《分享》Web Filter

網頁過濾是新世代防火牆的重點之一，以下來看看Sophos XG的Web filter該如何設定。

• Global設定 - Web Content Filter
  在XG的網頁過濾中，有一個全域的參數可進行設定 - Web Content Filter，
  路徑就在 Protection > Web Protection > Web Content Filter 中。
  而在Web Content Filter的設定又分為以下幾個大項。
  
  
  1. General Configuration
     
     
     
     Scanning 可選單引擎或雙引擎，單引擎會有較有的效能，雙引擎則有較高的安全性。
     但各家防毒引擎其實都大同小異，掃的到就掃的到，掃不到再換一家也沒用，所以建議用單引擎即可。
     而主要引擎的選擇可在 Protection > Web Protection > Malware Protection 中進行選擇。
     
     
     Enforce Safe Search 強制使用安全性搜尋，可在Google, Yahoo, Altavista and Bing上阻擋情色內容，建議啟用。
     
     Enable Pharming Protection 啟用釣魚防護，可避免連到仿冒站台的釣魚網站，建議啟用。
     
     Enable Caching 啟用快取，理論上可減少內對外的重複流量，可以啟用。
     
     Force caching for Endpoint updates 啟用端點更新快取，可以減少內部防毒軟體的更新流量需求。
     如果用的是Sophos的防毒軟體，建議啟用；反之不要啟用。
     
     
  2. HTTP/HTTPS Configurations
     
     
     
     Scan Mode 掃描模式有兩種即時與下載完成再掃描，建議抓完再掃Batch。
     
     File Size Threshold 檔案大小限制，超過此限制即不做掃描。
     
     Audio & Video File Scanning 是否要在聲音/影像檔中進行掃描，建議不用。
     
     HTTPS Scanning CA HTTPS描掃時，做為middle-man的中間人憑證。
     
     Deny Unknown Protocol 是否要擋掉不明的協定，建議不要，以免誤殺無辜。
     
     Allow Invalid Certificate 是否允許非法憑證，務必要允許！
     
     
  3. FTP Configurations
     
     
     
     Files Greater Than Size 在FTP協定中，超過多少大小的檔案即不進行掃描。
     
     
  4. HTTP Scanning Rules
     
     
     
     HTTP的掃描規則，預設的rule1是所有的內對外流量均進行掃描。
     
     
  5. HTTPS Scanning Exceptions
     
     
     
     HTTPS的掃描例外規則，有些站台在透過中間人憑證後會無法開啟，可在此項目中，將該網站加入例外清單不進行掃描。
  
  
• 實際套用在Rule中進行網頁過濾的 Web Filter Policies
  全域的掃描參數定義完成後，接下來就是要設定實際套用至 User/Network Rule 中的網頁過濾政策Web Filter Policy。
  
  
  
  Web Filter Policy是在 Protection > Web Protection > Web Filter Policies 中進行設定，
  XG預設已定義了多組Policy供使用，若這些預設Policy不符需求，我們可以自行建立新的Policy。
  
  
  
  在建立新的Policy中，最重要就是決定Web Filter的基底！
  
  
  比方說我們只要對某些站台開放，其它一律封鎖，那麼我們可選用Deny All來做為基底，再放行所需的網頁站台；
  相反的預設是全開，只要針對某些站台封鎖，那麼我們就該使用Allow All做為基底，再封鎖這些站台。
  確定好基底後，就可以按下Add按鈕來增加需要放行/封鎖的網頁類別了。
  
  在網頁類別中，XG提供了四種網頁類型供管理者定義，
  分別是Web Category、File Type、URL Group與Dynamic Category。
  
  
  
  其中Web Category、File Type、URL Group可自行定義內容，但Dynamic Category只有預設的固定項目可供選用。
  對應功能連結如下圖所示。
  
  
  
  接下來我們來看看這四種類型的網頁定義有何不同。
  
  
  1. Web Category
     從 Protection > Web Protection > Web Categories 進入Web Category後，
     我們會發現，原來Web Category就是將所有網站類型依性質的不同來做分類，
     例如Games、Sex、Gambling、Web E-Mail、Download，...等各種已分類好的網站類別。
     
     
     
     如果這些預設類別不符合我們需求，那我們也可以建立新類別來使用。
     
     
     
