1.Mục đích bài viết
Bài viết này sẽ hướng dẫn cấu hình tính năng Synchronized Application Control, tính năng này sẽ giúp người quản trị phát hiện được các ứng dụng mới trong hệ thống và kiểm soát được việc truy cập các ứng dụng này.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng:
- Đường truyền internet được kết nối tại port 2 của thiết bị tường lửa Sophos Firewall với IP 192.168.2.103.
- Lớp mạng LAN được cấu hình tại port 1 của thiết bị tường lửa Sophos XG Firewall với IP 10.145.41.1/24 và được cấu hình DHCP Server để cấp phát IP cho các thiết bị kết nối vào.
- Cuối cùng là máy tính 1 kết nối vào mạng LAN và nhận IP từ DHCP là 10.145.41.50/24.
3.Tình huống cấu hình
Giả sử người quản trị đã thực hiện chặn các ứng dụng duyệt web phổ biến như google chrome, firefox để ngăn người dùng duyệt web không liên quan đến công việc làm ảnh hưởng đến băng thông hệ thống.
Tuy nhiên người dùng đã cài đặt ứng dụng duyệt web Opera và ứng dụng này hiện tại không có trong danh sách các ứng dụng mà Sophos hỗ trợ nên không thể thực hiện cấm.
Lúc này tính năng Synchronized Application Control sẽ giúp người quản trị có thể phát hiện ra được ứng dụng duyệt web Opera này và kiểm soát được việc sử dụng nó.
Trong bài viết này chúng ta sẽ thực hiện cài ứng dụng duyệt web Opera lên máy tính 1 và cấu hình Synchronized Application Control trên Sophos Firewall để quét được ứng dụng này và thực hiện cấm truy cập internet bằng Opera.
4.Các bước thực hiện
- Thực hiện đăng nhập tài khoản Sophos Central trên Sophos Firewall.
- Thực hiện truy cập ứng dụng Opera trên máy tính 1 đã cài Sophos Endpoint.
- Thực hiện dò tìm ứng dụng Opera trên Sophos Firewall và customized lại tên cũng như danh mục.
- Tạo Application policy với ứng dụng vừa được customized.
- Thực hiện tạo firewall rule kết hợp với application policy vừa tạo.
- Thực hiện việc truy cập ứng dụng Opera và kiểm tra kết quả.
5.Hướng dẫn cấu hình
5.1.Thực hiện đăng nhập tài khoản Sophos Central trên Sophos Firewall
Đăng nhập vào trang quản trị của Sophos Firewall vào PROTECT > Central Synchronization và nhấn Register.
Nhập tài khoản và mật khẩu của Sophos Central vào bảng Register device with Sophos Central và nhấn Register.
Đợi vài giây thì đăng nhập thành công, lúc này tính năng Synchronized Application Control sẽ tự động được bật.
5.2. Thực hiện truy cập ứng dụng Opera trên máy tính 1 đã cài Sophos Endpoint.
Trên máy tính 1 đã được cài Sophos Endpoint.
Sau đó bật ứng dụng Opera lên và chúng ta thấy là vẫn duyệt web bình thường.
5.3. Thực hiện dò tìm ứng dụng Opera trên Sophos Firewall và customized lại tên cũng như danh mục.
Sau khi đã chạy ứng dụng Opera trên máy tính 1 quay trở lại trang quản trị của Sophos Firewall.
Vào PROTECT > Applications > Synchronized Application Control.
Chọn All application, including system applications để hiển thị ra toàn bộ ứng dụng mà Sophos đã quét được trên máy tính 1 (lưu ý là có một số ứng dụng cần thời gian để quét).
Chúng ta sẽ thấy được ứng dụng opera.exe, để customized nhấn vào biểu tượng ba chấm phía bên phải ứng dụng opera và chọn Customized.
Bảng Customize application hiện ra thực hiện đổi tên và danh mục như sau:
- Application name: Opera Browser.
- Application category: chọn General Internet.
- Nhấn Apply.
Như vậy là chúng ta đã quét và customized được ứng dụng Opera.
5.4.Tạo Application policy với ứng dụng vừa được customized.
Tiếp theo chúng ta sẽ tạo application policy với ứng dụng vừa được customized.
Vào PROTECT > Applications > Application filter > nhấn Add và điền như sau:
- Name*: Test_Synchronzied_App_Control.
- Template: chọn Allow All.
- Nhấn Save.
Sau khi nhấn Save thì sẽ quay về trang Application filter.
Tìm trong danh sách policy vừa tạo và nhấn vào tên để chỉnh sửa.
Nhấn Add để thêm ứng dụng vào policy.
Trong Add application filter policy rules, chọn Synchronized Application Control tại danh sách thả xuống Technology và chọn Select individual application.
Lúc này danh sách các ứng dụng được phát hiện bởi synchronized application control hiện ra chọn vào ứng dụng Opera Browser và chọn Deny tại mục Action.
Nhấn Save để lưu.
Nhấn Save một lần nữa để lưu.
5.5.Thực hiện tạo firewall rule kết hợp với application policy vừa tạo.
Chúng ta sẽ tạo firewall rule cho phép mạng LAN truy cập internet và add application policy vào firewall rule này.
Lưu ý nếu đã có sẵn firewall rule này thì chỉ cần add application policy theo như hình dưới.
Để tạo firewall vào PROTECT > Rules and Policies > Add firewall rule > New firewall rule.
Cấu hình theo các thông số sau:
- Rule status: ON
- Rule name*: LAN_TO_WAN
- Action: Accept
- Log firewall traffic: tích chọn
- Rule position: Top
- Rule group: None
- Source zones*: chọn LAN
- Source networks and devices*: chọn Any.
- During scheduled time: chọn All the time.
- Destination zones*: chọn WAN.
- Destination networks*: chọn Any.
- Service*: chọn Any.
- Identify and control applications [App Control]: chọn application policy Test_Synchronized_App_Control từ danh sách thả xuống.
- Nhấn Save để lưu.
5.6. Thực hiện việc truy cập ứng dụng Opera và kiểm tra kết quả.
Cuối cùng chúng ta sẽ mở ứng dụng Opera trên máy tính 1 và truy cập internet để kiểm tra.
Như chúng ta thấy chúng ta không thể sử dụng ứng dụng duyệt web Opera để truy cập internet do đã bị Sophos Firewall cấm.
Chúng ta thử bật ứng dụng duyệt web Microsoft Edge và truy cập internet.
Kết quả là vẫn truy cập bình thường.
Chúng ta sẽ kiểm tra log để xem có đúng ta là Sophos Firewall cấm ứng dụng duyệt web Opera hay không.
Trên trang quản trị của Sophos Firewall nhấn vào Log Viewer.
Một cửa sổ hiện ra với log của Sophos Firewall.
Chọn Application filter để hiển thị chỉ log của Application filter.
Chúng ta có thể thấy được là Sophos Firewall đã cấm việc truy cập internet bằng ứng dụng Opera Browser được quét và customized bằng tính năng Synchronized Application Control.