Baixe o app para aproveitar ainda mais
Prévia do material em texto
268 Revisão do módulo • Na conclusão deste módulo, você pode agora: ✓ Explique as opções de VPN disponíveis para conexões site a site✓ Explique as opções de VPN disponíveis para conexões site a site ✓ Configurar uma VPN site a site IPsec usando o assistente✓ Configurar uma VPN site a site IPsec usando o assistente ✓ Configurar uma VPN SSL✓ Configurar uma VPN SSL ✓ Explicar os modos de implantação do RED✓ Explicar os modos de implantação do RED ✓ Configurar e implantar REDs✓ Configurar e implantar REDs Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento para analisá-las. Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo. Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir. Engenheiro de firewall XG - 268 Olá, este é o curso de treinamento certificado pela Sophos para o Sophos XG Firewall. Este é o Módulo 5: Autenticação. Engenheiro Certificado Sophos Sophos XG Firewall ET80 - Autenticação ET805 Versão de março de 2019: 17.5v1 Versão do produto: Sophos XG Firewall 17.5 © 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos. Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários. Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a qualquer momento sem aviso prévio. A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP. Engenheiro Certificado Sophos Sophos XG Firewall Módulo 5: Autenticação Versão 17.5 Engenheiro de firewall XG - 271 Autenticação Usuários e Grupos Usando autenticação Senhas de uso único Métodos de autenticação Visão geral da autenticação O Sophos XG Firewall é um firewall baseado em identidade, que permite criar políticas em torno dos usuários, em vez de apenas redes e dispositivos. Para tornar isso possível, o XG Firewall anexa uma identidade ao tráfego que está passando. Neste módulo, examinaremos a autenticação local e externa, os diferentes tipos de usuário no XG Firewall, como os usuários podem ser autenticados e como usar a identidade dos usuários depois de autenticados. Engenheiro de firewall XG - 272 Visão geral da autenticação Engenheiro de firewall XG - 274 V i s ã o g e r a l d a a u t e n t i c a ç ã o O XG Firewall possui um banco de dados de usuários local, no qual os usuários podem ser criados ou importados manualmente via CSV. Os usuários podem ser criados como Usuário ou Administrador e, para administradores, pode ser selecionado um perfil que controla o nível de acesso. Usuários locais podem ser atribuídos manualmente a um grupo ao qual herdarão as configurações de diretiva. Eles podem ser substituídos por usuário. As configurações de diretiva incluem restrições de rede e Internet, configuração de tráfego e configurações de VPN de acesso remoto. A autenticação local é mais adequada para organizações de tamanho pequeno e que não possuem um serviço de diretório existente ou quando usuários convidados precisam acessar redes habilitadas para autenticação. Autenticação local • Usuários criados manualmente ou importados via CSV • Atribuir usuários manualmente a grupos Engenheiro de firewall XG - 275 V i s ã o g e r a l d a a u t e n t i c a ç ã o Servidores de autenticação • Servidores de autenticação externos o Diretório ativoo Diretório ativo o eDirectoryo eDirectory o RAIOo RAIO o TACACS +o TACACS + o LDAP / S o LDAP / S Diretório Apple OpenLDAP Outro LDAP padrão diretórios O Sophos XG Firewall também pode ser configurado para autenticação com servidores externos, como: • Diretório ativo • Novell eDirectory • LDAP / LDAPS • Servidor RADIUS • TACACS + Usando LDAP ou LDAPS, o Sophos XG Firewall pode autenticar usando OpenLDAP, Apple Directory ou qualquer outro diretório LDAP padrão. Engenheiro de firewall XG - 276 V i s ã o g e r a l d a a u t e n t i c a ç ã o Como o Sophos XG Firewall é um firewall baseado em identidade, a autenticação é essencial. A autenticação é feita em diferentes níveis, dependendo do tipo de acesso, e há três tipos de autenticação, dependendo da situação atual. A autenticação no firewall é a forma geral de autenticação e a mais comum, na qual os usuários são autenticados através do firewall. Ao escolher os servidores deste grupo, você está dizendo ao firewall que os usuários que se autenticam pelo firewall (principalmente para acessar a Internet ou recursos internos) serão provenientes da lista de servidores de autenticação selecionados. Os servidores de autenticação serão processados de cima para baixo na lista 'Servidor de autenticação selecionado', e os servidores podem ser reordenados arrastando e soltando os servidores na lista. Isso também pode ser feito para acesso à autenticação de VPN e administrador. Para os outros serviços, você pode definir a autenticação para espelhar os métodos de Autenticação do Firewall, para que eles não precisem ser definidos separadamente. Na seção de configuração do administrador, os usuários selecionados podem fazer login no console da web do Sophos XG Firewall. Em uma organização pequena, um usuário local pode ser criado; no entanto, para uma organização grande, se um usuário local for criado, isso significa que o usuário deve se lembrar de dois conjuntos de credenciais. Para facilitar isso, a autenticação do administrador permite que usuários de um diretório externo acessem o console da web. Autenticação de Serviço • Selecionar fontes de autenticação por serviço o CONFIGURAR> Autenticação> Serviçoso CONFIGURAR> Autenticação> Serviços o Firewall, VPN (IPsec / L2TP / PPTP), SSL VPN, Administradoro Firewall, VPN (IPsec / L2TP / PPTP), SSL VPN, Administrador Engenheiro de firewall XG - 277 V i s ã o g e r a l d a a u t e n t i c a ç ã o Usuários e Grupos Engenheiro de firewall XG - 278 U s u á r i o s e G r u p o s O XG Firewall possui três tipos de usuário; Usuários padrão que se autenticam com um nome de usuário e senha. Eles podem ser autenticados localmente pelo XG Firewall ou usando um servidor de autenticação externo, como o Active Directory. Os usuários sem cliente não se autenticam usando um nome de usuário e senha, mas são identificados apenas pelo endereço IP. Usuários sem cliente são sempre autenticados localmente pelo XG Firewall. Normalmente, você usaria usuários sem cliente para controlar o acesso à rede para servidores ou dispositivos, como impressoras e telefones VoIP. O tipo final de usuário é um usuário convidado. Esses são usuários que recebem acesso temporário à rede, geralmente para acessar a Internet. Eles se autenticam com um nome de usuário e senha que são gerados pelo XG Firewall e sempre são autenticados localmente. Usuários temporários autenticados com um nome de usuário e senha gerados pelo sistema autenticados localmente Usuários Convidados Tipos de Usuário Autenticado por endereço IP autenticado localmente Usuários sem cliente Autenticar com um nome de usuário e senha Pode ser autenticado local ou externamente Comercial Engenheiro de firewall XG - 279 U s u á r i o s e G r u p o s Aqui você pode ver um exemplo de um servidor de impressão sendo adicionado como um usuário sem cliente. Dê um nome ao dispositivo, especifique o endereço IPe selecione de qual grupo ele fará parte. Você usará o grupo nas regras de firewall para controlar o acesso à rede que o dispositivo possui. Usuários sem cliente também podem ser adicionados em massa especificando um intervalo de endereços IP e selecionando de qual grupo eles serão membros. Você pode editar os detalhes de cada endereço IP após adicioná-los. Aqui você pode ver dois usuários sem cliente. O usuário principal foi adicionado como parte de um intervalo e o usuário inferior foi adicionado individualmente. Usuários sem cliente Engenheiro de firewall XG - 280 U s u á r i o s e G r u p o s Usuários Convidados Aqui você pode ver dois usuários convidados que foram adicionados a um XG Firewall. De maneira semelhante aos Usuários sem Cliente, você pode adicionar Usuários Convidados individualmente ou em massa. Isso é útil se houver convidados que precisem de acesso por um período prolongado, como um contratado que trabalhará com a empresa, mas não terá uma conta no domínio. Existem duas opções principais ao adicionar um usuário convidado: 1. Por quanto tempo suas credenciais serão válidas para 2. Se o horário começará assim que o usuário for adicionado ou quando o usuário fizer logon pela primeira vez Uma vez adicionados, os detalhes dos Usuários Convidados podem ser impressos. Isso pode ser feito em massa, selecionando vários usuários e clicando em Impressão.usuários e clicando em Impressão. Engenheiro de firewall XG - 281 U s u á r i o s e G r u p o s Usuários Convidados Todos os usuários convidados são criados com as mesmas configurações que podem ser definidas no CONFIGURAR> Autenticação> Todos os usuários convidados são criados com as mesmas configurações que podem ser definidas no CONFIGURAR> Autenticação> Configurações do usuário convidado. Aqui você pode definir o grupo ao qual o usuário será adicionado e a complexidade da senha. Opcionalmente, você também pode integrar o XG Firewall a um gateway SMS para permitir que os Usuários Convidados registrem seus próprios detalhes de acesso. Isso pode economizar tempo significativo, onde há grandes volumes de Usuários Convidados, como em hotéis e aeroportos. Engenheiro de firewall XG - 282 U s u á r i o s e G r u p o s Grupos • CONFIGURAR> Autenticação> Grupos Agora que analisamos os diferentes tipos de usuários, veremos os grupos. Existem dois tipos de grupos, Normal e Sem Cliente, para seus respectivos tipos de usuário. Um grupo é uma coleção de usuários com políticas comuns e pode ser usado para atribuir acesso a recursos para vários usuários em uma única etapa. Em vez de anexar políticas individuais ao usuário, crie um grupo com políticas definidas e simplesmente atribua o grupo apropriado ao usuário. O usuário herdará automaticamente todas as políticas adicionadas ao grupo. Isso simplifica a configuração do usuário. Um grupo pode conter políticas padrão e personalizadas. Exemplos de políticas que podem ser agrupadas incluem: • Cota de surf • Tempo de acesso • Tráfego de rede • Modelagem de tráfego Estes são configurados em SISTEMA> Perfis.Estes são configurados em SISTEMA> Perfis. Você deve observar que, por padrão, os usuários herdarão as políticas dos grupos atribuídos. Para ajustar as políticas atribuídas de um grupo, selecione uma política na lista de políticas disponíveis ao editar ou criar um novo grupo. Você também pode criar uma nova política diretamente da página do grupo. No caso de VPNs SSL, se um usuário não tiver acesso à VPN SSL, selecione 'Nenhuma política aplicada'. Engenheiro de firewall XG - 283 U s u á r i o s e G r u p o s Os usuários são criados automaticamente no Sophos XG Firewall quando se conectam pela primeira vez. Quando o firewall cria o usuário, ele sincroniza propriedades adicionais do servidor Active Directory, incluindo o nome completo e o endereço de email. O firewall também pode atribuir o usuário aos mesmos grupos dos quais ele é membro no Active Directory, se esses grupos tiverem sido importados antes do logon do usuário. Os grupos podem ser facilmente importados usando o assistente Importar Grupo. Nota: O XG Firewall não suporta grupos aninhados e, se um usuário for membro de vários grupos, ele será adicionado Nota: O XG Firewall não suporta grupos aninhados e, se um usuário for membro de vários grupos, ele será adicionado ao primeiro a que corresponder. Grupos - Importar grupos do Active Directory • Importando grupos usando o assistente • Usuários adicionados aos grupos automaticamente no primeiro logon Grupo do Active Directory Assistente de Importação Engenheiro de firewall XG - 284 U s u á r i o s e G r u p o s Demonstração: Importação de Grupo do Active Directory Engenheiro de firewall XG - 285 U s u á r i o s e G r u p o s Clique no Importar ícone para o servidor de autenticação LondonDCClique no Importar ícone para o servidor de autenticação LondonDCClique no Importar ícone para o servidor de autenticação LondonDC Engenheiro de firewall XG - 287 Clique ComeçarClique Começar Engenheiro de firewall XG - 288 Clique no Consultas de pesquisa campo suspensoClique no Consultas de pesquisa campo suspensoClique no Consultas de pesquisa campo suspenso Engenheiro de firewall XG - 289 Essa lista conterá as consultas de pesquisa que você adicionou ao servidor de autenticação. dc = sophos, Essa lista conterá as consultas de pesquisa que você adicionou ao servidor de autenticação. dc = sophos, dc = local Engenheiro de firewall XG - 290 Clique no Próximo para continuarClique no Próximo para continuarClique no Próximo para continuar Engenheiro de firewall XG - 291 Você pode selecionar quais grupos deseja importar Neste exemplo, importaremos todos os grupos na UO Sophos Users Select. Usuários Neste exemplo, importaremos todos os grupos na UO Sophos Users Select. Usuários Sophos Engenheiro de firewall XG - 292 Clique no Próximo para continuarClique no Próximo para continuarClique no Próximo para continuar Engenheiro de firewall XG - 293 Por padrão, as políticas que você seleciona nesta tela são aplicadas a todos os grupos que estão sendo importados. Se você deseja personalizar as políticas para alguns grupos, desmarque a opção Anexar a todos os grupos opção. Neste exemplo, usaremos as mesmas políticas para todos os grupos. Clique no Próximo para continuargrupos, desmarque a opção Anexar a todos os grupos opção. Neste exemplo, usaremos as mesmas políticas para todos os grupos. Clique no Próximo para continuargrupos, desmarque a opção Anexar a todos os grupos opção. Neste exemplo, usaremos as mesmas políticas para todos os grupos. Clique no Próximo para continuargrupos, desmarque a opção Anexar a todos os grupos opção. Neste exemplo, usaremos as mesmas políticas para todos os grupos. Clique no Próximo para continuargrupos, desmarque a opção Anexar a todos os grupos opção. Neste exemplo, usaremos as mesmas políticas para todos os grupos. Clique no Próximo para continuar Engenheiro de firewall XG - 294 Revise as opções que você selecionou e clique no ícone Próximo para continuarRevise as opções que você selecionou e clique no ícone Próximo para continuarRevise as opções que você selecionou e clique no ícone Próximo para continuar Engenheiro de firewall XG - 295 Clique Está bem para iniciar a importação do grupoClique Está bem para iniciar a importação do grupoClique Está bem para iniciar a importação do grupo Engenheiro de firewall XG - 296 Os resultados da importação serão exibidos Clique em FecharOs resultados da importação serão exibidos Clique em Fechar Engenheiro de firewall XG - 297 Os resultados da importação serão exibidos Clique em FecharOs resultados da importação serão exibidos Clique em Fechar Engenheiro de firewall XG - 298 Métodos de autenticação Engenheiro de firewall XG - 299 M é t o d o s d e a u t e n t i c a ç ã o Métodos de autenticação • Ponto de acesso • Usuários sem cliente • SSO (Logon único)• Agente de autenticação • Portal Cativo • Identidade de usuário sincronizada e Sophos Transparent Authentication Suite (STAS) • Autenticação Sophos para clientes de terminal (SATC) • Cliente SSO • VPN • RAIO • NTLM O Sophos XG Firewall suporta cinco métodos principais de autenticação de usuários, são eles: • Ponto de acesso • Usuários sem cliente • Logon único (SSO) • Agente de autenticação • Portal Cativo Essa é a ordem na qual a autenticação é verificada para os usuários. A autenticação do ponto ativo é verificada quando um ponto ativo está ativo na interface da qual o tráfego é proveniente. O cliente do agente de autenticação pode ser baixado do Portal do Usuário. Uma vez instalado, o usuário pode inserir suas credenciais e salvá-las para que ele se autentique com o firewall sempre que efetuar login. O XG Firewall possui vários métodos para autenticar usuários para logon único. A Identidade de Usuário Sincronizada usa o sincronismo de segurança sincronizado para autenticar usuários de terminais executando a proteção do Sophos Central Endpoint. O Sophos Transparent Authentication Suite, STAS, é instalado nos controladores de domínio e relata os eventos de logon ao XG Firewall. A autenticação Sophos para o Terminal Client, SATC, está instalada nos Servidores de Terminal e permite que o Engenheiro de firewall XG - 300 P r e c e d ê n c i a M é t o d o s d e a u t e n t i c a ç ã o XG Firewall para identificar usuários com base na porta de origem do tráfego do Terminal Server. O cliente SSO permite que os usuários efetuem logon na rede da organização e no dispositivo simultaneamente. Isso requer instalação do cliente no computador Windows do usuário. Quando os usuários estão conectados ao XG Firewall por meio de uma VPN de acesso remoto, eles são automaticamente autenticados com o firewall sem problemas. Observe que, no caso de failover de alta disponibilidade, os usuários terão que se reconectar ao túnel da VPN, pois serão desconectados e o usuário será desconectado do firewall. O Sophos XG Firewall pode autenticar de forma transparente usuários que já foram autenticados em um servidor RADIUS externo. O firewall não interage com o servidor RADIUS, mas simplesmente monitora os registros contábeis RADIUS que o servidor envia. Esses registros geralmente incluem o endereço IP e o grupo de usuários. O XG Firewall também suporta logon único para tráfego da Web usando solicitações de autenticação NTLM. Engenheiro de firewall XG - 300 Atividade Coloque os métodos de autenticação em ordem ou precedência Portal Cativo Usuários sem cliente Agente de autenticação de ponto ativo Logon único sem cliente Engenheiro de firewall XG - 301 M é t o d o s d e a u t e n t i c a ç ã o js Seta js Seta js Seta js Seta js Seta Identidade do usuário sincronizada Security Heartbeat ™ Servidor do Active Directory Firewall XG Internet Pontos finais da Sophos O XG obtém o ID do usuário dos pontos de extremidade que estão em um domínio do Active Directory automaticamente Vamos começar com a identidade do usuário sincronizada. A autenticação do usuário é extremamente importante para todos os firewalls de última geração para fornecer relatórios e aplicação de políticas com base no usuário. Em um ambiente típico do Active Directory, a identidade do usuário transparente no firewall é obtida instalando um agente no Directory Server para retransmitir as informações de identidade do usuário para o firewall ou no terminal para compartilhar a identificação do usuário. Essas soluções de agentes podem ser problemáticas para implantar em algumas situações e ambientes. Além desses métodos de autenticação comuns, os pontos de extremidade em um domínio do Active Directory podem compartilhar a identidade do usuário com o Firewall por meio da conexão Security Heartbeat ™. Isso facilita e simplifica a identificação do usuário sem a necessidade de implantar agentes nos controladores de domínio. Esse recurso pode ser muito útil em muitas situações, mas principalmente onde a implantação em linha do XG com outros firewalls é desejada. Observe que, para sistemas multiusuário, como hosts de serviços de terminal, você deve usar o SATC (Sophos Authentication for Thin Clients. Esta solução também não suporta dispositivos ou servidores não gerenciados. Engenheiro de firewall XG - 303 M é t o d o s d e a u t e n t i c a ç ã o Identidade do usuário sincronizada Aqui você pode ver