Overview
Bài viết hướng dẫn cách exclusion Google Chat subdomain trên thiết bị tường lửa Sophos XGS để ngăn chặn người dùng sử dụng Google Mail nhưng vẫn cho phép sử dụng Google Chat
Các bước cấu hình
- Login vào Sophos XGS
- Download và import Sophos certificate vào máy tính người dùng
- Thực hiện import Sophos certificate vào máy tính người dùng
- Tạo SSL/TLS Inspeciton rules
- Tạo Decryption profile
- Tạo URL Group
- Tạo Web Filtering policy
- Tạo Web exceptions
- Tạo firewall rule
- Thực hiện test và kiểm tra
- Xử lý sự cố bị chặn 1 số trang web
Hướng dẫn cấu hình
Login vào Sophos XGS
Download và import Sophos certificate vào máy tính người dùng
Đi đến mục Certificates -> Chọn mục Certificate authorities -> Nhấn icon download ở mục SecurityAppliance_SSL_CA
Thực hiện import Sophos certificate vào máy tính người dùng
Trên máy tính, ở khung search nhập mmc -> Nhấn File -> Nhấn Add/Remove Snap-in… -> Chọn Certificates và nhấn Add -> Chọn Computer account với máy tính Workgroup hoặc User account với máy tính Domain và nhấn Next -> Chọn Local computer nếu chọn Computer account và nhấn Finish -> Nhấn OK
Ở mục Certificates -> Chọn mục Trusted Root Certification Authorities -> Chọn mục Certificates -> Chuột phải chọn All tasks -> Chọn Import… -> Tìm đến certificates đã download trước đó (chọn all files)
Tạo SSL/TLS Inspection rules
Vào mục Rules and policies -> Chọn mục SSL/TLS Inspection rules -> Nhấn Add
- Đặt tên
- Ở mục Action: Chọn Decrypt
- Ở mục Rule position: Chọn Top
- Ở mục Decryption profile: Chọn Create new
- Ở mục Source: Chọn LAN
- Ở mục Destination: Chọn WAN
- Ở mục Websites: Chọn Any
Tạo Decryption profile
Sau khi bấm Create new ở phía trên mục 4
- Đặt tên
- Chỉnh cấu hình Non-decryption traffic thành Drop hết
- Ở mục Block action: Chọn Drop
- Nhấn Save -> Nhấn Save
Tạo URL Group
Vào mục Web -> Chọn mục URL groups -> Nhấn Add
Nhập domain mà bạn muốn chặn -> Nhấn Save
Ở đây ta thêm domain mail.google.com
Tạo Web Filtering policy
Vào mục Web -> Chọn mục Policies -> Nhấn Add policy
Ở mục Default action: Chọn Allow
Nhấn Add rule và chọn URL group đã tạo trước đó: Chọn Block HTTP và HTTPS
Nhấn Save
Tạo Web exceptions
Vào mục Web -> Chọn Exceptions -> Nhấn Add exception
Nhập URL mà bạn muốn exception
Ở đây ta sẽ nhập 4 subdomain:
- mail.google.com/account/*
- mail.google.com/chat
- account.google.com
- mail.google.com/_/scs
Tạo firewall rule
Vào Rules and policies -> Chọn Firewall rules
Ở rule LAN to WAN
- Chọn Web filtering policy đã tạo
- Chọn Scan HTTP và decrypted HTTPS
Nhấn Save
Thực hiện test và kiểm tra
Trang mail.google.com bị block
Trang mail.google.com/chat không bị block