Configurar e testar o Application Control no Sophos Firewall
Application Control no Sophos Firewall identifica aplicações independentemente da porta. Isso permite, por exemplo, permitir, bloquear ou registrar ferramentas de controle remoto, aplicações de tunelamento, streaming, armazenamento em nuvem, mensageiros ou navegações arriscadas.
O benefício prático só surge quando o Application Control está ativo na regra de firewall correta, a aplicação é realmente reconhecida e os logs são analisados. Uma política de filtro de aplicações armazenada por si só não bloqueia nada.
Resposta rápida
O Application Control é utilizado em dois passos:
- Em Protect > Applications > Application filter, planeje ou crie uma política de filtro de aplicações.
- Na regra de firewall apropriada, em Other security features, selecione Identify and control applications (App control).
Depois, é necessário testar com um cliente real se o tráfego passa por essa regra e se a aplicação é corretamente reconhecida no Log Viewer. Para tráfego criptografado, a inspeção TLS pode ser crucial, pois a firewall pode ver menos detalhes dependendo da aplicação.
Quando o Application Control é útil
O Application Control é especialmente útil quando as portas por si só não são suficientes. Muitas aplicações usam HTTPS, destinos variáveis ou infraestrutura em nuvem. Uma regra de porta simples só vê 443, mas não se é um serviço comercial permitido, uma ferramenta de controle remoto ou um armazenamento em nuvem indesejado.
Casos típicos de uso:
- Bloquear TeamViewer, AnyDesk, Tor ou ferramentas de proxy
- Restringir streaming ou redes sociais em determinadas redes
- Controlar armazenamento em nuvem
- Limitar mensageiros ou jogos em redes de convidados ou escolares
- Ativar reconhecimento de aplicações para relatórios e análises
- Preparar Traffic Shaping para aplicações reconhecidas
Se o objetivo não é reconhecimento ou bloqueio, mas sim priorização ou limitação de largura de banda, consulte Configurar Application Traffic Shaping no Sophos Firewall.
Pré-requisitos
Antes da configuração, verifique os seguintes pontos:
- Licença apropriada com Web Protection ou Application Control
- Regra de firewall afetada é conhecida
- Log firewall traffic está ativo para a regra de teste
- Aplicação ou categoria desejada está claramente definida
- Cliente de teste e destino de teste estão definidos
- Para aplicações HTTPS, está claro se a inspeção TLS será usada
Verifique o status da licença em System > Administration > Licensing. Nos pacotes típicos do Sophos Firewall com Web Protection, o Application Control está incluído. A lógica de licenciamento específica deve ser verificada antes da implementação em produção, especialmente em caso de assinaturas expiradas ou licenças de teste.
Planejar o filtro de aplicações
Um bom filtro de aplicações não é apenas uma longa lista de bloqueios. Primeiro, deve estar claro o que se deseja alcançar.
| Objetivo | Abordagem típica |
|---|---|
| Bloquear ferramentas de controle remoto arriscadas | Bloquear aplicações ou categorias específicas |
| Restringir Wi-Fi de convidados | Bloquear categorias indesejadas, deixar serviços básicos permitidos |
| Apenas registrar aplicação | Usar Allow com logging e relatórios inicialmente |
| Evitar falso positivo | Seleção mais restrita de aplicações em vez de categoria ampla |
| Priorizar aplicação crítica para negócios | Combinar Application Control com Traffic Shaping |
Para redes produtivas, um modo de observação é frequentemente útil: Ativar o Application Control primeiro, verificar logs e relatórios, depois bloquear de forma direcionada. Assim, é possível ver quais aplicações realmente ocorrem e se um bloqueio interromperia processos legítimos.
Planejar rollout em fases
O Application Control não deve ser ativado de uma só vez para todas as redes. É melhor um rollout pequeno com um grupo de teste claro, logging visível e uma decisão definida de quando a observação se torna bloqueio.