os usuários que foram autenticados usando a identidade de usuário sincronizada nos usuários ativos. Observe que o tipo de cliente está listado como 'Pulsação'. Engenheiro de firewall XG - 304 M é t o d o s d e a u t e n t i c a ç ã o Identidade do usuário sincronizada Adicionar um servidor de autenticação do Active Directory no XG Firewall 1 Importar grupos do Active Directory para o XG Firewall 2 Habilitar o servidor Active Directory nos métodos de autenticação do Firewall 3 Os computadores com um Security Heartbeat ™ sincronizarão os detalhes do usuário 4 Para começar a usar a Segurança sincronizada, você deve ter um servidor de autenticação do Active Directory configurado no XG Firewall. a identidade de usuário sincronizada funciona apenas para computadores que fazem parte de um domínio do Active Directory. Você deve importar os grupos de usuários do Active Directory para o XG Firewall. O servidor do Active Directory deve estar ativado nos métodos de autenticação do firewall. Com isso feito, todos os pontos de extremidade do Windows com pulsação no XG Firewall serão autenticados por meio da pulsação. Engenheiro de firewall XG - 305 M é t o d o s d e a u t e n t i c a ç ã o Desativando o ID do Usuário Sincronizado Se você não quiser usar o ID do usuário sincronizado, poderá desativá-lo tocando no arquivo / content / no_userid. Para começar a usar o ID do usuário sincronizado novamente, remova este arquivo. Engenheiro de firewall XG - 306 M é t o d o s d e a u t e n t i c a ç ã o Portal Cativo • Portal de autenticação da web HTTPS • CONFIGURAR> Autenticação> Serviços Se o usuário não foi autenticado com o XG Firewall usando qualquer um dos outros métodos, um portal cativo pode ser exibido. O portal cativo pode ser usado por computadores e dispositivos móveis e fornece um portal seguro para autenticação do usuário por HTTPS. O comportamento do portal cativo é configurado em CONFIGURAR> Autenticação> Serviços. Aqui você também pode escolher se as O comportamento do portal cativo é configurado em CONFIGURAR> Autenticação> Serviços. Aqui você também pode escolher se as O comportamento do portal cativo é configurado em CONFIGURAR> Autenticação> Serviços. Aqui você também pode escolher se as páginas de notificação da proteção da web devem incluir um link para o portal cativo. A aparência do portal cativo pode ser totalmente personalizada em CONFIGURAR> Autenticação> Portal cativo.A aparência do portal cativo pode ser totalmente personalizada em CONFIGURAR> Autenticação> Portal cativo. Observe que o portal cativo é executado na porta 8090. Engenheiro de firewall XG - 307 M é t o d o s d e a u t e n t i c a ç ã o Links para usuários SISTEMA> Administração> Configurações de administrador Além de selecionar o certificado usado pelo XG Firewall para as páginas voltadas ao usuário, você também pode configurar o nome do host ou o endereço IP usado ao redirecionar os usuários para as páginas internas do portal. A combinação de controles para o certificado e o nome do host permite garantir que os usuários não vejam um erro de certificado no navegador. Observe que, quando você verifica as configurações, isso não inclui nenhum nome alternativo de assunto incluído no certificado, e o nome do host deve ser resolvido para um endereço IP em uma interface interna. Engenheiro de firewall XG - 308 M é t o d o s d e a u t e n t i c a ç ã o AutenticaçãoNTLM • Ideal onde a autenticação é necessária apenas para filtragem da Web • Autentica apenas o tráfego da web • Servidor de autenticação do Active Directory necessário • Configuração explícita de proxy recomendada Navegação na Web Navegação na Web Outro tráfego Computador portátil Firewall XG Internet Autenticado Usuário não autenticado Onde a autenticação é necessária apenas para filtragem da Web e o usuário não precisa ser autenticado com o firewall, a autenticação NTLM pode ser uma opção simples. Para usar a autenticação NTLM, um servidor de autenticação do Active Directory precisa ser configurado no XG Firewall e, para evitar que os usuários visualizem pop-ups, recomendamos configurar o XG Firewall como um proxy explícito. Nota: o uso da autenticação NTLM autentica apenas os usuários para o tráfego da web.Nota: o uso da autenticação NTLM autentica apenas os usuários para o tráfego da web. Engenheiro de firewall XG - 309 M é t o d o s d e a u t e n t i c a ç ã o Autenticação NTLM Habilitar Configuração do Cliente Depois de adicionar um servidor de autenticação do Active Directory, tudo o que você precisa fazer é ativar o NTLM para a (s) zona (s) da qual os clientes estarão se conectando. Para evitar que os clientes vejam um pop-up para autenticação, os clientes podem ser configurados para usar o XG como um proxy explícito. O endereço do servidor proxy deve ser o nome do host interno que está dentro do domínio. A porta do proxy padrão é 3128, mas pode ser personalizada em PROTEGER> Web> Configurações gerais.A porta do proxy padrão é 3128, mas pode ser personalizada em PROTEGER> Web> Configurações gerais. Engenheiro de firewall XG - 310 M é t o d o s d e a u t e n t i c a ç ã o O Sophos Transparent Authentication Suite, ou STAS, fornece autenticação SSO transparente confiável para usuários de rede sem precisar de um cliente no terminal. Emprega um agente no Microsoft Active Directory Domain Controller ou um servidor membro que monitora e armazena atividades de autenticação e troca informações de autenticação com o XG Firewall, facilitando a aplicação de políticas com base no usuário. Deve haver uma instalação do STAS atendendo a todos os controladores de domínio para garantir que todos os eventos de logon possam ser monitorados. É importante observar que o software STAS funciona apenas com o Microsoft Active Directory e apenas com IPv4. Nota: o cliente SSO não pode ser usado quando o STAS está ativado no XG Firewall.Nota: o cliente SSO não pode ser usado quando o STAS está ativado no XG Firewall. Sophos Transparent Authentication Suite (STAS) • Software instalado nos controladores de domínio do Active Directory ou nos servidores membros o Deve ter uma instalação STAS atendendo a todos os controladores de domínioo Deve ter uma instalação STAS atendendo a todos os controladores de domínio • Fornece SSO sem um cliente em cada estação de trabalho • Facilita a aplicação de políticas baseadas no usuário • Somente IPv4 Engenheiro de firewall XG - 311 M é t o d o s d e a u t e n t i c a ç ã o Como funciona o STAS Internet Controlador de Domínio Computador 10.1.1.1 Firewall XG Log de auditoria de segurança Nome de usuário do endereço IP 1. John Smith efetua login no domínio em um computador com o IP 10.1.1.1 2. O controlador de domínio grava os detalhes de login no log de eventos de segurança com o ID 4768 (ID 672 no Windows 2003) 3. O STAS monitora o log de eventos para eventos de logon 4. O STAS notifica o XG Firewall do login em porta 6060 5. O XG Firewall atualiza os usuários ativos, mapeando o tráfego de 10.1.1.1 para o usuário John Smith John Smith STAS Vamos dar uma olhada em como o STAS funciona. O usuário John Smith efetua login no domínio em seu computador com o endereço IP 10.1.1.1. O controlador de domínio grava os detalhes de logon no log de eventos de Segurança com o ID 4768, incluindo o endereço IP do computador e o nome do usuário que efetuou login. Observe que no Windows 2003 o ID do evento é 672. Os Usuários ao Vivo podem ser encontrado em MONITOR E ANALISAR> Atividades atuais> Usuários ativos.ser encontrado em MONITOR E ANALISAR> Atividades atuais> Usuários ativos. Como o STAS está monitorando os logs de eventos, você precisa garantir que os eventos de logon bem-sucedidos sejam auditados na Diretiva de Segurança Local. O STAS, instalado no controlador de domínio, monitora os logs de eventos dos eventos de logon. Quando um evento de logon é detectado, o STAS registra os detalhes. O STAS notifica o XG Firewall sobre o logon e fornece os detalhes registrados no log de eventos, isso é feito na porta 6060. O XG Firewall atualiza os usuários ativos, mapeando o tráfego de 10.1.1.1 para o usuário John Smith. Engenheiro de firewall XG - 312 M é t o d o s d e a u t e n t i c a ç ã o Instalando o software STAS • Faça o download no WebAdmin o CONFIGURAR> Autenticação> Downloads de clienteso CONFIGURAR> Autenticação> Downloads de clientes • Instalar em controladores de domínio Selecionar componentes Fornecer um usuário para o serviço Para iniciar o Sophos Transparent Authentication Suite, o software STAS pode ser baixado do WebAdmin em CONFIGURAR> Para iniciar o Sophos Transparent Authentication Suite, o software STAS pode ser baixado do WebAdmin em CONFIGURAR> Autenticação> Downloads de clientes e instalado em um controlador de domínio do Active Directory.Autenticação> Downloads de clientes e instalado em um controlador de domínio do Active Directory. Durante a instalação, você pode optar por instalar apenas o componente Collector ou Agent do STAS ou os dois. O STAS também precisa ser configurado com um usuário que será usado para executar o serviço. O usuário deve ter o direito de efetuar logon como um serviço e deve poder monitorar o log de eventos de Segurança. A conta de serviço deve ser adicionada aos Grupos de Operadores de Backup e Leitores de Log de Eventos no AD e os grupos locais de Administradores nos pontos de extremidade (isso pode ser feito por meio de uma política de grupo e é necessário para que a detecção de logoff do WMI funcione). A conta também deve receber a permissão 'Logon como um serviço' no controlador de domínio e a permissão NTFS completa na pasta STAS. Engenheiro de firewall XG - 313 M é t o d o s d e a u t e n t i c a ç