XG-Firewall[241-360]

Prévia do material em texto

268
Revisão do módulo
• Na conclusão deste módulo, você pode agora:
✓ Explique as opções de VPN disponíveis para conexões site a site✓ Explique as opções de VPN disponíveis para conexões site a site
✓ Configurar uma VPN site a site IPsec usando o assistente✓ Configurar uma VPN site a site IPsec usando o assistente
✓ Configurar uma VPN SSL✓ Configurar uma VPN SSL
✓ Explicar os modos de implantação do RED✓ Explicar os modos de implantação do RED
✓ Configurar e implantar REDs✓ Configurar e implantar REDs
Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento 
para analisá-las.
Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo.
Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.
Engenheiro de firewall XG - 268
Olá, este é o curso de treinamento certificado pela Sophos para o Sophos XG Firewall. Este é o Módulo 5: Autenticação.
Engenheiro Certificado Sophos
Sophos XG Firewall ET80 - Autenticação ET805
Versão de março de 
2019: 17.5v1
Versão do produto: Sophos XG Firewall 17.5
© 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de 
qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste 
documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários.
Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou 
representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a 
qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon 
Science Park, Abingdon, Oxfordshire, OX14 3YP.
Engenheiro Certificado Sophos
Sophos XG Firewall
Módulo 5: Autenticação
Versão 17.5
Engenheiro de firewall XG - 271
Autenticação
Usuários e Grupos
Usando autenticação
Senhas de uso único
Métodos de autenticação Visão 
geral da autenticação
O Sophos XG Firewall é um firewall baseado em identidade, que permite criar políticas em torno dos usuários, em vez de apenas 
redes e dispositivos. Para tornar isso possível, o XG Firewall anexa uma identidade ao tráfego que está passando.
Neste módulo, examinaremos a autenticação local e externa, os diferentes tipos de usuário no XG Firewall, como os 
usuários podem ser autenticados e como usar a identidade dos usuários depois de autenticados.
Engenheiro de firewall XG - 272
Visão geral da autenticação
Engenheiro de firewall XG - 274
V
i
s
ã
o
 
g
e
r
a
l
 
d
a
 
a
u
t
e
n
t
i
c
a
ç
ã
o
O XG Firewall possui um banco de dados de usuários local, no qual os usuários podem ser criados ou importados manualmente via CSV.
Os usuários podem ser criados como Usuário ou Administrador e, para administradores, pode ser selecionado um perfil que 
controla o nível de acesso.
Usuários locais podem ser atribuídos manualmente a um grupo ao qual herdarão as configurações de diretiva. Eles podem ser substituídos 
por usuário.
As configurações de diretiva incluem restrições de rede e Internet, configuração de tráfego e configurações de VPN de acesso remoto.
A autenticação local é mais adequada para organizações de tamanho pequeno e que não possuem um serviço de diretório existente 
ou quando usuários convidados precisam acessar redes habilitadas para autenticação.
Autenticação local
• Usuários criados manualmente ou importados via CSV
• Atribuir usuários manualmente a grupos 
Engenheiro de firewall XG - 275
V
i
s
ã
o
 
g
e
r
a
l
 
d
a
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Servidores de autenticação
• Servidores de autenticação externos 
o Diretório ativoo Diretório ativo
o eDirectoryo eDirectory
o RAIOo RAIO
o TACACS +o TACACS +
o LDAP / S o LDAP / S 
Diretório Apple 
OpenLDAP Outro LDAP 
padrão 
diretórios
O Sophos XG Firewall também pode ser configurado para autenticação com servidores externos, como:
• Diretório ativo
• Novell eDirectory
• LDAP / LDAPS
• Servidor RADIUS
• TACACS +
Usando LDAP ou LDAPS, o Sophos XG Firewall pode autenticar usando OpenLDAP, Apple Directory ou qualquer outro diretório 
LDAP padrão.
Engenheiro de firewall XG - 276
V
i
s
ã
o
 
g
e
r
a
l
 
d
a
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Como o Sophos XG Firewall é um firewall baseado em identidade, a autenticação é essencial. A autenticação é feita 
em diferentes níveis, dependendo do tipo de acesso, e há três tipos de autenticação, dependendo da situação atual.
A autenticação no firewall é a forma geral de autenticação e a mais comum, na qual os usuários são autenticados 
através do firewall. Ao escolher os servidores deste grupo, você está dizendo ao firewall que os usuários que se 
autenticam pelo firewall (principalmente para acessar a Internet ou recursos internos) serão provenientes da lista de 
servidores de autenticação selecionados.
Os servidores de autenticação serão processados ​​de cima para baixo na lista 'Servidor de autenticação selecionado', e os servidores 
podem ser reordenados arrastando e soltando os servidores na lista. Isso também pode ser feito para acesso à autenticação de 
VPN e administrador.
Para os outros serviços, você pode definir a autenticação para espelhar os métodos de Autenticação do Firewall, para que eles não 
precisem ser definidos separadamente.
Na seção de configuração do administrador, os usuários selecionados podem fazer login no console da web do Sophos XG Firewall. Em uma 
organização pequena, um usuário local pode ser criado; no entanto, para uma organização grande, se um usuário local for criado, isso significa 
que o usuário deve se lembrar de dois conjuntos de credenciais. Para facilitar isso, a autenticação do administrador permite que usuários de um 
diretório externo acessem o console da web.
Autenticação de Serviço
• Selecionar fontes de autenticação por serviço
o CONFIGURAR> Autenticação> Serviçoso CONFIGURAR> Autenticação> Serviços
o Firewall, VPN (IPsec / L2TP / PPTP), SSL VPN, Administradoro Firewall, VPN (IPsec / L2TP / PPTP), SSL VPN, Administrador
Engenheiro de firewall XG - 277
V
i
s
ã
o
 
g
e
r
a
l
 
d
a
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Usuários e Grupos
Engenheiro de firewall XG - 278
U
s
u
á
r
i
o
s
 
e
 
G
r
u
p
o
s
O XG Firewall possui três tipos de usuário;
Usuários padrão que se autenticam com um nome de usuário e senha. Eles podem ser autenticados localmente pelo XG 
Firewall ou usando um servidor de autenticação externo, como o Active Directory.
Os usuários sem cliente não se autenticam usando um nome de usuário e senha, mas são identificados apenas pelo endereço IP. 
Usuários sem cliente são sempre autenticados localmente pelo XG Firewall. Normalmente, você usaria usuários sem cliente para 
controlar o acesso à rede para servidores ou dispositivos, como impressoras e telefones VoIP.
O tipo final de usuário é um usuário convidado. Esses são usuários que recebem acesso temporário à rede, geralmente para 
acessar a Internet. Eles se autenticam com um nome de usuário e senha que são gerados pelo XG Firewall e sempre são 
autenticados localmente.
Usuários temporários autenticados com um nome de usuário e senha gerados 
pelo sistema autenticados localmente
Usuários Convidados
Tipos de Usuário
Autenticado por endereço IP 
autenticado localmente
Usuários sem cliente
Autenticar com um nome de usuário e senha Pode ser 
autenticado local ou externamente
Comercial
Engenheiro de firewall XG - 279
U
s
u
á
r
i
o
s
 
e
 
G
r
u
p
o
s
Aqui você pode ver um exemplo de um servidor de impressão sendo adicionado como um usuário sem cliente. Dê um nome ao 
dispositivo, especifique o endereço IPe selecione de qual grupo ele fará parte. Você usará o grupo nas regras de firewall para 
controlar o acesso à rede que o dispositivo possui.
Usuários sem cliente também podem ser adicionados em massa especificando um intervalo de endereços IP e selecionando de qual grupo 
eles serão membros. Você pode editar os detalhes de cada endereço IP após adicioná-los.
Aqui você pode ver dois usuários sem cliente. O usuário principal foi adicionado como parte de um intervalo e o usuário inferior foi 
adicionado individualmente.
Usuários sem cliente
Engenheiro de firewall XG - 280
U
s
u
á
r
i
o
s
 
e
 
G
r
u
p
o
s
Usuários Convidados
Aqui você pode ver dois usuários convidados que foram adicionados a um XG Firewall. De maneira semelhante aos Usuários sem Cliente, 
você pode adicionar Usuários Convidados individualmente ou em massa. Isso é útil se houver convidados que precisem de acesso por um 
período prolongado, como um contratado que trabalhará com a empresa, mas não terá uma conta no domínio.
Existem duas opções principais ao adicionar um usuário convidado:
1. Por quanto tempo suas credenciais serão válidas para
2. Se o horário começará assim que o usuário for adicionado ou quando o usuário fizer logon pela primeira vez
Uma vez adicionados, os detalhes dos Usuários Convidados podem ser impressos. Isso pode ser feito em massa, selecionando vários 
usuários e clicando em Impressão.usuários e clicando em Impressão.
Engenheiro de firewall XG - 281
U
s
u
á
r
i
o
s
 
e
 
G
r
u
p
o
s
Usuários Convidados
Todos os usuários convidados são criados com as mesmas configurações que podem ser definidas no CONFIGURAR> Autenticação> Todos os usuários convidados são criados com as mesmas configurações que podem ser definidas no CONFIGURAR> Autenticação> 
Configurações do usuário convidado.
Aqui você pode definir o grupo ao qual o usuário será adicionado e a complexidade da senha.
Opcionalmente, você também pode integrar o XG Firewall a um gateway SMS para permitir que os Usuários Convidados registrem seus 
próprios detalhes de acesso. Isso pode economizar tempo significativo, onde há grandes volumes de Usuários Convidados, como em hotéis e 
aeroportos.
Engenheiro de firewall XG - 282
U
s
u
á
r
i
o
s
 
