Politicas de CFS (Content Filter Service) – SonicWALL
Bom Dia, hoje vou abordar alguns pontos que muitas pessoas não sabem e que vejo em diversas turmas as mesmas dificuldades com relação ao dimensionamento e funcionamento do CFS – SonicWALL.
Primeiro, oque é o CFS?
É o serviço de filtro de URL e sites da SonicWALL, ele filtra tanto HTTP (porta 80) como HTTPS (porta 443).
Quantas politicas de CFS eu posso criar no SonicWALL?
Você deve estar pensando…… – acho que não tem limite ….. ERRADO! Sempre que falarmos de configurações em Appliance os limites dos campos são pre-definidos, ou seja, a SonicWALL já estipulou um limite de politicas de CFS que podem ser criadas/configuradas.
Este limite é de 14 politicas + a politica default (que não pode ser removida)
Ou seja, sempre tenha em mente que poderá configurar 14 politicas e estas politicas são sempre mais permissivas, ou seja, o CFS é mais permissivo e menos restritivo.
Oque isto quer dizer?
Quer dizer que quando configurar uma politica tenha em mente que o SonicWALL irá tentar achar alguma politica liberando o site em questão para que o usuário consiga acessá-lo.
Como amarrar as politicas de CFS criadas aos Grupos do AD ou Grupos locais do SonicWALL?
Esta resposta é o elo entre a autenticação de usuários (servidor de autenticação) e a autorização de usuários (servidor de autorização), quem fez o treinamento Oficial da SonicWALL vai se recordar.
Quando você configura um Servidor de LDAP para realizar a autenticação dos usuários, habilita um botão no menu Users > Local Groups > ” Import from LDAP ”
Após importar os grupos do LDAP, acesse o grupo importado e na aba ” CFS Policy” você irá definir para este grupo uma das politicas de CFS que criou.
Espero que ajude e esclareça algumas duvidas.
Att
Igor Casalecchi
Instrutor SonicWALL
42 Comments Already
Deixe uma resposta
Você precisa fazer o login para publicar um comentário.
Amigo, bom dia!
Poderia comentar mais detalhes sobre a filtragem de HTTPS? É um bloqueio não muito dinâmico, certo? Ou seja, preciso especificar uma palavra chave no controle de SSL. As categorias apenas funcionam em cima do HTTP. É por aí?
Valeu. Abraço.
Caro Rafael
Otima pergunta!
Escrevi um post sobre sua duvida.
Segue o link
http://www.mastercssa.com.br/ativando-o-filtro-de-cfs-para-sites-https-no-sonicwall/
Espero que ajude!
Att
Igor Casalecchi
Instrutor SonicWALL
Igor, bom dia! É possível realizar algum bloqueio para tipos específicos de downloads, como .exe por exemplo, através de alguma regra de firewall ou algum outro modo de bloqueio do sonicwall? Nossa caixa é uma NSA 240, e estamos na versão SonicOS Enhanced 5.8.1.7-4o. Obrigado.
Boa tarde,
Parabéns pelo blog.
Estou importando grupos e usuários porém os usuários sempre vem com a politica CFS Default, mesmo que os mesmos se encontrem em um Grupo com outra política CFS, o que pode ser ?
Obrigado,
Caro Jenivan
Normalmente não importamos usuarios do AD, somente os grupos de usuarios e amarramos estes grupos as politicas de CFS.
Usamos a importação de usuarios em alguns casos especificos para VPN.
Espero que ajude!
Att
Igor Casalecchi
Estou com o mesmo problema.
O grupo foi foi importado do AD porém de forma aleatória usuários pegam a politica default.
Vocês poderiam me ajudar ?
Caro Pablo
Você está usando o SSO? Verifique como estão as politicas
Todos devem pegar a politica DEFAULT, seu problema deve ser que eles não estão pegando as outras politicas
Espero que ajude!
Igor CAsalecchi
Instrutor Dell SonicWALL
Igor,
Estou com um problema parecido com o que fá foi falado aqui.
Importei os usuários e grupos do AD, criei 6 políticas de CFS e add os grupos dentro da política que cada um deve estar, porém ainda assim as políticas não estão funcionando.
Por exemplo:
O grupo USERS não deve acessar o facebook, porém ainda assim acessa.
Fiz o que vc recomendou acima, porém também não funcionou.
O que devo fazer neste caso?
Obrigado.
Caro Fernando
Voce deve olhar a config para bloqueios como uma junção entre CFS e Application COntrol, ou seja, o mesmo grupo que libera social networking no CFS deve também liberar a categoria social networking do App Control, somente assim voce vai ter sucesso nestas liberações
Estou finalizando um post sobre isto, mas especifico para o facebook, porém será aplicado para qualquer outro app
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Estou com um problema de horários para aplicação das regras no SonicWALL na ultima release (5.9.0.2-107o).
Após configurar uma regra e configura-la para funcionar apenas no horário de almoço (Filter Forbidden URLs by time of day) ela não é ativada automaticamente para os usuários já logados.
