Hoppa till innehållet
Avanet

Använda Sophos Firewall webbkategorier och omedelbara varningar

Sophos Firewall

Webbkategorier på Sophos Firewall är mer än bara ett enkelt webbfilter för oönskade webbplatser. Rätt använt hjälper de till att begränsa riskabelt surfande, logga kategorier korrekt och reagera snabbare vid kritiska åtkomster.

Med omedelbara varningar kan brandväggen skicka e-postmeddelanden för utvalda webbkategorier. Detta är särskilt användbart i skolor, känsliga företagsområden eller miljöer där vissa webbåtkomster inte ska uppmärksammas först i månadsrapporten.

Det är viktigt att förväntningarna är rätt: webbkategorier, URL-grupper, webbpolicyer, TLS-inspektion, QUIC-hantering, loggning och rapporter måste passa ihop. Om endast en kategori aktiveras men webbpolicyn inte används i en brandväggsregel, händer inget i den produktiva trafiken.

För allmän planering av webbpolicyer passar först Ställa in Sophos Firewall Web Protection med webbpolicyer. För regelbasen hjälper Förstå och konfigurera Sophos Firewall-regler korrekt. Denna artikel fokuserar på den operativa webb-delen: kategorier, URL-grupper, omedelbara varningar, utvärdering och reaktion.

Tydlig åtskillnad av begrepp

Sophos använder flera webbobjekt som lätt kan blandas ihop i vardagen.

BegreppUppgiftTypisk användning
WebbkategoriKategori för domäner, URL:er eller nyckelord. Många kategorier kommer från Sophos, egna kategorier är möjliga.Tillåta, blockera, begränsa eller rapportera webbåtkomster baserat på risk eller innehåll.
URL-gruppLista med domäner som kan användas i webbpolicyer eller TLS-undantag.Explicit tillåt- eller blocklistor när specifika domäner är viktigare än kategorier.
WebbpolicyRegelverk för användare, grupper, kategorier, URL-grupper, filtyper, innehållsfilter och åtgärder.Styra webbåtkomster och koppla till en brandväggsregel.
Omedelbara varningarE-postmeddelande för åtkomster till övervakade kategorier.Snabb rapportering vid särskilt känsliga eller riskfyllda kategorier.
Log Viewer och rapporterUtvärdering av det faktiska beslutet.Kontrollera om kategori, policy, användare och brandväggsregel fungerar som förväntat.

En webbpolicy fungerar först när den är vald i en lämplig brandväggsregel under Security features > Web filtering. Webbpolicyn i sig är alltså ingen produktiv regel.

När webbkategorier är meningsfulla

Webbkategorier är särskilt användbara när webbåtkomster inte bara ska tillåtas eller blockeras generellt. Typiska scenarier:

  • Blockera kategorier för skadlig kod, nätfiske och bedrägeri.
  • Begränsa anonymiseringstjänster, proxies och kringgåendetjänster.
  • Övervaka särskilt kategorier för Command-and-Control eller spionprogram.
  • Blockera kategorier som vuxeninnehåll, spel eller kontrollerade substanser beroende på miljö.
  • Tillåta affärskritiska molnapplikationer men begränsa privata moln- eller fildelningstjänster.
  • Övervaka särskilt känsliga kategorier med omedelbara varningar i skolor eller övervakade miljöer.
  • Begränsa bandbredd för vissa webbkategorier genom trafikformning.

Kategorier bör inte sättas på block eller varning utan eftertanke. Annars uppstår många träffar som ingen kan granska meningsfullt. Bättre är ett litet, tydligt set med ägare, reaktionsväg och granskning.

Förutsättningar

Innan konfigurationen bör dessa punkter klargöras:

  • Web Protection eller ett lämpligt Sophos Firewall-paket är licensierat.
  • Det finns en klient- eller användarregel som ska använda webbfiltrering.
  • Användar- eller gruppmatchning är planerad om policyer ska gälla användarbaserat.
  • Log firewall traffic är aktiv i den relevanta brandväggsregeln.
  • De relevanta loggtyperna är aktiverade under System services > Log settings.
  • E-postmeddelanden fungerar om omedelbara varningar ska användas.
  • För långsiktig utvärdering är Sophos Central Firewall Reporting eller Syslog planerat.
  • QUIC och TLS-inspektion är medvetet beslutade.

