Ir al contenido
Avanet

Configurar la Protección Web de Sophos Firewall con Políticas Web

Sophos Firewall

La Protección Web de Sophos Firewall controla qué sitios web, categorías y contenidos web pueden acceder los usuarios. En la práctica, la Protección Web no es simplemente una casilla de verificación. Una política web debe ser planificada profesionalmente, activada en una regla de firewall adecuada y luego probada con tráfico real.

Muchos errores ocurren porque una política web existe, pero no se aplica a ninguna regla de firewall activa. Otros problemas están relacionados con HTTPS, Inspección TLS, QUIC, reconocimiento de usuarios, orden de reglas o excepciones demasiado amplias. El flujo de trabajo lógico es: planificar la política, construir la regla, activarla, probarla y supervisarla en operación.

¿Qué artículo de Protección Web es adecuado?

La Protección Web se superpone con reglas de firewall, Inspección TLS, QUIC, informes y excepciones. Dependiendo de la tarea, un artículo más específico puede ser más adecuado:

TareaArtículo adecuado
Configurar Protección Web y Políticas Web en generalEste artículo
Evaluar categorías web, grupos de URL y alertas instantáneasUtilizar categorías web y alertas instantáneas de Sophos Firewall
Desencriptar y verificar tráfico HTTPSImplementar correctamente la Inspección TLS de Sophos Firewall
Distribuir certificado CA para clientes gestionadosDistribuir certificado CA de Sophos Firewall para Inspección TLS
Clasificar QUIC y HTTP/3 en problemas de filtrado webBloquear correctamente QUIC y HTTP/3 en Sophos Firewall
Determinar qué regla de firewall y política realmente se aplicaProbar reglas de Sophos Firewall con Log Viewer, Policy tester y Packet Capture
Evaluar eventos web y de seguridad a largo plazoCentral Firewall Reporting o Enviar Syslog a SIEM

Así se mantiene el análisis limpio: primero debe quedar claro si la regla de firewall coincide. Luego se verifica la política web, categoría, contexto de usuario, QUIC, Inspección TLS y registro.

Qué controla la Protección Web

La Protección Web consta de varios componentes. No todos los componentes deben utilizarse en cada entorno, pero las interrelaciones deben estar claras.

ComponentePropósito
Política WebReglas para accesos web permitidos, advertidos, bloqueados o basados en cuotas
Categorías webCategorías de Sophos y categorías propias para sitios web
Grupos de URLListas de dominios propias para reglas de permitir o bloquear específicas
Tipos de archivosControl de tipos de descarga o archivos específicos
Filtros de contenidoTérminos o patrones para control de contenido
ExcepcionesExcepciones específicas de comportamiento web, TLS o de escaneo
Configuraciones generalesSafeSearch, restricciones de YouTube, Google Apps y restricciones de inquilinos de Microsoft Entra ID
Registro e informesTrazabilidad en Log Viewer, Reporting, Central o SIEM

La Protección Web no reemplaza una base de reglas de firewall limpia. La regla de firewall decide primero qué tráfico de qué zona a qué zona de destino está permitido. La política web complementa esta regla con control web. Los fundamentos sobre el orden de las reglas, origen, destino, servicios y perfiles de seguridad se encuentran en Entender y construir reglas de Sophos Firewall.

Requisitos previos

Antes del despliegue, deben aclararse estos puntos:

  • La Protección Web está licenciada o incluida en el paquete utilizado.
  • Las redes de clientes afectadas tienen sus propias reglas de firewall.
  • El registro está activo en las reglas relevantes.
  • DNS y la hora del firewall funcionan correctamente.
  • El reconocimiento de usuarios está aclarado, si las políticas deben aplicarse por usuario o grupo.
  • La Inspección TLS está planificada si se deben verificar más detalladamente los contenidos HTTPS.
  • QUIC/HTTP/3 se permite o bloquea conscientemente.
  • Hay un grupo piloto y una vía de retroceso para sitios críticos para el negocio.

Es especialmente importante la separación por grupos objetivo. Una política web para clientes normales, servidores, invitados, usuarios de VPN y sistemas de gestión no debería ser la misma. Los servidores a menudo necesitan menos control de navegación, pero listas de destinos y actualizaciones más estrictas. Los invitados a menudo necesitan categorías y limitación de ancho de banda, pero no acceso a recursos internos.

Planificar la política web

Una buena política web no comienza en la interfaz, sino con algunas decisiones profesionales.