e
 
G
r
u
p
o
s
Grupos
• CONFIGURAR> Autenticação> Grupos
Agora que analisamos os diferentes tipos de usuários, veremos os grupos. Existem dois tipos de grupos, Normal e Sem 
Cliente, para seus respectivos tipos de usuário.
Um grupo é uma coleção de usuários com políticas comuns e pode ser usado para atribuir acesso a recursos para vários usuários 
em uma única etapa. Em vez de anexar políticas individuais ao usuário, crie um grupo com políticas definidas e simplesmente 
atribua o grupo apropriado ao usuário. O usuário herdará automaticamente todas as políticas adicionadas ao grupo. Isso simplifica 
a configuração do usuário.
Um grupo pode conter políticas padrão e personalizadas. Exemplos de políticas que podem ser agrupadas incluem:
• Cota de surf 
• Tempo de acesso
• Tráfego de rede
• Modelagem de tráfego
Estes são configurados em SISTEMA> Perfis.Estes são configurados em SISTEMA> Perfis.
Você deve observar que, por padrão, os usuários herdarão as políticas dos grupos atribuídos. Para ajustar as políticas atribuídas de um 
grupo, selecione uma política na lista de políticas disponíveis ao editar ou criar um novo grupo. Você também pode criar uma nova 
política diretamente da página do grupo. No caso de VPNs SSL, se um usuário não tiver acesso à VPN SSL, selecione 'Nenhuma 
política aplicada'.
Engenheiro de firewall XG - 283
U
s
u
á
r
i
o
s
 
e
 
G
r
u
p
o
s
Os usuários são criados automaticamente no Sophos XG Firewall quando se conectam pela primeira vez. Quando o 
firewall cria o usuário, ele sincroniza propriedades adicionais do servidor Active Directory, incluindo o nome completo e o 
endereço de email.
O firewall também pode atribuir o usuário aos mesmos grupos dos quais ele é membro no Active Directory, se esses grupos tiverem 
sido importados antes do logon do usuário. Os grupos podem ser facilmente importados usando o assistente Importar Grupo.
Nota: O XG Firewall não suporta grupos aninhados e, se um usuário for membro de vários grupos, ele será adicionado Nota: O XG Firewall não suporta grupos aninhados e, se um usuário for membro de vários grupos, ele será adicionado 
ao primeiro a que corresponder.
Grupos - Importar grupos do Active Directory
• Importando grupos usando o assistente
• Usuários adicionados aos grupos automaticamente no primeiro logon
Grupo do Active Directory 
Assistente de Importação
Engenheiro de firewall XG - 284
U
s
u
á
r
i
o
s
 
e
 
G
r
u
p
o
s
Demonstração: Importação de Grupo do Active Directory
Engenheiro de firewall XG - 285
U
s
u
á
r
i
o
s
 
