Vai al contenuto
Avanet

Configurare la protezione web di Sophos Firewall con le politiche web

Sophos Firewall

La protezione web di Sophos Firewall controlla quali siti web, categorie e contenuti web gli utenti possono raggiungere. In pratica, la protezione web non è semplicemente un singolo flag. Una politica web deve essere pianificata professionalmente, attivata in una regola firewall appropriata e successivamente testata con traffico reale.

Molti errori si verificano perché una politica web esiste, ma non viene applicata a una regola firewall attiva. Altri problemi sono legati a HTTPS, ispezione TLS, QUIC, riconoscimento utente, ordine delle regole o eccezioni troppo generiche. Il flusso logico è quindi: pianificare la politica, costruire la regola, attivarla, testarla e monitorarla in produzione.

Quale articolo sulla protezione web è adatto?

La protezione web si sovrappone a regole firewall, ispezione TLS, QUIC, reportistica ed eccezioni. A seconda del compito, un articolo più specifico potrebbe essere più adatto:

CompitoArticolo adatto
Configurare fondamentalmente la protezione web e le politiche webQuesto articolo
Valutare categorie web, gruppi di URL e avvisi istantaneiUtilizzare le categorie web e gli avvisi istantanei di Sophos Firewall
Decrittare e verificare il traffico HTTPSImplementare correttamente l’ispezione TLS di Sophos Firewall
Distribuire il certificato CA per i client gestitiDistribuire il certificato CA di Sophos Firewall per l’ispezione TLS
Classificare QUIC e HTTP/3 in caso di problemi di filtraggio webBloccare correttamente QUIC e HTTP/3 su Sophos Firewall
Scoprire quale regola firewall e politica sono effettivamente applicateTestare le regole di Sophos Firewall con Log Viewer, Policy tester e Packet Capture
Valutare eventi web e di sicurezza a lungo termineCentral Firewall Reporting o Inviare Syslog a SIEM

In questo modo l’analisi rimane chiara: prima bisogna verificare se la regola firewall corrisponde. Successivamente, si controllano la politica web, la categoria, il contesto utente, QUIC, l’ispezione TLS e la registrazione.

Cosa controlla la protezione web

La protezione web è composta da diversi componenti. Non tutti i componenti devono essere utilizzati in ogni ambiente, ma le relazioni dovrebbero essere chiare.

ComponenteScopo
Politica webRegole per accessi web consentiti, avvisati, bloccati o basati su quota
Categorie webCategorie Sophos e categorie personalizzate per i siti web
Gruppi di URLListe di domini personalizzate per regole di consentito o bloccato mirate
Tipi di fileControllo di determinati tipi di download o file
Filtri di contenutoTermini o modelli per il controllo dei contenuti
EccezioniEccezioni mirate per comportamento web, TLS o di scansione
Impostazioni generaliSafeSearch, restrizioni YouTube, Google Apps e restrizioni tenant Microsoft Entra ID
Registrazione e reportisticaTracciabilità in Log Viewer, Reporting, Central o SIEM

La protezione web non sostituisce una base di regole firewall pulita. La regola firewall decide prima quale traffico da quale zona a quale zona di destinazione è consentito. La politica web integra questa regola con il controllo web. Le basi per l’ordine delle regole, la sorgente, la destinazione, i servizi e i profili di sicurezza sono disponibili in Comprendere e costruire correttamente le regole di Sophos Firewall.

Prerequisiti

Prima del rollout, questi punti dovrebbero essere chiariti:

  • La protezione web è concessa in licenza o inclusa nel pacchetto utilizzato.
  • Le reti client interessate hanno regole firewall proprie.
  • La registrazione è attiva nelle regole rilevanti.
  • DNS e orario del firewall funzionano correttamente.
  • Il riconoscimento utente è chiarito, se le politiche devono applicarsi per utente o gruppo.
  • L’ispezione TLS è pianificata, se i contenuti HTTPS devono essere esaminati più da vicino.
  • QUIC/HTTP/3 è consapevolmente consentito o bloccato.
  • Esiste un gruppo pilota e un percorso di fallback per i siti critici per il business.

Particolarmente importante è la separazione per gruppi target. Una politica web per client normali, server, ospiti, utenti VPN e sistemi di gestione non dovrebbe essere la stessa. I server spesso necessitano di meno controllo di navigazione, ma liste di destinazione e aggiornamento più rigorose. Gli ospiti spesso necessitano di categorie e limitazioni di larghezza di banda, ma non di accesso alle risorse interne.

Pianificare la politica web

Una buona politica web non inizia nell’interfaccia, ma con alcune decisioni professionali.

Definire i gruppi target

Per prima cosa si stabilisce per chi è valida la politica:

  • Client standard nella LAN
  • Notebook gestiti tramite VPN
  • WLAN ospiti
  • Aule o ambienti scolastici
  • Server con accesso HTTP/HTTPS in uscita
  • Postazioni amministrative privilegiate

Se la stessa regola firewall contiene più gruppi molto diversi, la protezione web diventa difficile da comprendere. Meglio regole e politiche separate, ad esempio LAN_USERS_WEB, GUEST_WEB o SERVER_UPDATES_WEB.

Stabilire categorie e gruppi di URL

Le categorie web di Sophos sono utili per un controllo ampio: malware, phishing, contenuti per adulti, anonimizzatori, streaming, social media o giochi. I gruppi di URL sono migliori quando si desidera consentire o bloccare singoli domini in modo mirato.

Uso tipico:

RequisitoComponente migliore
Bloccare categorie di rischio noteCategoria web
Consentire determinati domini SaaSGruppo di URL
Gestire un singolo dominio categorizzato erroneamenteGruppo di URL o categoria personalizzata
Limitare temporalmente lo streamingPolitica web con pianificazione o quota
Pagina di avviso invece di blocco rigidoPolitica web con azione di avviso

I gruppi di URL non dovrebbero diventare una lista di raccolta non ordinata. Se vengono inseriti molti domini, la lista necessita di un proprietario, uno scopo e una data di revisione. Per liste molto grandi o dinamiche, Sophos Firewall Threat Feeds o altri componenti architetturali sono spesso più appropriati.

Impostare con cautela le regole di consentito

Le regole di consentito nelle politiche web dovrebbero essere strette. Una regola di consentito in alto può rendere inefficaci le regole di blocco successive, poiché le regole delle politiche web di Sophos vengono valutate dall’alto verso il basso. Questo è particolarmente rilevante se un gruppo di URL, una regola di tipo di file o un’eccezione di categoria si trova sopra altre regole.

Praticamente si è dimostrato efficace:

  1. Eccezioni aziendali specifiche consentite in alto.
  2. Categorie di blocco critiche dopo.
  3. Regole di avviso o quota per aree grigie.
  4. Traffico web generalmente consentito solo alla fine.

Creare una politica web

La politica web viene creata nel seguente menu:

Web > Policies

Procedura di base:

  1. Selezionare Add policy.
  2. Assegnare un nome significativo, ad esempio LAN_USERS_STANDARD_WEB.
  3. Aggiungere regole.
  4. Scegliere consapevolmente utenti, gruppi o Anybody.
  5. Selezionare attività, categorie, gruppi di URL, tipi di file o filtri di contenuto.
  6. Stabilire l’azione per HTTP e HTTPS: Allow, Warn, Block o Quota.
  7. Impostare un programma, se la regola deve valere solo in determinati orari.
  8. Attivare la regola.
  9. Verificare la posizione della regola all’interno della politica.
  10. Attivare la registrazione e la reportistica.
  11. Salvare la politica.

Una politica web da sola non ha effetto. La politica deve essere utilizzata successivamente in una regola firewall. Questo è uno degli errori di configurazione più comuni.

