Politicas de CFS (Content Filter Service) – SonicWALL

Bom Dia, hoje vou abordar alguns pontos que muitas pessoas não sabem e que vejo em diversas turmas as mesmas dificuldades com relação ao dimensionamento e funcionamento do CFS – SonicWALL.

Primeiro, oque é o CFS?

É o serviço de filtro de URL e sites da SonicWALL, ele filtra tanto HTTP (porta 80) como HTTPS (porta 443).

Quantas politicas de CFS eu posso criar no SonicWALL?

Você deve estar pensando…… – acho que não tem limite ….. ERRADO! Sempre que falarmos de configurações em Appliance os limites dos campos são pre-definidos, ou seja, a SonicWALL já estipulou um limite de politicas de CFS que podem ser criadas/configuradas.

Este limite é de 14 politicas + a politica default (que não pode ser removida)

Ou seja, sempre tenha em mente que poderá configurar 14 politicas e estas politicas são sempre mais permissivas, ou seja, o CFS é mais permissivo e menos restritivo.

Oque isto quer dizer?

Quer dizer que quando configurar uma politica tenha em mente que o SonicWALL irá tentar achar alguma politica liberando o site em questão para que o usuário consiga acessá-lo.

Como amarrar as politicas de CFS criadas aos Grupos do AD ou Grupos locais do SonicWALL?

Esta resposta é o elo entre a autenticação de usuários (servidor de autenticação) e a autorização de usuários (servidor de autorização), quem fez o treinamento Oficial da SonicWALL vai se recordar.

Quando você configura um Servidor de LDAP para realizar a autenticação dos usuários, habilita um botão no menu  Users > Local Groups > ” Import from LDAP ”

Após importar os grupos do LDAP, acesse o grupo importado e na aba ” CFS Policy” você irá definir para este grupo uma das politicas de CFS que criou.

 

Espero que ajude e esclareça algumas duvidas.

 

Att

Igor Casalecchi

Instrutor SonicWALL

32 thoughts on “Politicas de CFS (Content Filter Service) – SonicWALL

  1. Amigo, bom dia!

    Poderia comentar mais detalhes sobre a filtragem de HTTPS? É um bloqueio não muito dinâmico, certo? Ou seja, preciso especificar uma palavra chave no controle de SSL. As categorias apenas funcionam em cima do HTTP. É por aí?

    Valeu. Abraço.

  2. Igor, bom dia! É possível realizar algum bloqueio para tipos específicos de downloads, como .exe por exemplo, através de alguma regra de firewall ou algum outro modo de bloqueio do sonicwall? Nossa caixa é uma NSA 240, e estamos na versão SonicOS Enhanced 5.8.1.7-4o. Obrigado.

  3. Boa tarde,

    Parabéns pelo blog.

    Estou importando grupos e usuários porém os usuários sempre vem com a politica CFS Default, mesmo que os mesmos se encontrem em um Grupo com outra política CFS, o que pode ser ?

    Obrigado,

    1. Caro Jenivan

      Normalmente não importamos usuarios do AD, somente os grupos de usuarios e amarramos estes grupos as politicas de CFS.

      Usamos a importação de usuarios em alguns casos especificos para VPN.

      Espero que ajude!

      Att
      Igor Casalecchi

      1. Caro Pablo

        Você está usando o SSO? Verifique como estão as politicas

        Todos devem pegar a politica DEFAULT, seu problema deve ser que eles não estão pegando as outras politicas

        Espero que ajude!

        Igor CAsalecchi
        Instrutor Dell SonicWALL

  4. Igor,

    Estou com um problema parecido com o que fá foi falado aqui.

    Importei os usuários e grupos do AD, criei 6 políticas de CFS e add os grupos dentro da política que cada um deve estar, porém ainda assim as políticas não estão funcionando.

    Por exemplo:
    O grupo USERS não deve acessar o facebook, porém ainda assim acessa.

    Fiz o que vc recomendou acima, porém também não funcionou.

    O que devo fazer neste caso?

    Obrigado.