Um procedimento prático:
| Fase | Objetivo | Configuração típica |
|---|---|---|
| Inventário | Descobrir quais aplicações realmente ocorrem | Filtro de aplicações com logging, ainda sem bloqueio amplo |
| Piloto | Verificar usuários selecionados ou uma rede de teste | Bloquear aplicações arriscadas específicas, controlar de perto ID da regra e logs |
| Implementação | Aplicar política confirmada na rede alvo | Ativar filtro na regra produtiva, documentar exceções |
| Operação | Monitorar efeitos e efeitos colaterais | Verificar regularmente relatórios, Log Viewer, Central Reporting ou Syslog |
Antes da implementação, deve estar claro quais aplicações devem permanecer permitidas. Isso geralmente inclui serviços de atualização, suporte remoto, ferramentas de colaboração, armazenamento em nuvem, telefonia ou aplicações específicas do setor. Se essas dependências só se tornarem visíveis após o bloqueio, o Application Control rapidamente parece um fator de perturbação em vez de uma função de proteção.
Para a aceitação, vale a pena uma lista de decisões curta: Qual aplicação será bloqueada, qual grupo de usuários é afetado, qual exceção é permitida, quem é o responsável técnico e quando a política será revisada? Esta documentação é mais importante do que um primeiro filtro perfeito.
Criar filtro de aplicações
Caminho do menu:
Protect > Applications > Application filter
Procedimento:
- Abra Add.
- Dê um nome descritivo, por exemplo,
Block_Remote_Control_Tools. - Adicione uma regra dentro do filtro.
- Selecione aplicação, categoria, risco ou filtro inteligente.
- Defina a ação, por exemplo,
Deny,Allowou controle apropriado dependendo da versão. - Salve o filtro.
Ao lidar com categorias, deve-se ter cuidado. Uma categoria ampla pode afetar mais aplicações do que o esperado. Para testes iniciais, aplicações individuais ou grupos bem definidos são frequentemente melhores do que um grande bloco coletivo.
Ativar na regra de firewall
O Application Control só tem efeito quando o filtro é selecionado em uma regra de firewall.
Caminho do menu:
Protect > Rules and policies > Firewall rules
Procedimento:
- Abra a regra de firewall pela qual o tráfego afetado realmente passa.
- Abra a seção Other security features.
- Selecione o filtro de aplicações em Identify and control applications (App control).
- Ative Log firewall traffic, pelo menos para teste e aceitação.
- Salve a regra.
- Teste com um cliente definido.
A ordem das regras é crucial. Se o tráfego já for processado por uma regra mais geral acima, ele não alcançará a regra com Application Control. Nesse caso, a configuração no WebAdmin parece correta, mas não tem efeito.
Os fundamentos sobre Source, Destination, Services, Security Features e ordem das regras estão em Entender e configurar regras de firewall do Sophos Firewall de forma segura.
Inspeção TLS e reconhecimento
O Application Control pode reconhecer certas aplicações mesmo sem inspeção TLS completa. No entanto, para muitos serviços modernos de HTTPS e nuvem, a firewall sem descriptografia vê apenas informações limitadas, como endereço IP, SNI, dados de certificado, nome do host ou metadados de conexão.
Isso nem sempre é suficiente para um reconhecimento confiável. Se uma aplicação não for reconhecida como esperado via HTTPS, deve-se verificar:
- O tráfego passa pela regra de firewall correta?
- O Application Control está ativo nessa regra?
- A aplicação é reconhecida fundamentalmente pela Sophos?
- A inspeção TLS é necessária e justificável para esse tráfego?
- Existem QUIC ou HTTP/3 que dificultam o controle?
- Web Policy, IPS ou DNS Protection estão atuando adicionalmente?
A inspeção TLS deve ser introduzida gradualmente e com exceções. O procedimento adequado está em Introduzir corretamente a inspeção TLS no Sophos Firewall. Para QUIC e HTTP/3, consulte Bloquear corretamente o protocolo QUIC e HTTP/3 no Sophos Firewall.
