Blog

Overview

Bài viết hướng dẫn cách exclusion Google Chat subdomain trên thiết bị tường lửa Sophos XGS để ngăn chặn người dùng sử dụng Google Mail nhưng vẫn cho phép sử dụng Google Chat

Các bước cấu hình

1. Login vào Sophos XGS
2. Download và import Sophos certificate vào máy tính người dùng
3. Thực hiện import Sophos certificate vào máy tính người dùng
4. Tạo SSL/TLS Inspeciton rules
5. Tạo Decryption profile
6. Tạo URL Group
7. Tạo Web Filtering policy
8. Tạo Web exceptions
9. Tạo firewall rule
10. Thực hiện test và kiểm tra
11. Xử lý sự cố bị chặn 1 số trang web

Hướng dẫn cấu hình

Login vào Sophos XGS

Download và import Sophos certificate vào máy tính người dùng

Đi đến mục Certificates -> Chọn mục Certificate authorities -> Nhấn icon download ở mục SecurityAppliance_SSL_CA

Thực hiện import Sophos certificate vào máy tính người dùng

Trên máy tính, ở khung search nhập mmc -> Nhấn File -> Nhấn Add/Remove Snap-in… -> Chọn Certificates và nhấn Add -> Chọn Computer account với máy tính Workgroup hoặc User account với máy tính Domain và nhấn Next -> Chọn Local computer nếu chọn Computer account và nhấn Finish -> Nhấn OK

Ở mục Certificates -> Chọn mục Trusted Root Certification Authorities -> Chọn mục Certificates -> Chuột phải chọn All tasks -> Chọn Import… -> Tìm đến certificates đã download trước đó (chọn all files)

Tạo SSL/TLS Inspection rules

Vào mục Rules and policies -> Chọn mục SSL/TLS Inspection rules -> Nhấn Add

• Đặt tên
• Ở mục Action: Chọn Decrypt
• Ở mục Rule position: Chọn Top
• Ở mục Decryption profile: Chọn Create new
• Ở mục Source: Chọn LAN
• Ở mục Destination: Chọn WAN
• Ở mục Websites: Chọn Any

Tạo Decryption profile

Sau khi bấm Create new ở phía trên mục 4

• Đặt tên
• Chỉnh cấu hình Non-decryption traffic thành Drop hết
• Ở mục Block action: Chọn Drop
• Nhấn Save -> Nhấn Save

Tạo URL Group

Vào mục Web -> Chọn mục URL groups -> Nhấn Add

Nhập domain mà bạn muốn chặn -> Nhấn Save

Ở đây ta thêm domain mail.google.com

Tạo Web Filtering policy

Vào mục Web -> Chọn mục Policies -> Nhấn Add policy

Ở mục Default action: Chọn Allow

Nhấn Add rule và chọn URL group đã tạo trước đó: Chọn Block HTTP và HTTPS

Nhấn Save

Tạo Web exceptions

Vào mục Web -> Chọn Exceptions -> Nhấn Add exception

Nhập URL mà bạn muốn exception

Ở đây ta sẽ nhập 4 subdomain:

• mail.google.com/account/*
• mail.google.com/chat
• account.google.com
• mail.google.com/_/scs

Tạo firewall rule

Vào Rules and policies -> Chọn Firewall rules

Ở rule LAN to WAN

• Chọn Web filtering policy đã tạo
• Chọn Scan HTTP và decrypted HTTPS

Nhấn Save

Thực hiện test và kiểm tra

Trang mail.google.com bị block

Trang mail.google.com/chat không bị block