Definir grupos objetivo

Primero se determina para quién se aplica la política:

  • Clientes estándar en LAN
  • Portátiles gestionados a través de VPN
  • Wi-Fi de invitados
  • Salas de formación o entornos escolares
  • Servidores con acceso HTTP/HTTPS saliente
  • Puestos de trabajo de administradores privilegiados

Si la misma regla de firewall contiene varios grupos muy diferentes, la Protección Web será difícil de entender. Es mejor tener reglas y políticas separadas, por ejemplo, LAN_USERS_WEB, GUEST_WEB o SERVER_UPDATES_WEB.

Establecer categorías y grupos de URL

Las categorías web de Sophos son buenas para un control amplio: Malware, Phishing, Contenido para adultos, Anonimizadores, Streaming, Redes sociales o Juegos. Los grupos de URL son mejores cuando se deben permitir o bloquear dominios específicos.

Uso típico:

RequisitoMejor componente
bloquear categorías de riesgo conocidasCategoría web
permitir dominios SaaS específicosGrupo de URL
tratar un dominio mal categorizadoGrupo de URL o categoría propia
restringir temporalmente el streamingPolítica web con horario o cuota
página de advertencia en lugar de bloqueo duroPolítica web con acción de advertencia

Los grupos de URL no deben convertirse en una lista de recopilación desordenada. Si se ingresan muchos dominios, la lista necesita un propietario, un propósito y una fecha de revisión. Para listas muy grandes o dinámicas, a menudo son más adecuados Sophos Firewall Threat Feeds u otros componentes arquitectónicos.

Establecer reglas de permitir con precaución

Las reglas de permitir en las políticas web deben ser estrictas. Una regla de permitir en la parte superior puede hacer ineficaces las reglas de bloqueo posteriores, ya que las reglas de política web de Sophos se evalúan de arriba hacia abajo. Esto es especialmente relevante si un grupo de URL, una regla de tipo de archivo o una excepción de categoría está por encima de otras reglas.

En la práctica, se recomienda:

  1. Excepciones de negocio específicas permitidas en la parte superior.
  2. Categorías de bloqueo críticas después.
  3. Reglas de advertencia o cuota para áreas grises.
  4. Tráfico web generalmente permitido solo al final.

Crear política web

La política web se crea en el siguiente menú:

Web > Policies

Proceso básico:

  1. Seleccionar Add policy.
  2. Asignar un nombre descriptivo, por ejemplo, LAN_USERS_STANDARD_WEB.
  3. Añadir reglas.
  4. Elegir usuarios, grupos o Anybody conscientemente.
  5. Seleccionar actividades, categorías, grupos de URL, tipos de archivos o filtros de contenido.
  6. Establecer acción para HTTP y HTTPS: Allow, Warn, Block o Quota.
  7. Establecer horario si la regla solo debe aplicarse en ciertos momentos.
  8. Activar la regla.
  9. Verificar la posición de la regla dentro de la política.
  10. Activar registro e informes.
  11. Guardar la política.

Una política web por sí sola no tiene efecto. La política debe usarse luego en una regla de firewall. Este es uno de los errores de configuración más comunes.

Activar política web en regla de firewall

La regla de firewall se encuentra en:

Rules and policies > Firewall rules

Para el tráfico de Internet de clientes normales, generalmente se utiliza una regla de LAN o una zona de clientes a WAN. Allí se selecciona la política web adecuada en el área Web filtering.

Puntos de verificación en la regla de firewall:

  • La zona de origen y las redes de origen coinciden con la red de clientes.
  • La zona de destino es generalmente WAN.
  • Los servicios incluyen HTTP/HTTPS o los servicios web deseados.
  • Log firewall traffic está activo.
  • En el área Web filtering se establece la política web correcta.
  • El escaneo de malware está activado adecuadamente.
  • Block QUIC protocol está configurado conscientemente.
  • La Inspección TLS se planifica por separado y no se confunde con la política web.

Si una regla más general coincide por encima de la regla web deseada, el tráfico no alcanza la política web. En tales casos, ayuda Probar reglas de Sophos Firewall con Log Viewer y Packet Capture.

Clasificar HTTPS, Inspección TLS y QUIC

Una gran parte del tráfico web es HTTPS. Sin Inspección TLS, el firewall ve menos contenido. Las categorías, SNI, certificados, IP de destino, información de dominio y metadatos ayudan, pero no reemplazan una inspección completa del contenido.

DPI o Web Proxy?

En la Protección Web, se debe decidir temprano si la regla de firewall afectada utiliza el DPI Engine o el Web Proxy. Esta decisión influye en qué funciones se aplican y qué registros son relevantes más tarde.