Attivare la politica web nella regola firewall

La regola firewall si trova sotto:

Rules and policies > Firewall rules

Per il traffico Internet normale dei client, di solito è responsabile una regola da LAN o una zona client a WAN. Lì, nell’area Web filtering, viene selezionata la politica web appropriata.

Punti di controllo nella regola firewall:

  • La zona di origine e le reti di origine corrispondono alla rete client.
  • La zona di destinazione è di solito WAN.
  • I servizi includono HTTP/HTTPS o i servizi web desiderati.
  • Log firewall traffic è attivo.
  • Nell’area Web filtering è impostata la politica web corretta.
  • La scansione malware è attivata in modo appropriato.
  • Block QUIC protocol è impostato consapevolmente.
  • L’ispezione TLS è pianificata separatamente e non confusa con la politica web.

Se una regola più generale sopra la regola web desiderata corrisponde, il traffico non raggiunge la politica web. In tali casi, aiuta Testare le regole di Sophos Firewall con Log Viewer e Packet Capture.

Classificare HTTPS, ispezione TLS e QUIC

Una grande parte del traffico web è HTTPS. Senza ispezione TLS, il firewall vede meno contenuti. Categorie, SNI, certificati, IP di destinazione, informazioni sul dominio e metadati aiutano, ma non sostituiscono una verifica completa dei contenuti.

DPI o Web Proxy?

Con la protezione web, bisogna decidere presto se la regola firewall interessata utilizza il DPI Engine o il Web Proxy. Questa decisione influenza quali funzioni si applicano e quali registri sono rilevanti in seguito.

ModalitàUso tipicoCosa considerare
Modalità DPIstandard moderno per molte regole Internet clientL’ispezione TLS avviene tramite regole di ispezione SSL/TLS, la quota non è supportata
Modalità Web Proxyambienti con comportamento proxy esplicito o quota di politicaVerificare consapevolmente il comportamento del proxy, la compatibilità del browser/client e i registri del proxy

In molte installazioni, la modalità DPI è il punto di partenza migliore. Tuttavia, se sono necessari tempi di quota tramite Quota, una regola puramente DPI non è sufficiente. In tal caso, la modalità Web Proxy deve essere pianificata e testata consapevolmente. Questa decisione dovrebbe essere presa prima del rollout, poiché un cambio successivo può generare altri modelli di errore, registri ed esperienze utente.

Ispezione TLS

Se si desidera verificare in modo affidabile download, scansione malware, determinate categorie web o controlli dei contenuti, è necessario pianificare l’ispezione TLS. Per questo è necessario un certificato CA attendibile sui client, regole TLS appropriate, eccezioni e un pilota pulito.

Il rollout è descritto in Distribuire gradualmente l’ispezione TLS su Sophos Firewall. Per distribuire e convalidare il certificato CA, è adatto Installare il certificato CA di Sophos Firewall per la scansione HTTPS.

QUIC e HTTP/3

I browser moderni utilizzano spesso QUIC o HTTP/3 su UDP 443. Questo può disturbare le aspettative di filtraggio web, ispezione TLS e scansione, se si desidera effettivamente esaminare il traffico HTTPS classico su TCP.

In molte aziende, è utile bloccare QUIC nelle regole Internet client, in modo che i browser tornino a HTTPS su TCP. I dettagli sono disponibili in Bloccare correttamente QUIC e HTTP/3 su Sophos Firewall.

SafeSearch, YouTube e restrizioni tenant

Sophos Firewall può impostare controlli di ricerca e cloud aggiuntivi nelle politiche web.

Opzioni tipiche:

  • Enforce SafeSearch per Google, Yahoo e Bing.
  • Enforce YouTube restrictions per contenuti YouTube limitati.
  • Restrict login domains for Google Apps per domini Google consentiti.
  • Apply Microsoft Entra ID tenant restrictions per il controllo dei tenant cloud Microsoft.

