Как да приложим Web Protection?
Една от основните характеристики на защитната стена Sophos XG е Web protection (защитата на мрежата) , която позволява сканиране и категоризация на уеб трафик. Уебсайтовете може да са разрешени, блокирани или да показват предупреждение, за да поддържат сърфирането в интернет безопасно и продуктивно. Тази статия предоставя подробно описание как да се приложи уеб политика за група или групи потребители в защитната стена Sophos.
Отнася се за следните версии и продукти на Sophos:
Sophos Firewall
Web Protection
За да конфигурираме уеб защита за група потребители се прави уеб политика, като по този начин се определят типовете съдържание, които потребителят ще има право да разглежда. След това се създава или модифицира правило на защитната стена за прилагане на HTTP/HTTPS сканиране за мрежа или зона. HTTPS сканирането изисква клиентските машини да импортират SSL CA на защитната стена Sophos, за да може криптираният трафик да бъде прочетен и категоризиран от защитната стена.
Създаване на Уеб Политика
Защитната стена Sophos разполага с няколко предварително създадени уеб политики, които могат да бъдат използвани вместо да създавате свои. Също така можете да редактирате предварително създадените политики могат да бъдат редактирани, за да направите по-детайлни промени, за това кои дейности да бъдат блокирани, разрешени или да се получава предупреждение за тях.
За да създадете своя собствена политика, следвайте стъпките описани тук:
Отворете секцията Web → Policies
Изберете Add Policy или кликнете на Edit Icon
(кликнете тук, за да видите изображението в пълен размер)
3. Попълнете полето Name
4. Можете да зададете Default Action като Allow или Block. По подразбиране действието остава в долната част на списъка и се прилага за всички правила, които не съвпадат с никакви други правила.
5. Изберете Add Rule.
6. Изберете група за Users или го оставете по подразбиране Anybody, за да се приложи на всички потребители.
7. В секцията Activities от падащото меню изберете Add New Item
8. Прегледайте списъка и определяйте кои дейности да блокирате или разрешите изрично.
Можете да изберете няколко дейности за една и съща уеб политика. Базата данни на Sophos редовно се актуализира и класифицира уебсайтове, за да се съвпадат в една или повече от тези категории.
За повече детайлност можете да редактирате дейност, като щракнете върху Edit Icon и премахнете категории или подкатегории. По този начин можете дори да създадете собствени дейности за усъвършенстване на политиката.
Могат да бъдат създадени множество правила за всяка политика. Всяко от тях може да засегне различна група потребители или да засегне всички потребители в групата Anybody.
9. Кликнете върху Apply.
10. Чрез бутона-плъзгач, превключете всяко правило в позиция On или правилото няма да задейства.
11. Кликнете върху Save, за да създадете правилото
Създайте правило за Firewall
Защитната стена Sophos оценява само уеб политиките, тъй като те се прилагат към всяка зона или мрежа, контролирана от правило на защитната стена. Правилото на защитната стена трябва да бъде създадено или модифицирано, както и HTTP/HTTPS сканирането да бъде активирано, преди какъвто и да е web-трафик да бъде оценен.
1. Отворете секцията Firewall
2. Кликнете върху Add Firewall Rule или изберете правилото, след което кликнете на Edit Icon, за да промените вече създадено правило
3. Създайте ново правило следвайки примера тук
(кликнете тук, за да видите изображението в пълен размер)
(кликнете тук, за да видите изображението в пълен размер)
4. За уеб политика базирана на потребители с множество групи или потребители дефинирани като Anybody, трябва да поставите отметката за Match know user под Identity
5. Всички правила на защитната стена, които желаете да приложеите към уеб политиките трябва да изберете Scan HTTP под Malware Scanning и Decrypt & Scan HTTPS, ако желаете да конролирате случващото се, когато потребителите комуникират през HTTPS връзка.
6. Под Web Policy, изберете политиката която искате да ползвате.
Добавяне на сертификат
За да използвате HTTPS Decrypt & Scan, трябва първо да заредите Sophos Firewall SSL CA на всяка клиентска машина или да я заредите чрез GPO на Windows Server, за да може да е в Trusted Root Certificate Autohirity секцията на браузъра.
Бележка: В настройката на HA SSL CA от двата възела на защитна стена Sophos трябва да бъде импортиран на всяка клиентска машина
Видео: Creating Web Protection Rules
Ръководство на английски език: Sophos Firewall: How to implement Web Protection