För central utvärdering passar Aktivera Central Firewall Reporting. Om loggar ska skickas till ett eget SIEM är Skicka Sophos Firewall Syslog till SIEM den bättre anslutningsartikeln.

Planera kategorier och URL-grupper

För administratörer är det viktigt när en egen webbkategori och när en URL-grupp passar bättre.

En egen webbkategori är meningsfull när:

  • Domäner eller nyckelord ska användas som kategori i flera webbpolicyer.
  • Kategorin ska vara synlig i rapporter och loggar.
  • Ett trafikformningskoncept efter kategori är planerat.
  • En övervakad kategori för omedelbara varningar ska skapas.

En URL-grupp är oftast bättre när:

  • Endast specifika domäner samlas.
  • En liten tillåt- eller blocklista behövs.
  • Listan också ska användas för TLS-undantag.
  • Nyckelordsmatchning ska undvikas.

URL-grupper är ofta mer prestandaeffektiva och mindre benägna för falska positiva än kategorier med nyckelord. Nyckelordskategorier bör därför användas sparsamt, särskilt för tillåt-regler.

Blockera, varna eller bara rapportera?

Inte varje kategori behöver samma behandling. En bra webbskyddsdesign skiljer hårda säkerhetsbeslut från indikationer och ren utvärdering.

BehandlingLämplig förDriftrisk
BlockeraSkadlig kod, nätfiske, kända kringgåendetjänster, klart förbjudna kategorierlegitim sida kan blockeras om kategorin är felaktig
VarningGråzoner, utbildningsmiljöer, medvetet tillåtna kategorieranvändare vänjer sig vid varningar och klickar reflexmässigt vidare
Omedelbar varningfå kategorier med verklig reaktionspliktför många varningar leder till varningströtthet
Endast rapporteringTrendanalys, användningsrapporter, svaga signalerträffar blir synliga först senare

För produktiva miljöer är ofta ett litet, tydligt urval bättre än en maximal katalog. Om ingen utvärderar en varning bör kategorin inte köras som omedelbar varning. Om en kategori alltid ska blockeras är en varning endast meningsfull om det leder till en konkret uppföljning.

Skapa eller anpassa webbkategori

Menypath är:

Web > Categories

Grundläggande steg:

  1. Redigera befintlig kategori eller välj Add.
  2. Ge ett namn.
  3. Välj klassificering.
  4. Valfritt, välj en trafikformningspolicy.
  5. Välj konfigurationstyp.
  6. Lägg till domäner eller nyckelord.
  7. Valfritt, aktivera Instant alerts.
  8. Spara.

För egna kategorier bör namnet tydligt beskriva syftet. Namn som Custom1 eller Blocklist hjälper inte senare. Bättre är namn som Alert_Self_Harm, Block_Proxy_Anonymizer eller Allow_Business_Cloud_Exceptions.

Domäner kontrolleras mot domännamnet i URL:en och inkluderar automatiskt underdomäner. Nyckelord kontrolleras däremot mot hela URL:en inklusive sökväg och frågor. Detta kan vara användbart men genererar lättare falska träffar.

Om en extern URL-databas används kontrollerar brandväggen denna lista var 48:e timme för uppdateringar. Detta intervall kan inte ändras. För offentliga blocklistor bör man ändå kontrollera om Ställa in och säkert driva Sophos Firewall Threat Feeds är bättre.

Konfigurera webbpolicy

Menypath är:

Web > Policies

En webbpolicy innehåller regler för användare, grupper, aktiviteter, kategorier, URL-grupper, filtyper, innehållsfilter, åtgärder och scheman.

Grundläggande steg:

  1. Skapa ny webbpolicy eller redigera befintlig policy.
  2. Lägg till regel.
  3. Välj användare eller grupper om policyn ska vara användarbaserad.
  4. Välj kategorier eller URL-grupper.
  5. Ställ in åtgärd för HTTP.
  6. Kontrollera separat åtgärd för HTTPS.
  7. Ställ in schema om nödvändigt.
  8. Aktivera regeln.
  9. Kontrollera regelposition.
  10. Spara.