Queste funzioni sono utili, ma non magiche. Con HTTPS, l’efficacia dipende in parte dalla scansione HTTPS o dall’ispezione TLS. Inoltre, non sostituiscono la governance delle identità e delle app cloud in Microsoft 365 o Google Workspace. Per ambienti produttivi, si dovrebbe verificare l’effetto con utenti di test reali e i browser interessati.

Quota e pagine di avviso

Le politiche web possono non solo bloccare o consentire. Con azioni di avviso o quota, è possibile informare consapevolmente gli utenti o consentire l’accesso limitato nel tempo.

Esempi significativi:

  • Gli utenti possono confermare consapevolmente un avviso per determinate aree grigie.
  • Lo streaming o lo shopping è consentito solo per un tempo limitato.
  • Gli ambienti scolastici o di laboratorio consentono determinate categorie solo durante orari definiti.

Importante: la quota di politica non è supportata in modalità DPI. Se sono necessari tempi di quota, deve essere utilizzata la modalità Web Proxy. Questo dovrebbe essere deciso presto, poiché DPI e Web Proxy hanno caratteristiche e limiti diversi.

Testare la protezione web

Dopo il salvataggio, non si dovrebbe solo verificare se la politica esiste. È fondamentale verificare se si applica al traffico reale.

1. Utilizzare il Policy Tester

Sotto Web > Policies è disponibile il Policy tester. Con esso, è possibile verificare quale decisione politica è prevista per utente, URL e contesto.

Il Policy Tester è un buon pre-controllo, ma non sostituisce un flusso di pacchetti reale. Una regola firewall, NAT, ispezione TLS, QUIC o routing può comunque impedire che la politica prevista si applichi al traffico reale.

2. Test reale con client pilota

Con un client pilota, verificare:

  • sito aziendale consentito
  • categoria bloccata
  • categoria di avviso
  • gruppo di URL consentito
  • gruppo di URL bloccato
  • sito HTTPS con e senza ispezione TLS
  • download di un tipo di file di test innocuo
  • comportamento con QUIC attivo o bloccato

3. Verificare il Log Viewer

Nel Log Viewer dovrebbe essere visibile:

  • quale regola firewall è stata colpita
  • quale utente è stato riconosciuto, se rilevante
  • quale categoria web o gruppo di URL è stato coinvolto
  • se HTTPS, ispezione TLS o scansione malware sono stati coinvolti
  • se l’azione ha consentito, avvisato o bloccato

Per un troubleshooting più approfondito, sono rilevanti anche i file di log. L’assegnazione è disponibile in Sophos Firewall Troubleshooting: Servizi e Log.

Avvisi istantanei e reportistica

Se determinate categorie non solo devono essere bloccate, ma segnalate attivamente, gli avvisi istantanei possono essere utili. Questo è particolarmente utile nelle scuole, in ambienti strettamente regolamentati o in aree con una chiara politica di utilizzo di Internet.

I tre modi di valutazione rispondono a domande diverse:

NecessitàIngresso adatto
Email rapida per poche categorie web sensibiliAvvisi istantanei
Report ricorrenti, tendenze e valutazioni per utente o categoriaCentral Firewall Reporting
Conservazione a lungo termine, correlazione con altri sistemi o processi SOCSyslog o SIEM

Prima degli avvisi istantanei, dovrebbe essere chiaro chi riceve la notifica, quali categorie richiedono davvero una reazione, come vengono gestiti i falsi positivi e quando viene verificata la selezione delle categorie. Una lista di avvisi ampia senza proprietario genera rapidamente rumore email, ma non una maggiore sicurezza.

Per l’attivazione tecnica e il triage, consultare Utilizzare le categorie web e gli avvisi istantanei di Sophos Firewall. Per valutazioni a lungo termine, dovrebbero essere esaminati Central Firewall Reporting o Inviare Syslog a SIEM.

