Overview
Bài viết hướng dẫn cách cấu hình exclusion 1 subdomain trên thiết bị tường lửa Sophos XGS
Ở đây tôi chặn domain github.com nhưng vẫn cho người dùng sử dụng subdomain github.com/companyA
Các bước cấu hình
- Download Sophos SSL Certificate
- Import Sophos SSL Certificate vào máy trạm
- Tạo Web Filtering policy trên Sophos XGS
- Tạo Exclusion URL trên Sophos XGS
- Tạo SSL/TLS Inspection rule trên Sophos XGS
- Tạo firewall rule trên Sophos XGS
- Thực hiện test kiểm tra cấu hình
Hướng dẫn cấu hình
Download Sophos SSL Certificate
- Đi đến mục Certificates -> Chọn mục Certificate authorities -> Nhấn icon download ở mục SecurityAppliance_SSL_CA
![](https://uploads.thegioifirewall.com/image-3317-1024x591.png)
Import Sophos SSL Certificate vào máy trạm
- Trên máy trạm, ở khung search nhập mmc
![](https://uploads.thegioifirewall.com/image-3318-1024x591.png)
- Nhấn File -> Chọn Add or Remove Snap-ins -> Chọn Computer account -> Nhấn Next -> Chọn Local computer -> Nhấn OK
![](https://uploads.thegioifirewall.com/image-3319-1024x591.png)
- Đi đến đường dẫn Certificates -> Chọn mục Trusted Root Certification Authorities -> Chuột phải ở mục Certificates -> Chọn Import -> Nhấn Browse… -> Chọn file Sophos SSL đã download trước đó
![](https://uploads.thegioifirewall.com/image-3320-1024x591.png)
Tạo Web Filtering policy trên Sophos XGS
- Đi đến mục Web -> Chọn mục URL groups -> Nhấn Add
![](https://uploads.thegioifirewall.com/image-3321-1024x591.png)
- Nhập tên domain mà bạn muốn block
![](https://uploads.thegioifirewall.com/image-3322-1024x591.png)
- Đi đến mục Web -> Chọn mục Policies -> Nhấn Add policy
- Ở mục Default action: Ta sẽ để là Allow
- Nhấn Add rule để tạo block: Chọn URL Group đã tạo trước đó và chọn Block HTTP và Block HTTPS
- Nhấn ON status
-> Nhấn Save
![](https://uploads.thegioifirewall.com/image-3323-1024x591.png)
Tạo Exclusion URL trên Sophos XGS
- Đi đến mục Web -> Chọn mục Exceptions -> Nhấn Add exception
![](https://uploads.thegioifirewall.com/image-3324-1024x591.png)
- Nhập subdomain mà bạn muốn exclusion ở mục URL pattern matches
- Tick ở mục HTTPS decryption, Malware and content scanning, Policy checks
- Nhấn Save
![](https://uploads.thegioifirewall.com/image-3326-1024x591.png)
Tạo SSL/TLS Inspection rule trên Sophos XGS
- Đi đến mục Rules and policies -> Chọn mục SSL/TLS inspection rules -> Nhấn Add
![](https://uploads.thegioifirewall.com/image-3327-1024x591.png)
- Tạo SSL/TLS Inspection rule
- Ở mục Action: Chọn Decrypt
- Nhấn Create new ở mục Decryption profile
![](https://uploads.thegioifirewall.com/image-3329-1024x591.png)
- Tạo Decryption profile
- Chọn Use CAs defined in SSL/TLS settings
- Ở mục SSL 2.0 and SSL 3.0: Chọn Use SSL/TLS settings (default)
- Ở mục SSL compression: Chọn Use SSL/TLS settings (default)
- Ở mục When SSL/TLS connections exceed limit: Chọn Use SSL/TLS settings (default)
- Ở mục Unrecognized cipher suites: Chọn Allow without decryption
- Ở mục Block action: Chọn Drop
- Nhấn Save
![](https://uploads.thegioifirewall.com/image-3330-1024x591.png)
- Quay lại tiếp với SSL/TLS Inspection policy
- Ở mục Source: Chọn LAN, Any
- Ở mục Destination: Chọn WAN, Any
- Ở mục Services: Chọn Any
- Ở mục Categories and websites: Chọn Any
- Nhấn Save
![](https://uploads.thegioifirewall.com/image-3331-1024x591.png)
Tạo firewall rule trên Sophos XGS
- Đi đến mục Rules and policies -> Chọn mục Firewall rules -> Chọn rule LAN to WAN của bạn
- Ở mục Web policy: Chọn Web filtering policy đã tạo trước đó
- Tick ở mục Block QUIC protocol
- Tick ở mục Scan HTTP and decrypted HTTPS
- Nhấn Save
![](https://uploads.thegioifirewall.com/image-3332-1024x591.png)
Thực hiện test kiểm tra cấu hình
Truy cập trang github.com
![](https://uploads.thegioifirewall.com/image-3333-1024x591.png)
Truy cập trang github.com/companyA
![](https://uploads.thegioifirewall.com/image-3334-1024x591.png)