Testar efeito
Após a ativação, não se deve apenas esperar pelo feedback dos usuários. Um teste bem feito economiza muito tempo.
Procedimento prático:
- Defina o cliente de teste e o IP de origem.
- Inicie a aplicação conscientemente ou acesse o destino.
- No Log viewer, filtre por IP de origem, destino, serviço e aplicação.
- Verifique qual ID de regra de firewall foi atingida.
- Verifique se o Application Control reconhece a aplicação.
- Em caso de bloqueio, verifique se o bloqueio é desejado tecnicamente.
- Em caso de reconhecimento incerto, complemente com Packet Capture e logs de serviço.
O Application Control frequentemente usa ips.log no caminho técnico. A atribuição de logs está em Solução de problemas do Sophos Firewall: Serviços e Logs. Para delimitação com Log Viewer e Packet Capture, consulte Testar regra do Sophos Firewall com Log Viewer, Policy Test e Packet Capture.
Tratar falsos positivos corretamente
Se o Application Control bloquear tráfego legítimo, não se deve desativar imediatamente todo o filtro.
Ordem sensata:
- Documente a aplicação afetada e a entrada de log.
- Verifique qual regra de firewall e qual filtro de aplicação estão envolvidos.
- Verifique aplicação, categoria e ação no filtro.
- Verifique se a aplicação é reconhecida de forma diferente pela inspeção TLS.
- Defina exceção o mais restrita possível: aplicação, rede de origem, grupo de usuários ou destino.
- Documente o responsável e a data de revisão para a exceção.
Uma exceção para Any ou uma categoria ampla resolve rapidamente o caso atual, mas enfraquece o controle permanentemente. É melhor uma exceção pequena e justificável com uma razão clara.
Erros comuns
| Erro | Efeito | Abordagem melhor |
|---|---|---|
| Filtro de aplicação criado, mas não selecionado na regra | Sem efeito no tráfego | Ativar filtro na regra de firewall real |
| Tráfego passa por outra regra | Filtro nunca é alcançado | Verificar ID da regra no Log Viewer |
| Categoria muito ampla bloqueada | Serviços em nuvem ou comerciais legítimos afetados | Usar aplicações individuais ou grupos mais restritos |
| Reconhecimento HTTPS superestimado | Aplicação não é reconhecida de forma confiável | Verificar inspeção TLS e comportamento QUIC |
| Falta de logging | Efeito permanece invisível | Ativar logging de regra para teste e operação |
| Exceção muito ampla | Função de proteção é praticamente anulada | Definir exceção restrita e com data de revisão |
Verificação operacional
O Application Control deve ser verificado regularmente. As aplicações mudam, os serviços em nuvem usam novos endpoints, os usuários utilizam novas ferramentas e as assinaturas são atualizadas.
Deve-se documentar:
- Propósito do filtro de aplicações
- Regras de firewall afetadas
- Aplicações bloqueadas ou permitidas
- Exceções conhecidas
- Responsável técnico
- Data de revisão
- Última alteração relevante
Se o Application Control for usado para aplicações críticas de negócios, redes escolares ou requisitos de conformidade, o Central Reporting, Syslog ou SIEM também devem ser verificados. Para avaliação central, consulte Ativar Central Firewall Reporting ou Configurar Syslog e SIEM no Sophos Firewall.
Lista de verificação
- Status da licença verificado.
- Regra de firewall afetada claramente identificada.
- Filtro de aplicações criado com propósito claro.
- Filtro selecionado na regra de firewall correta.
- Logging de regra ativo.
- Cliente de teste e aplicação de teste definidos.
- Log Viewer verificado para ID de regra e Application Control.
- Inspeção TLS e QUIC avaliados, se o reconhecimento HTTPS for incerto.
- Exceções documentadas de forma restrita.
- Data de revisão definida.