ModoUso típicoEn qué se debe prestar atención
Modo DPIestándar moderno para muchas reglas de Internet de clientesLa Inspección TLS se realiza a través de reglas de inspección SSL/TLS, Quota no es compatible
Modo Web Proxyentornos con comportamiento de proxy explícito o cuota de políticaComportamiento del proxy, compatibilidad del navegador/cliente y registros del proxy deben verificarse conscientemente

En muchas instalaciones, el modo DPI es el mejor punto de partida. Sin embargo, si se necesitan tiempos de cuota a través de Quota, una regla puramente DPI no es suficiente. Entonces, el modo Web Proxy debe planificarse y probarse conscientemente. Esta decisión debe tomarse antes del despliegue, ya que un cambio posterior puede generar otros patrones de error, registros y experiencias de usuario.

Inspección TLS

Si se deben verificar de manera confiable las descargas, el escaneo de malware, ciertas categorías web o controles de contenido, se debe planificar la Inspección TLS. Para ello, se necesita un certificado CA confiable en los clientes, reglas TLS adecuadas, excepciones y un piloto limpio.

El despliegue se detalla en Desplegar gradualmente la Inspección TLS en Sophos Firewall. Para distribuir y validar el certificado CA, es adecuado Instalar el certificado CA de Sophos Firewall para escaneo HTTPS.

QUIC y HTTP/3

Los navegadores modernos a menudo utilizan QUIC o HTTP/3 sobre UDP 443. Esto puede interferir con las expectativas de filtrado web, inspección TLS y escaneo, si se desea verificar el tráfico HTTPS clásico sobre TCP.

En muchos entornos empresariales, es recomendable bloquear QUIC en las reglas de Internet de clientes, para que los navegadores vuelvan a HTTPS sobre TCP. Los detalles se encuentran en Bloquear correctamente QUIC y HTTP/3 en Sophos Firewall.

SafeSearch, YouTube y restricciones de inquilinos

Sophos Firewall puede establecer controles adicionales de búsqueda y nube en las políticas web.

Opciones típicas:

  • Enforce SafeSearch para Google, Yahoo y Bing.
  • Enforce YouTube restrictions para contenidos restringidos de YouTube.
  • Restrict login domains for Google Apps para dominios de Google permitidos.
  • Apply Microsoft Entra ID tenant restrictions para control de inquilinos en la nube de Microsoft.

Estas funciones son útiles, pero no mágicas. En HTTPS, la efectividad depende parcialmente del escaneo HTTPS o la Inspección TLS. Además, no reemplazan la gobernanza de identidad y aplicaciones en la nube en Microsoft 365 o Google Workspace. Para entornos productivos, se debe verificar el efecto con usuarios de prueba reales y los navegadores afectados.

Cuotas y páginas de advertencia

Las políticas web no solo pueden bloquear o permitir. Con acciones de advertencia o cuota, se puede informar conscientemente a los usuarios o permitir acceso limitado en el tiempo.

Ejemplos útiles:

  • Los usuarios pueden confirmar conscientemente una advertencia para ciertas áreas grises.
  • El streaming o las compras solo están permitidos por tiempo limitado.
  • Los entornos escolares o de laboratorio permiten ciertas categorías solo durante tiempos definidos.

Importante: la cuota de política no es compatible en el modo DPI. Si se necesitan tiempos de cuota, se debe utilizar el modo Web Proxy. Esto debe decidirse temprano, ya que DPI y Web Proxy tienen diferentes características y límites.

Probar la Protección Web

Después de guardar, no solo se debe verificar si la política existe. Lo crucial es si se aplica al tráfico real.

1. Usar el Policy Tester

En Web > Policies está disponible el Policy tester. Con él, se puede verificar qué decisión de política se espera para un usuario, URL y contexto.

El Policy Tester es una buena verificación previa, pero no reemplaza un flujo de paquetes real. Una regla de firewall, NAT, Inspección TLS, QUIC o enrutamiento aún pueden impedir que la política esperada se aplique al tráfico real.

2. Prueba real con cliente piloto

Con un cliente piloto, verificar:

  • sitio de negocios permitido
  • categoría bloqueada
  • categoría de advertencia
  • Permitir grupo de URL
  • Bloquear grupo de URL
  • sitio HTTPS con y sin Inspección TLS
  • Descarga de un tipo de archivo de prueba inofensivo
  • Comportamiento con QUIC activo o bloqueado

3. Verificar Log Viewer

En el Log Viewer debería ser visible:

  • qué regla de firewall fue alcanzada
  • qué usuario fue reconocido, si es relevante
  • qué categoría web o grupo de URL estuvo involucrado
  • si HTTPS, Inspección TLS o escaneo de malware estuvieron involucrados
  • si la acción permitió, advirtió o bloqueó

Para una solución de problemas más profunda, también son relevantes los archivos de registro. La asignación se encuentra en Solución de problemas de Sophos Firewall: Servicios y registros.

