For monthly snapshots, set the day of the month when the snapshot should be taken. Possible values: a 1-31

It is advisable to select a number between 1 and 28 in order to ensure that it occurs every month.

د اونۍ ورځ

For weekly snapshots, set the day of the week when the snapshot should be taken. Possible values:

• دوشنبه، سه شنبه، چهارشنبه، پنجشنبه، جمعه، شنبه، یکشنبه

د ورځې وخت:

If you require a daily snapshot, then enter here the time of day for the snapshot in hours and minutes. Possible values:

• Format HH:MM (default: 00:00)

Additional settings for the Content Filter

Firewall settings for the content filter

The firewall must be activated in order for the Content Filter to function. You can activate the firewall under:

• LANconfig: Firewall/QoS > General
• Command line: Setup > IP-Router > Firewall

In the default configuration, you will find the firewall rule CONTENT-FILTER that refers to the action object CONTENT-FILTER-BASIC:

The firewall rule should be limited to the target services HTTP and HTTPS so that only outgoing HTTP and HTTPS connections are examined. Without this restriction, all packets will be checked by the content filter, which could lead to a loss of system performance. A content-filter related firewall rule must contain a special action object that uses packet actions to check the data according to a content-filter profile. In the default configuration, you will find the action objects CONTENT-FILTER-BASIC,

CONTENT-FILTER-WORK and CONTENT-FILTER-PARENTAL-CONTROL, each of which refer to their corresponding content-filter profile:

Example: کله چې یو web پاڼې ته لاسرسی کیږي، د معلوماتو پاکټونه د فایر وال څخه تیریږي او د قانون لخوا پروسس کیږي د منځپانګې فلټر. د عمل اعتراض منځپانګه فلټر-اساسیک د منځپانګې فلټر پرو په کارولو سره د معلوماتو پاکټونه چیک کويfile د منځپانګې فلټر-اساسي.

د وخت موده

د منځپانګې فلټر سره د وخت چوکاټونه کارول کیږي ترڅو هغه وختونه تعریف کړي کله چې د منځپانګې فلټر پروfileپلي کیږي. یو مسلکيfile کېدای شي څو کرښې د مختلفو وختونو سره ولري. په یوه وخت چوکاټ کې مختلفې کرښې باید یو بل بشپړ کړي، د بیلګې په توګه که تاسو WORKTIME مشخص کړئ نو تاسو باید شاید د FREETIME په نوم یو وخت چوکاټ مشخص کړئ ترڅو د کاري ساعتونو څخه بهر وخت پوښښ کړي. د وخت چوکاټونه د WLAN SSID د تل لپاره د خپریدو مخنیوي لپاره هم کارول کیدی شي. دا د منطقي WLAN ترتیباتو کې اضافه کیدی شي. د وخت چوکاټونه تل او هیڅکله مخکې له مخکې ټاکل شوي دي. تاسو کولی شئ نور وخت چوکاټونه لاندې تنظیم کړئ:

Command line: Setup > Time > Timeframe

نوم

د منځپانګې فلټر پرو څخه د حوالې لپاره د وخت چوکاټ نوم دننه کړئfile یا د WLAN SSID له لارې. د ورته نوم سره څو ننوتنې د یو عام پرو پایله لريfile.

احتمالي ارزښتونه:

• Name of a timeframe

پیل

Here you set the start time (time of day) when the selected profile becomes valid.

احتمالي ارزښتونه:

• Format HH:MM (default: 00:00)

ودریږئ

Here you set the stop time (time of day) when the selected profile ceases to be valid.

احتمالي ارزښتونه:

• Format HH:MM (default: 23:59)

A stop time of HH:MM usually runs until HH:MM:00. The stop time 00:00 is an exception, since this is interpreted as 23:59:59.

د اونۍ ورځې

Here you select the weekday on which the timeframe is to be valid.

احتمالي ارزښتونه:

• Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday, Holiday

The holidays are set under Date & Time > General > Public holidays.

تاسو کولی شئ د ورته نوم سره د وخت مهالویش جوړ کړئ مګر د مختلفو وختونو سره چې په څو کرښو کې غځیدلی وي:

BPjM module

د BPjM ماډل د آلمان د فدرالي ادارې لخوا تنظیم شوی وview د کوچنیانو لپاره زیانمنونکي رسنیو بورډ (BPjM) او بندیزونه webهغه سایټونه چې باید ماشومانو او ځوانانو ته د لاسرسي وړ نه وي. دا ځانګړتیا په ځانګړي ډول د هغو ښوونځیو او تعلیمي ادارو لپاره اړونده ده چې کم عمره زده کونکي لري. د DNS-ډومینونه چې په رسمي ډول د کوچنیانو لپاره زیانمنونکي په توګه طبقه بندي شوي وي د اړونده هدف ګروپ لخوا نشي لاسرسی کیدی. دا لیست تضمین شوی چې په اتوماتيک ډول تازه شي او په منظم ډول وغځول شي. د BPjM ماډل هغه DNS-ډومینونه بندوي چې په رسمي کې لیست شوي دي webد فدرالي رېس سایټview په جرمني کې د کوچنیانو لپاره زیانمنونکي رسنیو لپاره بورډ (BPjM). د کټګورۍ له مخې بندول او د اووررایډ (اجازه ورکول) شتون نلري. د BPjM ماډل د LANCOM د منځپانګې فلټر اختیار برخې په توګه یا په جلا توګه د LANCOM BPjM فلټر سافټویر اختیار له لارې شتون لري. IPv4 یا IPv6 فایر والونه دا ځانګړتیا د ډیفالټ فایر وال قانون سره پلي کوي چې د هرې شبکې لپاره فعال او تنظیم کیدی شي. د مثال په توګهampپه هرصورت، دا ممکنه ده چې یوازې د زده کونکو شبکه د دې فلټر سره سمبال کړئ، مګر نورې شبکې له هغې څخه لرې کړئ. د IPv6 فایر وال یو نوی ډیفالټ قاعده BPJM لري، کوم چې په ډیفالټ ډول د سیسټم اعتراض "BPJM" سره د منزل سټیشن په توګه غیر فعال کیږي. ورته قاعده په IPv4 فایر وال کې شتون لري. هغه شبکې چې د BPjM ماډل لخوا خوندي کیږي د سرچینې سټیشنونو په توګه مشخص شوي.

نور ترتیبات په LANconfig کې د متفرقه خدماتو > خدماتو > BPjM فلټر لاندې موندل کیدی شي.

د سرچینې پته

Source address used by the BPjM module to access the server for BPjM signature updates.

د کارولو لپاره سپارښتنې

If content filters and BPJM filters are to be used together, both rules must be configured with different priorities so that they are run through one after the other. Likewise, for the first rule, care must be taken to ensure that the item “Observe further rules, after this rule matches” is activated.
In rare cases, the BPJM module may block desired domains because only (DNS) domains and not URL directory levels can be checked due to TLS. In this case, these desired domains can be added to the “BPJM Allow list”, e.g. *.example.com. The LANCOM router must serve as DNS server or DNS forwarder in the network, i.e. clients in the local network must use the router as DNS server. In addition, the direct use of DNS-over-TLS and DNS-over-HTTPS (possibly browser-internal) with external DNS servers by clients must be prevented.

This can be achieved as follows:

• The DHCP server must distribute the router’s IP address as the DNS server (set up by default by the Internet Wizard).
• Set up firewall rules that prevent direct use of external DNS servers, for example. by blocking outgoing port 53 (UDP) for clients from the corresponding source network.
• Setting up firewall rules that prevent direct use of external DNS servers supporting DNS-over-TLS, e.g. by blocking outgoing port 853 (TCP) for clients from the corresponding source network.
• Disabling DNS-over-HTTPS (DoH) in the browser.

Notes on synchronising the firewall’s DNS database: Because the firewall learns its information from client DNS requests, in certain situations, the DNS database may not yet be complete. This can happen in the following situations:

• A new firewall rule is added, but the client still has a DNS record cached.
• Shortly after the router reboots and the client still has a DNS record cached. In these cases, clearing the DNS cache on the client, rebooting the client, or timing out the DNS record on the client will help.

If different DNS names resolve to the same IP address, then they cannot be distinguished. In this case, the first rule that references one of these DNS names always applies. This should not be a problem with large service providers. However, it could occur with small websites hosted by the same provider

FAQ

• که د منځپانګې فلټر پرو وي نو زه باید څه وکړم؟file تعدیل ته اړتیا ده؟
  • که تاسو د منځپانګې فلټر پرو تعدیل ته اړتیا لرئfile, ensure to adjust the corresponding firewall rule accordingly to maintain proper functionality.
• څنګه کولی شم د LANCOM امنیتي اساساتو مؤثره کارول ډاډمن کړم؟
  • د اغیزمن استعمال ډاډ ترلاسه کولو لپاره، په منظم ډول بیاview and update the category profiles and settings based on your organisation’s requirements and policies.

اسناد / سرچینې

د LANCOM سیسټمونه LCOS 10.92 امنیتي اړتیاوې [pdf] د کارونکي لارښود LCOS 10.92، LCOS 10.92 امنیتي اړتیاوې، LCOS 10.92، امنیتي اړتیاوې، اړتیاوې

حوالې

• د کارن لارښود