Naar de inhoud
Avanet

Sophos Firewall Webcategorieën en Instant Alerts gebruiken

Sophos Firewall

Webcategorieën op de Sophos Firewall zijn meer dan een eenvoudige webfilter voor ongewenste websites. Juist toegepast helpen ze risicovol surfgedrag te beperken, categorieën nauwkeurig te loggen en sneller te reageren bij kritieke toegang.

Met instant alerts kan de firewall e-mailmeldingen sturen voor geselecteerde webcategorieën. Dit is vooral nuttig in scholen, gevoelige bedrijfsomgevingen of omgevingen waar bepaalde webtoegang niet pas in het maandrapport moet opvallen.

Belangrijk is de verwachting: webcategorieën, URL-groepen, webbeleid, TLS-inspectie, QUIC-afhandeling, logging en rapporten moeten op elkaar aansluiten. Als slechts één categorie wordt geactiveerd, maar het webbeleid niet in een firewallregel wordt gebruikt, gebeurt er niets in de productieve traffic.

Voor algemene webbeleidplanning past eerst Sophos Firewall Webbescherming met webbeleid instellen. Voor de regelbasis helpt Sophos Firewall-regels begrijpen en correct configureren. Dit artikel richt zich op het operationele webgedeelte: categorieën, URL-groepen, instant alerts, evaluatie en reactie.

Begrippen duidelijk scheiden

Sophos gebruikt meerdere webobjecten die in de praktijk gemakkelijk door elkaar gehaald worden.

BegripTaakTypisch gebruik
WebcategorieCategorie voor domeinen, URL’s of trefwoorden. Veel categorieën komen van Sophos, eigen categorieën zijn mogelijk.Webtoegang toestaan, blokkeren, beperken of melden op basis van risico of inhoud.
URL-groepLijst met domeinen die in webbeleid of TLS-uitzonderingen kan worden gebruikt.Expliciete toestaan- of blokkeerlijsten, wanneer specifieke domeinen belangrijker zijn dan categorieën.
WebbeleidRegelwerk voor gebruikers, groepen, categorieën, URL-groepen, bestandstypen, inhoudsfilters en acties.Webtoegang beheren en koppelen aan een firewallregel.
Instant alertsE-mailmelding voor toegang tot bewaakte categorieën.Snelle melding bij bijzonder gevoelige of risicovolle categorieën.
Log Viewer en rapportenEvaluatie van de daadwerkelijke beslissing.Controleren of categorie, beleid, gebruiker en firewallregel zoals verwacht werken.

Een webbeleid werkt pas als het in een passende firewallregel onder Security features > Web filtering is geselecteerd. Het webbeleid alleen is dus nog geen productieve regel.

Wanneer webcategorieën zinvol zijn

Webcategorieën zijn vooral nuttig wanneer webtoegang niet alleen algemeen toegestaan of geblokkeerd moet worden. Typische scenario’s:

  • Malware-, phishing- en fraudecategorieën blokkeren.
  • Anonymizers, proxies en omzeildiensten beperken.
  • Command-and-Control- of spywarecategorieën speciaal monitoren.
  • Categorieën zoals Adult content, Gambling of Controlled substances afhankelijk van de omgeving blokkeren.
  • Bedrijfskritische cloudapplicaties toestaan, maar privécloud- of bestandsdelingdiensten beperken.
  • In scholen of begeleide omgevingen bijzonder gevoelige categorieën met instant alerts monitoren.
  • Bandbreedte voor bepaalde webcategorieën beperken via traffic shaping.

Categorieën moeten niet willekeurig allemaal op blokkeren of alert worden gezet. Anders ontstaan er veel treffers die niemand zinvol kan beoordelen. Beter is een kleine, duidelijke set met eigenaar, reactieweg en beoordeling.

Vereisten

Voor de configuratie moeten deze punten duidelijk zijn:

  • Webbescherming of een passend Sophos Firewall-pakket is gelicentieerd.
  • Er is een client- of gebruikersregel die webfiltering moet gebruiken.
  • Gebruikers- of groepsmatching is gepland, als beleid gebruikersgebaseerd moet werken.
  • Log firewall traffic is in de relevante firewallregel actief.
  • De passende logtypen zijn onder System services > Log settings geactiveerd.
  • E-mailmeldingen werken als instant alerts gebruikt moeten worden.
  • Voor langdurige evaluatie is Sophos Central Firewall Reporting of Syslog gepland.
  • QUIC en TLS-inspectie zijn bewust besloten.