Alertas instantáneas e informes

Si ciertas categorías no solo deben bloquearse, sino también informarse activamente, las alertas instantáneas pueden ser útiles. Esto es especialmente útil en escuelas, entornos estrictamente regulados o áreas con políticas claras de uso de Internet.

Los tres métodos de evaluación responden a diferentes preguntas:

NecesidadPunto de entrada adecuado
Correo electrónico rápido para pocas categorías web sensiblesAlertas instantáneas
Informes recurrentes, tendencias y evaluaciones de usuarios o categoríasCentral Firewall Reporting
Almacenamiento a largo plazo, correlación con otros sistemas o procesos SOCSyslog o SIEM

Antes de las alertas instantáneas, debe quedar claro quién recibe la notificación, qué categorías realmente desencadenan una reacción, cómo se manejan los falsos positivos y cuándo se revisa la selección de categorías. Una lista amplia de alertas sin propietario genera rápidamente ruido de correo electrónico, pero no mejor seguridad.

Para la activación técnica y la clasificación, consulte Utilizar categorías web y alertas instantáneas de Sophos Firewall. Para evaluaciones a largo plazo, se deben considerar Central Firewall Reporting o Enviar Syslog de Sophos Firewall a SIEM.

Gestionar cambios y excepciones en operación

La Protección Web cambia continuamente en operación. Se añaden nuevos servicios SaaS, se categorizan incorrectamente dominios individuales, los departamentos necesitan acceso temporal y el comportamiento del navegador cambia. Sin un proceso claro, rápidamente surgen excepciones amplias que nadie puede explicar más tarde.

Para cada cambio, se debe registrar al menos:

PreguntaPor qué es importante
¿Quién necesita el acceso?evita excepciones globales para pocos usuarios
¿Qué dominio, categoría o tipo de archivo está afectado?separa claramente Grupo de URL, Categoría Web y Tipo de Archivo
¿Es una excepción temporal o permanente?obliga a revisión en lugar de aprobaciones permanentes en la sombra
¿Qué regla de firewall y política web están afectadas?evita cambios en la regla incorrecta
¿Cómo se prueba?hace que el éxito sea demostrable en el Log Viewer

Se recomienda un pequeño proceso de cambio:

  1. Registrar la solicitud con usuario, URL, momento, motivo comercial y captura de pantalla o mensaje de error.
  2. Verificar en el Log Viewer qué regla de firewall, política web, categoría y acción se aplicaron.
  3. Decidir si la categoría es fundamentalmente incorrecta, si solo se debe liberar un dominio individual o si se rechaza la solicitud.
  4. Si se necesita una excepción, trabajar lo más estrechamente posible: grupo de URL individual en lugar de categoría completa, grupo de usuarios individual en lugar de toda la LAN.
  5. Probar el cambio en una regla de prueba o grupo piloto.
  6. Después de guardar, realizar una prueba real y documentar Log Viewer, categoría, ID de regla y contexto de usuario.
  7. Establecer una fecha de revisión, especialmente para excepciones comerciales temporales.

Las excepciones temporales deben nombrarse claramente, por ejemplo, TMP_ALLOW_vendor-portal_until_2026-07-31. Las excepciones comerciales permanentes también necesitan un propietario. Si nadie es responsable de una excepción, no debe permanecer permanentemente en la política.

Si surgen muchos dominios individuales para el mismo servicio, a menudo el problema no es la política web, sino la arquitectura del servicio. Entonces, se debe verificar si una regla de firewall propia, una política web propia, un grupo de URL bien mantenido u otro punto de control es más adecuado. Para listas dinámicas de IOC o de bloqueo, las excepciones de política web generalmente no son el lugar adecuado; para eso son más adecuados Sophos Firewall Threat Feeds.

Reversión y liberación de emergencia

Un cambio en la política web puede afectar inmediatamente el trabajo productivo. Por lo tanto, antes de realizar cambios importantes, se debe establecer cómo se restaurará el estado anterior.