Ordningen inom webbpolicyn är avgörande. Regler utvärderas uppifrån och ner. En bred tillåt-regel ovanför en specifik blockregel kan leda till att blockregeln aldrig träder i kraft.

Om användare är inställda i brandväggsregeln och i webbpolicyn måste man medvetet testa effekten. Användare i brandväggsregler kan ha företräde framför användare i webbpolicyer. Vid oklara träffar bör man därför inte bara kontrollera webbpolicyn utan även brandväggsregeln.

Aktivera webbpolicy i brandväggsregel

Menypath är:

Rules and policies > Firewall rules > [Rule] > Security features > Web filtering

Grundläggande steg:

  1. Öppna relevant klient- eller serverregel.
  2. Kontrollera Source zone, Source network, Destination zone och Services.
  3. Aktivera Log firewall traffic.
  4. Under Web filtering välj önskad webbpolicy.
  5. Medvetet aktivera eller motiverat inaktivera Block QUIC protocol.
  6. Kontrollera inställningar för Malware Scan och HTTPS-Scan.
  7. Spara.
  8. Testa med Policy tester, Log Viewer och verklig klienttrafik.

QUIC är en vanlig störfaktor för webbfiltrering. När webbläsare kommunicerar över UDP 443 stämmer inte alltid logik och synlighet med förväntningarna på klassisk HTTPS över TCP. För detaljer passar Blockera Sophos Firewall QUIC och HTTP/3 korrekt.

Om HTTPS-innehåll eller fullständiga URL-sökvägar är relevanta räcker inte alltid webbkategorisering. Då måste TLS-inspektion planeras. Detta bör inte ske i förbifarten eftersom certifikat, undantag, dataskydd, prestanda och supportprocesser påverkas. Utrullningen beskrivs i Införa Sophos Firewall TLS-inspektion korrekt.

Aktivera omedelbara varningar

Omedelbara varningar aktiveras på kategorinivå.

Menypath är:

Web > Categories

Grundläggande steg:

  1. Redigera kategori.
  2. Välj kategori medvetet för övervakning.
  3. Aktivera Instant alerts.
  4. Spara.
  5. Öppna System services > Notifications list.
  6. Sök efter Web - Instant alerts.
  7. Aktivera kryssrutan under Email.
  8. Kontrollera e-postleverans och mottagare.
  9. Generera teståtkomst och kontrollera meddelande.

Brandväggen skickar e-postmeddelanden för övervakade kategorier i batcher var femte minut. Detta intervall kan inte ändras. En varning är därför ingen sekundnoggrann realtidsvarning, utan en snabb e-postmeddelande jämfört med enbart efterföljande rapporter.

Omedelbara varningar bör endast aktiveras för kategorier där en definierad mottagare faktiskt kan reagera. En stor varningslista utan ansvar leder oftast till varningströtthet.

Dataskydd och intern ansvarighet

Webbkategori-varningar kan innehålla användare, käll-IP, tidpunkt, kategori och beroende på synlighet även målinformation. Detta är användbart för säkerhet och drift, men kan beroende på organisation väcka arbetsrättsliga eller dataskyddsrelaterade frågor.

Innan produktiv användning bör därför följande klargöras:

  • Vem får se webblarm?
  • Vilka träffar granskas endast tekniskt och vilka behandlas som säkerhetsfall?
  • Hur länge lagras varnings-e-post, rapporter eller SIEM-händelser?
  • Är utvärderingen samordnad med HR, dataskydd eller interna riktlinjer?
  • Hur förhindrar man att enskilda harmlösa träffar övertolkas?

Tekniskt är inställningen snabbt aktiverad. Operativt bör den dock behandlas som en liten övervakningsprocess: mottagare, syfte, reaktionsväg och lagring måste passa ihop.

Fastställa varningstriage

Omedelbara varningar bör inte behandlas lika. En enskild kategoriträff kan vara ett harmlöst felklick, en felklassificerad tjänst, ett policyproblem eller ett verkligt säkerhetsfall. Därför bör det definieras i förväg vilka träffar som ska granskas omedelbart och vilka som bara går in i den normala granskningen.