ã o Uma vez instalado, o software STAS precisa ser configurado. Na guia 'Geral', configure o domínio pelo qual o STAS monitorará os eventos de logon. Na guia 'STA Agent', configure as redes para as quais os eventos de logon serão monitorados. Aqui você pode ver que estamos monitorando eventos de logon nas redes 172.16.16.0/24 e 172.17.17.0/24. Se um usuário efetuar login de outra rede, 10.1.1.0/24, por exemplo, esse logon não será encaminhado para o XG Firewall. Se o STAS estiver sendo instalado em um servidor membro, em vez de um controlador de domínio, você precisará especificar o endereço IP do controlador de domínio aqui. Configurando o software STAS Necessário se instalado em um servidor membro Engenheiro de firewall XG - 314 M é t o d o s d e a u t e n t i c a ç ã o O endereço IP do XG Firewall precisa ser adicionado à seção Sophos Appliances do Sophos Transparent Authentication Suite. A pesquisa da estação de trabalho pode ser configurada para usar o WMI (esta é a opção padrão) ou o acesso de leitura do registro. Isso é usado para determinar o usuário conectado no momento quando um computador não é encontrado na tabela Usuários Ativos. O STAS também pode ser configurado para detectar quando os usuários efetuam logoff. Isso pode ser feito usando o mesmo método que a pesquisa na estação de trabalho (esta é a opção padrão) ou ping. Configurando o software STAS Endereços IP dos firewalls XG para enviar as informações de login para A pesquisa pode ser feita via WMI ou Registro Acesso de leitura Detectarquando os usuários fazem logoff por meio de pesquisa ou ping Engenheiro de firewall XG - 315 M é t o d o s d e a u t e n t i c a ç ã o Configurando o STAS no XG Firewall • CONFIGURAR> Autenticação> STAS • Ativar STAS Depois que o software STAS é instalado e configurado, o STAS precisa ser ativado no XG Firewall, isso é feito em CONFIGURAR> Depois que o software STAS é instalado e configurado, o STAS precisa ser ativado no XG Firewall, isso é feito em CONFIGURAR> Autenticação> STAS. Ligue o STAS e clique em Ative o STAS.Ligue o STAS e clique em Ative o STAS. Opcionalmente, você pode ativar e configurar a manipulação de inatividade do usuário, definindo o timer de inatividade e o limite de transferência de dados. Engenheiro de firewall XG - 316 M é t o d o s d e a u t e n t i c a ç ã o Configurando o STAS no XG Firewall • CONFIGURAR> Autenticação> STAS • Adicionar coletores Você precisa adicionar todos os servidores em que instalou o coletor no XG Firewall. Na página 'Adicionar novo coletor', insira o endereço IP e a porta do coletor e selecione se deseja criar um novo grupo para o coletor ou se você já tem um coletor, adicione-o a um grupo existente. Aqui você pode ver o coletor que adicionamos. Engenheiro de firewall XG - 317 M é t o d o s d e a u t e n t i c a ç ã o Agente de autenticação O agente e o certificado precisam ser instalado O usuário define sua credenciais O agente autentica o do utilizador Outro método para autenticar com o XG Firewall é usar um agente no computador. Você pode baixar agentes para Windows, Mac e Linux e precisa instalar o agente e o certificado no computador. O usuário define as credenciais para autenticação e, em seguida, o agente se autentica no XG Firewall. O agente também compartilha a telemetria de endereço MAC com o XG Firewall, que permite que restrições de endereço MAC sejam usadas. Engenheiro de firewall XG - 318 M é t o d o s d e a u t e n t i c a ç ã o A extensão do Chrome precisa ser enviada para dispositivos do Google G Suíte 1. Implantar extensão O XG Firewall precisa ser configurado com um servidor Active Directory sincronizado com o G Suite e o SSO do Chromebook ativado 2. Servidor do Active Directory A extensão do Chromebook compartilha o ID do usuário com XG Firewall 3. Autenticação do Chromebook SSO (Logon único) do Chromebook Servidor do Active Directory Firewall XG Google G Suite Dispositivos Chromebook Os Chromebooks são cada vez mais populares na educação e em alguns ambientes corporativos, mas criam um conjunto único de desafios para a identificação do usuário com firewalls de rede. O XG Firewall versão 17.5 fornece uma extensão do Chromebook que compartilha os IDs de usuário do Chromebook com o Firewall para permitir a aplicação e os relatórios completos de políticas baseadas no usuário. Os pré-requisitos incluem um servidor Active Directory local sincronizado com o Google G Suite. A extensão do Chrome é enviada pelo console do administrador do G Suite, proporcionando uma implantação fácil e transparente, transparente para os usuários. Engenheiro de firewall XG - 319 M é t o d o s d e a u t e n t i c a ç ã o CONFIGURAR> Autenticação> Serviços SSO (Logon único) do Chromebook O nome do domínio registrado no G Suite O certificado usado para comunicação com os Chromebooks O CN do certificado deve corresponder à zona / rede em que os usuários do Chromebook são, para examplegateway.example.com. O número da porta que os Chromebooks se conectam da LAN ou Wi-Fi O SSO do Chromebook deve estar ativado em CONFIGURAR> Autenticação> Serviços, fornecendo seu domínio O SSO do Chromebook deve estar ativado em CONFIGURAR> Autenticação> Serviços, fornecendo seu domínio O SSO do Chromebook deve estar ativado em CONFIGURAR> Autenticação> Serviços, fornecendo seu domínio registrado no G Suite e o certificado usado para se comunicar com os Chromebooks, onde o nome comum corresponde à rede em que os usuários do Chromebook estão. Engenheiro de firewall XG - 320 M é t o d o s d e a u t e n t i c a ç ã o Configuração do G Suite Navegar para Gerenciamento de aplicativosNavegar para Gerenciamento de aplicativos Pesquise e abra ID de usuário do Sophos ChromebookPesquise e abra ID de usuário do Sophos Chromebook Faça o upload da configuração ( amostra nas notas)Faça o upload da configuração ( amostra nas notas) Navegar para Gerenciamento de dispositivo> RedesNavegar para Gerenciamento de dispositivo> Redes Faça o upload do certificado da CA do XG Firewall ( selecionar Use este certificado como uma Faça o upload do certificado da CA do XG Firewall ( selecionar Use este certificado como uma Faça o upload do certificado da CA do XG Firewall ( selecionar Use este certificado como uma autoridade de certificação HTTPS) Necessário apenas quando o XG Firewall usa um certificado autoassinado Para configurar o aplicativo Chromebook no G Suite, você precisa navegar para App Management, depois procure e abra o ID de Para configurar o aplicativo Chromebook no G Suite, você precisa navegar para App Management, depois procure e abra o ID de Para configurar o aplicativo Chromebook no G Suite, você precisa navegar para App Management, depois procure e abra o ID de Para configurar o aplicativo Chromebook no G Suite, você precisa navegar para App Management, depois procure e abra o ID de usuário do Sophos Chromebook aplicativo.usuário do Sophos Chromebook aplicativo. Aqui, você precisará fazer o upload da configuração como um arquivo JSON que inclui o endereço do servidor, porta e configurações de log. Você pode encontrar uma amostra de JSON nas notas do curso. Se o XG Firewall estiver usando um certificado autoassinado, você também precisará fazer o upload do certificado CA em Gerenciamento de Se o XG Firewall estiver usando um certificado autoassinado, você também precisará fazer o upload do certificado CA em Gerenciamento de dispositivos> Redes, selecionando a opção Use este certificado como uma autoridade de certificação HTTPS.dispositivos> Redes, selecionando a opção Use este certificado como uma autoridade de certificação HTTPS.dispositivos> Redes, selecionando a opção Use este certificado como uma autoridade de certificação HTTPS. Exemplo de configuração JSON da configuração do G Suite Nota: o valor em maiúsculas é Exemplo de configuração JSON da configuração do G Suite Nota: o valor em maiúsculas é importante, caso contrário não funcionará. { "serverAddress": {"Value": "10.8.19.132"}, "serverPort": {"Value": 65123}, "logLevel": {"Value": 2}, "logoutOnLockscreen": {"Value": true}, Engenheiro de firewall XG - 321 M é t o d o s d e a u t e n t i c a ç ã o "logoutOnIdle": {"Value": true}, "idleInterval": {"Value": 900} { Engenheiro de firewall XG - 321 SSO (Logon único) do Chromebook Coisas para lembrar… Ative a autenticação SSO do Chromebook no acesso a dispositivos nas zonas em que os dispositivos estão localizados Crie uma regra de firewall para permitir que dispositivos Chromebook acessem a API do Google e a Chrome Web Store Algumas coisas para lembrar: • Você precisará ativar o serviço SSO do Chromebook no acesso a dispositivos nas zonas onde os dispositivos estão localizados • Você também precisará criar uma regra de firewall que permita que os Chromebooks acessem a API do Google e a Chrome Web Store Engenheiro de firewall XG - 322 M é t o d o s d e a u t e n t i c a ç ã o Usando autenticação Engenheiro de firewall XG - 323 U s a n d o a u t e n t i c a ç ã o Regras de firewall do usuário • Regra de firewall de rede / usuário o Corresponder usuários conhecidos transforma uma regra de rede normal em uma regra de usuárioo Corresponder usuários conhecidos transforma uma regra de rede normal em uma regra de usuário • Mostrar o portal cativo para usuários desconhecidos Ative 'Excluir esta atividade dousuário da contabilidade de dados' se esse tráfego não for contabilizado para cotas Agora que examinamos como autenticar usuários com o XG Firewall, vamos ver como isso pode ser usado. Como já vimos, existem três tipos de regra de firewall no XG Firewall: 1. Regras de rede 2. Regras do Usuário 3. Regras de Aplicativo de Negócios As regras do usuário são exatamente