e
 
G
r
u
p
o
s
Clique no Importar ícone para o servidor de autenticação LondonDCClique no Importar ícone para o servidor de autenticação LondonDCClique no Importar ícone para o servidor de autenticação LondonDC
Engenheiro de firewall XG - 287
Clique ComeçarClique Começar
Engenheiro de firewall XG - 288
Clique no Consultas de pesquisa campo suspensoClique no Consultas de pesquisa campo suspensoClique no Consultas de pesquisa campo suspenso
Engenheiro de firewall XG - 289
Essa lista conterá as consultas de pesquisa que você adicionou ao servidor de autenticação. dc = sophos, Essa lista conterá as consultas de pesquisa que você adicionou ao servidor de autenticação. dc = sophos, 
dc = local
Engenheiro de firewall XG - 290
Clique no Próximo para continuarClique no Próximo para continuarClique no Próximo para continuar
Engenheiro de firewall XG - 291
Você pode selecionar quais grupos deseja importar
Neste exemplo, importaremos todos os grupos na UO Sophos Users Select. Usuários Neste exemplo, importaremos todos os grupos na UO Sophos Users Select. Usuários 
Sophos
Engenheiro de firewall XG - 292
Clique no Próximo para continuarClique no Próximo para continuarClique no Próximo para continuar
Engenheiro de firewall XG - 293
Por padrão, as políticas que você seleciona nesta tela são aplicadas a todos os grupos que estão sendo importados. Se você deseja personalizar as políticas para alguns 
grupos, desmarque a opção Anexar a todos os grupos opção. Neste exemplo, usaremos as mesmas políticas para todos os grupos. Clique no Próximo para continuargrupos, desmarque a opção Anexar a todos os grupos opção. Neste exemplo, usaremos as mesmas políticas para todos os grupos. Clique no Próximo para continuargrupos, desmarque a opção Anexar a todos os grupos opção. Neste exemplo, usaremos as mesmas políticas para todos os grupos. Clique no Próximo para continuargrupos, desmarque a opção Anexar a todos os grupos opção. Neste exemplo, usaremos as mesmas políticas para todos os grupos. Clique no Próximo para continuargrupos, desmarque a opção Anexar a todos os grupos opção. Neste exemplo, usaremos as mesmas políticas para todos os grupos. Clique no Próximo para continuar
Engenheiro de firewall XG - 294
Revise as opções que você selecionou e clique no ícone Próximo para continuarRevise as opções que você selecionou e clique no ícone Próximo para continuarRevise as opções que você selecionou e clique no ícone Próximo para continuar
Engenheiro de firewall XG - 295
Clique Está bem para iniciar a importação do grupoClique Está bem para iniciar a importação do grupoClique Está bem para iniciar a importação do grupo
Engenheiro de firewall XG - 296
Os resultados da importação serão exibidos Clique em FecharOs resultados da importação serão exibidos Clique em Fechar
Engenheiro de firewall XG - 297
Os resultados da importação serão exibidos Clique em FecharOs resultados da importação serão exibidos Clique em Fechar
Engenheiro de firewall XG - 298
Métodos de autenticação
Engenheiro de firewall XG - 299
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Métodos de autenticação
• Ponto de acesso
• Usuários sem cliente
• SSO (Logon único)• Agente de autenticação
• Portal Cativo
• Identidade de usuário sincronizada e Sophos Transparent 
Authentication Suite (STAS)
• Autenticação Sophos para clientes de terminal (SATC)
• Cliente SSO
• VPN
• RAIO
• NTLM
O Sophos XG Firewall suporta cinco métodos principais de autenticação de usuários, são eles:
• Ponto de acesso
• Usuários sem cliente
• Logon único (SSO)
• Agente de autenticação
• Portal Cativo
Essa é a ordem na qual a autenticação é verificada para os usuários.
A autenticação do ponto ativo é verificada quando um ponto ativo está ativo na interface da qual o tráfego é proveniente.
O cliente do agente de autenticação pode ser baixado do Portal do Usuário. Uma vez instalado, o usuário pode inserir 
suas credenciais e salvá-las para que ele se autentique com o firewall sempre que efetuar login.
O XG Firewall possui vários métodos para autenticar usuários para logon único.
A Identidade de Usuário Sincronizada usa o sincronismo de segurança sincronizado para autenticar usuários de terminais executando 
a proteção do Sophos Central Endpoint.
O Sophos Transparent Authentication Suite, STAS, é instalado nos controladores de domínio e relata os eventos de 
logon ao XG Firewall.
A autenticação Sophos para o Terminal Client, SATC, está instalada nos Servidores de Terminal e permite que o 
Engenheiro de firewall XG - 300
P
r
e
c
e
d
ê
n
c
i
a
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
XG Firewall para identificar usuários com base na porta de origem do tráfego do Terminal Server.
O cliente SSO permite que os usuários efetuem logon na rede da organização e no dispositivo 
simultaneamente. Isso requer instalação do cliente no computador Windows do usuário.
Quando os usuários estão conectados ao XG Firewall por meio de uma VPN de acesso remoto, eles são automaticamente 
autenticados com o firewall sem problemas.
Observe que, no caso de failover de alta disponibilidade, os usuários terão que se reconectar ao túnel da VPN, 
pois serão desconectados e o usuário será desconectado do firewall. 
O Sophos XG Firewall pode autenticar de forma transparente usuários que já foram autenticados em um 
servidor RADIUS externo. O firewall não interage com o servidor RADIUS, mas simplesmente monitora os 
registros contábeis RADIUS que o servidor envia. Esses registros geralmente incluem o endereço IP e o grupo 
de usuários.
O XG Firewall também suporta logon único para tráfego da Web usando solicitações de autenticação 
NTLM.
Engenheiro de firewall XG - 300
Atividade
Coloque os métodos de autenticação em ordem ou precedência
Portal Cativo
Usuários sem cliente
Agente de 
autenticação de ponto ativo
Logon único sem cliente
Engenheiro de firewall XG - 301
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
js
Seta
js
Seta
js
Seta
js
Seta
js
Seta
Identidade do usuário sincronizada
Security Heartbeat ™
Servidor do Active Directory
Firewall XG
Internet
Pontos finais 
da Sophos
O XG obtém o ID do usuário dos 
pontos de extremidade que estão 
em um domínio do Active 
Directory automaticamente
Vamos começar com a identidade do usuário sincronizada.
A autenticação do usuário é extremamente importante para todos os firewalls de última geração para fornecer relatórios e aplicação de 
políticas com base no usuário. Em um ambiente típico do Active Directory, a identidade do usuário transparente no firewall é obtida instalando 
um agente no Directory Server para retransmitir as informações de identidade do usuário para o firewall ou no terminal para compartilhar a 
identificação do usuário. Essas soluções de agentes podem ser problemáticas para implantar em algumas situações e ambientes.
Além desses métodos de autenticação comuns, os pontos de extremidade em um domínio do Active Directory podem compartilhar a 
identidade do usuário com o Firewall por meio da conexão Security Heartbeat ™. Isso facilita e simplifica a identificação do usuário sem 
a necessidade de implantar agentes nos controladores de domínio. Esse recurso pode ser muito útil em muitas situações, mas 
principalmente onde a implantação em linha do XG com outros firewalls é desejada.
Observe que, para sistemas multiusuário, como hosts de serviços de terminal, você deve usar o SATC (Sophos Authentication for 
Thin Clients. Esta solução também não suporta dispositivos ou servidores não gerenciados.
Engenheiro de firewall XG - 303
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Identidade do usuário sincronizada
Aqui você pode ver os usuários que foram autenticados usando a identidade de usuário sincronizada nos usuários ativos. Observe que o tipo de 
cliente está listado como 'Pulsação'.
Engenheiro de firewall XG - 304
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Identidade do usuário sincronizada
Adicionar um servidor de autenticação do Active Directory no XG Firewall
1
Importar grupos do Active Directory para o XG Firewall
2
Habilitar o servidor Active Directory nos métodos de autenticação do Firewall
3
Os computadores com um Security Heartbeat ™ sincronizarão os detalhes do usuário
4
Para começar a usar a Segurança sincronizada, você deve ter um servidor de autenticação do Active Directory configurado no XG Firewall. a 
identidade de usuário sincronizada funciona apenas para computadores que fazem parte de um domínio do Active Directory.
Você deve importar os grupos de usuários do Active Directory para o XG Firewall.
O servidor do Active Directory deve estar ativado nos métodos de autenticação do firewall.
Com isso feito, todos os pontos de extremidade do Windows com pulsação no XG Firewall serão autenticados por meio da pulsação.
Engenheiro de firewall XG - 305
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Desativando o ID do Usuário Sincronizado
Se você não quiser usar o ID do usuário sincronizado, poderá desativá-lo tocando no arquivo / content / no_userid. Para começar 
a usar o ID do usuário sincronizado novamente, remova este arquivo.
Engenheiro de firewall XG - 306
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Portal Cativo
• Portal de autenticação da web HTTPS
• CONFIGURAR> Autenticação> Serviços
Se o usuário não foi autenticado com o XG Firewall usando qualquer um dos outros métodos, um portal cativo pode ser 
exibido.
O portal cativo pode ser usado por computadores e dispositivos móveis e fornece um portal seguro para autenticação do usuário 
por HTTPS.
O comportamento do portal cativo é configurado em CONFIGURAR> Autenticação> Serviços. Aqui você também pode escolher se as O comportamento do portal cativo é configurado em CONFIGURAR> Autenticação> Serviços. Aqui você também pode escolher se as O comportamento do portal cativo é configurado em CONFIGURAR> Autenticação> Serviços. Aqui você também pode escolher se as 
páginas de notificação da proteção da web devem incluir um link para o portal cativo.
A aparência do portal cativo pode ser totalmente personalizada em CONFIGURAR> Autenticação> Portal cativo.A aparência do portal cativo pode ser totalmente personalizada em CONFIGURAR> Autenticação> Portal cativo.
Observe que o portal cativo é executado na porta 8090.
Engenheiro de firewall XG - 307
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Links para usuários
SISTEMA> Administração> Configurações de administrador
Além de selecionar o certificado usado pelo XG Firewall para as páginas voltadas ao usuário, você também pode configurar o nome 
do host ou o endereço IP usado ao redirecionar os usuários para as páginas internas do portal. A combinação de controles para o 
certificado e o nome do host permite garantir que os usuários não vejam um erro de certificado no navegador.
Observe que, quando você verifica as configurações, isso não inclui nenhum nome alternativo de assunto incluído no 
certificado, e o nome do host deve ser resolvido para um endereço IP em uma interface interna.
Engenheiro de firewall XG - 308
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
AutenticaçãoNTLM
• Ideal onde a autenticação é necessária apenas para filtragem da Web
• Autentica apenas o tráfego da web
• Servidor de autenticação do Active Directory necessário
• Configuração explícita de proxy recomendada
Navegação na Web Navegação na Web
Outro tráfego
Computador portátil
Firewall XG
Internet
Autenticado
Usuário não autenticado
Onde a autenticação é necessária apenas para filtragem da Web e o usuário não precisa ser autenticado com o 
firewall, a autenticação NTLM pode ser uma opção simples.
Para usar a autenticação NTLM, um servidor de autenticação do Active Directory precisa ser configurado no XG Firewall e, para 
evitar que os usuários visualizem pop-ups, recomendamos configurar o XG Firewall como um proxy explícito.
Nota: o uso da autenticação NTLM autentica apenas os usuários para o tráfego da web.Nota: o uso da autenticação NTLM autentica apenas os usuários para o tráfego da web.
Engenheiro de firewall XG - 309
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Autenticação NTLM
Habilitar
Configuração do Cliente
Depois de adicionar um servidor de autenticação do Active Directory, tudo o que você precisa fazer é ativar o NTLM para a (s) zona (s) da 
qual os clientes estarão se conectando.
Para evitar que os clientes vejam um pop-up para autenticação, os clientes podem ser configurados para usar o XG como um proxy explícito. 
O endereço do servidor proxy deve ser o nome do host interno que está dentro do domínio.
A porta do proxy padrão é 3128, mas pode ser personalizada em PROTEGER> Web> Configurações gerais.A porta do proxy padrão é 3128, mas pode ser personalizada em PROTEGER> Web> Configurações gerais.
Engenheiro de firewall XG - 310
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
O Sophos Transparent Authentication Suite, ou STAS, fornece autenticação SSO transparente confiável para usuários de rede 
sem precisar de um cliente no terminal. Emprega um agente no Microsoft Active Directory Domain Controller ou um servidor 
membro que monitora e armazena atividades de autenticação e troca informações de autenticação com o XG Firewall, facilitando 
a aplicação de políticas com base no usuário. Deve haver uma instalação do STAS atendendo a todos os controladores de 
domínio para garantir que todos os eventos de logon possam ser monitorados. É importante observar que o software STAS 
funciona apenas com o Microsoft Active Directory e apenas com IPv4.
Nota: o cliente SSO não pode ser usado quando o STAS está ativado no XG Firewall.Nota: o cliente SSO não pode ser usado quando o STAS está ativado no XG Firewall.
Sophos Transparent Authentication Suite (STAS)
• Software instalado nos controladores de domínio do Active Directory ou nos servidores membros
o Deve ter uma instalação STAS atendendo a todos os controladores de domínioo Deve ter uma instalação STAS atendendo a todos os controladores de domínio
• Fornece SSO sem um cliente em cada estação de trabalho
• Facilita a aplicação de políticas baseadas no usuário
• Somente IPv4
Engenheiro de firewall XG - 311
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Como funciona o STAS
Internet
Controlador de Domínio
Computador
10.1.1.1
Firewall XG
Log de 
auditoria de segurança
Nome de usuário 
do endereço IP
1. John Smith efetua login no 
domínio em um computador 
com o IP 
10.1.1.1
2. O controlador de domínio grava 
os detalhes de login no log de eventos 
de segurança 
com o ID 4768
(ID 672 no Windows 2003)
3. O STAS monitora o 
log de eventos para eventos de logon
4. O STAS notifica o XG 
Firewall do login em 
porta 6060
5. O XG Firewall atualiza os usuários 
ativos, mapeando o tráfego de 10.1.1.1 
para o usuário John 
Smith
John Smith
STAS
Vamos dar uma olhada em como o STAS funciona.
O usuário John Smith efetua login no domínio em seu computador com o endereço IP 10.1.1.1. 
O controlador de domínio grava os detalhes de logon no log de eventos de Segurança com o ID 4768, incluindo o endereço IP do 
computador e o nome do usuário que efetuou login. Observe que no Windows 2003 o ID do evento é 672. Os Usuários ao Vivo podem 
ser encontrado em MONITOR E ANALISAR> Atividades atuais> Usuários ativos.ser encontrado em MONITOR E ANALISAR> Atividades atuais> Usuários ativos.
Como o STAS está monitorando os logs de eventos, você precisa garantir que os eventos de logon bem-sucedidos sejam auditados na Diretiva 
de Segurança Local.
O STAS, instalado no controlador de domínio, monitora os logs de eventos dos eventos de logon. Quando um evento de logon 
é detectado, o STAS registra os detalhes.
O STAS notifica o XG Firewall sobre o logon e fornece os detalhes registrados no log de eventos, isso é feito na porta 6060.
O XG Firewall atualiza os usuários ativos, mapeando o tráfego de 10.1.1.1 para o usuário John Smith.
Engenheiro de firewall XG - 312
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Instalando o software STAS
• Faça o download no WebAdmin
o CONFIGURAR> Autenticação> Downloads de clienteso CONFIGURAR> Autenticação> Downloads de clientes
• Instalar em controladores de domínio
Selecionar componentes Fornecer um usuário para o serviço
Para iniciar o Sophos Transparent Authentication Suite, o software STAS pode ser baixado do WebAdmin em CONFIGURAR> Para iniciar o Sophos Transparent Authentication Suite, o software STAS pode ser baixado do WebAdmin em CONFIGURAR> 
Autenticação> Downloads de clientes e instalado em um controlador de domínio do Active Directory.Autenticação> Downloads de clientes e instalado em um controlador de domínio do Active Directory.
Durante a instalação, você pode optar por instalar apenas o componente Collector ou Agent do STAS ou os dois. 
O STAS também precisa ser configurado com um usuário que será usado para executar o serviço. O usuário deve ter o direito de efetuar 
logon como um serviço e deve poder monitorar o log de eventos de Segurança.
A conta de serviço deve ser adicionada aos Grupos de Operadores de Backup e Leitores de Log de Eventos no AD e os grupos locais de 
Administradores nos pontos de extremidade (isso pode ser feito por meio de uma política de grupo e é necessário para que a detecção de 
logoff do WMI funcione). A conta também deve receber a permissão 'Logon como um serviço' no controlador de domínio e a permissão NTFS 
completa na pasta STAS.
Engenheiro de firewall XG - 313
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Uma vez instalado, o software STAS precisa ser configurado.
Na guia 'Geral', configure o domínio pelo qual o STAS monitorará os eventos de logon.
Na guia 'STA Agent', configure as redes para as quais os eventos de logon serão monitorados. Aqui você pode ver que 
estamos monitorando eventos de logon nas redes 172.16.16.0/24 e 172.17.17.0/24. Se um usuário efetuar login de outra rede, 
10.1.1.0/24, por exemplo, esse logon não será encaminhado para o XG Firewall.
Se o STAS estiver sendo instalado em um servidor membro, em vez de um controlador de domínio, você precisará especificar o endereço IP do 
controlador de domínio aqui.
Configurando o software STAS
Necessário se 
instalado em um 
servidor membro
Engenheiro de firewall XG - 314
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
O endereço IP do XG Firewall precisa ser adicionado à seção Sophos Appliances do Sophos Transparent 
Authentication Suite.
A pesquisa da estação de trabalho pode ser configurada para usar o WMI (esta é a opção padrão) ou o acesso de leitura do registro. Isso é 
usado para determinar o usuário conectado no momento quando um computador não é encontrado na tabela Usuários Ativos.
O STAS também pode ser configurado para detectar quando os usuários efetuam logoff. Isso pode ser feito usando o mesmo método 
que a pesquisa na estação de trabalho (esta é a opção padrão) ou ping.
Configurando o software STAS
Endereços IP dos firewalls 
XG para enviar 
as informações de 
login para 
A pesquisa pode ser feita via 
WMI ou Registro 
Acesso de leitura
Detectarquando os usuários 
fazem logoff por meio de pesquisa ou 
ping
Engenheiro de firewall XG - 315
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Configurando o STAS no XG Firewall
• CONFIGURAR> Autenticação> STAS
• Ativar STAS
Depois que o software STAS é instalado e configurado, o STAS precisa ser ativado no XG Firewall, isso é feito em CONFIGURAR> Depois que o software STAS é instalado e configurado, o STAS precisa ser ativado no XG Firewall, isso é feito em CONFIGURAR> 
Autenticação> STAS.
Ligue o STAS e clique em Ative o STAS.Ligue o STAS e clique em Ative o STAS.
Opcionalmente, você pode ativar e configurar a manipulação de inatividade do usuário, definindo o timer de inatividade e o limite de 
transferência de dados.
Engenheiro de firewall XG - 316
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Configurando o STAS no XG Firewall
• CONFIGURAR> Autenticação> STAS
• Adicionar coletores
Você precisa adicionar todos os servidores em que instalou o coletor no XG Firewall.
Na página 'Adicionar novo coletor', insira o endereço IP e a porta do coletor e selecione se deseja criar um novo 
grupo para o coletor ou se você já tem um coletor, adicione-o a um grupo existente.
Aqui você pode ver o coletor que adicionamos.
Engenheiro de firewall XG - 317
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Agente de autenticação
O agente e o 
certificado precisam 
ser instalado
O usuário define sua 
credenciais
O agente 
autentica o 
do utilizador
Outro método para autenticar com o XG Firewall é usar um agente no computador. 
Você pode baixar agentes para Windows, Mac e Linux e precisa instalar o agente e o certificado no 
computador. 
O usuário define as credenciais para autenticação e, em seguida, o agente se autentica no XG Firewall. O agente também 
compartilha a telemetria de endereço MAC com o XG Firewall, que permite que restrições de endereço MAC sejam usadas.
Engenheiro de firewall XG - 318
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
A extensão do Chrome precisa ser enviada 
para dispositivos do Google G 
Suíte
1. Implantar extensão
O XG Firewall precisa ser configurado com 
um servidor Active Directory 
sincronizado com o G Suite e o SSO do 
Chromebook ativado
2. Servidor do Active Directory
A extensão do Chromebook compartilha o 
ID do usuário com XG Firewall
3. Autenticação do Chromebook
SSO (Logon único) do Chromebook
Servidor do Active Directory
Firewall XG
Google G Suite
Dispositivos Chromebook
Os Chromebooks são cada vez mais populares na educação e em alguns ambientes corporativos, mas criam um conjunto único de desafios 
para a identificação do usuário com firewalls de rede. O XG Firewall versão 17.5 fornece uma extensão do Chromebook que compartilha os IDs 
de usuário do Chromebook com o Firewall para permitir a aplicação e os relatórios completos de políticas baseadas no usuário. Os 
pré-requisitos incluem um servidor Active Directory local sincronizado com o Google G Suite. A extensão do Chrome é enviada pelo console do 
administrador do G Suite, proporcionando uma implantação fácil e transparente, transparente para os usuários.
Engenheiro de firewall XG - 319
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
CONFIGURAR> Autenticação> Serviços
SSO (Logon único) do Chromebook
O nome do domínio registrado no G Suite
O certificado usado para comunicação com 
os Chromebooks O CN do certificado deve 
corresponder à zona / rede em que os usuários do 
Chromebook 
são, para examplegateway.example.com.
O número da porta que os Chromebooks se conectam 
da LAN ou Wi-Fi
O SSO do Chromebook deve estar ativado em CONFIGURAR> Autenticação> Serviços, fornecendo seu domínio O SSO do Chromebook deve estar ativado em CONFIGURAR> Autenticação> Serviços, fornecendo seu domínio O SSO do Chromebook deve estar ativado em CONFIGURAR> Autenticação> Serviços, fornecendo seu domínio 
registrado no G Suite e o certificado usado para se comunicar com os Chromebooks, onde o nome comum corresponde 
à rede em que os usuários do Chromebook estão.
Engenheiro de firewall XG - 320
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Configuração do G Suite
Navegar para Gerenciamento de aplicativosNavegar para Gerenciamento de aplicativos
Pesquise e abra ID de usuário do Sophos ChromebookPesquise e abra ID de usuário do Sophos Chromebook
Faça o upload da configuração ( amostra nas notas)Faça o upload da configuração ( amostra nas notas)
Navegar para Gerenciamento de dispositivo> RedesNavegar para Gerenciamento de dispositivo> Redes
Faça o upload do certificado da CA do XG Firewall ( selecionar Use este certificado como uma Faça o upload do certificado da CA do XG Firewall ( selecionar Use este certificado como uma Faça o upload do certificado da CA do XG Firewall ( selecionar Use este certificado como uma 
autoridade de certificação HTTPS)
Necessário 
apenas quando 
o XG Firewall 
usa um 
certificado 
autoassinado
Para configurar o aplicativo Chromebook no G Suite, você precisa navegar para App Management, depois procure e abra o ID de Para configurar o aplicativo Chromebook no G Suite, você precisa navegar para App Management, depois procure e abra o ID de Para configurar o aplicativo Chromebook no G Suite, você precisa navegar para App Management, depois procure e abra o ID de Para configurar o aplicativo Chromebook no G Suite, você precisa navegar para App Management, depois procure e abra o ID de 
usuário do Sophos Chromebook aplicativo.usuário do Sophos Chromebook aplicativo.
Aqui, você precisará fazer o upload da configuração como um arquivo JSON que inclui o endereço do servidor, porta e configurações de log. 
Você pode encontrar uma amostra de JSON nas notas do curso.
Se o XG Firewall estiver usando um certificado autoassinado, você também precisará fazer o upload do certificado CA em Gerenciamento de Se o XG Firewall estiver usando um certificado autoassinado, você também precisará fazer o upload do certificado CA em Gerenciamento de 
dispositivos> Redes, selecionando a opção Use este certificado como uma autoridade de certificação HTTPS.dispositivos> Redes, selecionando a opção Use este certificado como uma autoridade de certificação HTTPS.dispositivos> Redes, selecionando a opção Use este certificado como uma autoridade de certificação HTTPS.
Exemplo de configuração JSON da configuração do G Suite Nota: o valor em maiúsculas é Exemplo de configuração JSON da configuração do G Suite Nota: o valor em maiúsculas é 
importante, caso contrário não funcionará.
{
"serverAddress": {"Value": 
"10.8.19.132"},
"serverPort": {"Value": 
65123},
"logLevel": {"Value": 
2},
"logoutOnLockscreen": {"Value": true},
Engenheiro de firewall XG - 321
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
"logoutOnIdle": {"Value": 
true},
"idleInterval": {"Value": 900} { 
Engenheiro de firewall XG - 321
SSO (Logon único) do Chromebook
Coisas para lembrar…
Ative a autenticação SSO do Chromebook no acesso a dispositivos nas zonas em que os dispositivos estão localizados
Crie uma regra de firewall para permitir que dispositivos Chromebook acessem a API do Google e a Chrome Web 
Store
Algumas coisas para lembrar:
• Você precisará ativar o serviço SSO do Chromebook no acesso a dispositivos nas zonas onde os dispositivos estão localizados
• Você também precisará criar uma regra de firewall que permita que os Chromebooks acessem a API do Google e a Chrome Web 
Store
Engenheiro de firewall XG - 322
M
é
t
o
d
o
s
 