    1. Caro Fernando

      Voce deve olhar a config para bloqueios como uma junção entre CFS e Application COntrol, ou seja, o mesmo grupo que libera social networking no CFS deve também liberar a categoria social networking do App Control, somente assim voce vai ter sucesso nestas liberações

      Estou finalizando um post sobre isto, mas especifico para o facebook, porém será aplicado para qualquer outro app

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

  5. Estou com um problema de horários para aplicação das regras no SonicWALL na ultima release (5.9.0.2-107o).

    Após configurar uma regra e configura-la para funcionar apenas no horário de almoço (Filter Forbidden URLs by time of day) ela não é ativada automaticamente para os usuários já logados.

    Exemplo: o usuário fulano loga as 9:00 e a regra está configurada para ser aplicada das 12:00 as 14:00, a regra não é aplicada a ele. Caso ele autentique as 12:30, ele ficará com a regra até efetuar logoff (independente do horário).

    Usava essa funcionalidade sem problemas nas versões anteriores, foi só atualizar que começou a dar esse problema.

    1. Caro Ramon

      Realmente diversos clientes tem sentido dificuldades neste item e em outros na nova firmware.

      Recomendo que realize um downgrade momentaneamente para a firmware 5.8.1.13 enquanto este problema não é resolvido.

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

      1. Como essa regra era apenas para liberar as redes sociais no horário de almoço, não farei um downgrade do firmware para que eles fiquem no facebook. 🙂

        Se tiver algum problema com maior gravidade, faço o downgrade. Por enquanto, nada de facebook.

        Obrigado Igor.
        Grande abraço!

  6. Olá Igor.
    Politicas, regras, bloqueios ….
    Tenho um Sonic Wall 3500, com autenticação em uma base LDAP da Novell, até aí tudo bem, criei uma regra em Content Filter – Configure – Polcy – depois, importei os grupos em Users – Local Groups – editei o grupo e associei em Edit o Grupo – CFS Policy .
    Inseri um usuário ao grupo criado lá no LDAP, restringi todo o tráfego externo em Content Filter – Configure – Policy – Edit a política que eu criei – URL List … selecionei tudo …
    Amigão … não funcionou …. reiniciei a máquina fiz a autenticação no LDAP e não de restinção.
    Igor, aproveitando o ensejo, além desse suporte que espero anciooso em você responder, como posso pedir autenticação sem o usuário ter antes autenticado no LDAP, ou seja, não estou autenticado no LDAP, mas quando saiu para a internet o Sonic Wall, me dá uma tela de login ?
    Fica com Deus rapaz.
    Fico no aguardo
    Abraços
    Joel Fernandes

    1. Caro Joel

      Obrigado pela visita no blog.

      Sobre suas dúvidas, voce fez tudo certo, porém faltou ajustar as regras de Firewall.

      Lembre-se que a regra de firewall é o motivo do SonicWALL solicitar autenticação para as maquinas.

      Vá em Firewall > LAN para WAN
      Crie uma regra ALLOW

      Source: Lan Subnets
      Destination: ANY
      Services: DNS
      Users: ALL

      OBS: Coloque esta regra como a 1 regra

      Crie outra regra
      Source: Lan Subnets
      Destination: ANY
      Services: HTTP e HTTPS (crie um grupo)
      Users: Trusted Users

      OBS: Coloque ela como regra n2

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL
      Crie

  7. Oi Igor,

    Estou fazendo a instalação de um NSA 220 com o firmware SonicOS Enhanced 5.8.1.14-48o.
    Fiz a importação do grupo (LDAP + Local users) porém não veio nenhum usuário dentro e mesmo assim inseri uma politica criada mas ela não é utilizada, continua indo pela politica default. Pode me ajudar?

    1. Caro Felipe

      Normalmente nao importamos usuários e sim grupos de usuários.
      Pois o SonicWALL faz a consulta dos usuários ondemmand diretamente no LDAP.

      Importe os grupos, faça as amarrações de CFS pelos grupos e valide isto.