iguais às regras de rede, exceto que também são correspondidas à identidade do usuário. Esta opção é ativada por padrão quando você cria uma nova regra de rede / usuário. Você pode selecionar usuários e grupos aos quais a regra será aplicada. Se o XG Firewall não conseguir corresponder à identidade dos usuários, você pode optar por mostrar o Captive Portal para permitir que eles se autentiquem. Se a regra do firewall for para aplicativos de negócios, como o Office 365 ou o SalesForce, você poderá excluir o tráfego da contabilidade de dados, o que significa que ele não será contabilizado em nenhuma cota configurada. Engenheiro de firewall XG - 324 U s a n d o a u t e n t i c a ç ã o Portal do Usuário • HTTPS: // <FIREWALL_IP> • Gerenciar emails em quarentena • Faça o download de clientes de VPN e autenticação O Portal do usuário permite que os usuários gerenciem sua própria quarentena, senha e uso da Internet, bem como baixem clientes VPN e autenticação. O Portal do Usuário é acessado usando HTTPS no endereço IP do firewall. Por padrão, o Portal do Usuário está disponível apenas para clientes que se conectam a partir da zona da LAN, mas também pode ser ativado para outras zonas. Observe que a porta do Portal do usuário pode ser alterada em SISTEMA> Administração> Configurações de administrador.usuário pode ser alterada em SISTEMA> Administração> Configurações de administrador. Engenheiro de firewall XG - 325 U s a n d o a u t e n t i c a ç ã o Senhas de uso único Engenheiro de firewall XG - 326 S e n h a s d e u s o ú n i c o O Sophos XG Firewall suporta autenticação de dois fatores usando senhas únicas. A autenticação de dois fatores significa que você fornece duas informações para fazer login, algo que você sabe, sua senha e algo que você tem, seu token. Existem diferentes tipos de senha descartável, o XG Firewall suporta senhas descartáveis baseadas em tempo. Você pode usar tokens de software, como o Sophos Authenticator App ou Sophos Mobile Security App que estão disponíveis para Android e iOS, ou tokens de hardware, desde que estejam em conformidade com a RFC 6238. Observe que os tokens RSA não são suportados. O XG Firewall pode usar senhas de uso único para melhorar a segurança do WebAdmin, do Portal do Usuário (incluindo o Clientless VPN Portal) e das VPNs de acesso remoto SSL e IPsec. As senhas descartáveis podem ser ativadas para todos os usuários ou para um conjunto selecionado de usuários e grupos. Símbolo SOPHOS Senhas de uso único (OTP) • Fornece autenticação de dois fatores • O XG Firewall suporta senhas únicas baseadas em tempo o Sophos Authenticator App ( Android e iOS)o Sophos Authenticator App ( Android e iOS)o Sophos Authenticator App ( Android e iOS) o RFC 6238o RFC 6238 • Pode ser usado com o WebAdmino WebAdmin o Portal do usuário (incluindo o portal VPN sem cliente)o Portal do usuário (incluindo o portal VPN sem cliente) o VPNs de acesso remoto SSL e IPseco VPNs de acesso remoto SSL e IPsec • Ativar para alguns ou todos os usuários / grupos Engenheiro de firewall XG - 327 S e n h a s d e u s o ú n i c o Vamos dar uma olhada em como a autenticação OTP funciona. Neste diagrama, temos o usuário com seu token à esquerda e o XG Firewall à direita. O usuário possui um token que contém uma chave e obtém o horário de um relógio sincronizado. Eles são processados usando o algoritmo descrito na RFC 6238 para produzir o código do token. O XG Firewall precisa ter a mesma chave e ser sincronizado com o mesmo relógio para que, ao calcular o código do token, saia com o mesmo número. Para permitir variações no tempo entre o token e o XG Firewall, ele aceitará o código do token anterior e o próximo como válido por padrão. Esta é a etapa de deslocamento do token e pode ser alterada nas configurações. Senhas de uso único (OTP) 123456 234567 345678 456789 567890 678901 Chave Tempo Tempo Do utilizador Firewall XG Chave Algoritmo de token Algoritmo de token 123456 234567 567890 Engenheiro de firewall XG - 328 S e n h a s d e u s o ú n i c o Vamos começar analisando as configurações de senhas únicas. As senhas de uso único não são ativadas por padrão e precisam estar ativadas. Como mencionamos, as senhas descartáveis podem ser ativadas para todos os usuários ou para um conjunto específico de usuários e grupos. Você pode optar por fazer com que o XG Firewall gere automaticamente um segredo de token (chave) quando os usuários tentarem se autenticar e eles não tiverem um. Os segredos gerados por XG podem ser usados com tokens de software; os tokens de hardware precisam ser adicionados manualmente. Aqui você pode selecionar os usuários e grupos para os quais habilitar senhas únicas. Isso só é visível se as senhas descartáveis não estiverem ativadas para todos os usuários. Nesta seção, você pode selecionar quais recursos deseja proteger com senhas únicas. Por fim, você pode definir as configurações globais do token. Por exemplo, se você estiver usando um token de hardware com um intervalo de tempo de 60 segundos, poderá configurá-lo aqui. Você também pode configurar as etapas de deslocamento da senha que discutimos no slide anterior. Configuração de senhas de uso único (OTP) Ativar OTP Todos os usuários ou usuários selecionados Gerar automaticamente um token para usuários que não possuem um? Selecione os usuários e grupos O que o OTP será usado para? Configurações globais de token Engenheiro de firewall XG - 329 S e n h a s d e u s o ú n i c o Para adicionar um token, basta especificar o segredo, que é uma cadeia HEX de 32 a 120 caracteres, e selecionar a qual usuário atribuir o token. Opcionalmente, o timestep global pode ser substituído, o que pode ser necessário se você estiver usando uma mistura de tokens. Senhas de uso único (OTP) Adicionando tokens • Segredo: cadeia HEX de 32 a 120 caracteres • Substituir timestep global Engenheiro de firewall XG - 330 S e n h a s d e u s o ú n i c o Aqui podemos ver um token para Lisa Fox. Existem dois cenários que vamos considerar. Primeiro, Lisa Fox está na estrada, mas deixou cair e quebrou o celular que tem o aplicativo Sophos Authenticator. Ela precisa acessar a VPN SSL, mas ela é protegida usando OTP. Se isso acontecer, você pode adicionar códigos adicionais ao token. Estes são um conjunto de códigos de uso único que serão removidos automaticamente após serem utilizados. No segundo cenário, Lisa possui seu token, mas o logon está falhando. Isso pode ser causado se o tempo do token e do XG Firewall estiver fora de sincronia. Para resolver isso, você pode digitar a senha atual no XG Firewall e compensar a diferença de horário. Configurações adicionais de senhas de uso único (OTP) Engenheiro de firewall XG - 331 S e n h a s d e u s o ú n i c o Geração automática de token de senhas descartáveis (OTP) Senha: Código Sophos Token: 436867 Senha de login: Sophos436867 Agora, vamos ver como os tokens podem ser gerados automaticamente para os usuários. Quando um usuário faz login no Portal do usuário pela primeira vez após a ativação de senhas únicas, o XG Firewall gera e exibe as informações necessárias para configurar um token de software. Na maioria dos casos, isso pode ser feito automaticamente, digitalizando o código QR com um aplicativo, como o Sophos Authenticator App. Depois que o token é configurado, o usuário clica Prossiga para o Login .Depois que o token é configurado, o usuário clica Prossiga para o Login .Depois que o token é configurado, ousuário clica Prossiga para o Login . O usuário receberá o login do Portal do usuário novamente. Se a senha do usuário for 'Sophos' e o código do token atual for '436867', o usuário efetuará login usando a senha 'Sophos436867'. Engenheiro de firewall XG - 332 S e n h a s d e u s o ú n i c o Laboratório 5: Autenticação • Conclua as seguintes tarefas em Laboratório 5Conclua as seguintes tarefas em Laboratório 5 ▪ Tarefa 5.1: Configurar um servidor de autenticação do Active Directory ▪ Tarefa 5.2: Autenticar usando Identidade de Usuário Sincronizada ▪ Tarefa 5.3: Configurar logon único usando o STAS ▪ Tarefa 5.4: diretivas baseadas no usuário ▪ Tarefa 5.5: senhas descartáveis • Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa 4.2 do Laboratório 4 Certifique-se de ler as anotações incluídas na pasta de trabalho do laboratório. como você pode ser testado em qualquer coisa nos laboratórios, bem como na teoria Conclua as seguintes tarefas em Laboratório 5Conclua as seguintes tarefas em Laboratório 5 • Tarefa 5.1: Configurar um servidor de autenticação do Active Directory • Tarefa 5.2: Autenticar usando Identidade de Usuário Sincronizada • Tarefa 5.3: Configurar logon único usando o STAS • Tarefa 5.4: diretivas baseadas no usuário • Tarefa 5.5: senhas descartáveis Antes de concluir essas tarefas, você deve ter concluído todas as etapas até o final da Tarefa do Laboratório 4 4.2 Engenheiro de firewall XG - 334 335 Revisão do módulo • Na conclusão deste módulo, você pode agora: ✓ Listar as fontes de autenticação suportadas e habilitá-las para serviços no XG Firewall✓ Listar as fontes de autenticação suportadas e habilitá-las para serviços no XG Firewall ✓ Explique os tipos de usuário no XG Firewall e saiba quando usá-los✓ Explique os tipos de usuário no XG Firewall e saiba quando usá-los ✓ Configurar autenticação NTLM para o proxy da web✓ Configurar autenticação NTLM para o proxy da web ✓ Configurar o logon único usando o Synchronized User Identify e o STAS✓ Configurar o logon único usando o Synchronized User Identify e o STAS ✓ Criar políticas baseadas em identidade✓ Criar políticas baseadas em identidade ✓ Habilitar e usar senhas de uso único (OTP)✓ Habilitar e usar senhas de uso único (OTP) Ao concluir este módulo, agora você poderá executar as ações mostradas aqui. Reserve um momento para analisá-las. Se você não tem certeza de que alcançou esses objetivos, revise o material abordado neste módulo. Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir.Clique Continuar quando você estiver pronto para prosseguir. Engenheiro de firewall XG - 335 Olá, este é o curso de treinamento certificado pela Sophos para o Sophos XG Firewall. Este é o Módulo 6: Proteção da Web e Controle de Aplicativos. Engenheiro Certificado Sophos Sophos XG Firewall ET80 - Proteção da Web ET806 e controle de aplicativos Versão de março de 2019: 17.5v1 Versão do produto: Sophos XG Firewall 17.5 © 2019 Sophos Limited. Todos os direitos reservados. Nenhuma parte deste documento pode ser usada ou reproduzida de qualquer forma ou por qualquer meio sem o consentimento prévio por escrito da Sophos. Sophos e o logotipo da Sophos são marcas registradas da Sophos Limited. Outros nomes, logotipos e marcas mencionados neste documento podem ser marcas comerciais ou marcas comerciais registradas da Sophos Limited ou de seus respectivos proprietários. Embora tenha sido tomado um cuidado razoável na preparação deste documento, a Sophos não oferece garantias, condições ou representações (expressas ou implícitas) quanto à sua completude ou precisão. Este documento está sujeito a alterações a qualquer momento sem aviso prévio. A Sophos Limited é uma empresa registrada na Inglaterra, número 2096520, com sede no Pentágono, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP. Engenheiro Certificado Sophos Sophos XG Firewall Módulo 6: Proteção da Web e controle de aplicativos Versão 17.5 Engenheiro de firewall XG - 338 Proteção da Web e Controle de Aplicativos Políticas de Proteção da Web Quotas • Políticas da Web • Atividades • Exceções • Configurações globais • Quotas de surf • Cotas de tráfego Controle de Aplicação • Filtros de aplicação • Conexões ao vivo • Controle de aplicativo sincronizado • Aplicações na nuvem A proteção da Web e o controle de aplicativos no XG Firewall protege os usuários contra malware baseado na Web e outras ameaças, como engenharia social, além de restringir o acesso a sites improdutivos. Neste módulo, você aprenderá a configurar atividades personalizadas e a usar isso para criar políticas da web que possuem regras diferentes com base na identidade de um usuário. Também abordaremos a criação e a aplicação de filtros de aplicativos e como categorizar aplicativos usando o Controle de Aplicativo Sincronizado. Engenheiro de firewall XG - 339 Proteção da Web 34 1 Engenheiro de firewall XG - 341 P o l í t i c a s d e P r o t e ç ã o d a W e b O Sophos fornece várias políticas da Web predefinidas, desde simples 'permitir tudo' e 'negar tudo' a políticas mais complexas, como a 'Política de local de trabalho padrão'. Essas políticas existem para permitir aos administradores uma maneira simples de fornecer uma experiência segura de navegação na Web a seus usuários, sem ter que gastar tempo criando e pesquisando políticas semelhantes. No entanto, se nenhuma das políticas predefinidas atender à necessidade da organização, uma política personalizada poderá ser criada do zero ou clonando uma política existente como ponto de partida. Cada Política da Web é composta de uma lista ordenada de regras que se aplicam a um conjunto de usuários, têm uma ou mais atividades, uma ação e, opcionalmente, podem ser agendadas para estarem ativas apenas em determinados momentos. Políticas de Proteção da Web • PROTEGER> Web> Políticas • Políticas pré-definidas Engenheiro de firewall XG - 342 P o l í t i c a s d e P r o t e ç ã o d a W e b Criar uma diretiva de proteção da Web Nome da política E descrição Depois de clicar no Adicionar política ou Política de clonagem botão, uma nova janela aparecerá, permitindo que você inicie a criação Depois de clicar no Adicionar política ou Política de clonagem botão, uma nova janela aparecerá, permitindo que você inicie a criação Depois de clicar no Adicionar política ou Política de clonagem botão, uma nova janela aparecerá, permitindo que você inicie a criação Depois de clicar no Adicionar política ou Política de clonagem botão, uma nova janela aparecerá, permitindo que você inicie a criação Depois de clicar no Adicionar política ou Política de clonagem botão, uma nova janela aparecerá, permitindo que você inicie a criação da nova política. É necessário um nome para a nova política e uma descrição é opcional. Cada política da web contém uma lista ordenada de regras de política e uma ação padrão que será usada se nenhuma das regras da política corresponder. Há também várias configurações avançadas que veremos mais adiante neste módulo. Engenheiro de firewall XG - 343 P o l í t i c a s d e P r o t e ç ã o d a W e b Regras de Política de Proteção da Web Categorias Grupos de URL Tipos de arquivo Usuários e Grupos Categorias dinâmicas Filtro de Conteúdo Açao Restrições Status Cada regra de política da web se aplica a usuários e grupos específicos ou a todos. Você define as atividades ou os tipos de tráfego da Web que serão controlados. Opcionalmente, você também pode aplicar um filtro de conteúdo de palavras-chave ao tráfego. Selecione uma ação para a regra (permitir, avisar ou bloquear) e qualquer restrição de tempo. Se nenhuma restrição de tempo for selecionada, a regra estará ativa o tempo todo. Por fim, você pode habilitar e desabilitar regras individuais. Engenheiro de firewall XG - 344 D i r e t i v as d e p r o t e ç ã o d a W e b d e a t i v i d a d e s d o u s u á r i o A ação de uso do HTTPS permite que um administrador defina uma ação diferente em uma política da web especificamente para o tráfego HTTPS. Por exemplo, por razões de segurança, uma empresa pode não permitir conexões HTTP a serviços financeiros, como serviços bancários online. Como pode ser visto aqui, há uma ação de bloqueio para quem tenta acessar uma página de serviços financeiros. Um administrador pode então definir a Ação de Usar HTTPS para Permitir HTTPS ou até Avisar HTTPS, o que permitiria que o mesmo usuário se conectasse ao site financeiro, desde que eles usassem o HTTPS para se conectar. Isso será indicado pelo bloqueio com código de cores que aparece após a ação na regra: verde para permitir, amarelo para aviso e vermelho para conexões HTTPS de bloco. Ação de Uso HTTPS Engenheiro de firewall XG - 345 P o l í t i c a s d e P r o t e ç ã o d a W e b Na seção "Aplicação do mecanismo de pesquisa" da política, você pode ativar as restrições do SafeSearch e do YouTube. Na seção "Configurações avançadas" de uma política da web, existem várias opções que nos permitem controlar ainda mais o acesso e o log da web para nossos usuários. Primeiro, temos a opção de registrar e reportar qualquer tráfego processado por esta política. Se esta opção estiver desativada, nenhuma informação será registrada quando esta política processar o tráfego. Em seguida, temos a opção de limitar o tamanho de um arquivo que pode ser baixado através do XG Firewall. Ao marcar a caixa e inserir um tamanho máximo de download, os administradores podem controlar o tamanho máximo dos arquivos que podem ser baixados por qualquer pessoa à qual a política se aplique. E, finalmente, para empresas que usam o Google Apps, o XG Firewall pode restringir automaticamente os usuários a fazer login em domínios do Google não aprovados, inserindo apenas os domínios que as organizações consideram apropriados. Política avançada Engenheiro de firewall XG - 346 P o l í t i c a s d e P r o t e ç ã o d a W e b Aplicando uma política de proteção da Web Quando estiver satisfeito com a política que você criou e suas opções, ela deverá ser aplicada aos usuários. Para fazer isso, editaremos uma regra de usuário ou rede do firewall. Na seção "Avançado" Clique no Política da Web suspenso e selecione a política que você deseja aplicar à regra. Certifique-se de salvar a Clique no Política da Web suspenso e selecione a política que você deseja aplicar à regra. Certifique-se de salvar a Clique no Política da Web suspenso e selecione a política que você deseja aplicar à regra. Certifique-se de salvar a regra quando terminar de modificá-la. Engenheiro de firewall XG - 347 P o l í t i c a s d e P r o t e ç ã o d a W e b Atividades do Usuário O XG Firewall permite a criação de atividades do usuário como uma maneira de agrupar categorias, tipos de arquivos e grupos de URLs em um único grupo facilmente gerenciado para uso em políticas da web. Ao navegar para PROTEGER> Web> Atividades do usuário você um único grupo facilmente gerenciado para uso em políticas da web. Ao navegar para PROTEGER> Web> Atividades do usuário você um único grupo facilmente gerenciado para uso em políticas da web. Ao navegar para PROTEGER> Web> Atividades do usuário você descobrirá que já existem vários grupos de atividades do usuário pré-configurados. Esses grupos pré-criados comumente usados estão prontos para serem aplicados nas políticas da Web ou podem ser clonados ou editados para atender às necessidades das políticas da Web das organizações. O administrador também tem a opção de criar novas atividades do usuário clicando no Adicionar e preencha a caixa pop-up O administrador também tem a opção de criar novas atividades do usuário clicando no Adicionar e preencha a caixa pop-up O administrador também tem a opção de criar novas atividades do usuário clicando no Adicionar e preencha a caixa pop-up exibida com um nome e quaisquer categorias, tipos de arquivo e grupos de URL que correspondam ao tráfego que a empresa deseja controlar. Engenheiro de firewall XG - 348 P o l í t i c a s d e P r o t e ç ã o