Voor centrale evaluatie past Central Firewall Reporting activeren. Als logs naar een eigen SIEM moeten gaan, is Sophos Firewall Syslog naar SIEM sturen het betere vervolgartikel.

Categorieën en URL-groepen plannen

Voor beheerders is het belangrijk wanneer een eigen webcategorie en wanneer een URL-groep beter past.

Een eigen webcategorie is zinvol wanneer:

  • Domeinen of trefwoorden als categorie in meerdere webbeleid gebruikt moeten worden.
  • de categorie bewust zichtbaar moet zijn in rapporten en logs.
  • een traffic-shaping-concept per categorie gepland is.
  • een bewaakte categorie voor instant alerts moet ontstaan.

Een URL-groep is meestal beter wanneer:

  • alleen specifieke domeinen verzameld worden.
  • een kleine toestaan- of blokkeerlijst nodig is.
  • de lijst ook voor TLS-uitzonderingen gebruikt moet worden.
  • trefwoordmatching vermeden moet worden.

URL-groepen zijn bij pure domeinmatches vaak performanter en minder gevoelig voor false positives dan categorieën met trefwoorden. Trefwoordcategorieën moeten daarom terughoudend worden gebruikt, vooral voor toestaan-regels.

Blokkeren, alert of alleen rapporteren?

Niet elke categorie heeft dezelfde behandeling nodig. Een goed webbeschermingsontwerp scheidt harde veiligheidsbeslissingen van aanwijzingen en pure evaluatie.

BehandelingGeschikt voorBedrijfsrisico
BlokkerenMalware, phishing, bekende omzeildiensten, duidelijk verboden categorieënlegitieme site kan worden geblokkeerd als categorie verkeerd is
WaarschuwenGrijze gebieden, trainingsomgevingen, bewust toelaatbare categorieënGebruikers wennen aan waarschuwingen en klikken reflexmatig verder
Instant Alertenkele categorieën met echte reactieplichtte veel alerts leiden tot alarmmoeheid
Alleen rapporterenTrendanalyse, gebruiksrapporten, zwakke signalentreffers worden pas later zichtbaar

Voor productieve omgevingen is vaak een kleine, duidelijke selectie beter dan een maximale catalogus. Als niemand een alert beoordeelt, moet de categorie niet als instant alert draaien. Als een categorie altijd geblokkeerd moet worden, is een alert alleen dan zinvol als daaruit een concrete follow-up ontstaat.

Webcategorie maken of aanpassen

Het menupad is:

Web > Categories

Basisstappen:

  1. Bestaande categorie bewerken of Add kiezen.
  2. Naam geven.
  3. Classificatie selecteren.
  4. Optioneel een traffic shaping policy selecteren.
  5. Configuratietype kiezen.
  6. Domeinen of trefwoorden toevoegen.
  7. Optioneel Instant alerts activeren.
  8. Opslaan.

Bij eigen categorieën moet de naam het doel duidelijk beschrijven. Namen zoals Custom1 of Blocklist helpen later nauwelijks. Beter zijn namen zoals Alert_Self_Harm, Block_Proxy_Anonymizer of Allow_Business_Cloud_Exceptions.

Domeinen worden gecontroleerd tegen de domeinnaam in de URL en omvatten automatisch subdomeinen. Trefwoorden worden daarentegen gecontroleerd tegen de volledige URL inclusief pad en query. Dit kan nuttig zijn, maar genereert gemakkelijker valse treffers.

Als een externe URL-database wordt gebruikt, controleert de firewall deze lijst elke 48 uur op updates. Dit interval kan niet worden gewijzigd. Voor openbare blokkeerlijsten moet men toch controleren of Sophos Firewall Threat Feeds instellen en veilig beheren technisch beter past.

Webbeleid configureren

Het menupad is:

Web > Policies

Een webbeleid bevat regels voor gebruikers, groepen, activiteiten, categorieën, URL-groepen, bestandstypen, inhoudsfilters, acties en tijdschema’s.

Basisstappen:

  1. Nieuw webbeleid maken of bestaand beleid bewerken.
  2. Regel toevoegen.
  3. Gebruikers of groepen selecteren, als het beleid gebruikersgebaseerd moet zijn.
  4. Categorieën of URL-groepen selecteren.
  5. Actie voor HTTP instellen.
  6. Aparte actie voor HTTPS controleren.
  7. Tijdschema instellen, indien nodig.
  8. Status van de regel activeren.
  9. Regelpositie controleren.
  10. Opslaan.