En enkel triage hjälper:

PrioritetTypisk kategori eller situationReaktion
HögSkadlig kod, nätfiske, Command-and-Control, exploaterings- eller spionprogramkategoriergranska Log Viewer, användare, Endpoint-status och andra säkerhetsloggar i tid
MedelAnonymiseringstjänster, proxy, fildelning, privat molnlagring eller upprepade policyomgåendengranska mönster, klargöra användarkontext och skärpa policy
Lågenskilda gråzoner utan upprepningta med i rapportering eller veckogranskning, inte eskalera omedelbart
Falsklarmaffärskritisk sida felaktigt kategoriseradöverväg riktad URL-grupp eller kategoriändring, sätt inte bred tillåt-regel

Denna indelning bör inte bara finnas i en administratörs huvud. En kort driftsnotering är meningsfull: övervakade kategorier, mottagare, reaktionstid, eskaleringsväg, tillåtna undantag och granskningsdatum. Detta håller det klart om en varning bara ska dokumenteras, tekniskt korrigeras eller behandlas som en incident.

Testa och utvärdera

Efter varje ändring bör man inte bara spara utan också kontrollera effekten.

Lämpliga kontrollsteg:

  1. Öppna Web > Policies > Policy tester.
  2. Testa användare, URL och policy.
  3. Besök en lämplig webbplats på en testklient.
  4. Öppna Log viewer.
  5. Kontrollera webbfilter-, brandväggs-, SSL/TLS-inspektions- och applikationskontrolloggar.
  6. Kontrollera i brandväggsregeln om träffen ligger på den förväntade regeln.
  7. Vid omedelbara varningar, kontrollera e-postinkorgen.
  8. Kontrollera i Sophos Central eller SIEM om händelserna kommer dit.

Policy testern är användbar men ersätter inte ett verkligt paketflöde. Om en regel inte matchar, en SD-WAN-rutt beslutar annorlunda eller TLS/QUIC ändrar vägen, ser man det ofta först i Log Viewer eller Packet Capture. För sådana fall passar Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.

För loggfilernas tilldelning hjälper Sophos Firewall Troubleshooting: Services och Logs. Där är bland annat awarrenhttp.log, webproxy.log och nSXLd.log för webb- och kategoriseringsfrågor inordnade.

Typiska fel

SymptomVanlig orsakKontroll
Webbpolicy fungerar intePolicyn är inte vald i brandväggsregelnKontrollera brandväggsregel under Web filtering
Kategori tillåts trots att den borde blockerasBred tillåt-regel står ovanför blockregelnKontrollera ordning i webbpolicy och brandväggsregler
Ingen omedelbar varningKategori inte övervakad eller meddelande inte aktivt via e-postKontrollera Web > Categories och System services > Notifications list
Ingen användaruppgift i loggenAnvändare känns inte igen eller regeln matchar inte användarbaseratKontrollera autentisering, STAS, Captive Portal eller klientlösa användare
HTTPS tillåts oväntatIngen lämplig TLS-inspektion eller HTTPS-åtgärdKontrollera webbpolicy, SSL/TLS-inspektionsregler och dekryptering
Webbfilter fungerar ofullständigtQUIC eller felaktig trafikvägKontrollera Block QUIC protocol, tjänster och Log Viewer
För många varningarKategorier valda för brettMinska varningslistan och fastställ ägare
Domän saknas i logg/rapportSärskilt kritisk kategori anonymiserasKontrollera kategori och Sophos-beteende

Sophos blockerar webbplatser i kategorin highly objectionable criminal activity som standard och döljer domännamnet i loggar och rapporter. Om en post i detta område visas anonymiserad kan detta alltså vara avsiktligt.

Fastställa reaktion på omedelbara varningar

En omedelbar varning är bara användbar om det är klart vad som ska hända efteråt. Annars uppstår ytterligare e-posttrafik men ingen bättre säkerhet. Innan aktivering bör därför en enkel reaktionsprocess definieras.

För varje övervakad kategorityp bör minst följande fastställas:

FrågaVarför viktigt?
Vem får varningen?Förhindrar distributionslistor utan ansvar.
Hur snabbt måste man reagera?Skiljer kritiska träffar från ren efterbearbetning.
Vilka loggar granskas?Log Viewer, Central Reporting, Syslog eller serviceloggar ger olika djup.
När är en träff en incident?Inte varje kategoriträff är automatiskt en säkerhetsincident.
Vem får godkänna ett undantag?Förhindrar snabba, breda tillåt-regler utan riskbedömning.
När granskas kategoriurvalet?Minskar varningströtthet genom för breda varningsset.