d a W e b O XG Firewall possui mais de 90 categorias predefinidas incorporadas ao dispositivo. Eles foram classificados pelo SophosLabs, no entanto, se as necessidades da organização não se alinharem com isso, elas podem ser modificadas. Isso é feito com facilidade, clicando no nome sublinhado da categoria ou no ícone de um lápis à direita. Isso levará você à definição em que é possível modificar a configuração de classificação ou adicionar uma política de modelagem de tráfego. Categorias • Mais de 90 categorias predefinidas • Customizável Engenheiro de firewall XG - 349 P o l í t i c a s d e P r o t e ç ã o d a W e b Banco de dados de URL externo Selecione para usar um banco de dados hospedado em um servidor externo Digite um URL para um HTTP ou servidor FTP Em vez de criar manualmente uma categoria, você pode optar por importar um banco de dados de URL de um site HTTP ou FTP. Ao criar a categoria de URL, selecione a opção para Banco de dados de URL externo e insira um endereço HTTP ou FTP de um Ao criar a categoria de URL, selecione a opção para Banco de dados de URL externo e insira um endereço HTTP ou FTP de um Ao criar a categoria de URL, selecione a opção para Banco de dados de URL externo e insira um endereço HTTP ou FTP de um servidor que contém o banco de dados da URL. O banco de dados deve estar no formato de arquivo .tar, .gz, .bz, .bz2 ou .txt para ser suportado pelo XG Firewall e será verificado a cada duas horas para obter informações atualizadas. Engenheiro de firewall XG - 350 P o l í t i c a s d e P r o t e ç ã o d a W e b Grupos de URL Nome do novo grupo de URLs e descrição Nomes de domínio que serão combinado pelo grupo Nota: todo e qualquer subdomínio será incluído automaticamente O recurso Grupos de URLs permite que um administrador crie um grupo de um conjunto específico de URLs que são inseridos manualmente no XG e podem ser usados dentro de políticas da web ou atividades do usuário. Os grupos de URLs são úteis se houver um conjunto muito específico e limitado de domínios e seus subdomínios incluídos, aos quais a empresa gostaria de controlar o acesso. Para criar um grupo de URLs, navegue até PROTEGER> Web> grupos de URL e depois clique no Adicionar no canto acesso. Para criar um grupo de URLs, navegue até PROTEGER> Web> grupos de URL e depois clique no Adicionar no canto acesso. Para criar um grupo de URLs, navegue até PROTEGER> Web> grupos de URL e depois clique no Adicionar no canto acesso. Para criar um grupo de URLs, navegue até PROTEGER> Web> grupos de URL e depois clique no Adicionar no canto acesso. Para criar um grupo de URLs, navegue até PROTEGER> Web> grupos de URL e depois clique no Adicionar no canto superior direito da tela. Na página 'Adicionar grupo de URLs', primeiro atribua um nome ao novo grupo e, opcionalmente, uma descrição para que você e outras pessoas possam identificar o novo grupo ao adicioná-lo a uma política. Na seção "Nomes de domínio a serem correspondidos", digite os domínios que você deseja que o grupo corresponda. Observe que quando um domínio é inserido, se existir algum subdomínio para o domínio inserido, eles também serão identificados pelo grupo de URLs. Engenheiro de firewall XG - 351 P o l í t i c a s d e P r o t e ç ã o d a W e b Tipos de arquivo Nome e descrição para o grupo de tipos de arquivo Modelo opcional para usar como ponto de partida Extensões de arquivo separadas por vírgulas Tipos MIME separados por vírgulas O Sophos XG Firewall vem com uma lista pré-configurada de tipos de arquivos que não são editáveis. Essas definições são atualizadas pelo SophosLabs como parte do processo de atualizaçãodo XG Firewall e contêm extensões de arquivo, tipos MIME e descrições claras dos diferentes grupos. Enquanto você não pode personalizar os grupos pré-criados, pode usar o Adicionar botão para criar seu claras dos diferentes grupos. Enquanto você não pode personalizar os grupos pré-criados, pode usar o Adicionar botão para criar seu claras dos diferentes grupos. Enquanto você não pode personalizar os grupos pré-criados, pode usar o Adicionar botão para criar seu próprio grupo. Ao criar um grupo personalizado, insira um nome e uma descrição para o seu novo grupo de tipos de arquivos, para que ele possa ser identificado ao usá-lo em uma política. Os administradores têm a opção de selecionar um modelo que preencherá os campos de extensão e MIME com as entradas mais comuns para o tipo de modelo. As extensões de arquivo podem ser adicionadas ao modelo ou digitadas no campo em branco, separadas por vírgulas. Não inclua pontos nas extensões de arquivo. Os cabeçalhos MIME ajudarão a identificar os tipos de arquivo, caso as extensões tenham sido modificadas para tentar ignorar os filtros. Os tipos MIME podem ser encontrados fazendo pesquisas simples na Internet. Engenheiro de firewall XG - 352 P o l í t i c a s d e P r o t e ç ã o d a W e b Filtros de Conteúdo 35 3 As políticas da Web incluem a opção de registrar, monitorar e aplicar políticas relacionadas às listas de palavras-chave. Esse recurso é particularmente importante nos ambientes educacionais para garantir a segurança infantil on-line e fornecer informações sobre os alunos usando palavras-chave relacionadas a auto-agressão, intimidação, radicalização ou conteúdo inapropriado. As bibliotecas de palavras-chave podem ser carregadas no Firewall e aplicadas a qualquer política de filtragem da Web como um critério adicionado com ações para registrar e monitorar, ou bloquear resultados de pesquisa ou sites que contenham as palavras-chave de interesse. São fornecidos relatórios abrangentes para identificar correspondências de palavras-chave e usuários que estão pesquisando ou consumindo conteúdo de palavras-chave de interesse, permitindo uma intervenção proativa antes que um usuário em risco se torne um problema real. As listas de palavras-chave são arquivos de texto sem formatação com um termo por linha. Engenheiro de firewall XG - 353 P o l í t i c a s d e P r o t e ç ã o d a W e b Demonstração: Filtragem de Palavras-Chave Engenheiro de firewall XG - 354 P o l í t i c a s d e P r o t e ç ã o d a W e b No PROTEGER> Web seção do XG Firewall WebAdmin, selecione o Filtros de Conteúdo abaNo PROTEGER> Web seção do XG Firewall WebAdmin, selecione o Filtros de Conteúdo abaNo PROTEGER> Web seção do XG Firewall WebAdmin, selecione o Filtros de Conteúdo abaNo PROTEGER> Web seção do XG Firewall WebAdmin, selecione o Filtros de Conteúdo abaNo PROTEGER> Web seção do XG Firewall WebAdmin, selecione o Filtros de Conteúdo aba Engenheiro de firewall XG - 356 Clique Adicionar filtro de conteúdoClique Adicionar filtro de conteúdo Engenheiro de firewall XG - 357 Digite um nome e uma descrição para a lista de palavras-chave do filtro de conteúdo Engenheiro de firewall XG - 358 Clique Escolher arquivoClique Escolher arquivo Engenheiro de firewall XG - 359 Selecione a lista de palavras-chave, neste exemplo selecione BullyingTerms.txtSelecione a lista de palavras-chave, neste exemplo selecione BullyingTerms.txt Engenheiro de firewall XG - 360 Clique AbertoClique Aberto Engenheiro de firewall XG - 361 Clique ApliqueClique Aplique Engenheiro de firewall XG - 362 Agora que o filtro de conteúdo foi carregado, você precisa adicioná-lo a uma política da Web. Selecione a opção Políticas abaAgora que o filtro de conteúdo foi carregado, você precisa adicioná-lo a uma política da Web. Selecione a opção Políticas abaAgora que o filtro de conteúdo foi carregado, você precisa adicioná-lo a uma política da Web. Selecione a opção Políticas aba Engenheiro de firewall XG - 363 Clique no Editar ícone da política da web à qual você deseja adicionar o filtro de conteúdo, neste exemplo, o adicionaremos ao Diretiva padrão do local de trabalhoClique no Editar ícone da política da web à qual você deseja adicionar o filtro de conteúdo, neste exemplo, o adicionaremos ao Diretiva padrão do local de trabalhoClique no Editar ícone da política da web à qual você deseja adicionar o filtro de conteúdo, neste exemplo, o adicionaremos ao Diretiva padrão do local de trabalhoClique no Editar ícone da política da web à qual você deseja adicionar o filtro de conteúdo, neste exemplo, o adicionaremos ao Diretiva padrão do local de trabalho Engenheiro de firewall XG - 364 Você pode adicionar filtros de conteúdo às regras existentes ou adicionar uma nova regra. Ao adicionar uma nova regra, você deve considerar a posição da regra Clique em Adicionar regraVocê pode adicionar filtros de conteúdo às regras existentes ou adicionar uma nova regra. Ao adicionar uma nova regra, você deve considerar a posição da regra Clique em Adicionar regra Engenheiro de firewall XG - 365 Na coluna "Atividades", clique em AllWebTraffic para editar os critérios da regraNa coluna "Atividades", clique em AllWebTraffic para editar os critérios da regraNa coluna "Atividades", clique em AllWebTraffic para editar os critérios da regra Engenheiro de firewall XG - 366 Como opção, você pode selecionar quais atividades ou categorias de tráfego deseja combinar o filtro de conteúdo com Selecione o Filtros de Conteúdo abaComo opção, você pode selecionar quais atividades ou categorias de tráfego deseja combinar o filtro de conteúdo com Selecione o Filtros de Conteúdo abaComo opção, você pode selecionar quais atividades ou categorias de tráfego deseja combinar o filtro de conteúdo com Selecione o Filtros de Conteúdo aba Engenheiro de firewall XG - 367 Selecione e com conteúdoSelecione e com conteúdo Engenheiro de firewall XG - 368 Clique Adicionar novo itemClique Adicionar novo item Engenheiro de firewall XG - 369 Selecione os filtros de conteúdo que você deseja aplicar; neste