De volgorde binnen het webbeleid is cruciaal. Regels worden van boven naar beneden geëvalueerd. Een brede toestaan-regel boven een specifieke blokregel kan ervoor zorgen dat de blokregel nooit van kracht wordt.

Als gebruikers in de firewallregel en in het webbeleid zijn ingesteld, moet men de werking bewust testen. Gebruikers in firewallregels kunnen voorrang hebben boven gebruikers in webbeleid. Bij onduidelijke treffers moet men daarom niet alleen het webbeleid, maar ook de firewallregel controleren.

Webbeleid in firewallregel activeren

Het menupad is:

Rules and policies > Firewall rules > [Rule] > Security features > Web filtering

Basisstappen:

  1. Relevante client- of serverregel openen.
  2. Source zone, Source network, Destination zone en Services controleren.
  3. Log firewall traffic activeren.
  4. Onder Web filtering het gewenste webbeleid selecteren.
  5. Block QUIC protocol bewust activeren of gemotiveerd deactiveren.
  6. Malware Scan en HTTPS-scaninstellingen controleren.
  7. Opslaan.
  8. Met Policy tester, Log Viewer en reëel clientverkeer testen.

QUIC is voor webfiltering een veelvoorkomende stoorfactor. Als browsers via UDP 443 communiceren, passen logica en zichtbaarheid niet altijd bij de verwachting van klassiek HTTPS via TCP. Voor details past Sophos Firewall QUIC en HTTP/3 correct blokkeren.

Als HTTPS-inhoud of volledige URL-paden relevant zijn, is webcategorisering alleen niet altijd voldoende. Dan moet TLS-inspectie worden gepland. Dit moet niet terloops gebeuren, omdat certificaten, uitzonderingen, privacy, prestaties en ondersteuningsprocessen betrokken zijn. De uitrol is beschreven in Sophos Firewall TLS-inspectie correct invoeren.

Instant Alerts activeren

Instant Alerts worden op categorieniveau geactiveerd.

Het menupad is:

Web > Categories

Basisstappen:

  1. Categorie bewerken.
  2. Categorie bewust voor monitoring selecteren.
  3. Instant alerts activeren.
  4. Opslaan.
  5. System services > Notifications list openen.
  6. Web - Instant alerts zoeken.
  7. Checkbox onder Email activeren.
  8. Mailverzending en ontvanger controleren.
  9. Testtoegang genereren en melding controleren.

De firewall stuurt e-mailmeldingen voor bewaakte categorieën in batches elke vijf minuten. Dit interval kan niet worden gewijzigd. Een alert is daarom geen seconde-nauwkeurige realtime-alarm, maar een snelle e-mailmelding in vergelijking met puur achteraf rapporten.

Instant Alerts moeten alleen worden geactiveerd voor categorieën waarbij een gedefinieerde ontvanger daadwerkelijk kan reageren. Een grote alertlijst zonder verantwoordelijkheid leidt meestal tot alarmmoeheid.

Privacy en interne verantwoordelijkheid

Webcategorie-alerts kunnen gebruikers, bron-IP, tijdstip, categorie en afhankelijk van de zichtbaarheid ook doelinformatie bevatten. Dit is nuttig voor veiligheid en operatie, maar kan afhankelijk van de organisatie arbeidsrechtelijke of privacygerelateerde vragen oproepen.

Voor productief gebruik moet daarom duidelijk zijn:

  • Wie mag webalerts zien?
  • Welke treffers worden alleen technisch gecontroleerd en welke worden als veiligheidsincident behandeld?
  • Hoe lang worden alert-e-mails, rapporten of SIEM-events bewaard?
  • Wordt de evaluatie afgestemd met HR, privacy of interne richtlijnen?
  • Hoe voorkomt men dat individuele onschuldige treffers overgeïnterpreteerd worden?

Technisch is de instelling snel geactiveerd. Operationeel moet ze echter als een klein monitoringproces worden behandeld: ontvanger, doel, reactieweg en bewaring moeten op elkaar aansluiten.

Alert-triage vaststellen

Instant Alerts moeten niet allemaal hetzelfde worden behandeld. Een enkele categorie-treffer kan een onschuldige foutklik zijn, een verkeerd geclassificeerde dienst, een beleidsprobleem of een echt veiligheidsincident. Daarom moet vooraf worden bepaald welke treffers onmiddellijk worden gecontroleerd en welke alleen in de normale beoordeling gaan.