Opciones prácticas de reversión:

  • duplicar o documentar la política web afectada antes del cambio
  • probar el cambio primero en una regla piloto o grupo pequeño de usuarios
  • no eliminar inmediatamente la regla de firewall o política web antigua
  • definir ventana de tiempo, usuarios de prueba y criterio de retroceso
  • después de guardar, verificar Log Viewer, ID de regla y decisión de categoría

Para bloqueos agudos, no se debe insertar reflexivamente una regla de permitir amplia en la parte superior. Es mejor una excepción estrecha y temporal con un grupo de URL claro, grupo de usuarios y fecha de revisión. Si la presión es alta, una excepción temporal puede estabilizar la operación, pero debe ser reevaluada después.

Errores comunes

La política web no se aplica

Generalmente, la política no está activada en la regla de firewall correcta, la regla no se alcanza, una regla más arriba permite el tráfico o el contexto del usuario no coincide. Primero, verificar Log Viewer y ID de regla.

HTTPS no se bloquea como se esperaba

Sin Inspección TLS, el firewall ve menos detalles. Dependiendo del destino, una decisión de dominio o categoría puede funcionar, mientras que la inspección de contenido, tipos de archivos o ciertas funciones de búsqueda están limitadas.

QUIC elude la expectativa

Si los navegadores utilizan UDP 443, el tráfico puede procesarse de manera diferente al HTTPS clásico sobre TCP. En las reglas de clientes, se debe decidir conscientemente si se bloquea QUIC.

La regla de permitir está demasiado arriba

Una regla de permitir amplia al principio de la política web puede invalidar las reglas de bloqueo posteriores. El orden de las reglas dentro de la política web es tan importante como el orden de las reglas en la lista de reglas de firewall.

Demasiadas excepciones

Las excepciones resuelven rápidamente un problema individual, pero pueden reducir la efectividad de la protección. Cada excepción necesita un propósito, propietario y fecha de revisión. Si surgen muchas excepciones, a menudo la estructura de la política es incorrecta o una aplicación comercial necesita una regla propia.

El informe no muestra nada

Entonces, se deben verificar el registro, los informes, la regla de firewall, la selección de políticas o la redirección de registros. Una política sin registro es difícil de evaluar en operación.

Lista de verificación de operación

  • Estado de licencia de Protección Web verificado.
  • Tráfico de clientes, servidores, invitados y VPN evaluado por separado.
  • Política web creada con nombre descriptivo.
  • Categorías críticas y grupos de URL planificados conscientemente.
  • Orden de reglas dentro de la política web verificada.
  • Política web activada en la regla de firewall adecuada.
  • Log firewall traffic y registro web activos.
  • Inspección TLS y certificado CA para grupo piloto verificados.
  • Estrategia QUIC definida.
  • Policy Tester y pruebas reales realizadas.
  • Log Viewer e informes controlados.
  • Proceso de cambio para excepciones de política web definido.
  • Excepciones temporales con fecha de vencimiento establecida.
  • Excepciones documentadas con propietario y fecha de revisión.

FAQ

¿Por qué no se aplica mi política web de Sophos Firewall?

A menudo, la política web no está seleccionada en la regla de firewall adecuada, la regla de firewall no se alcanza o hay otra regla más arriba. En el Log Viewer, primero se debe verificar la ID de regla, usuario, zona y categoría web.

¿Es suficiente la Protección Web sin Inspección TLS?

Para decisiones simples de dominio o categoría, la Protección Web puede ser útil incluso sin desencriptación completa. Para inspección de contenido, descargas, tipos de archivos y control HTTPS más confiable, la Inspección TLS es necesaria en muchos entornos.

¿Debería bloquearse QUIC en Sophos Firewall?

En muchos entornos empresariales sí, si se desea que el filtrado web, la Inspección TLS y el escaneo se apliquen de manera consistente. Entonces, los navegadores normalmente vuelven a HTTPS sobre TCP. La decisión debe ser probada y documentada.

¿Cuál es la diferencia entre una política web y una regla de firewall?

La regla de firewall permite el tráfico entre zonas y redes. La política web luego controla categorías web, grupos de URL, advertencias, bloqueos, cuotas u otros controles web dentro de esta regla.

¿Dónde se pueden ver las decisiones de Protección Web?

Primero en el Log Viewer con filtros web y de firewall. Para evaluaciones más largas, ayudan Central Firewall Reporting o Syslog/SIEM. En problemas técnicos de detalle, pueden ser relevantes los registros de proxy web, awarrenhttp, nSXLd e IPS.

¿Cómo se deben documentar las excepciones de política web?

Al menos con motivo, dominio o categoría afectada, grupo de usuarios, regla de firewall, política web, propietario y fecha de revisión. Las excepciones temporales deben tener una fecha de vencimiento en el nombre o en la documentación.