d
e
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Usando autenticação
Engenheiro de firewall XG - 323
U
s
a
n
d
o
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Regras de firewall do usuário
• Regra de firewall de rede / usuário
o Corresponder usuários conhecidos transforma uma regra de rede normal em uma regra de usuárioo Corresponder usuários conhecidos transforma uma regra de rede normal em uma regra de usuário
• Mostrar o portal cativo para usuários desconhecidos
Ative 'Excluir esta atividade dousuário da 
contabilidade de dados' se esse tráfego não 
for contabilizado para 
cotas
Agora que examinamos como autenticar usuários com o XG Firewall, vamos ver como isso pode ser usado.
Como já vimos, existem três tipos de regra de firewall no XG Firewall:
1. Regras de rede
2. Regras do Usuário
3. Regras de Aplicativo de Negócios
As regras do usuário são exatamente iguais às regras de rede, exceto que também são correspondidas à identidade do usuário. Esta 
opção é ativada por padrão quando você cria uma nova regra de rede / usuário.
Você pode selecionar usuários e grupos aos quais a regra será aplicada.
Se o XG Firewall não conseguir corresponder à identidade dos usuários, você pode optar por mostrar o Captive Portal para 
permitir que eles se autentiquem.
Se a regra do firewall for para aplicativos de negócios, como o Office 365 ou o SalesForce, você poderá excluir o tráfego da 
contabilidade de dados, o que significa que ele não será contabilizado em nenhuma cota configurada.
Engenheiro de firewall XG - 324
U
s
a
n
d
o
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Portal do Usuário
• HTTPS: // <FIREWALL_IP>
• Gerenciar emails em quarentena
• Faça o download de clientes de VPN e autenticação
O Portal do usuário permite que os usuários gerenciem sua própria quarentena, senha e uso da Internet, bem como baixem 
clientes VPN e autenticação.
O Portal do Usuário é acessado usando HTTPS no endereço IP do firewall. Por padrão, o Portal do Usuário está disponível apenas para 
clientes que se conectam a partir da zona da LAN, mas também pode ser ativado para outras zonas. Observe que a porta do Portal do 
usuário pode ser alterada em SISTEMA> Administração> Configurações de administrador.usuário pode ser alterada em SISTEMA> Administração> Configurações de administrador.
Engenheiro de firewall XG - 325
U
s
a
n
d
o
 