Gestire modifiche ed eccezioni in produzione

La protezione web cambia continuamente in produzione. Nuovi servizi SaaS vengono aggiunti, singoli domini vengono categorizzati erroneamente, i dipartimenti necessitano di accesso temporaneo e il comportamento del browser cambia. Senza un flusso chiaro, si creano rapidamente eccezioni ampie che nessuno può più spiegare in seguito.

Per ogni modifica, si dovrebbe almeno annotare:

DomandaPerché è importante
Chi necessita dell’accesso?previene eccezioni globali per pochi utenti
Quale dominio, categoria o tipo di file è coinvolto?separa chiaramente gruppo di URL, categoria web e tipo di file
È un’eccezione temporanea o permanente?impone una revisione invece di autorizzazioni ombra permanenti
Quale regola firewall e politica web sono coinvolte?previene modifiche alla regola sbagliata
Come viene testato?rende il successo dimostrabile nel Log Viewer

Si è dimostrato efficace un piccolo flusso di cambiamento:

  1. Registrare la richiesta con utente, URL, orario, motivo aziendale e screenshot o messaggio di errore.
  2. Verificare nel Log Viewer quale regola firewall, politica web, categoria e azione sono state applicate.
  3. Decidere se la categoria è fondamentalmente errata, se solo un singolo dominio deve essere autorizzato o se la richiesta viene respinta.
  4. Se è necessaria un’eccezione, lavorare il più strettamente possibile: singolo gruppo di URL invece di intera categoria, singolo gruppo di utenti invece di intera LAN.
  5. Verificare la modifica in una regola di test o gruppo pilota.
  6. Dopo il salvataggio, eseguire un test reale e documentare Log Viewer, categoria, ID regola e contesto utente.
  7. Impostare una data di revisione, specialmente per eccezioni aziendali temporanee.

Le eccezioni temporanee dovrebbero essere chiaramente denominate, ad esempio TMP_ALLOW_vendor-portal_until_2026-07-31. Anche le eccezioni aziendali permanenti necessitano di un proprietario. Se nessuno è responsabile di un’eccezione, non dovrebbe rimanere permanentemente nella politica.

Se molti singoli domini per lo stesso servizio emergono, spesso non è la politica web il problema, ma l’architettura del servizio. In tal caso, si dovrebbe verificare se una regola firewall separata, una politica web separata, un gruppo di URL ben gestito o un altro punto di controllo sono più adatti. Per liste IOC o di blocco dinamiche, le eccezioni delle politiche web sono spesso il luogo sbagliato; in tal caso, sono più adatti Sophos Firewall Threat Feeds.

Rollback e autorizzazione di emergenza

Una modifica alla politica web può influenzare immediatamente il lavoro produttivo. Pertanto, prima di apportare modifiche significative, si dovrebbe stabilire come ripristinare lo stato precedente.

Opzioni pratiche di rollback:

  • duplicare o documentare la politica web interessata prima della modifica
  • testare la modifica prima in una regola pilota o in un piccolo gruppo di utenti
  • non eliminare immediatamente la vecchia regola firewall o la vecchia politica web
  • definire una finestra temporale, utenti di test e criterio di fallback
  • dopo il salvataggio, verificare Log Viewer, ID regola e decisione di categoria

Per blocchi acuti, non si dovrebbe inserire automaticamente una regola di consentito ampia in alto. Meglio è un’eccezione stretta e temporanea con un chiaro gruppo di URL, gruppo di utenti e data di revisione. Se la pressione è alta, un’eccezione temporanea può stabilizzare l’operazione, ma deve essere rivalutata successivamente.

Errori tipici

La politica web non si applica

Spesso la politica non è attivata nella regola firewall corretta, la regola non viene colpita, una regola più in alto consente il traffico o il contesto utente non è corretto. Prima verificare Log Viewer e ID regola.