Een eenvoudige triage helpt:

PrioriteitTypische categorie of situatieReactie
HoogMalware, phishing, Command-and-Control, exploit- of spywarecategorieëntijdig Log Viewer, gebruiker, endpointstatus en andere beveiligingslogs controleren
MiddelAnonymizers, proxy’s, bestandsdeling, privécloudopslag of herhaalde beleidsomzeilingpatronen controleren, gebruikerscontext verduidelijken en beleid aanscherpen
Laagenkele grijze gebieden zonder herhalingopnemen in rapportage of wekelijkse beoordeling, niet onmiddellijk escaleren
Foutalarmzakelijk noodzakelijke site verkeerd geclassificeerdgerichte URL-groep of categorieaanpassing overwegen, geen brede toestaan-regel instellen

Deze indeling moet niet alleen in het hoofd van een beheerder bestaan. Een korte bedrijfsnotitie is zinvol: bewaakte categorieën, ontvanger, reactietijd, escalatieweg, toegestane uitzonderingen en beoordelingsdatum. Hierdoor blijft duidelijk of een alert alleen gedocumenteerd, technisch gecorrigeerd of als incident behandeld moet worden.

Testen en evalueren

Na elke wijziging moet men niet alleen opslaan, maar ook de werking controleren.

Zinvolle teststappen:

  1. Web > Policies > Policy tester openen.
  2. Gebruiker, URL en beleid testen.
  3. Op een testclient een passende website openen.
  4. Log viewer openen.
  5. Webfilter-, firewall-, SSL/TLS-inspectie- en applicatiecontrollogs controleren.
  6. In de firewallregel controleren of de treffer op de verwachte regel ligt.
  7. Bij instant alerts de e-mailinbox controleren.
  8. In Sophos Central of SIEM controleren of de gebeurtenissen daar aankomen.

De policy tester is nuttig, maar vervangt geen echte pakketstroom. Als een regel niet matched, een SD-WAN-route anders beslist of TLS/QUIC het pad verandert, ziet men dat vaak pas in de Log Viewer of Packet Capture. Voor dergelijke gevallen past Firewall-regel testen met Log Viewer, Policy Test en Packet Capture.

Voor de toewijzing van de logbestanden helpt Sophos Firewall Troubleshooting: Services en Logs. Daar zijn onder andere awarrenhttp.log, webproxy.log en nSXLd.log voor web- en categoriseringsvragen ingedeeld.

Typische fouten

SymptoomVeelvoorkomende oorzaakControle
Webbeleid werkt nietBeleid is niet in de firewallregel geselecteerdFirewallregel onder Web filtering controleren
Categorie wordt toegestaan, hoewel deze geblokkeerd zou moeten zijnBrede toestaan-regel staat boven de blokregelVolgorde in webbeleid en firewallregels controleren
Geen instant alertCategorie niet bewaakt of melding niet per e-mail actiefWeb > Categories en System services > Notifications list controleren
Geen gebruikersvermelding in logGebruiker wordt niet herkend of regel matched niet gebruikersgebaseerdAuthenticatie, STAS, Captive Portal of Clientless User controleren
HTTPS wordt onverwacht toegestaanGeen passende TLS-inspectie of HTTPS-actieWebbeleid, SSL/TLS-inspectieregels en decryptie controleren
Webfilter werkt onvolledigQUIC of verkeerde traffic-padBlock QUIC protocol, services en Log Viewer controleren
Te veel alertsCategorieën te breed gekozenAlertlijst verminderen en eigenaar vaststellen
Domein ontbreekt in log/rapportBijzonder kritische categorie wordt geanonimiseerdCategorie en Sophos-gedrag controleren

Sophos blokkeert websites van de categorie highly objectionable criminal activity standaard en verbergt de domeinnaam in logs en rapporten. Als een vermelding in dit gebied geanonimiseerd verschijnt, kan dit dus opzettelijk zijn.

Reactie op Instant Alerts vaststellen

Een instant alert is alleen nuttig als daarna duidelijk is wat er moet gebeuren. Anders ontstaat er extra e-mailverkeer, maar geen betere beveiliging. Voor de activering moet daarom een eenvoudige reactieroutine worden vastgesteld.

Voor elke bewaakte categorietype moet minimaal duidelijk zijn:

VraagWaarom belangrijk?
Wie ontvangt de alert?Voorkomt distributielijsten zonder verantwoordelijkheid.
Hoe snel moet worden gereageerd?Scheidt kritieke treffers van pure nabewerking.
Welke logs worden gecontroleerd?Log Viewer, Central Reporting, Syslog of servicelogs bieden verschillende diepte.
Wanneer is een treffer een incident?Niet elke categorietreffer is automatisch een veiligheidsincident.
Wie mag een uitzondering goedkeuren?Voorkomt snelle, brede toestaan-regels zonder risicoafweging.
Wanneer wordt de categoriekeuze herzien?Vermindert alarmmoeheid door te brede alertsets.

