Sophos Firewall: Hướng dẫn cấu hình Block truy cập Web của Users khi sử dụng SSL VPN Remote Access.

1.Overview.

Với SSL VPN Remote Access, bạn có thể cung cấp quyền truy cập vào tài nguyên mạng của từng máy chủ qua internet bằng cách sử dụng các đường hầm được mã hóa điểm-điểm. Remote Access yêu cầu chứng chỉ SSL, tên người dùng và mật khẩu.

Bài viết hôm nay sẽ hướng dẫn các bạn cấu hình block truy cập một số trang web khi người dùng sử dụng SSL VPN Remote Access.

Bài viết sẽ không đi vào chi tiết cách cấu hình SSL VPN Remote Access mà chỉ tập trung vào phần chặn truy cập các trang web đối với người dùng.

2. Hướng dẫn cấu hình.

Bước 1: Tạo Firewall Rule VPN-WAN.

Trước khi tạo rule bạn cần check trong phần Tunnel Access khi cấu hình SSL VPN (Remote Access).

Đã bật ON “Use as default gateway”.

Permitted network resources (IPv4), bạn add thêm các IP cổng WAN có trên Sophos.

Sau đó bạn tạo firewall rule như sau:

Source zones: chọn zone VPN.

Source networks and devices: Dải IP cấp cho user VPN.

Destination zones: chọn WAN.

Ex: Bạn muốn chặn user truy cập đến trang vnexpress.net.

Bạn phải tạo các URL chặn vnexpress trong mục Protect > Web. Sau đó add vào trong rule này dưới mục Web Filtering > Web Policy > chọn policy chặn truy cập Vnexpress đã tạo.

Click chọn Scan HTTP and decrypted HTTPS. Vì trang VNexpress sử dụng HTTPS nên cần rule để decrypted lưu lượng này để có thể chặn user truy cập.

Bước 2: Tạo SSL/TLS rule.

Note: Để sử dụng SSL/TLS rule, tất cả user cần cài đặt Sophos SSL CA vào máy.

Chuyển qua SSL/TLS tab > chọn Add.

Rule name: Đặt tên cho rule.

Action: chọn Decrypt.

Decryption Profile: Tạo 1 decryption profile mới.

Name: Đặt tên cho Decryption Profile.

Click chọn Use CAs defined in SSL/TLS settings.

Chọn Action Drop.

Chọn Block action: Reject & notify. CLick Save.

Quay lại SSL/TLS rule:

Source zones: chọn zone VPN.

Source networks and devices: Dải IP cấp cho user VPN.

Destination zones: chọn WAN.

Bước 3: Tạo NAT Rule

Tạo 1 NAT rule với Original source: là dải IP cấp cho user SSL VPN

Translated source (SNAT) chọn MASQ.

Các thông số khác để mặc định.

Bước 4: Kiểm tra

Cho user kết nối SSL VPN với Sophos Connect và kiểm tra truy cập vào trang vnexpress.net

User không thể truy cập trang vnexpress nhưng vẫn truy cập đc các trang web khác.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận