Saltar para o conteudo
Avanet

Configurar a Proteção Web do Sophos Firewall com Políticas Web

Sophos Firewall

A Proteção Web do Sophos Firewall controla quais sites, categorias e conteúdos web os utilizadores podem acessar. Na prática, a Proteção Web não é apenas uma única configuração. Uma política web deve ser planeada tecnicamente, ativada numa regra de firewall adequada e depois testada com tráfego real.

Muitos erros ocorrem porque uma política web existe, mas não é aplicada a uma regra de firewall ativa. Outros problemas estão relacionados com HTTPS, Inspeção TLS, QUIC, reconhecimento de utilizadores, ordem das regras ou exceções muito amplas. O procedimento sensato é: planear a política, construir a regra, ativar, testar e monitorizar em operação.

Qual artigo de Proteção Web é adequado?

A Proteção Web sobrepõe-se a regras de firewall, Inspeção TLS, QUIC, relatórios e exceções. Dependendo da tarefa, um artigo mais específico pode ser mais adequado:

TarefaArtigo Adequado
Configurar Proteção Web e Políticas Web de forma geralEste artigo
Avaliar categorias web, grupos de URLs e alertas instantâneosUtilizar Categorias Web e Alertas Instantâneos do Sophos Firewall
Descriptografar e verificar tráfego HTTPSImplementar corretamente a Inspeção TLS do Sophos Firewall
Distribuir certificado CA para clientes geridosDistribuir Certificado CA do Sophos Firewall para Inspeção TLS
Classificar QUIC e HTTP/3 em problemas de filtragem webBloquear corretamente QUIC e HTTP/3 no Sophos Firewall
Descobrir qual regra de firewall e política realmente se aplicaTestar regras do Sophos Firewall com Log Viewer, Policy tester e Packet Capture
Avaliar eventos web e de segurança por mais tempoCentral Firewall Reporting ou Enviar Syslog para SIEM

Assim, a análise permanece clara: primeiro deve-se verificar se a regra de firewall corresponde. Depois, verifica-se a política web, categoria, contexto do utilizador, QUIC, Inspeção TLS e registo.

O que a Proteção Web controla

A Proteção Web é composta por vários componentes. Nem todos os componentes precisam ser usados em todos os ambientes, mas as inter-relações devem ser claras.

ComponentePropósito
Política WebRegras para acessos web permitidos, avisados, bloqueados ou baseados em quotas
Categorias WebCategorias Sophos e categorias próprias para sites
Grupos de URLsListas de domínios próprias para regras de permissão ou bloqueio específicas
Tipos de ficheirosControle de tipos de download ou ficheiros específicos
Filtros de conteúdoTermos ou padrões para controle de conteúdo
ExceçõesExceções específicas de comportamento web, TLS ou de análise
Configurações geraisSafeSearch, Restrições do YouTube, Google Apps e Restrições de Inquilinos Microsoft Entra ID
Registo e RelatóriosRastreabilidade no Log Viewer, Reporting, Central ou SIEM

A Proteção Web não substitui uma base de regras de firewall bem estruturada. A regra de firewall decide primeiro qual tráfego de qual zona para qual zona de destino é permitido. A política web complementa esta regra com controle web. As bases sobre a ordem das regras, origem, destino, serviços e perfis de segurança estão em Compreender e construir regras do Sophos Firewall.

Pré-requisitos

Antes da implementação, estes pontos devem ser esclarecidos:

  • A Proteção Web está licenciada ou incluída no pacote utilizado.
  • As redes de clientes afetadas têm suas próprias regras de firewall.
  • O registo está ativo nas regras relevantes.
  • DNS e hora do firewall funcionam corretamente.
  • O reconhecimento de utilizadores está esclarecido, caso as políticas se apliquem por utilizador ou grupo.
  • A Inspeção TLS está planeada, se os conteúdos HTTPS precisarem ser verificados mais detalhadamente.
  • QUIC/HTTP/3 é conscientemente permitido ou bloqueado.
  • Existe um grupo piloto e um caminho de fallback para sites críticos para o negócio.

É especialmente importante a separação por grupos-alvo. Uma política web para clientes normais, servidores, convidados, utilizadores VPN e sistemas de gestão não deve ser a mesma. Os servidores geralmente precisam de menos controle de navegação, mas listas de destino e atualização mais rigorosas. Os convidados geralmente precisam de categorias e limitação de largura de banda, mas não de acesso a recursos internos.

Planear a Política Web

Uma boa política web não começa na interface, mas com algumas decisões técnicas.

Definir grupos-alvo

Primeiro, determina-se para quem a política se aplica:

  • Clientes padrão na LAN
  • Notebooks geridos via VPN
  • WLAN de convidados
  • Salas de formação ou ambientes escolares
  • Servidores com acesso HTTP/HTTPS de saída
  • Postos de trabalho de administradores privilegiados

Se a mesma regra de firewall contiver vários grupos muito diferentes, a Proteção Web torna-se difícil de entender. É melhor ter regras e políticas separadas, por exemplo, LAN_USERS_WEB, GUEST_WEB ou SERVER_UPDATES_WEB.

Definir Categorias e Grupos de URLs

As categorias web da Sophos são boas para controle amplo: Malware, Phishing, Conteúdo Adulto, Anonimizadores, Streaming, Redes Sociais ou Jogos. Os Grupos de URLs são melhores quando domínios individuais precisam ser permitidos ou bloqueados especificamente.

Uso típico:

RequisitoMelhor Componente
bloquear categorias de risco conhecidasCategoria Web
permitir domínios SaaS específicosGrupo de URLs
tratar um domínio incorretamente categorizadoGrupo de URLs ou categoria própria
restringir streaming por tempoPolítica Web com Agenda ou Quota
Página de aviso em vez de bloqueio rígidoPolítica Web com ação de aviso

Os Grupos de URLs não devem se tornar uma lista de coleta desorganizada. Se muitas domínios forem adicionados, a lista precisa de um responsável, um propósito e uma data de revisão. Para listas muito grandes ou dinâmicas, Sophos Firewall Threat Feeds ou outros componentes arquiteturais são frequentemente mais adequados.

Definir Regras de Permissão com Cuidado

As regras de permissão nas políticas web devem ser restritas. Uma regra de permissão no topo pode tornar ineficazes regras de bloqueio posteriores, pois as regras da política web da Sophos são avaliadas de cima para baixo. Isso é especialmente relevante quando um Grupo de URLs, uma regra de tipo de ficheiro ou uma exceção de categoria está acima de outras regras.

Na prática, funciona bem:

  1. Exceções de negócios específicas permitidas no topo.
  2. Categorias de bloqueio críticas em seguida.
  3. Regras de aviso ou quota para áreas cinzentas.
  4. Tráfego web geralmente permitido apenas no final.

Criar a Política Web

A política web é criada no seguinte menu:

Web > Policies

Procedimento básico:

  1. Selecionar Add policy.
  2. Atribuir um nome descritivo, por exemplo, LAN_USERS_STANDARD_WEB.
  3. Adicionar regras.
  4. Escolher conscientemente utilizadores, grupos ou Anybody.
  5. Selecionar Atividades, Categorias, Grupos de URLs, Tipos de ficheiros ou Filtros de conteúdo.
  6. Definir ação para HTTP e HTTPS: Allow, Warn, Block ou Quota.
  7. Definir Agenda, se a regra só se aplicar em determinados horários.
  8. Ativar a regra.
  9. Verificar a posição da regra dentro da política.
  10. Ativar registo e relatórios.
  11. Guardar a política.

Uma política web por si só ainda não tem efeito. A política deve ser usada numa regra de firewall. Este é um dos erros de configuração mais comuns.

Ativar a Política Web na Regra de Firewall

A regra de firewall está em:

Rules and policies > Firewall rules

Para tráfego normal de clientes para a Internet, geralmente uma regra de LAN ou de uma zona de clientes para WAN é responsável. Lá, na seção Web filtering, a política web apropriada é selecionada.

Pontos de verificação na regra de firewall:

  • A zona de origem e as redes de origem correspondem à rede do cliente.
  • A zona de destino é geralmente WAN.
  • Os serviços incluem HTTP/HTTPS ou os serviços web desejados.
  • Log firewall traffic está ativo.
  • Na seção Web filtering, a política web correta está definida.
  • A verificação de malware está ativada adequadamente.
  • Block QUIC protocol está conscientemente definido.
  • A Inspeção TLS é planeada separadamente e não confundida com a política web.

Se uma regra mais geral acima da regra web desejada corresponder, o tráfego não alcança a política web. Em tais casos, Testar regras do Sophos Firewall com Log Viewer e Packet Capture pode ajudar.

Classificar HTTPS, Inspeção TLS e QUIC

Uma grande parte do tráfego web é HTTPS. Sem Inspeção TLS, o firewall vê menos conteúdo. Categorias, SNI, certificados, IP de destino, informações de domínio e metadados ajudam, mas não substituem uma verificação completa de conteúdo.

DPI ou Web Proxy?

Na Proteção Web, deve-se decidir cedo se a regra de firewall afetada usa o DPI Engine ou o Web Proxy. Esta decisão influencia quais funções são aplicadas e quais registos são relevantes posteriormente.

ModoUso TípicoO que deve ser observado
Modo DPIpadrão moderno para muitas regras de clientes para a InternetA Inspeção TLS é feita através de regras de inspeção SSL/TLS, Quota não é suportada
Modo Web ProxyAmbientes com comportamento de proxy explícito ou Quota de políticaVerificar comportamento do proxy, compatibilidade de navegador/cliente e registos do proxy conscientemente

Em muitas instalações, o Modo DPI é o melhor ponto de partida. No entanto, se forem necessários tempos de contingência através de Quota, uma regra puramente DPI não é suficiente. Nesse caso, o Modo Web Proxy deve ser planeado e testado conscientemente. Esta decisão deve ser tomada antes da implementação, pois uma mudança posterior pode gerar outros problemas, registos e experiências do utilizador.

Inspeção TLS

Se downloads, verificação de malware, certas categorias web ou controles de conteúdo precisarem ser verificados de forma confiável, a Inspeção TLS deve ser planeada. Para isso, é necessário um certificado CA confiável nos clientes, regras TLS adequadas, exceções e um piloto limpo.

A implementação está em Implementar gradualmente a Inspeção TLS no Sophos Firewall. Para distribuir e validar o certificado CA, consulte Instalar Certificado CA do Sophos Firewall para Scanning HTTPS.

QUIC e HTTP/3

Os navegadores modernos frequentemente usam QUIC ou HTTP/3 sobre UDP 443. Isso pode interferir nas expectativas de filtragem web, inspeção TLS e verificação, se se pretende verificar o tráfego HTTPS clássico sobre TCP.

Em muitos ambientes empresariais, é sensato bloquear QUIC em regras de clientes para que os navegadores voltem para HTTPS sobre TCP. Os detalhes estão em Bloquear corretamente QUIC e HTTP/3 no Sophos Firewall.

SafeSearch, YouTube e Restrições de Inquilinos

O Sophos Firewall pode definir controles adicionais de pesquisa e nuvem em políticas web.

Opções típicas:

  • Enforce SafeSearch para Google, Yahoo e Bing.
  • Enforce YouTube restrictions para conteúdos restritos do YouTube.
  • Restrict login domains for Google Apps para domínios Google permitidos.
  • Apply Microsoft Entra ID tenant restrictions para controle de inquilinos na nuvem Microsoft.

Essas funções são úteis, mas não mágicas. No caso de HTTPS, a eficácia depende parcialmente da verificação HTTPS ou Inspeção TLS. Além disso, não substituem a governança de identidade e aplicativos na nuvem no Microsoft 365 ou Google Workspace. Para ambientes produtivos, deve-se testar o efeito com utilizadores de teste reais e os navegadores afetados.

Quota e Páginas de Aviso

As políticas web podem não apenas bloquear ou permitir. Com ações de aviso ou quota, pode-se informar conscientemente os utilizadores ou permitir acesso temporário.

Exemplos úteis:

  • Os utilizadores podem confirmar conscientemente um aviso para certas áreas cinzentas.
  • Streaming ou compras são permitidos apenas por tempo limitado.
  • Ambientes escolares ou de laboratório permitem certas categorias apenas durante horários definidos.

Importante: A Quota de política não é suportada no Modo DPI. Se forem necessários tempos de contingência, o Modo Web Proxy deve ser usado. Isso deve ser decidido cedo, pois DPI e Web Proxy têm características e limites diferentes.

Testar a Proteção Web

Após guardar, não se deve apenas verificar se a política existe. O crucial é se ela se aplica ao tráfego real.

1. Usar o Policy Tester

Em Web > Policies, está disponível o Policy tester. Com ele, pode-se verificar qual decisão de política é esperada para utilizadores, URLs e contexto.

O Policy Tester é uma boa pré-verificação, mas não substitui um fluxo de pacotes real. Uma regra de firewall, NAT, Inspeção TLS, QUIC ou roteamento ainda pode impedir que a política esperada se aplique ao tráfego real.

2. Teste Real com Cliente Piloto

Com um cliente piloto, verificar:

  • site de negócios permitido
  • categoria bloqueada
  • categoria de aviso
  • Permissão de Grupo de URLs
  • Bloqueio de Grupo de URLs
  • Página HTTPS com e sem Inspeção TLS
  • Download de um tipo de ficheiro de teste inofensivo
  • Comportamento com QUIC ativo ou bloqueado

3. Verificar o Log Viewer

No Log Viewer, deve ser visível:

  • qual regra de firewall foi atingida
  • qual utilizador foi reconhecido, se relevante
  • qual categoria web ou grupo de URLs esteve envolvido
  • se HTTPS, Inspeção TLS ou verificação de malware estiveram envolvidos
  • se a ação permitiu, avisou ou bloqueou

Para resolução de problemas mais aprofundada, também são relevantes os ficheiros de log. A atribuição está em Resolução de Problemas do Sophos Firewall: Serviços e Logs.

Alertas Instantâneos e Relatórios

Se certas categorias não apenas devem ser bloqueadas, mas também relatadas ativamente, os Alertas Instantâneos podem ser úteis. Isso é particularmente útil em escolas, ambientes altamente regulados ou áreas com uma política clara de uso da Internet.

Os três métodos de avaliação respondem a diferentes perguntas:

NecessidadePonto de Partida Adequado
E-mail rápido para poucas categorias web sensíveisAlertas Instantâneos
Relatórios recorrentes, tendências e avaliações de utilizadores ou categoriasCentral Firewall Reporting
Retenção mais longa, correlação com outros sistemas ou processos SOCSyslog ou SIEM

Antes dos Alertas Instantâneos, deve-se esclarecer quem recebe a notificação, quais categorias realmente desencadeiam uma reação, como os falsos positivos são tratados e quando a seleção de categorias é revisada. Uma lista de alertas ampla sem responsável gera rapidamente ruído de e-mail, mas não melhora a segurança.

Para a ativação técnica e triagem, consulte Utilizar Categorias Web e Alertas Instantâneos do Sophos Firewall. Para avaliações de longo prazo, deve-se considerar Central Firewall Reporting ou Enviar Syslog do Sophos Firewall para SIEM.

Gerir Alterações e Exceções em Operação

A Proteção Web muda continuamente em operação. Novos serviços SaaS são adicionados, domínios individuais são categorizados incorretamente, departamentos precisam de acesso temporário e o comportamento dos navegadores muda. Sem um procedimento claro, rapidamente surgem exceções amplas que ninguém pode explicar mais tarde.

Para cada alteração, deve-se pelo menos registrar:

PerguntaPor que é importante
Quem precisa de acesso?evita exceções globais para poucos utilizadores
Qual domínio, categoria ou tipo de ficheiro está envolvido?separa claramente Grupo de URLs, Categoria Web e Tipo de Ficheiro
É uma exceção temporária ou permanente?força revisão em vez de aprovações permanentes
Qual regra de firewall e política web são afetadas?evita alterações na regra errada
Como será testado?torna o sucesso verificável no Log Viewer

Um pequeno procedimento de mudança tem se mostrado eficaz:

  1. Registrar o pedido com utilizador, URL, horário, motivo de negócios e captura de tela ou mensagem de erro.
  2. Verificar no Log Viewer qual regra de firewall, política web, categoria e ação foram aplicadas.
  3. Decidir se a categoria está fundamentalmente errada, se apenas um domínio individual deve ser liberado ou se o pedido é rejeitado.
  4. Se uma exceção for necessária, trabalhar o mais restritamente possível: grupo de URLs individual em vez de categoria inteira, grupo de utilizadores individual em vez de toda a LAN.
  5. Verificar a alteração numa regra de teste ou grupo piloto.
  6. Após guardar, realizar um teste real e documentar Log Viewer, categoria, ID da regra e contexto do utilizador.
  7. Definir uma data de revisão, especialmente para exceções temporárias de negócios.

Exceções temporárias devem ser claramente nomeadas, por exemplo, TMP_ALLOW_vendor-portal_until_2026-07-31. Exceções permanentes de negócios também precisam de um responsável. Se ninguém for responsável por uma exceção, ela não deve permanecer permanentemente na política.

Se muitos domínios individuais surgirem para o mesmo serviço, geralmente o problema não é a política web, mas a arquitetura do serviço. Então, deve-se verificar se uma regra de firewall própria, uma política web própria, um grupo de URLs bem mantido ou outro ponto de controle é mais adequado. Para listas dinâmicas de IOC ou de bloqueio, as exceções de política web geralmente não são o local correto; para isso, são mais adequados Sophos Firewall Threat Feeds.

Rollback e Liberação de Emergência

Uma alteração na política web pode afetar imediatamente o trabalho produtivo. Portanto, antes de grandes alterações, deve-se definir como restaurar o estado anterior.

Opções práticas de rollback:

  • Duplicar ou documentar a política web afetada antes da alteração
  • Testar a alteração primeiro numa regra piloto ou pequeno grupo de utilizadores
  • Não excluir imediatamente a regra de firewall antiga ou a política web antiga
  • Definir janela de tempo, utilizadores de teste e critério de fallback
  • Após guardar, verificar Log Viewer, ID da regra e decisão de categoria

Para bloqueios agudos, não se deve inserir reflexivamente uma regra de permissão ampla no topo. É melhor uma exceção restrita e temporária com um grupo de URLs claro, grupo de utilizadores e data de revisão. Se a pressão for alta, uma exceção temporária pode estabilizar a operação, mas deve ser reavaliada posteriormente.

Erros Comuns

A Política Web não se aplica

Geralmente, a política não está ativada na regra de firewall correta, a regra não é atingida, uma regra acima permite o tráfego ou o contexto do utilizador não corresponde. Primeiro, verificar Log Viewer e ID da regra.

HTTPS não é bloqueado como esperado

Sem Inspeção TLS, o firewall vê menos detalhes. Dependendo do destino, uma decisão de domínio ou categoria pode funcionar, enquanto a verificação de conteúdo, tipos de ficheiros ou certas funções de pesquisa permanecem limitadas.

QUIC contorna a expectativa

Se os navegadores usarem UDP 443, o tráfego pode ser processado de forma diferente do HTTPS clássico sobre TCP. Em regras de clientes, deve-se decidir conscientemente se o QUIC é bloqueado.

Regra de Permissão está muito acima

Uma regra de permissão ampla no início da política web pode anular regras de bloqueio posteriores. A ordem das regras dentro da política web é tão importante quanto a ordem das regras na lista de regras de firewall.

Muitas Exceções

Exceções resolvem rapidamente um problema individual, mas podem reduzir a eficácia da proteção. Cada exceção precisa de um propósito, responsável e data de revisão. Se muitas exceções surgirem, geralmente a estrutura da política está errada ou uma aplicação de negócios precisa de uma regra própria.

Relatórios não mostram nada

Então, deve-se verificar registo, relatórios, regra de firewall, seleção de política ou encaminhamento de logs. Uma política sem registo é difícil de avaliar em operação.

Lista de Verificação de Operação

  • Status da licença de Proteção Web verificado.
  • Tráfego de clientes, servidores, convidados e VPN avaliado separadamente.
  • Política web criada com nome descritivo.
  • Categorias críticas e Grupos de URLs planeados conscientemente.
  • Ordem das regras dentro da política web verificada.
  • Política web ativada na regra de firewall apropriada.
  • Log firewall traffic e registo web ativos.
  • Inspeção TLS e certificado CA para grupo piloto verificados.
  • Estratégia QUIC definida.
  • Policy Tester e testes reais realizados.
  • Log Viewer e relatórios controlados.
  • Processo de alteração para exceções de política web definido.
  • Exceções temporárias com data de validade atribuída.
  • Exceções documentadas com responsável e data de revisão.

FAQ

Por que minha Política Web do Sophos Firewall não se aplica?

Frequentemente, a política web não está selecionada na regra de firewall apropriada, a regra de firewall não é atingida ou outra regra está acima. No Log Viewer, deve-se primeiro verificar ID da regra, utilizador, zona e categoria web.

A Proteção Web é suficiente sem Inspeção TLS?

Para decisões simples de domínio ou categoria, a Proteção Web pode ser útil mesmo sem descriptografia completa. Para verificação de conteúdo, downloads, tipos de ficheiros e controle HTTPS mais confiável, a Inspeção TLS é necessária em muitos ambientes.

Deve-se bloquear o QUIC no Sophos Firewall?

Em muitos ambientes empresariais, sim, se se deseja que o filtro web, a Inspeção TLS e a verificação funcionem de forma consistente. Os navegadores normalmente voltam para HTTPS sobre TCP. A decisão deve ser testada e documentada.

Qual é a diferença entre Política Web e Regra de Firewall?

A regra de firewall permite o tráfego entre zonas e redes. A política web controla depois categorias web, Grupos de URLs, avisos, bloqueios, quotas ou outros controles web dentro dessa regra.

Onde se vêem as decisões de Proteção Web?

Primeiro no Log Viewer com filtros web e de firewall. Para avaliação mais longa, ajudam o Central Firewall Reporting ou Syslog/SIEM. Em problemas técnicos detalhados, podem ser relevantes os logs de proxy web, awarrenhttp, nSXLd e IPS.

Como se deve documentar exceções de política web?

Pelo menos com motivo, domínio ou categoria afetada, grupo de utilizadores, regra de firewall, política web, responsável e data de revisão. Exceções temporárias devem ter uma data de validade no nome ou na documentação.