a
u
t
e
n
t
i
c
a
ç
ã
o
Senhas de uso único
Engenheiro de firewall XG - 326
S
e
n
h
a
s
 
d
e
 
u
s
o
 
ú
n
i
c
o
O Sophos XG Firewall suporta autenticação de dois fatores usando senhas únicas. A autenticação de dois fatores 
significa que você fornece duas informações para fazer login, algo que você sabe, sua senha e algo que você tem, 
seu token.
Existem diferentes tipos de senha descartável, o XG Firewall suporta senhas descartáveis ​​baseadas em tempo. Você pode usar 
tokens de software, como o Sophos Authenticator App ou Sophos Mobile Security App que estão disponíveis para Android e iOS, 
ou tokens de hardware, desde que estejam em conformidade com a RFC 6238.
Observe que os tokens RSA não são suportados.
O XG Firewall pode usar senhas de uso único para melhorar a segurança do WebAdmin, do Portal do Usuário (incluindo o 
Clientless VPN Portal) e das VPNs de acesso remoto SSL e IPsec.
As senhas descartáveis ​​podem ser ativadas para todos os usuários ou para um conjunto selecionado de usuários e grupos.
Símbolo
SOPHOS
Senhas de uso único (OTP)
• Fornece autenticação de dois fatores
• O XG Firewall suporta senhas únicas baseadas em tempo
o Sophos Authenticator App ( Android e iOS)o Sophos Authenticator App ( Android e iOS)o Sophos Authenticator App ( Android e iOS)
o RFC 6238o RFC 6238
• Pode ser usado com
o WebAdmino WebAdmin
o Portal do usuário (incluindo o portal VPN sem cliente)o Portal do usuário (incluindo o portal VPN sem cliente)
o VPNs de acesso remoto SSL e IPseco VPNs de acesso remoto SSL e IPsec
• Ativar para alguns ou todos os usuários / grupos
Engenheiro de firewall XG - 327
S
e
n
h
a
s
 
d
e
 
u
s
o
 
ú
n
i
c
o
Vamos dar uma olhada em como a autenticação OTP funciona. Neste diagrama, temos o usuário com seu token à 
esquerda e o XG Firewall à direita.
O usuário possui um token que contém uma chave e obtém o horário de um relógio sincronizado. Eles são processados ​​usando o 
algoritmo descrito na RFC 6238 para produzir o código do token.
O XG Firewall precisa ter a mesma chave e ser sincronizado com o mesmo relógio para que, ao calcular o 
código do token, saia com o mesmo número.
Para permitir variações no tempo entre o token e o XG Firewall, ele aceitará o código do token anterior e o próximo como 
válido por padrão. Esta é a etapa de deslocamento do token e pode ser alterada nas configurações.
Senhas de uso único (OTP)
123456 
234567 
345678 
456789
567890
678901
Chave
Tempo Tempo
Do utilizador 
Firewall XG
Chave
Algoritmo de token Algoritmo de token
123456 
234567
567890
Engenheiro de firewall XG - 328
S
e
n
h
a
s
 
d
e
 
u
s
o
 
ú
n
i
c
o
Vamos começar analisando as configurações de senhas únicas.
As senhas de uso único não são ativadas por padrão e precisam estar ativadas.
Como mencionamos, as senhas descartáveis ​​podem ser ativadas para todos os usuários ou para um conjunto específico de usuários e 
grupos.
Você pode optar por fazer com que o XG Firewall gere automaticamente um segredo de token (chave) quando os usuários tentarem se 
autenticar e eles não tiverem um. Os segredos gerados por XG podem ser usados ​​com tokens de software; os tokens de hardware precisam ser 
adicionados manualmente.
Aqui você pode selecionar os usuários e grupos para os quais habilitar senhas únicas. Isso só é visível se as senhas descartáveis ​​não estiverem 
ativadas para todos os usuários.
Nesta seção, você pode selecionar quais recursos deseja proteger com senhas únicas.
Por fim, você pode definir as configurações globais do token. Por exemplo, se você estiver usando um token de hardware com um intervalo 
de tempo de 60 segundos, poderá configurá-lo aqui. Você também pode configurar as etapas de deslocamento da senha que discutimos no 
slide anterior.
Configuração de senhas de uso único (OTP)
Ativar OTP Todos os usuários 
ou usuários selecionados
Gerar automaticamente um token para 
usuários que não possuem um?
Selecione os usuários e 
grupos
O que o OTP será usado 
para?
Configurações globais de token
Engenheiro de firewall XG - 329
S
e
n
h
a
s
 
d
e
 
u
s
o
 
ú
n
i
c
o
Para adicionar um token, basta especificar o segredo, que é uma cadeia HEX de 32 a 120 caracteres, e selecionar a qual 
usuário atribuir o token.
Opcionalmente, o timestep global pode ser substituído, o que pode ser necessário se você estiver usando uma mistura de tokens.
Senhas de uso único (OTP) Adicionando tokens
• Segredo: cadeia HEX de 32 a 120 caracteres
• Substituir timestep global
Engenheiro de firewall XG - 330
S
e
n
h
a
s
 
d
e
 
u
s
o
 
ú
n
i
c
o
Aqui podemos ver um token para Lisa Fox. Existem dois cenários que vamos considerar.
Primeiro, Lisa Fox está na estrada, mas deixou cair e quebrou o celular que tem o aplicativo Sophos Authenticator. 
Ela precisa acessar a VPN SSL, mas ela é protegida usando OTP.
Se isso acontecer, você pode adicionar códigos adicionais ao token. Estes são um conjunto de códigos de uso único que serão removidos 
automaticamente após serem utilizados.
No segundo cenário, Lisa possui seu token, mas o logon está falhando.
Isso pode ser causado se o tempo do token e do XG Firewall estiver fora de sincronia. Para resolver isso, você pode 
digitar a senha atual no XG Firewall e compensar a diferença de horário.
Configurações adicionais de senhas de uso único (OTP)
Engenheiro de firewall XG - 331
S
e
n
h
a
s
 
d
e
 
u
s
o
 
ú
n
i
c
o
Geração automática de token de senhas descartáveis ​​(OTP)
Senha: Código Sophos 
Token: 436867
Senha de login: Sophos436867
Agora, vamos ver como os tokens podem ser gerados automaticamente para os usuários.
Quando um usuário faz login no Portal do usuário pela primeira vez após a ativação de senhas únicas, o XG Firewall gera e 
exibe as informações necessárias para configurar um token de software. Na maioria dos casos, isso pode ser feito 
automaticamente, digitalizando o código QR com um aplicativo, como o Sophos Authenticator App.
Depois que o token é configurado, o usuário clica Prossiga para o Login .Depois que o token é configurado, o usuário clica Prossiga para o Login .Depois que o token é configurado, ousuário clica Prossiga para o Login .
O usuário receberá o login do Portal do usuário novamente.
Se a senha do usuário for 'Sophos' e o código do token atual for '436867', o usuário efetuará login usando a 
senha 'Sophos436867'.
Engenheiro de firewall XG - 332
S
e
n
h
a
s
 