Een pragmatische routine ziet er zo uit:

  1. Alert met gebruiker, bron-IP, categorie, URL of domein en tijdstip vastleggen.
  2. In de Log Viewer controleren welke firewallregel en webbeleid van kracht waren.
  3. Indien beschikbaar, Central Reporting of SIEM gebruiken voor tijdsindeling.
  4. Bepalen of het een eenmalig geval, een herhaald patroon of een foutalarm is.
  5. Bij verkeerde categorisering alleen gericht met URL-groep of categorieaanpassing werken.
  6. Bij opvallend patroon gebruikerscontext, endpointstatus en andere beveiligingslogs evalueren.
  7. Beslissing documenteren: negeren, observeren, blokkeren, uitzondering, incident.

Voor technische detailanalyse helpen Sophos Firewall Troubleshooting: Services en Logs, Central Firewall Reporting activeren en Sophos Firewall Syslog naar SIEM sturen. Als onduidelijk is of de juiste firewallregel is getroffen, past Firewall-regel testen met Log Viewer, Policy Test en Packet Capture.

Bedrijfsaanbeveling

Voor productieve omgevingen is een driestapsmodel zinvol:

  1. Blokkeren: Malware, phishing, fraude, Command-and-Control, anonymizers en andere duidelijk risicovolle categorieën blokkeren.
  2. Monitoren: enkele gevoelige categorieën met instant alerts voorzien.
  3. Evalueren: Webrapporten, Central Reporting of SIEM regelmatig controleren.

De belangrijkste grens is organisatorisch: een alert heeft een ontvanger, een reactietijd en een beslissing nodig over wat er met treffers gebeurt. Anders wordt van instant alerts alleen extra e-maillawaai.

Checklist

  • Webbeschermingslicentie gecontroleerd.
  • Relevante firewallregel geïdentificeerd.
  • Webbeleid gemaakt of aangepast.
  • Webbeleid in de firewallregel geselecteerd.
  • Log firewall traffic in de regel geactiveerd.
  • Block QUIC protocol bewust besloten.
  • TLS-inspectie bewust gepland of bewust niet ingezet.
  • Kritieke categorieën gedefinieerd.
  • Instant alerts alleen voor enkele duidelijke categorieën geactiveerd.
  • System services > Notifications list > Web - Instant alerts per e-mail geactiveerd.
  • Test met policy tester uitgevoerd.
  • Test met echt clientverkeer uitgevoerd.
  • Log Viewer gecontroleerd.
  • Central Reporting of Syslog gecontroleerd, indien centrale evaluatie verwacht wordt.
  • Eigenaar en reactieweg voor alerts gedocumenteerd.

Veelgestelde vragen

Wat is het verschil tussen webcategorie en URL-groep?

Een webcategorie wijst domeinen, URL’s of trefwoorden toe aan een categorie en kan worden gebruikt in webbeleid, rapporten en instant alerts. Een URL-groep is een expliciete domeinlijst, die vooral geschikt is voor specifieke toestaan- of blokkeerlijsten.

Waarom werkt een webbeleid niet?

Vaak is het webbeleid niet in de juiste firewallregel geselecteerd, de regel matched niet of een algemenere regel staat bovenaan. Daarnaast kunnen gebruikerskoppeling, services, QUIC of TLS-inspectie de verwachte werking veranderen.

Zijn instant alerts echte realtime-alarmen?

Niet seconde-nauwkeurig. E-mailmeldingen voor bewaakte categorieën worden in batches elke vijf minuten verzonden. Voor veel bedrijfsgevallen is dat snel genoeg, maar het vervangt geen SIEM of SOC-monitoring.

Moet men alle risicovolle categorieën met instant alerts voorzien?

Nee. Te veel alerts creëren ruis. Beter is een kleine selectie met duidelijke verantwoordelijkheid, bijvoorbeeld bijzonder gevoelige categorieën of categorieën met hoge onderzoekswaarde.

Heb je TLS-inspectie nodig voor webcategorieën?

Niet altijd. Veel categorieën werken via URL- of domeinbeoordeling. Voor volledige URL-paden, inhoud, downloads en bepaalde beschermingsfuncties kan TLS-inspectie echter cruciaal zijn. Het gebruik moet gepland en getest worden.