“YouTube for Schools”是允许自定义学生、教师和管理员的 YouTube 访问权限的一项服务。YouTube 教育附属网站 (YouTube EDU) 为学校提供数十万计免费教学视频的访问权限。这些视频来自很多久负盛名的组织。您可以自定义您所在学校能访问的内容。所有学校都能访问全部 YouTube EDU 内容,但教师和管理员还可以创建只能在其学校网络查看的视频播放列表。
注 在为 YouTube for Schools 配置 SonicWALL 安全设备前,您必须首先注册:www.youtube.com/schools
YouTube for Schools 的配置取决于您使用的内容过滤方法,在安全服务 > 内容过滤页面配置。
如果用户是多个群组的成员,一个策略允许无限制访问 YouTube,但其他策略限制访问 YouTube for Schools,其访问权限将由 YouTube for Schools 策略过滤,不允许无限制访问 YouTube。
用户不能是具有不同学校 YouTube ID 的多个群组的成员。即使防火墙接受此配置,也不会被支持。
注 有关 CFS 常规配置的更多信息,请参阅《SonicOS 管理员指南》的安全服务 > 内容过滤部分。
在从 CFS 策略分配菜单中选择通过应用控制后,在安全服务 > 内容过滤页面,YouTube for Schools 的内容过滤被配置为应用控制策略。
YouTube for Schools 的内容过滤配置有两个部分:
• 配置匹配对象
• 配置应用规则
您首先创建一个或多个匹配对象。然后,在应用规则中应用匹配对象。
注 只有在应用了应用规则策略且浏览器关闭并重新打开后,所有浏览器的连接才会受到影响。
注 如果在防火墙上以管理员身份打开浏览器,除非特地配置防火墙使其不排除管理员,否则您将被排除在 CFS 策略的实施范围内。
要配置防火墙使其不排除管理员:
1. 转到安全服务 > 内容过滤页面。
2. 在 CFS 排除列表标题下,选中对管理员也不绕过 CFS 阻止规则选项。
3. 单击页面顶部的接受按钮。
配置 YouTube for Schools 内容过滤的匹配对象
要配置 YouTube for Schools 内容过滤的匹配对象:
1. 浏览至防火墙 > 匹配对象。
2. 单击添加新匹配对象。
3. 在对象名框中,输入一个描述性名称。
4. 从匹配对象类型菜单中,选择 CFS 允许/禁止列表。
5. 从匹配类型菜单中,选择部分匹配。
6. 对于输入表示,选择字母数字选项。
7. 在内容框中,输入 youtube.com。
8. 单击添加。
9. 在列表框中,输入 ytimg.com。
10. 单击添加。
11. 单击确定创建匹配对象。
注 您可以重复以上步骤创建多个匹配对象。
配置 YouTube for Schools 内容过滤的应用规则
要配置YouTube for Schools 内容过滤的应用规则:
1. 浏览至防火墙 > 应用规则页面。
2. 单击添加新策略。
出现应用控制策略设置对话框。
3. 在策略名框中,输入该策略的描述性名称,例如 CFS YouTube。
4. 从策略类型菜单中,选择 CFS。
5. 从地址菜单中,选择应用该策略的地址组。
6. 从排除地址菜单中,选择从该策略排除的地址组。
被排除的对象不会受策略影响。
7. 从匹配对象菜单中,选择要匹配的对象。
8. 从操作对象菜单中,选择您要该策略执行的操作。
本例中,我们选择 CFS 阻止页面。
9. 从包含的用户/群组菜单中,选择应用该策略的用户或用户组。
10. 从排除的用户/群组菜单中,选择从该策略排除的用户或用户组。被排除的对象不会受策略影响。
11. 从日程菜单中,选择您计划的时间。默认值是始终打开。
12. 如果您要使用流量报告,请选择启用流量报告选项。
13. 如果您要使用记录,请选择启用记录选项。
14. 如果您要使用 CFS 格式记录消息,请选择日志使用的 CFS 消息格式选项。
15. 如果您要过滤冗余的日志消息,则在记录冗余过滤器(秒)框中输入过滤的间隔秒数。要为过滤日志消息使用全局设置,请选择使用全局设置选项(在同一行)。
16. 从区域菜单中,选择应用该策略的区域。