d
e
 
u
s
o
 
ú
n
i
c
o
Laboratório 5: Autenticação
• Conclua as seguintes tarefas em Laboratório 5Conclua as seguintes tarefas em Laboratório 5
▪ Tarefa 5.1: Configurar um servidor de autenticação do Active Directory
▪ Tarefa 5.2: Autenticar usando Identidade de Usuário Sincronizada
▪ Tarefa 5.3: Configurar logon único usando o STAS
▪ Tarefa 5.4: diretivas baseadas no usuário
▪ Tarefa 5.5: senhas descartáveis
• Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa 4.2 do 
Laboratório 4
Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. 
como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria
Conclua as seguintes tarefas em Laboratório 5Conclua as seguintes tarefas em Laboratório 5
• Tarefa 5.1: Configurar um servidor de autenticação do Active Directory
• Tarefa 5.2: Autenticar usando Identidade de Usuário Sincronizada
• Tarefa 5.3: Configurar logon único usando o STAS
• Tarefa 5.4: diretivas baseadas no usuário
• Tarefa 5.5: senhas descartáveis
Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa do Laboratório 4 
4.2
Engenheiro de firewall XG - 334
335
Revisão do módulo
• Na conclusão deste módulo, você pode agora:
✓ Listar as fontes de autenticação suportadas e habilitá-las para serviços no XG Firewall✓ Listar as fontes de autenticação suportadas e habilitá-las para serviços no XG Firewall
✓ Explique os tipos de usuário no XG Firewall e saiba quando usá-los✓ Explique os tipos de usuário no XG Firewall e saiba quando usá-los
✓ Configurar autenticação NTLM para o proxy da web✓ Configurar autenticação NTLM para o proxy da web
✓ Configurar o logon único usando o Synchronized User Identify e o STAS✓ Configurar o logon único usando o Synchronized User Identify e o STAS
✓ Criar políticas baseadas em identidade✓ Criar políticas baseadas em identidade
✓ Habilitar e usar senhas de uso único (OTP)✓ Habilitar e usar senhas de uso único (OTP)
Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento 
para analisá-las.
Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo.
Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.
Engenheiro de firewall XG - 335
Olá, este é o curso de treinamento certificado pela Sophos para o Sophos XG Firewall. Este é o Módulo 6: Proteção da Web e 
Controle de Aplicativos.
Engenheiro Certificado Sophos
Sophos XG Firewall ET80 - Proteção da Web ET806 e controle de aplicativos
Versão de março de 
2019: 17.5v1
Versão do produto: Sophos XG Firewall 17.5
© 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de 
qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos.
Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste 
documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários.
Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou 
representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a 
qualquer momento sem aviso prévio.
A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon 
Science Park, Abingdon, Oxfordshire, OX14 3YP.
Engenheiro Certificado Sophos
Sophos XG Firewall
Módulo 6: Proteção da Web e controle de aplicativos
Versão 17.5
Engenheiro de firewall XG - 338
Proteção da Web e Controle de Aplicativos
Políticas de Proteção da Web Quotas
• Políticas da Web
• Atividades
• Exceções
• Configurações globais
• Quotas de surf
• Cotas de tráfego
Controle de Aplicação
• Filtros de aplicação
• Conexões ao vivo
• Controle de aplicativo sincronizado
• Aplicações na nuvem
A proteção da Web e o controle de aplicativos no XG Firewall protege os usuários contra malware baseado na Web e 
outras ameaças, como engenharia social, além de restringir o acesso a sites improdutivos.
Neste módulo, você aprenderá a configurar atividades personalizadas e a usar isso para criar políticas da web que possuem regras diferentes 
com base na identidade de um usuário. Também abordaremos a criação e a aplicação de filtros de aplicativos e como categorizar aplicativos 
usando o Controle de Aplicativo Sincronizado.
Engenheiro de firewall XG - 339
Proteção da Web
34 
1
Engenheiro de firewall XG - 341
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
O Sophos fornece várias políticas da Web predefinidas, desde simples 'permitir tudo' e 'negar tudo' a políticas mais complexas, como a 
'Política de local de trabalho padrão'. Essas políticas existem para permitir aos administradores uma maneira simples de fornecer uma 
experiência segura de navegação na Web a seus usuários, sem ter que gastar tempo criando e pesquisando políticas semelhantes. No 
entanto, se nenhuma das políticas predefinidas atender à necessidade da organização, uma política personalizada poderá ser criada do 
zero ou clonando uma política existente como ponto de partida.
Cada Política da Web é composta de uma lista ordenada de regras que se aplicam a um conjunto de usuários, têm uma ou mais atividades, 
uma ação e, opcionalmente, podem ser agendadas para estarem ativas apenas em determinados momentos.
Políticas de Proteção da Web
• PROTEGER> Web> Políticas
• Políticas pré-definidas
Engenheiro de firewall XG - 342
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Criar uma diretiva de proteção da Web
Nome da política
E 
descrição
Depois de clicar no Adicionar política ou Política de clonagem botão, uma nova janela aparecerá, permitindo que você inicie a criação Depois de clicar no Adicionar política ou Política de clonagem botão, uma nova janela aparecerá, permitindo que você inicie a criação Depois de clicar no Adicionar política ou Política de clonagem botão, uma nova janela aparecerá, permitindo que você inicie a criação Depois de clicar no Adicionar política ou Política de clonagem botão, uma nova janela aparecerá, permitindo que você inicie a criação Depois de clicar no Adicionar política ou Política de clonagem botão, uma nova janela aparecerá, permitindo que você inicie a criação 
da nova política. 
É necessário um nome para a nova política e uma descrição é opcional.
Cada política da web contém uma lista ordenada de regras de política e uma ação padrão que será usada se nenhuma das regras da 
política corresponder.
Há também várias configurações avançadas que veremos mais adiante neste módulo.
Engenheiro de firewall XG - 343
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Regras de Política de Proteção da Web
Categorias
Grupos de URL
Tipos de arquivo
Usuários e 
Grupos
Categorias dinâmicas
Filtro de Conteúdo Açao
Restrições
Status
Cada regra de política da web se aplica a usuários e grupos específicos ou a todos.
Você define as atividades ou os tipos de tráfego da Web que serão controlados.
Opcionalmente, você também pode aplicar um filtro de conteúdo de palavras-chave ao tráfego.
Selecione uma ação para a regra (permitir, avisar ou bloquear) e qualquer restrição de tempo. Se nenhuma restrição de tempo 
for selecionada, a regra estará ativa o tempo todo.
Por fim, você pode habilitar e desabilitar regras individuais.
Engenheiro de firewall XG - 344
D
i
r
e
t
i
v
as
 