En pragmatisk process ser ut så här:

  1. Registrera varning med användare, käll-IP, kategori, URL eller domän och tidpunkt.
  2. Kontrollera i Log Viewer vilken brandväggsregel och webbpolicy som gällde.
  3. Om tillgängligt, använd Central Reporting eller SIEM för tidsmässig inordning.
  4. Bedöm om det är ett enskilt fall, ett upprepat mönster eller ett falsklarm.
  5. Vid felkategorisering, arbeta endast riktat med URL-grupp eller kategoriändring.
  6. Vid märkligt mönster, utvärdera användarkontext, Endpoint-status och andra säkerhetsloggar.
  7. Dokumentera beslut: ignorera, observera, blockera, undantag, incident.

För teknisk detaljanalys hjälper Sophos Firewall Troubleshooting: Services och Logs, Aktivera Central Firewall Reporting och Skicka Sophos Firewall Syslog till SIEM. Om det är oklart om rätt brandväggsregel träffades passar Testa brandväggsregel med Log Viewer, Policy Test och Packet Capture.

Driftsrekommendation

För produktiva miljöer är en trestegsmodell meningsfull:

  1. Blockera: Blockera skadlig kod, nätfiske, bedrägeri, Command-and-Control, anonymiseringstjänster och andra klart riskfyllda kategorier.
  2. Övervaka: Förse få känsliga kategorier med omedelbara varningar.
  3. Utvärdera: Granska webb-rapporter, Central Reporting eller SIEM regelbundet.

Den viktigaste gränsen är organisatorisk: En varning behöver en mottagare, en reaktionstid och ett beslut om vad som händer med träffar. Annars blir omedelbara varningar bara ytterligare e-postbrus.

Checklista

  • Web Protection-licens kontrollerad.
  • Relevant brandväggsregel identifierad.
  • Webbpolicy skapad eller anpassad.
  • Webbpolicy vald i brandväggsregeln.
  • Log firewall traffic aktiverad i regeln.
  • Block QUIC protocol medvetet beslutad.
  • TLS-inspektion medvetet planerad eller medvetet inte använd.
  • Kritiska kategorier definierade.
  • Omedelbara varningar aktiverade endast för få tydliga kategorier.
  • System services > Notifications list > Web - Instant alerts aktiverad via e-post.
  • Test utförd med Policy tester.
  • Test utförd med verklig klienttrafik.
  • Log Viewer kontrollerad.
  • Central Reporting eller Syslog kontrollerad om central utvärdering förväntas.
  • Ägare och reaktionsväg för varningar dokumenterad.

Vanliga frågor

Vad är skillnaden mellan webbkategori och URL-grupp?

En webbkategori tilldelar domäner, URL:er eller nyckelord till en kategori och kan användas i webbpolicyer, rapporter och omedelbara varningar. En URL-grupp är en explicit domänlista som är särskilt lämplig för specifika tillåt- eller blocklistor.

Varför fungerar inte en webbpolicy?

Ofta är webbpolicyn inte vald i rätt brandväggsregel, regeln matchar inte eller en mer generell regel står ovanför. Dessutom kan användartilldelning, tjänster, QUIC eller TLS-inspektion förändra den förväntade effekten.

Är omedelbara varningar riktiga realtidslarm?

Inte sekundnoggranna. E-postmeddelanden för övervakade kategorier skickas i batcher var femte minut. För många driftsfall är det tillräckligt snabbt, men ersätter inte ett SIEM eller SOC-övervakning.

Bör man förse alla riskfyllda kategorier med omedelbara varningar?

Nej. För många varningar skapar brus. Bättre är ett litet urval med tydligt ansvar, till exempel särskilt känsliga kategorier eller kategorier med högt undersökningsvärde.

Behöver man TLS-inspektion för webbkategorier?

Inte alltid. Många kategorier fungerar genom URL- eller domänbedömning. För fullständiga URL-sökvägar, innehåll, nedladdningar och vissa skyddsfunktioner kan TLS-inspektion dock vara avgörande. Användningen bör planeras och testas.