HTTPS non viene bloccato come previsto

Senza ispezione TLS, il firewall vede meno dettagli. A seconda della destinazione, una decisione di dominio o categoria può funzionare, mentre la verifica dei contenuti, i tipi di file o determinate funzioni di ricerca rimangono limitate.

QUIC aggira l’aspettativa

Se i browser utilizzano UDP 443, il traffico può essere elaborato diversamente rispetto all’HTTPS classico su TCP. Nelle regole client, si dovrebbe decidere consapevolmente se bloccare QUIC.

La regola di consentito è troppo in alto

Una regola di consentito ampia all’inizio della politica web può annullare le regole di blocco successive. L’ordine delle regole all’interno della politica web è importante quanto l’ordine delle regole nella lista delle regole firewall.

Troppe eccezioni

Le eccezioni risolvono rapidamente un problema singolo, ma possono ridurre l’efficacia della protezione. Ogni eccezione necessita di uno scopo, un proprietario e una data di revisione. Se emergono molte eccezioni, spesso la struttura della politica è errata o un’applicazione aziendale necessita di una regola propria.

La reportistica non mostra nulla

In tal caso, si devono verificare registrazione, reportistica, regola firewall, selezione della politica o inoltro dei log. Una politica senza registrazione è difficile da valutare in produzione.

Lista di controllo operativa

  • Stato della licenza di protezione web verificato.
  • Traffico client, server, ospiti e VPN valutato separatamente.
  • Politica web creata con nome significativo.
  • Categorie critiche e gruppi di URL pianificati consapevolmente.
  • Ordine delle regole all’interno della politica web verificato.
  • Politica web attivata nella regola firewall appropriata.
  • Log firewall traffic e registrazione web attivi.
  • Ispezione TLS e certificato CA verificati per il gruppo pilota.
  • Strategia QUIC definita.
  • Tester di politica e test reali eseguiti.
  • Log Viewer e reportistica controllati.
  • Processo di modifica per eccezioni di politica web definito.
  • Eccezioni temporanee con data di scadenza impostata.
  • Eccezioni documentate con proprietario e data di revisione.

FAQ

Perché la mia politica web di Sophos Firewall non si applica?

Spesso la politica web non è selezionata nella regola firewall appropriata, la regola firewall non viene colpita o un’altra regola è più in alto. Nel Log Viewer, si dovrebbe prima verificare ID regola, utente, zona e categoria web.

La protezione web è sufficiente senza ispezione TLS?

Per decisioni semplici su domini o categorie, la protezione web può essere utile anche senza decrittazione completa. Per la verifica dei contenuti, i download, i tipi di file e un controllo HTTPS più affidabile, l’ispezione TLS è necessaria in molti ambienti.

Si dovrebbe bloccare QUIC su Sophos Firewall?

In molte aziende sì, se si desidera che il filtraggio web, l’ispezione TLS e la scansione siano applicati in modo coerente. In tal caso, i browser di solito tornano a HTTPS su TCP. La decisione dovrebbe essere testata e documentata.

Qual è la differenza tra politica web e regola firewall?

La regola firewall consente il traffico tra zone e reti. La politica web controlla successivamente categorie web, gruppi di URL, avvisi, blocchi, quote o altri controlli web all’interno di questa regola.

Dove si vedono le decisioni di protezione web?

Prima nel Log Viewer con filtri web e firewall. Per una valutazione più lunga, aiutano Central Firewall Reporting o Syslog/SIEM. In caso di problemi tecnici dettagliati, possono essere rilevanti i log di webproxy, awarrenhttp, nSXLd e IPS.

Come si dovrebbero documentare le eccezioni di politica web?

Almeno con motivo, dominio o categoria interessata, gruppo di utenti, regola firewall, politica web, proprietario e data di revisione. Le eccezioni temporanee dovrebbero avere una data di scadenza nel nome o nella documentazione.