d
e
 
p
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
 
d
e
 
a
t
i
v
i
d
a
d
e
s
 
d
o
 
u
s
u
á
r
i
o
A ação de uso do HTTPS permite que um administrador defina uma ação diferente em uma política da web especificamente para o tráfego 
HTTPS. Por exemplo, por razões de segurança, uma empresa pode não permitir conexões HTTP a serviços financeiros, como serviços 
bancários online. Como pode ser visto aqui, há uma ação de bloqueio para quem tenta acessar uma página de serviços financeiros.
Um administrador pode então definir a Ação de Usar HTTPS para Permitir HTTPS ou até Avisar HTTPS, o que permitiria que o mesmo 
usuário se conectasse ao site financeiro, desde que eles usassem o HTTPS para se conectar.
Isso será indicado pelo bloqueio com código de cores que aparece após a ação na regra: verde para permitir, amarelo para aviso e 
vermelho para conexões HTTPS de bloco.
Ação de Uso HTTPS
Engenheiro de firewall XG - 345
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Na seção "Aplicação do mecanismo de pesquisa" da política, você pode ativar as restrições do SafeSearch e do YouTube.
Na seção "Configurações avançadas" de uma política da web, existem várias opções que nos permitem controlar ainda mais o acesso e 
o log da web para nossos usuários.
Primeiro, temos a opção de registrar e reportar qualquer tráfego processado por esta política. Se esta opção estiver desativada, 
nenhuma informação será registrada quando esta política processar o tráfego.
Em seguida, temos a opção de limitar o tamanho de um arquivo que pode ser baixado através do XG Firewall. Ao marcar a caixa e inserir um 
tamanho máximo de download, os administradores podem controlar o tamanho máximo dos arquivos que podem ser baixados por qualquer 
pessoa à qual a política se aplique.
E, finalmente, para empresas que usam o Google Apps, o XG Firewall pode restringir automaticamente os usuários a fazer login em 
domínios do Google não aprovados, inserindo apenas os domínios que as organizações consideram apropriados.
Política avançada
Engenheiro de firewall XG - 346
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Aplicando uma política de proteção da Web
Quando estiver satisfeito com a política que você criou e suas opções, ela deverá ser aplicada aos usuários. Para 
fazer isso, editaremos uma regra de usuário ou rede do firewall. Na seção "Avançado"
Clique no Política da Web suspenso e selecione a política que você deseja aplicar à regra. Certifique-se de salvar a Clique no Política da Web suspenso e selecione a política que você deseja aplicar à regra. Certifique-se de salvar a Clique no Política da Web suspenso e selecione a política que você deseja aplicar à regra. Certifique-se de salvar a 
regra quando terminar de modificá-la.
Engenheiro de firewall XG - 347
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Atividades do Usuário
O XG Firewall permite a criação de atividades do usuário como uma maneira de agrupar categorias, tipos de arquivos e grupos de URLs em 
um único grupo facilmente gerenciado para uso em políticas da web. Ao navegar para PROTEGER> Web> Atividades do usuário você um único grupo facilmente gerenciado para uso em políticas da web. Ao navegar para PROTEGER> Web> Atividades do usuário você um único grupo facilmente gerenciado para uso em políticas da web. Ao navegar para PROTEGER> Web> Atividades do usuário você 
descobrirá que já existem vários grupos de atividades do usuário pré-configurados. Esses grupos pré-criados comumente usados ​​estão 
prontos para serem aplicados nas políticas da Web ou podem ser clonados ou editados para atender às necessidades das políticas da Web 
das organizações.
O administrador também tem a opção de criar novas atividades do usuário clicando no Adicionar e preencha a caixa pop-up O administrador também tem a opção de criar novas atividades do usuário clicando no Adicionar e preencha a caixa pop-up O administrador também tem a opção de criar novas atividades do usuário clicando no Adicionar e preencha a caixa pop-up 
exibida com um nome e quaisquer categorias, tipos de arquivo e grupos de URL que correspondam ao tráfego que a 
empresa deseja controlar.
Engenheiro de firewall XG - 348
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
O XG Firewall possui mais de 90 categorias predefinidas incorporadas ao dispositivo. Eles foram classificados pelo SophosLabs, 
no entanto, se as necessidades da organização não se alinharem com isso, elas podem ser modificadas. Isso é feito com 
facilidade, clicando no nome sublinhado da categoria ou no ícone de um lápis à direita.
Isso levará você à definição em que é possível modificar a configuração de classificação ou adicionar uma política de modelagem de 
tráfego.
Categorias
• Mais de 90 
categorias 
predefinidas
• Customizável
Engenheiro de firewall XG - 349
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Banco de dados de URL externo
Selecione para usar um banco de dados 
hospedado em um servidor externo
Digite um URL para um HTTP ou 
servidor FTP
Em vez de criar manualmente uma categoria, você pode optar por importar um banco de dados de URL de um site HTTP ou FTP. 
Ao criar a categoria de URL, selecione a opção para Banco de dados de URL externo e insira um endereço HTTP ou FTP de um Ao criar a categoria de URL, selecione a opção para Banco de dados de URL externo e insira um endereço HTTP ou FTP de um Ao criar a categoria de URL, selecione a opção para Banco de dados de URL externo e insira um endereço HTTP ou FTP de um 
servidor que contém o banco de dados da URL. O banco de dados deve estar no formato de arquivo .tar, .gz, .bz, .bz2 ou .txt 
para ser suportado pelo XG Firewall e será verificado a cada duas horas para obter informações atualizadas.
Engenheiro de firewall XG - 350
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Grupos de URL
Nome do novo grupo de URLs e 
descrição
Nomes de domínio que serão 
combinado pelo grupo
Nota: todo e qualquer 
subdomínio será incluído 
automaticamente
O recurso Grupos de URLs permite que um administrador crie um grupo de um conjunto específico de URLs que são inseridos 
manualmente no XG e podem ser usados ​​dentro de políticas da web ou atividades do usuário. Os grupos de URLs são úteis se houver 
um conjunto muito específico e limitado de domínios e seus subdomínios incluídos, aos quais a empresa gostaria de controlar o 
acesso. Para criar um grupo de URLs, navegue até PROTEGER> Web> grupos de URL e depois clique no Adicionar no canto acesso. Para criar um grupo de URLs, navegue até PROTEGER> Web> grupos de URL e depois clique no Adicionar no canto acesso. Para criar um grupo de URLs, navegue até PROTEGER> Web> grupos de URL e depois clique no Adicionar no canto acesso. Para criar um grupo de URLs, navegue até PROTEGER> Web> grupos de URL e depois clique no Adicionar no canto acesso. Para criar um grupo de URLs, navegue até PROTEGER> Web> grupos de URL e depois clique no Adicionar no canto 
superior direito da tela.
Na página 'Adicionar grupo de URLs', primeiro atribua um nome ao novo grupo e, opcionalmente, uma descrição para que você e outras pessoas 
possam identificar o novo grupo ao adicioná-lo a uma política.
Na seção "Nomes de domínio a serem correspondidos", digite os domínios que você deseja que o grupo corresponda. Observe que 
quando um domínio é inserido, se existir algum subdomínio para o domínio inserido, eles também serão identificados pelo grupo de URLs.
Engenheiro de firewall XG - 351
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Tipos de arquivo
Nome e descrição para 
o grupo de tipos de arquivo
Modelo opcional para usar como 
ponto de partida
Extensões de arquivo separadas por 
vírgulas
Tipos MIME separados por 
vírgulas
O Sophos XG Firewall vem com uma lista pré-configurada de tipos de arquivos que não são editáveis. Essas definições são atualizadas 
pelo SophosLabs como parte do processo de atualizaçãodo XG Firewall e contêm extensões de arquivo, tipos MIME e descrições 
claras dos diferentes grupos. Enquanto você não pode personalizar os grupos pré-criados, pode usar o Adicionar botão para criar seu claras dos diferentes grupos. Enquanto você não pode personalizar os grupos pré-criados, pode usar o Adicionar botão para criar seu claras dos diferentes grupos. Enquanto você não pode personalizar os grupos pré-criados, pode usar o Adicionar botão para criar seu 
próprio grupo.
Ao criar um grupo personalizado, insira um nome e uma descrição para o seu novo grupo de tipos de arquivos, para que ele possa ser 
identificado ao usá-lo em uma política.
Os administradores têm a opção de selecionar um modelo que preencherá os campos de extensão e MIME com as 
entradas mais comuns para o tipo de modelo.
As extensões de arquivo podem ser adicionadas ao modelo ou digitadas no campo em branco, separadas por vírgulas. Não inclua 
pontos nas extensões de arquivo.
Os cabeçalhos MIME ajudarão a identificar os tipos de arquivo, caso as extensões tenham sido modificadas para tentar ignorar os filtros. 
Os tipos MIME podem ser encontrados fazendo pesquisas simples na Internet.
Engenheiro de firewall XG - 352
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Filtros de Conteúdo
35 
3
As políticas da Web incluem a opção de registrar, monitorar e aplicar políticas relacionadas às listas de palavras-chave. Esse recurso é 
particularmente importante nos ambientes educacionais para garantir a segurança infantil on-line e fornecer informações sobre os alunos usando 
palavras-chave relacionadas a auto-agressão, intimidação, radicalização ou conteúdo inapropriado. As bibliotecas de palavras-chave podem ser 
carregadas no Firewall e aplicadas a qualquer política de filtragem da Web como um critério adicionado com ações para registrar e monitorar, ou 
bloquear resultados de pesquisa ou sites que contenham as palavras-chave de interesse.
São fornecidos relatórios abrangentes para identificar correspondências de palavras-chave e usuários que estão pesquisando ou consumindo 
conteúdo de palavras-chave de interesse, permitindo uma intervenção proativa antes que um usuário em risco se torne um problema real.
As listas de palavras-chave são arquivos de texto sem formatação com um termo por linha.
Engenheiro de firewall XG - 353
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Demonstração: Filtragem de Palavras-Chave
Engenheiro de firewall XG - 354
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
No PROTEGER> Web seção do XG Firewall WebAdmin, selecione o Filtros de Conteúdo abaNo PROTEGER> Web seção do XG Firewall WebAdmin, selecione o Filtros de Conteúdo abaNo PROTEGER> Web seção do XG Firewall WebAdmin, selecione o Filtros de Conteúdo abaNo PROTEGER> Web seção do XG Firewall WebAdmin, selecione o Filtros de Conteúdo abaNo PROTEGER> Web seção do XG Firewall WebAdmin, selecione o Filtros de Conteúdo aba
Engenheiro de firewall XG - 356
Clique Adicionar filtro de conteúdoClique Adicionar filtro de conteúdo
Engenheiro de firewall XG - 357
Digite um nome e uma descrição para a lista de palavras-chave do filtro de conteúdo
Engenheiro de firewall XG - 358
Clique Escolher arquivoClique Escolher arquivo
Engenheiro de firewall XG - 359
Selecione a lista de palavras-chave, neste exemplo selecione BullyingTerms.txtSelecione a lista de palavras-chave, neste exemplo selecione BullyingTerms.txt
Engenheiro de firewall XG - 360
Clique AbertoClique Aberto
Engenheiro de firewall XG - 361
Clique ApliqueClique Aplique
Engenheiro de firewall XG - 362
Agora que o filtro de conteúdo foi carregado, você precisa adicioná-lo a uma política da Web. Selecione a opção Políticas abaAgora que o filtro de conteúdo foi carregado, você precisa adicioná-lo a uma política da Web. Selecione a opção Políticas abaAgora que o filtro de conteúdo foi carregado, você precisa adicioná-lo a uma política da Web. Selecione a opção Políticas aba
Engenheiro de firewall XG - 363
Clique no Editar ícone da política da web à qual você deseja adicionar o filtro de conteúdo, neste exemplo, o adicionaremos ao Diretiva padrão do local de trabalhoClique no Editar ícone da política da web à qual você deseja adicionar o filtro de conteúdo, neste exemplo, o adicionaremos ao Diretiva padrão do local de trabalhoClique no Editar ícone da política da web à qual você deseja adicionar o filtro de conteúdo, neste exemplo, o adicionaremos ao Diretiva padrão do local de trabalhoClique no Editar ícone da política da web à qual você deseja adicionar o filtro de conteúdo, neste exemplo, o adicionaremos ao Diretiva padrão do local de trabalho
Engenheiro de firewall XG - 364
Você pode adicionar filtros de conteúdo às regras existentes ou adicionar uma nova regra. Ao adicionar uma nova regra, você deve considerar a posição da regra Clique em Adicionar regraVocê pode adicionar filtros de conteúdo às regras existentes ou adicionar uma nova regra. Ao adicionar uma nova regra, você deve considerar a posição da regra Clique em Adicionar regra
Engenheiro de firewall XG - 365
Na coluna "Atividades", clique em AllWebTraffic para editar os critérios da regraNa coluna "Atividades", clique em AllWebTraffic para editar os critérios da regraNa coluna "Atividades", clique em AllWebTraffic para editar os critérios da regra
Engenheiro de firewall XG - 366
Como opção, você pode selecionar quais atividades ou categorias de tráfego deseja combinar o filtro de conteúdo com Selecione o Filtros de Conteúdo abaComo opção, você pode selecionar quais atividades ou categorias de tráfego deseja combinar o filtro de conteúdo com Selecione o Filtros de Conteúdo abaComo opção, você pode selecionar quais atividades ou categorias de tráfego deseja combinar o filtro de conteúdo com Selecione o Filtros de Conteúdo aba
Engenheiro de firewall XG - 367
Selecione e com conteúdoSelecione e com conteúdo
Engenheiro de firewall XG - 368
Clique Adicionar novo itemClique Adicionar novo item
Engenheiro de firewall XG - 369
Selecione os filtros de conteúdo que você deseja aplicar; neste exemplo, selecione Termos de bullyingSelecione os filtros de conteúdo que você deseja aplicar; neste exemplo, selecione Termos de bullying
Engenheiro de firewall XG - 370
Clique Aplicar 1 itens selecionadosClique Aplicar 1 itens selecionados
Engenheiro de firewall XG - 371
Clique no Status alternar para ativar a regraClique no Status alternar para ativar a regraClique no Status alternar para ativar a regra
Engenheiro de firewall XG - 372
Clique Salve •Clique Salve •
Engenheiro de firewall XG - 373
As alterações na política da web serão salvas e entrarão em vigor imediatamente para as regras de firewall nas quais são aplicadas
Nota: A verificação de malware e conteúdo deve estar ativada na regra do firewallNota: A verificação de malware e conteúdo deve estar ativada na regra do firewall
Engenheiro de firewall XG - 374
Quando você acessa um site que corresponde ao filtro de conteúdo, o XG Firewall aplicará a ação configurada; nesse caso, ele bloqueou o acesso à página
Engenheiro de firewall XG - 375
Quando você acessa um site com conteúdo que corresponda ao conteúdo, o XG Firewall aplicará a ação configurada; nesse caso, ele bloqueou o acesso à página.
Engenheiro de firewall XG - 376
Exceções
• PROTEGER> Web> Exceções
As exceções encontradas na proteção da Web no Sophos XG Firewall podem ser usadas para ignorar determinadas verificações ou 
ações de segurança de sites que correspondam aos critérios especificados na exceção. Já existem algumas exceções predefinidas no 
XG Firewall e outras podem ser criadas a critério dos administradores. É importante observar que as exceções se aplicam a todas as 
políticas de proteção da web, independentemente de onde elas são aplicadas no XG Firewall.
Para criar ou editar uma exceção existente, comece clicando no Adicione exceção botão ou o Para criar ou editar uma exceção existente,comece clicando no Adicione exceção botão ou o Para criar ou editar uma exceção existente, comece clicando no Adicione exceção botão ou o 
Clone ou Editar botõesClone ou Editar botõesClone ou Editar botõesClone ou Editar botões
Engenheiro de firewall XG - 377
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Exceções
Selecione uma ou mais 
categorias no 
lista fornecida
Endereço IP de um ou mais 
clientes dentro 
a rede
Endereço IP de um ou 
mais sites que 
clientes serão 
visitando
Selecione quais verificações 
serão excluídas 
desviar
Um ou mais padrões de 
URL, strings ou 
regex
As exceções podem ser correspondidas em qualquer combinação de:
• Padrões de URL, que podem ser cadeias simples ou expressões regulares
• Categorias do site
• Endereço IP de origem
• Endereços IP de destino
Observe que muitos sites têm vários endereços IP e todos eles precisam ser listados.
Onde vários critérios de correspondência são usados, o tráfego deve corresponder a todos os critérios para corresponder com êxito.
Você pode então selecionar quais verificações a exceção ignorará.
Engenheiro de firewall XG - 378
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Substituição de Bloqueio da Web
Permitir usuários autorizados para substituir sites bloqueados no usuário Permitir usuários autorizados para substituir sites bloqueados no usuário Permitir usuários autorizados para substituir sites bloqueados no usuário Permitir usuários autorizados para substituir sites bloqueados no usuário Permitir usuários autorizados para substituir sites bloqueados no usuário 
dispositivos, fornecendo acesso temporáriodispositivos, fornecendo acesso temporário
As substituições de política da Web permitem que usuários autorizados substituam sites bloqueados nos dispositivos do usuário, 
permitindo temporariamente o acesso. 
Engenheiro de firewall XG - 379
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Substituição de Bloqueio da Web
Os administradores definem quais usuários (por exemplo, professores em um ambiente educacional) têm a opção de autorizar substituições 
de políticas. Esses usuários podem criar seus próprios códigos de substituição, como senhas simples, no Portal do Usuário do XG Firewall e 
definir regras sobre para quais sites eles podem ser usados. Os administradores podem ver uma lista completa de todos os códigos de 
substituição criados e desativá-los ou excluí-los, além de definir sites ou categorias que nunca podem ser substituídos. Há também um novo 
relatório que fornece informações históricas completas sobre o uso de substituição da Web.
Engenheiro de firewall XG - 380
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Substituição de Bloqueio da Web
As regras de substituição de código podem ser amplas - permitindo qualquer tráfego ou categorias inteiras - ou mais estreitas - permitindo 
apenas sites ou domínios individuais - e também podem ser limitadas por hora e dia. Para evitar abusos, os códigos podem ser facilmente 
alterados ou cancelados.
Engenheiro de firewall XG - 381
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Substituição de Bloqueio da Web
Os códigos podem ser compartilhados com os usuários finais, que os inserem diretamente na página de bloqueio para permitir o acesso 
a um site bloqueado.
Engenheiro de firewall XG - 382
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Proteção
Motor Único 
Motor Duplo
Lote em 
tempo real
Permitir 
bloqueio
Debaixo de Configurações Gerais Na guia, encontramos opções para ajustar a verificação de malware e opções para descriptografia e Debaixo de Configurações Gerais Na guia, encontramos opções para ajustar a verificação de malware e opções para descriptografia e Debaixo de Configurações Gerais Na guia, encontramos opções para ajustar a verificação de malware e opções para descriptografia e 
verificação de SSL.
Na seção 'Análise de malware e conteúdo', podemos optar por usar um único mecanismo de verificação para obter desempenho ou dois 
mecanismos para proteção máxima. Observe que, com os dois mecanismos selecionados, os usuários podem enfrentar um atraso no 
carregamento das páginas.
A proteção contra tempestades de areia requer o mecanismo de verificação Sophos; isso significa que você precisa selecionar Sophos 
como o mecanismo de verificação primário ou usar a verificação de mecanismo duplo.
O 'Modo de verificação de malware' pode ser definido como 'Tempo real' para processamento mais rápido ou 'Lote' para uma abordagem mais 
cautelosa.
Em seguida, devemos decidir como lidar com o conteúdo que não pode ser verificado devido a fatores como criptografado ou 
protegido por senha. A opção mais segura é bloquear esse conteúdo, mas pode ser permitido, se necessário.
Uma opção está disponível como parte da proteção da Web para impedir o download de aplicativos potencialmente indesejados. 
Aplicativos específicos podem ser permitidos adicionando-os à lista de PUAs autorizados; e é aplicado como parte da proteção contra 
malware nas regras de firewall.
Na seção final da página de proteção, podemos definir qual certificado será usado para descriptografia e varredura HTTPS, 
bem como se o administrador gostaria de bloquear qualquer tráfego que tente ignorar a varredura HTTPS. Além disso, se a 
página solicitada for uma página HTTPS e não possuir um certificado válido, o XG Firewall poderá bloquear o acesso a ela.
Engenheiro de firewall XG - 383
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Configurações globais de tempestade de areia
A configuração global do Sandstorm está localizada em PROTEGER> Ameaça avançada> Configurações de tempestade de areia.A configuração global do Sandstorm está localizada em PROTEGER> Ameaça avançada> Configurações de tempestade de areia.
Aqui, você pode especificar se um datacenter da Ásia-Pacífico, Europa ou EUA Sandstorm será usado ou deixar que a Sandstorm decida 
para onde enviar os arquivos para análise, com base em qual fornecerá o melhor desempenho.
Pode ser necessário configurá-lo para permanecer em conformidade com as leis de proteção de dados.
Você também pode optar por excluir certos tipos de arquivo do Sandstorm usando as opções predefinidas.
Engenheiro de firewall XG - 384
P
o
l
í
t
i
c
a
s
 