Exemplo: o usuário fulano loga as 9:00 e a regra está configurada para ser aplicada das 12:00 as 14:00, a regra não é aplicada a ele. Caso ele autentique as 12:30, ele ficará com a regra até efetuar logoff (independente do horário).
Usava essa funcionalidade sem problemas nas versões anteriores, foi só atualizar que começou a dar esse problema.
Caro Ramon
Realmente diversos clientes tem sentido dificuldades neste item e em outros na nova firmware.
Recomendo que realize um downgrade momentaneamente para a firmware 5.8.1.13 enquanto este problema não é resolvido.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Como essa regra era apenas para liberar as redes sociais no horário de almoço, não farei um downgrade do firmware para que eles fiquem no facebook. 🙂
Se tiver algum problema com maior gravidade, faço o downgrade. Por enquanto, nada de facebook.
Obrigado Igor.
Grande abraço!
Olá Igor.
Politicas, regras, bloqueios ….
Tenho um Sonic Wall 3500, com autenticação em uma base LDAP da Novell, até aí tudo bem, criei uma regra em Content Filter – Configure – Polcy – depois, importei os grupos em Users – Local Groups – editei o grupo e associei em Edit o Grupo – CFS Policy .
Inseri um usuário ao grupo criado lá no LDAP, restringi todo o tráfego externo em Content Filter – Configure – Policy – Edit a política que eu criei – URL List … selecionei tudo …
Amigão … não funcionou …. reiniciei a máquina fiz a autenticação no LDAP e não de restinção.
Igor, aproveitando o ensejo, além desse suporte que espero anciooso em você responder, como posso pedir autenticação sem o usuário ter antes autenticado no LDAP, ou seja, não estou autenticado no LDAP, mas quando saiu para a internet o Sonic Wall, me dá uma tela de login ?
Fica com Deus rapaz.
Fico no aguardo
Abraços
Joel Fernandes
Caro Joel
Obrigado pela visita no blog.
Sobre suas dúvidas, voce fez tudo certo, porém faltou ajustar as regras de Firewall.
Lembre-se que a regra de firewall é o motivo do SonicWALL solicitar autenticação para as maquinas.
Vá em Firewall > LAN para WAN
Crie uma regra ALLOW
Source: Lan Subnets
Destination: ANY
Services: DNS
Users: ALL
OBS: Coloque esta regra como a 1 regra
Crie outra regra
Source: Lan Subnets
Destination: ANY
Services: HTTP e HTTPS (crie um grupo)
Users: Trusted Users
OBS: Coloque ela como regra n2
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Crie
Oi Igor,
Estou fazendo a instalação de um NSA 220 com o firmware SonicOS Enhanced 5.8.1.14-48o.
Fiz a importação do grupo (LDAP + Local users) porém não veio nenhum usuário dentro e mesmo assim inseri uma politica criada mas ela não é utilizada, continua indo pela politica default. Pode me ajudar?
Caro Felipe
Normalmente nao importamos usuários e sim grupos de usuários.
Pois o SonicWALL faz a consulta dos usuários ondemmand diretamente no LDAP.
Importe os grupos, faça as amarrações de CFS pelos grupos e valide isto.
Espero que ajude!
Igor Casalecchi
Instrutor SonicWALL
Igor,
Utilizo na empresa autenticação via SSO para usuarios do dominio. Dividi minha rede entre visitantes e corporativo. Na parte de visitantes habilitei o guest services, para eles abre a tela de autenticação até ai tudo certo…mas ela vem com aquela mensagem de certificado não valido. Sei que preciso comprar um certificado valido e importar no meu firewall para que os visitantes não recebam mais este aviso de site nao confiavel. Como eu faço esta importação? Abs,
Caro Marcelo
Voce precisa comprar um certificado do tipo wildcard.
Com este certificado importamos no SonicWALL e partir deste momento caso você utilize a interface do SonicWALL ele não irá mostrar a opção de Certificado inválido.
Espero que ajude
Igor Casalecchi
Instrutor SonicWALL
Tenho um Sonicwall TZ105 tenho uns 10 usuários da filial, o problema é que tenho dois diretores nesta filial. O que eu gostaria de fazer é deixar o acesso destes 8 usuários (ou máquinas) com filtro e restrição de acesso a redes sociais etc. E Gostaria de deixar o acesso das máquinas do diretores acesso livre a internet, como posso fazer isso? Podem me ajudar?
Caro Wesllay
Basta ir em Security Services > Content Filter
Localizar o campo ” CFS Policy per IP Address Range”
Habilitar esta opção e configurar os 02 IPs dos diretores para uma politica FULL (esta politica já deve estar criada)
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Igor boa tarde meu caro expert, criei uma Custom Category e a ativei, mas qdo digito uma url e clico em Add nao acontece nada, o que pode ser?
Pode me ajudar?
