Overview
Bài viết hướng dẫn cách cấu hình exclusion 1 subdomain trên thiết bị tường lửa Sophos XGS
Ở đây tôi chặn domain github.com nhưng vẫn cho người dùng sử dụng subdomain github.com/companyA
Các bước cấu hình
- Download Sophos SSL Certificate
- Import Sophos SSL Certificate vào máy trạm
- Tạo Web Filtering policy trên Sophos XGS
- Tạo Exclusion URL trên Sophos XGS
- Tạo SSL/TLS Inspection rule trên Sophos XGS
- Tạo firewall rule trên Sophos XGS
- Thực hiện test kiểm tra cấu hình
Hướng dẫn cấu hình
Download Sophos SSL Certificate
- Đi đến mục Certificates -> Chọn mục Certificate authorities -> Nhấn icon download ở mục SecurityAppliance_SSL_CA
Import Sophos SSL Certificate vào máy trạm
- Trên máy trạm, ở khung search nhập mmc
- Nhấn File -> Chọn Add or Remove Snap-ins -> Chọn Computer account -> Nhấn Next -> Chọn Local computer -> Nhấn OK
- Đi đến đường dẫn Certificates -> Chọn mục Trusted Root Certification Authorities -> Chuột phải ở mục Certificates -> Chọn Import -> Nhấn Browse… -> Chọn file Sophos SSL đã download trước đó
Tạo Web Filtering policy trên Sophos XGS
- Đi đến mục Web -> Chọn mục URL groups -> Nhấn Add
- Nhập tên domain mà bạn muốn block
- Đi đến mục Web -> Chọn mục Policies -> Nhấn Add policy
- Ở mục Default action: Ta sẽ để là Allow
- Nhấn Add rule để tạo block: Chọn URL Group đã tạo trước đó và chọn Block HTTP và Block HTTPS
- Nhấn ON status
-> Nhấn Save
Tạo Exclusion URL trên Sophos XGS
- Đi đến mục Web -> Chọn mục Exceptions -> Nhấn Add exception
- Nhập subdomain mà bạn muốn exclusion ở mục URL pattern matches
- Tick ở mục HTTPS decryption, Malware and content scanning, Policy checks
- Nhấn Save
Tạo SSL/TLS Inspection rule trên Sophos XGS
- Đi đến mục Rules and policies -> Chọn mục SSL/TLS inspection rules -> Nhấn Add
- Tạo SSL/TLS Inspection rule
- Ở mục Action: Chọn Decrypt
- Nhấn Create new ở mục Decryption profile
- Tạo Decryption profile
- Chọn Use CAs defined in SSL/TLS settings
- Ở mục SSL 2.0 and SSL 3.0: Chọn Use SSL/TLS settings (default)
- Ở mục SSL compression: Chọn Use SSL/TLS settings (default)
- Ở mục When SSL/TLS connections exceed limit: Chọn Use SSL/TLS settings (default)
- Ở mục Unrecognized cipher suites: Chọn Allow without decryption
- Ở mục Block action: Chọn Drop
- Nhấn Save
- Quay lại tiếp với SSL/TLS Inspection policy
- Ở mục Source: Chọn LAN, Any
- Ở mục Destination: Chọn WAN, Any
- Ở mục Services: Chọn Any
- Ở mục Categories and websites: Chọn Any
- Nhấn Save
Tạo firewall rule trên Sophos XGS
- Đi đến mục Rules and policies -> Chọn mục Firewall rules -> Chọn rule LAN to WAN của bạn
- Ở mục Web policy: Chọn Web filtering policy đã tạo trước đó
- Tick ở mục Block QUIC protocol
- Tick ở mục Scan HTTP and decrypted HTTPS
- Nhấn Save
Thực hiện test kiểm tra cấu hình
Truy cập trang github.com
Truy cập trang github.com/companyA