d
e
 
P
r
o
t
e
ç
ã
o
 
d
a
 
W
e
b
Configurações avançadas
• PROTEGER> Web> Avançado
Armazenar em cache todo o tráfego de navegação na web
Ponto final de cache Sophos 
atualizações do cliente
Porta de proxy da Web para navegadores
Portas permitidas no controle remoto 
servidores
Na seção "Avançado" do Configurações Gerais Na guia, existem opções para armazenar em cache vários tipos de informações. Na seção "Avançado" do Configurações Gerais Na guia, existem opções para armazenar em cache vários tipos de informações. Na seção "Avançado" do Configurações Gerais Na guia, existem opções para armazenar em cache vários tipos de informações. 
A primeira é armazenar em cache o conteúdo da web que é procurado pelos usuários. Isso permite que o XG Firewall reduza o consumo de 
largura de banda, mantendo uma cópia dos sites visitados com frequência e entregando esses sites armazenados diretamente aos usuários 
do XG Firewall, sem precisar recuperá-los novamente da Internet. Em algumas situações, os usuários também notarão um aumento no 
desempenho.
A segunda opção de armazenamento em cache é para atualizações do Sophos Endpoint. Isso armazenará em cache as atualizações do 
terminal Sophos no XG Firewall e melhorará o desempenho na rede se o terminal Sophos for implantado atrás do XG Firewall em vários 
clientes. Sem essa opção, o congestionamento da rede pode ocorrer quando muitos terminais tentam atualizar ao mesmo tempo, por 
exemplo, se estiverem usando o Sophos Central para proteção de terminais.
Também há opções para configuração de proxy da Web. Por padrão, o XG Firewall interceptará o tráfego da Web de forma 
transparente para reforçar a proteção da Web.