O que preciso fazer é liberar alguns sites que nao necessitem de nenhuma autenticação, entao criei uma Custom que irei permitir na politica default, e nessa custom colocar os sites permitidos, agora vc sugere dessa forma ou tem alguma outra?
Um abraço,
Olá sou novo com SonicWall na minha empresa, e verifiquei que a licença dele está vencida, eu acho que esse recurso de CFS não funciona correto? existe alguma forma de eu utilizar algo do tipo pra fazer esses bloqueios?
Caro Victor
Sem as licenças você está totalmente desprotegido.
Recomendo que procure uma revenda Dell SOnicWALL e faça a aquisição das licenças;
Veja pacotes de licenças (chamados de CGSS) para 1, 2 ou 3 anos
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Igor, há a possibilidade de eu inserir os sites no CFS através de um script ssh?
Abraços,
Grandini
Bom dia Leandro
Atualmente desconheço a possibilidade de realizar a configuração de politicas CFS via CLI
Vou testar nas novas versões de firmware e se for possivel, monto um post sobre isso!
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Boa tarde,
Como posso aplicar a exclusao da regra por dispositivo.Tipo:
Gostaria que os clientes wifi do ubiquiti unifi (DHCP Sonicwall) não fossem bloqueiados pela regra, apenas os usuarios da rede cabeada. Há como fazer?
Caro Geovani
O ideal neste cenário é configurar uma outra ZONA (ex; wireless) e ligar a antena Ubiquiti nesta interface configurada na zona WIRELESS.
Desta forma, você consegue excluir a rede WIRELESS dos bloqueios
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Olá , Bom dia
Criei uma politica para bloquear tudo para um setor especifico na empresa, porém quero aplicar para os usuarios importados do AD, ja criei um grupo no sonic wall, e inclui os usuários lá, e apontei a regra criada nesse grupo, só que não funciona, o mesmo continua desbloqueado..sem aplicar a regra cfs..
Por favor me ajude rsrsrs
Caro Leonardo
Voce precisa validar que a politica default está fechada também! Lembre-se o Content Filter do Dell SonicWALL é mais permissivo menos restritivo, ou seja, não adianta você fechar a politica para determinados usuários se eles sempre vão cair na politica default (pois ela é aplicada por zona) e esta estará aberta.
Espero que ajude!
Igor Casalecchi
Instrutor Dell SonicWALL
Como posso criar exceção em um determinado filtro de conteúdo?
Como faço para determinar um horario de utilização da minha rede na empresa atraves do sonic, pois creio que esta desabilitado e preciso estipular um horario de uso. Ja fui no ” Schedules ” porem clico e ele não acata quando eu clico.
Cara Tatiana
Voce precisa configurar a plitica em Schedule e depois aplicar em Access Rules
Crie um topico dentro da area do forum. será mais facil para te auxiliar
Fica atento ao blog que postaremos sobre treinamentos e cursos e na area de Forum!
Igor Casalecchu
Instrutor SonicWall
Como saber em qual grupo de política um computador específico está sendo orientado?
Em users > Status ele te mostrará isto!
Crie um topico no forum assim mais pessoas conseguirão usar esta reposta
Fica atento ao blog que postaremos sobre treinamentos e cursos e na area de Forum!
Igor Casalecchu
Instrutor SonicWall
Atualmente possuo os grupos Default, Padrao e Almoxarifado, como faço para saber em qual grupo um computador recente ligado a rede está destinado?
Caro Joao Paulo
Crie um topico sobre isto na area de Forum, todos irão te responder.
Fica atento ao blog que postaremos sobre treinamentos e cursos e na area de Forum!
Igor Casalecchu
Instrutor SonicWall
Boa Tarde Igor.
Estou com um probleminha, e gostaria de uma luz.
Estou trocando o firewall de um cliente, estou começando as configurações do zero.
Porem existiam algumas politicas do CFS antigo que preciso ter acesso, mas a licença do velho venceu, sendo assim não consigo consulta-las,
Existe alguma forma de eu recuperar essas informações?
Meus parabéns pelo Blog cara.
Forte Abraço
Bom dia Matheus
Voce pode abrir o arquivo EXP (System > Settings > Export Settings) e nele se encontra toda a configuracao do CFS
Recomendo usar o AutoDoc para gerar o PDF do arquivo de backup
Espero que ajude!
Att
Igor Casalecchi
Existe a possibilidade de um usuário estar em mais de um grupo usando LDAP? Como exemplo eu queira bloquear medias sociais pra todos grupos e em um outro colocar apenas alguns usuários.
“Detalhe; os clientes usam DHCP o que creio que dificulte a permissão via IP”
Ola Tiago
Sim, o SonicWall aceita que os usuarios estejam em diversos grupos, porém vale lembrar que a liberacao de CFS (filtro de Sites) acontece top-down ou seja a regra que estiver mais acima será utilizada na liberacao do usuário.
Espero que ajude!
Igor Csasakecchi