exemplo, selecione Termos de bullyingSelecione os filtros de conteúdo que você deseja aplicar; neste exemplo, selecione Termos de bullying Engenheiro de firewall XG - 370 Clique Aplicar 1 itens selecionadosClique Aplicar 1 itens selecionados Engenheiro de firewall XG - 371 Clique no Status alternar para ativar a regraClique no Status alternar para ativar a regraClique no Status alternar para ativar a regra Engenheiro de firewall XG - 372 Clique Salve •Clique Salve • Engenheiro de firewall XG - 373 As alterações na política da web serão salvas e entrarão em vigor imediatamente para as regras de firewall nas quais são aplicadas Nota: A verificação de malware e conteúdo deve estar ativada na regra do firewallNota: A verificação de malware e conteúdo deve estar ativada na regra do firewall Engenheiro de firewall XG - 374 Quando você acessa um site que corresponde ao filtro de conteúdo, o XG Firewall aplicará a ação configurada; nesse caso, ele bloqueou o acesso à página Engenheiro de firewall XG - 375 Quando você acessa um site com conteúdo que corresponda ao conteúdo, o XG Firewall aplicará a ação configurada; nesse caso, ele bloqueou o acesso à página. Engenheiro de firewall XG - 376 Exceções • PROTEGER> Web> Exceções As exceções encontradas na proteção da Web no Sophos XG Firewall podem ser usadas para ignorar determinadas verificações ou ações de segurança de sites que correspondam aos critérios especificados na exceção. Já existem algumas exceções predefinidas no XG Firewall e outras podem ser criadas a critério dos administradores. É importante observar que as exceções se aplicam a todas as políticas de proteção da web, independentemente de onde elas são aplicadas no XG Firewall. Para criar ou editar uma exceção existente, comece clicando no Adicione exceção botão ou o Para criar ou editar uma exceção existente,comece clicando no Adicione exceção botão ou o Para criar ou editar uma exceção existente, comece clicando no Adicione exceção botão ou o Clone ou Editar botõesClone ou Editar botõesClone ou Editar botõesClone ou Editar botões Engenheiro de firewall XG - 377 P o l í t i c a s d e P r o t e ç ã o d a W e b Exceções Selecione uma ou mais categorias no lista fornecida Endereço IP de um ou mais clientes dentro a rede Endereço IP de um ou mais sites que clientes serão visitando Selecione quais verificações serão excluídas desviar Um ou mais padrões de URL, strings ou regex As exceções podem ser correspondidas em qualquer combinação de: • Padrões de URL, que podem ser cadeias simples ou expressões regulares • Categorias do site • Endereço IP de origem • Endereços IP de destino Observe que muitos sites têm vários endereços IP e todos eles precisam ser listados. Onde vários critérios de correspondência são usados, o tráfego deve corresponder a todos os critérios para corresponder com êxito. Você pode então selecionar quais verificações a exceção ignorará. Engenheiro de firewall XG - 378 P o l í t i c a s d e P r o t e ç ã o d a W e b Substituição de Bloqueio da Web Permitir usuários autorizados para substituir sites bloqueados no usuário Permitir usuários autorizados para substituir sites bloqueados no usuário Permitir usuários autorizados para substituir sites bloqueados no usuário Permitir usuários autorizados para substituir sites bloqueados no usuário Permitir usuários autorizados para substituir sites bloqueados no usuário dispositivos, fornecendo acesso temporáriodispositivos, fornecendo acesso temporário As substituições de política da Web permitem que usuários autorizados substituam sites bloqueados nos dispositivos do usuário, permitindo temporariamente o acesso. Engenheiro de firewall XG - 379 P o l í t i c a s d e P r o t e ç ã o d a W e b Substituição de Bloqueio da Web Os administradores definem quais usuários (por exemplo, professores em um ambiente educacional) têm a opção de autorizar substituições de políticas. Esses usuários podem criar seus próprios códigos de substituição, como senhas simples, no Portal do Usuário do XG Firewall e definir regras sobre para quais sites eles podem ser usados. Os administradores podem ver uma lista completa de todos os códigos de substituição criados e desativá-los ou excluí-los, além de definir sites ou categorias que nunca podem ser substituídos. Há também um novo relatório que fornece informações históricas completas sobre o uso de substituição da Web. Engenheiro de firewall XG - 380 P o l í t i c a s d e P r o t e ç ã o d a W e b Substituição de Bloqueio da Web As regras de substituição de código podem ser amplas - permitindo qualquer tráfego ou categorias inteiras - ou mais estreitas - permitindo apenas sites ou domínios individuais - e também podem ser limitadas por hora e dia. Para evitar abusos, os códigos podem ser facilmente alterados ou cancelados. Engenheiro de firewall XG - 381 P o l í t i c a s d e P r o t e ç ã o d a W e b Substituição de Bloqueio da Web Os códigos podem ser compartilhados com os usuários finais, que os inserem diretamente na página de bloqueio para permitir o acesso a um site bloqueado. Engenheiro de firewall XG - 382 P o l í t i c a s d e P r o t e ç ã o d a W e b Proteção Motor Único Motor Duplo Lote em tempo real Permitir bloqueio Debaixo de Configurações Gerais Na guia, encontramos opções para ajustar a verificação de malware e opções para descriptografia e Debaixo de Configurações Gerais Na guia, encontramos opções para ajustar a verificação de malware e opções para descriptografia e Debaixo de Configurações Gerais Na guia, encontramos opções para ajustar a verificação de malware e opções para descriptografia e verificação de SSL. Na seção 'Análise de malware e conteúdo', podemos optar por usar um único mecanismo de verificação para obter desempenho ou dois mecanismos para proteção máxima. Observe que, com os dois mecanismos selecionados, os usuários podem enfrentar um atraso no carregamento das páginas. A proteção contra tempestades de areia requer o mecanismo de verificação Sophos; isso significa que você precisa selecionar Sophos como o mecanismo de verificação primário ou usar a verificação de mecanismo duplo. O 'Modo de verificação de malware' pode ser definido como 'Tempo real' para processamento mais rápido ou 'Lote' para uma abordagem mais cautelosa. Em seguida, devemos decidir como lidar com o conteúdo que não pode ser verificado devido a fatores como criptografado ou protegido por senha. A opção mais segura é bloquear esse conteúdo, mas pode ser permitido, se necessário. Uma opção está disponível como parte da proteção da Web para impedir o download de aplicativos potencialmente indesejados. Aplicativos específicos podem ser permitidos adicionando-os à lista de PUAs autorizados; e é aplicado como parte da proteção contra malware nas regras de firewall. Na seção final da página de proteção, podemos definir qual certificado será usado para descriptografia e varredura HTTPS, bem como se o administrador gostaria de bloquear qualquer tráfego que tente ignorar a varredura HTTPS. Além disso, se a página solicitada for uma página HTTPS e não possuir um certificado válido, o XG Firewall poderá bloquear o acesso a ela. Engenheiro de firewall XG - 383 P o l í t i c a s d e P r o t e ç ã o d a W e b Configurações globais de tempestade de areia A configuração global do Sandstorm está localizada em PROTEGER> Ameaça avançada> Configurações de tempestade de areia.A configuração global do Sandstorm está localizada em PROTEGER> Ameaça avançada> Configurações de tempestade de areia. Aqui, você pode especificar se um datacenter da Ásia-Pacífico, Europa ou EUA Sandstorm será usado ou deixar que a Sandstorm decida para onde enviar os arquivos para análise, com base em qual fornecerá o melhor desempenho. Pode ser necessário configurá-lo para permanecer em conformidade com as leis de proteção de dados. Você também pode optar por excluir certos tipos de arquivo do Sandstorm usando as opções predefinidas. Engenheiro de firewall XG - 384 P o l í t i c a s d e P r o t e ç ã o d a W e b Configurações avançadas • PROTEGER> Web> Avançado Armazenar em cache todo o tráfego de navegação na web Ponto final de cache Sophos atualizações do cliente Porta de proxy da Web para navegadores Portas permitidas no controle remoto servidores Na seção "Avançado" do Configurações Gerais Na guia, existem opções para armazenar em cache vários tipos de informações. Na seção "Avançado" do Configurações Gerais Na guia, existem opções para armazenar em cache vários tipos de informações. Na seção "Avançado" do Configurações Gerais Na guia, existem opções para armazenar em cache vários tipos de informações. A primeira é armazenar em cache o conteúdo da web que é procurado pelos usuários. Isso permite que o XG Firewall reduza o consumo de largura de banda, mantendo uma cópia dos sites visitados com frequência e entregando esses sites armazenados diretamente aos usuários do XG Firewall, sem precisar recuperá-los novamente da Internet. Em algumas situações, os usuários também notarão um aumento no desempenho. A segunda opção de armazenamento em cache é para atualizações do Sophos Endpoint. Isso armazenará em cache as atualizações do terminal Sophos no XG Firewall e melhorará o desempenho na rede se o terminal Sophos for implantado atrás do XG Firewall em vários clientes. Sem essa opção, o congestionamento da rede pode ocorrer quando muitos terminais tentam atualizar ao mesmo tempo, por exemplo, se estiverem usando o Sophos Central para proteção de terminais. Também há opções para configuração de proxy da Web. Por padrão, o XG Firewall interceptará o tráfego da Web de forma transparente para reforçar a proteção da Web.
Compartilhar