Blog

Overview

Bài viết hướng dẫn cách cấu hình exclusion 1 subdomain trên thiết bị tường lửa Sophos XGS

Ở đây tôi chặn domain github.com nhưng vẫn cho người dùng sử dụng subdomain github.com/companyA

Các bước cấu hình

1. Download Sophos SSL Certificate
2. Import Sophos SSL Certificate vào máy trạm
3. Tạo Web Filtering policy trên Sophos XGS
4. Tạo Exclusion URL trên Sophos XGS
5. Tạo SSL/TLS Inspection rule trên Sophos XGS
6. Tạo firewall rule trên Sophos XGS
7. Thực hiện test kiểm tra cấu hình

Hướng dẫn cấu hình

Download Sophos SSL Certificate

• Đi đến mục Certificates -> Chọn mục Certificate authorities -> Nhấn icon download ở mục SecurityAppliance_SSL_CA

Import Sophos SSL Certificate vào máy trạm

• Trên máy trạm, ở khung search nhập mmc

• Nhấn File -> Chọn Add or Remove Snap-ins -> Chọn Computer account -> Nhấn Next -> Chọn Local computer -> Nhấn OK

• Đi đến đường dẫn Certificates -> Chọn mục Trusted Root Certification Authorities -> Chuột phải ở mục Certificates -> Chọn Import -> Nhấn Browse… -> Chọn file Sophos SSL đã download trước đó

Tạo Web Filtering policy trên Sophos XGS

• Đi đến mục Web -> Chọn mục URL groups -> Nhấn Add

• Nhập tên domain mà bạn muốn block

• Đi đến mục Web -> Chọn mục Policies -> Nhấn Add policy
• Ở mục Default action: Ta sẽ để là Allow
• Nhấn Add rule để tạo block: Chọn URL Group đã tạo trước đó và chọn Block HTTP và Block HTTPS
• Nhấn ON status

-> Nhấn Save

Tạo Exclusion URL trên Sophos XGS

• Đi đến mục Web -> Chọn mục Exceptions -> Nhấn Add exception

• Nhập subdomain mà bạn muốn exclusion ở mục URL pattern matches
• Tick ở mục HTTPS decryption, Malware and content scanning, Policy checks
• Nhấn Save

Tạo SSL/TLS Inspection rule trên Sophos XGS

• Đi đến mục Rules and policies -> Chọn mục SSL/TLS inspection rules -> Nhấn Add

• Tạo SSL/TLS Inspection rule
• Ở mục Action: Chọn Decrypt
• Nhấn Create new ở mục Decryption profile

• Tạo Decryption profile
• Chọn Use CAs defined in SSL/TLS settings
• Ở mục SSL 2.0 and SSL 3.0: Chọn Use SSL/TLS settings (default)
• Ở mục SSL compression: Chọn Use SSL/TLS settings (default)
• Ở mục When SSL/TLS connections exceed limit: Chọn Use SSL/TLS settings (default)
• Ở mục Unrecognized cipher suites: Chọn Allow without decryption
• Ở mục Block action: Chọn Drop
• Nhấn Save

• Quay lại tiếp với SSL/TLS Inspection policy
• Ở mục Source: Chọn LAN, Any
• Ở mục Destination: Chọn WAN, Any
• Ở mục Services: Chọn Any
• Ở mục Categories and websites: Chọn Any
• Nhấn Save

Tạo firewall rule trên Sophos XGS

• Đi đến mục Rules and policies -> Chọn mục Firewall rules -> Chọn rule LAN to WAN của bạn
• Ở mục Web policy: Chọn Web filtering policy đã tạo trước đó
• Tick ở mục Block QUIC protocol
• Tick ở mục Scan HTTP and decrypted HTTPS
• Nhấn Save

Thực hiện test kiểm tra cấu hình

Truy cập trang github.com

Truy cập trang github.com/companyA