     Classification 需在四種分類大項中，選用一個。
     
     Traffic Shaping Policy Web Category是四種網頁類型中唯一一種可做流量塑型的類別。
     
     Domain/Keyword 然後將網站的FQDN或關鍵字加在這個項目之中。
     
     
  2. File Type
     從 Protection > Web Protection > File Type 進File Type後，
     我們會發現可以看到許多預設已內建的檔案類型。
     
     
     
     如果這些預設檔案類型未包含您要過濾的檔案，那我們可以參考其它檔案的設定來新增新的類型。
     
     
  3. URL Group
     URL Group跟Web Category以順子來看是相同，都是透過網站的FQDN來進行設定，
     除了Web Category可以設定關鍵字與流量塑型外，其它都與URL Group相同。
     從 Protection > Web Protection > URL Group 可進行編輯。
     
     
     
     
  4. Dynamic Category
     Dynamic Category沒有提供對應的編輯頁面，只能在設定Web Filter Policy時，選擇Dynamic Category的功能後，再來選擇其類型。
     目前只提供ActiveX、Applets、Cookies及HTTPUpload這四種動態類別可供選用。
     
     
  
  要控制的網頁類型設定好後，再來就是選擇HTTP/HTTPS是要放行還是封鎖。
  
  
  
  最後在 User/Network Rule 中的網頁過濾政策進行套用。
  
  
  
  網頁過濾設定就完成囉∼

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

《分享》網頁過濾案例示範

• 建立Windows Update的Web Category
  在 Protection > Web Protection > Web Categories 中新建一個名為 Windows Update 的Web Category。
  然後把以下 Windows Update站台 加入domain之中。
  
  
  windowsupdate.microsoft.com
  update.microsoft.com
  windowsupdate.com
  download.windowsupdate.com
  download.microsoft.com
  test.stats.update.microsoft.com
  ntservicepack.microsoft.com
  
  
  
  
  由於Windows Update站台要做2M的速限控制，所以點選 Traffic Shaping Policy 建立一個新的限速政策。
  
  
  
  Policy Associaton當選Web Categories，Rule Type要選速限Limit，然後把上下載頻寬均設為250K Byte，也就是2M bit；
  頻寬Usage Type就選共享Shared，讓所有人透過Windows Update進行更新時，頂多只可以吃到2M頻寬。
  
  
  
  然後按下Save，儲存此Web Category。
  
  
  
  
• 建立Facebook的URL Group
  在 Protection > Web Protection > URL Group 中建立一個新的URL Group facebook.com 用以過濾facebook站台。
  
  
  
  
• 建立Web Filter Policy來收容Facebook及Windows Update類別
  Windows Update與Facebook類別建立完成後，接下來就來建立一個新的Web Filter Policy來收容此兩個類別。
  由於我們只要阻擋Facebook，所以Clone Web Categories要選 Allow All 來做為基底，放行不在清單中的所有站台；
  然後按下Add按鈕加入Windows Update與Facebook兩個類別進行過濾。
  
  
  
  點選URL Group，選用剛才建立的facebook.com。
  
  
  
  然後在HTTP/HTTPS的行為上，變更為Deny，這樣才能封鎖此URL Group。
  
  
  
  Facebook加入後，再按下Add按鈕加入Windows Update類別。
  
  
  
  點選Web Category，選用剛才建立的Windows update。
  
  
  
  HTTP/HTTPS行為則保持Allow即可。
  
  
  
  確認Facebook為deny，Windows update為allow後，按下Save儲存此Web Filter Policy。
  
  
  
  
• User/Network Rule套用Web Filter Policies
  Web Filter Policy建立後，回到User/Network Rule中，除了要勾選HTTP/HTTPS scan外，
  在Policy for User Applications區塊中的Web Filter還要選用剛才建立的Web Filter Policy才能發揮效果。
  
  
  請注意，後方的 Apply Web Category based Traffic Shaping Policy 也要勾選，這樣Web Category中的速限設定才能生效喔！
  
  
• 測試
  User/Network Rule套用此Web Filter Policy後，打開網頁連到Facebook會發現已經無法開啟了。
  
  
  
  若用IE瀏覽器雖然可以繼續瀏覽，但會發現已被XG封鎖，無法顯示內容。
  
  
  
  到Windows網頁下載官方patch，會發現速度被鎖定在250K Byte以下，符合預期效果！
  
  
  
  阻擋Facebook並設定Windows Update限速2M的網頁過濾機制驗證成功。

♥順子老婆的網拍，請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!