注 对于 CFS 允许/排除列表和 CFS 禁止/包含列表选项,您应该选择在配置 YouTube for Schools 内容过滤的匹配对象中创建的匹配对象。(本例使用“CFS 允许 YT4S”。)应选择包含或排除该匹配对象。
17. 从 CFS 允许/排除列表菜单中,选择您不想使用该策略阻止的对象。
18. 从 CFS 禁止/包含列表菜单中,选择您要使用该策略阻止的对象。
19. 如果您要使用“安全搜索实施”,请选择启用安全搜索实施选项。
20. 要启用 YouTube for Schools,请选中启用 YouTube for Schools 复选框。
21. 在学校 ID框中,输入学校 ID 号,这可以从 www.youtube.com/schools 获得。
22. 单击确定创建策略。
注 只有在应用了应用规则策略且浏览器关闭并重新打开后,所有浏览器的连接才会受到影响。
注 如果在防火墙上以管理员身份打开浏览器,除非特地配置防火墙使其不排除管理员,否则您将被排除在 CFS 策略的实施范围内。请参见配置防火墙以不排除管理员。
在内容过滤策略中配置 YouTube for Schools
当 CFS 策略分配下拉菜单被设为通过用户和区域屏幕时,YouTube for Schools 被配置为内容过滤策略的一部分。
在安全服务 > 内容过滤页面,选择内容过滤服务作为内容过滤类型下拉菜单的选项。
1. 单击配置按钮。
2. 在策略选项卡中,单击您要启用 YouTube for Schools 的 CFS 策略的配置图标。
3. 单击设置选项卡,然后选中启用 YouTube for Schools 复选框。
4. 粘贴从 www.youtube.com/schools 获得的校园 ID。
5. 单击确定。
6. 在自定义列表选项卡中,单击允许域的添加按钮。
7. 在对话框中,在域名字段输入“youtube.com”,然后单击确定。
8. 再次单击添加。
9. 在域名字段输入“ytimg.com”,然后单击确定。
10. 单击确定。
这些设置将替代阻止 YouTube 的所有 CFS 类别。
在应用策略后,只有关闭并重新打开浏览器,现有的浏览器连接才会受到影响。此外,如果您在防火墙上以管理员身份打开浏览器,您将被排除在 CFS 策略的实施范围内,除非您特地配置防火墙使其不排除管理员(在安全服务 > 内容过滤页面选中对管理员不绕过 CFS 阻止复选框)。
YouTube for Schools 和 HTTPS
YouTube for Schools 的 SonicWALL CFS 实施不支持对 youtube.com 的 HTTPS 访问。当通过 HTTPS 访问 youtube.com,用户对 YouTube 内容的访问将受限制。可以使用以下解决方案应对:
• 启用有 CFS 检查的客户端 DPI-SSL。DPI-SSL 功能的激活需要单独的许可证,且不受 NSA 240 及更高型号的支持。
• 按 WAN 访问规则创建 LAN(或 DMZ),如下所示:
– 操作:拒绝
– 服务:HTTPS
– 源:任何
– 目标:为 youtube.com 和 ytimg.com 创建 FQDN 地址对象
问题
DPI-SSL 不能用于阻止 https://youtube.com,只能用于允许该网站。所以上面的 DPI 部分不能作为应对这个问题的解决方案的一部分。
在创建以上规则阻止对 youtube.com 或 www.youtube.com 和 s.ytimg.com 的 https 访问时,我们发现 https://www.google.com、https://drive.google.com 以及 https://play.google.com/ 也被一并阻止。
calendar.google.com 和 gmail 等其他 google 网站仍正常。
创建被阻止网站的 FQDNS 和为群组创建允许规则也可以允许访问 https youtube。
总之,为 https>youtube fqdns 创建拒绝规则还会阻止其他 google ssl 站点。因此,我们尚未发现任何途径可以使用 YouTube for Schools,阻止访问 ssl youtube 而不阻止其他 google ssl 站点。而且,没有办法在允许访问其他站点的同时能够不导致 ssl youtube 也被允许访问。