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

  8. Igor,

    Utilizo na empresa autenticação via SSO para usuarios do dominio. Dividi minha rede entre visitantes e corporativo. Na parte de visitantes habilitei o guest services, para eles abre a tela de autenticação até ai tudo certo…mas ela vem com aquela mensagem de certificado não valido. Sei que preciso comprar um certificado valido e importar no meu firewall para que os visitantes não recebam mais este aviso de site nao confiavel. Como eu faço esta importação? Abs,

    1. Caro Marcelo

      Voce precisa comprar um certificado do tipo wildcard.

      Com este certificado importamos no SonicWALL e partir deste momento caso você utilize a interface do SonicWALL ele não irá mostrar a opção de Certificado inválido.

      Espero que ajude

      Igor Casalecchi
      Instrutor SonicWALL

  9. Tenho um Sonicwall TZ105 tenho uns 10 usuários da filial, o problema é que tenho dois diretores nesta filial. O que eu gostaria de fazer é deixar o acesso destes 8 usuários (ou máquinas) com filtro e restrição de acesso a redes sociais etc. E Gostaria de deixar o acesso das máquinas do diretores acesso livre a internet, como posso fazer isso? Podem me ajudar?

    1. Caro Wesllay

      Basta ir em Security Services > Content Filter

      Localizar o campo ” CFS Policy per IP Address Range”

      Habilitar esta opção e configurar os 02 IPs dos diretores para uma politica FULL (esta politica já deve estar criada)

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

  10. Igor boa tarde meu caro expert, criei uma Custom Category e a ativei, mas qdo digito uma url e clico em Add nao acontece nada, o que pode ser?
    Pode me ajudar?

    O que preciso fazer é liberar alguns sites que nao necessitem de nenhuma autenticação, entao criei uma Custom que irei permitir na politica default, e nessa custom colocar os sites permitidos, agora vc sugere dessa forma ou tem alguma outra?

    Um abraço,

  11. Olá sou novo com SonicWall na minha empresa, e verifiquei que a licença dele está vencida, eu acho que esse recurso de CFS não funciona correto? existe alguma forma de eu utilizar algo do tipo pra fazer esses bloqueios?

    1. Caro Victor

      Sem as licenças você está totalmente desprotegido.

      Recomendo que procure uma revenda Dell SOnicWALL e faça a aquisição das licenças;

      Veja pacotes de licenças (chamados de CGSS) para 1, 2 ou 3 anos

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

    1. Bom dia Leandro

      Atualmente desconheço a possibilidade de realizar a configuração de politicas CFS via CLI

      Vou testar nas novas versões de firmware e se for possivel, monto um post sobre isso!

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

  12. Boa tarde,

    Como posso aplicar a exclusao da regra por dispositivo.Tipo:
    Gostaria que os clientes wifi do ubiquiti unifi (DHCP Sonicwall) não fossem bloqueiados pela regra, apenas os usuarios da rede cabeada. Há como fazer?

    1. Caro Geovani

      O ideal neste cenário é configurar uma outra ZONA (ex; wireless) e ligar a antena Ubiquiti nesta interface configurada na zona WIRELESS.

      Desta forma, você consegue excluir a rede WIRELESS dos bloqueios

      Espero que ajude!
      Igor Casalecchi
      Instrutor Dell SonicWALL

  13. Olá , Bom dia

    Criei uma politica para bloquear tudo para um setor especifico na empresa, porém quero aplicar para os usuarios importados do AD, ja criei um grupo no sonic wall, e inclui os usuários lá, e apontei a regra criada nesse grupo, só que não funciona, o mesmo continua desbloqueado..sem aplicar a regra cfs..

    Por favor me ajude rsrsrs

    1. Caro Leonardo

      Voce precisa validar que a politica default está fechada também! Lembre-se o Content Filter do Dell SonicWALL é mais permissivo menos restritivo, ou seja, não adianta você fechar a politica para determinados usuários se eles sempre vão cair na politica default (pois ela é aplicada por zona) e esta estará aberta.

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

Leave a Reply

Your email address will not be published. Required fields are marked *