Politicas de CFS (Content Filter Service) – SonicWALL

  Conf Avançadas

Bom Dia, hoje vou abordar alguns pontos que muitas pessoas não sabem e que vejo em diversas turmas as mesmas dificuldades com relação ao dimensionamento e funcionamento do CFS – SonicWALL.

Primeiro, oque é o CFS?

É o serviço de filtro de URL e sites da SonicWALL, ele filtra tanto HTTP (porta 80) como HTTPS (porta 443).

Quantas politicas de CFS eu posso criar no SonicWALL?

Você deve estar pensando…… – acho que não tem limite ….. ERRADO! Sempre que falarmos de configurações em Appliance os limites dos campos são pre-definidos, ou seja, a SonicWALL já estipulou um limite de politicas de CFS que podem ser criadas/configuradas.

Este limite é de 14 politicas + a politica default (que não pode ser removida)

Ou seja, sempre tenha em mente que poderá configurar 14 politicas e estas politicas são sempre mais permissivas, ou seja, o CFS é mais permissivo e menos restritivo.

Oque isto quer dizer?

Quer dizer que quando configurar uma politica tenha em mente que o SonicWALL irá tentar achar alguma politica liberando o site em questão para que o usuário consiga acessá-lo.

Como amarrar as politicas de CFS criadas aos Grupos do AD ou Grupos locais do SonicWALL?

Esta resposta é o elo entre a autenticação de usuários (servidor de autenticação) e a autorização de usuários (servidor de autorização), quem fez o treinamento Oficial da SonicWALL vai se recordar.

Quando você configura um Servidor de LDAP para realizar a autenticação dos usuários, habilita um botão no menu  Users > Local Groups > ” Import from LDAP ”

Após importar os grupos do LDAP, acesse o grupo importado e na aba ” CFS Policy” você irá definir para este grupo uma das politicas de CFS que criou.

 

Espero que ajude e esclareça algumas duvidas.

 

Att

Igor Casalecchi

Instrutor SonicWALL

42 thoughts on - Politicas de CFS (Content Filter Service) – SonicWALL

  • Amigo, bom dia!

    Poderia comentar mais detalhes sobre a filtragem de HTTPS? É um bloqueio não muito dinâmico, certo? Ou seja, preciso especificar uma palavra chave no controle de SSL. As categorias apenas funcionam em cima do HTTP. É por aí?

    Valeu. Abraço.

  • Igor, bom dia! É possível realizar algum bloqueio para tipos específicos de downloads, como .exe por exemplo, através de alguma regra de firewall ou algum outro modo de bloqueio do sonicwall? Nossa caixa é uma NSA 240, e estamos na versão SonicOS Enhanced 5.8.1.7-4o. Obrigado.

  • Boa tarde,

    Parabéns pelo blog.

    Estou importando grupos e usuários porém os usuários sempre vem com a politica CFS Default, mesmo que os mesmos se encontrem em um Grupo com outra política CFS, o que pode ser ?

    Obrigado,

  • Igor,

    Estou com um problema parecido com o que fá foi falado aqui.

    Importei os usuários e grupos do AD, criei 6 políticas de CFS e add os grupos dentro da política que cada um deve estar, porém ainda assim as políticas não estão funcionando.

    Por exemplo:
    O grupo USERS não deve acessar o facebook, porém ainda assim acessa.

    Fiz o que vc recomendou acima, porém também não funcionou.

    O que devo fazer neste caso?

    Obrigado.

    • Caro Fernando

      Voce deve olhar a config para bloqueios como uma junção entre CFS e Application COntrol, ou seja, o mesmo grupo que libera social networking no CFS deve também liberar a categoria social networking do App Control, somente assim voce vai ter sucesso nestas liberações

      Estou finalizando um post sobre isto, mas especifico para o facebook, porém será aplicado para qualquer outro app

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

  • Estou com um problema de horários para aplicação das regras no SonicWALL na ultima release (5.9.0.2-107o).

    Após configurar uma regra e configura-la para funcionar apenas no horário de almoço (Filter Forbidden URLs by time of day) ela não é ativada automaticamente para os usuários já logados.

    Exemplo: o usuário fulano loga as 9:00 e a regra está configurada para ser aplicada das 12:00 as 14:00, a regra não é aplicada a ele. Caso ele autentique as 12:30, ele ficará com a regra até efetuar logoff (independente do horário).

    Usava essa funcionalidade sem problemas nas versões anteriores, foi só atualizar que começou a dar esse problema.

    • Caro Ramon

      Realmente diversos clientes tem sentido dificuldades neste item e em outros na nova firmware.

      Recomendo que realize um downgrade momentaneamente para a firmware 5.8.1.13 enquanto este problema não é resolvido.

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

      • Como essa regra era apenas para liberar as redes sociais no horário de almoço, não farei um downgrade do firmware para que eles fiquem no facebook. 🙂

        Se tiver algum problema com maior gravidade, faço o downgrade. Por enquanto, nada de facebook.

        Obrigado Igor.
        Grande abraço!

  • Olá Igor.
    Politicas, regras, bloqueios ….
    Tenho um Sonic Wall 3500, com autenticação em uma base LDAP da Novell, até aí tudo bem, criei uma regra em Content Filter – Configure – Polcy – depois, importei os grupos em Users – Local Groups – editei o grupo e associei em Edit o Grupo – CFS Policy .
    Inseri um usuário ao grupo criado lá no LDAP, restringi todo o tráfego externo em Content Filter – Configure – Policy – Edit a política que eu criei – URL List … selecionei tudo …
    Amigão … não funcionou …. reiniciei a máquina fiz a autenticação no LDAP e não de restinção.
    Igor, aproveitando o ensejo, além desse suporte que espero anciooso em você responder, como posso pedir autenticação sem o usuário ter antes autenticado no LDAP, ou seja, não estou autenticado no LDAP, mas quando saiu para a internet o Sonic Wall, me dá uma tela de login ?
    Fica com Deus rapaz.
    Fico no aguardo
    Abraços
    Joel Fernandes

    • Caro Joel

      Obrigado pela visita no blog.

      Sobre suas dúvidas, voce fez tudo certo, porém faltou ajustar as regras de Firewall.

      Lembre-se que a regra de firewall é o motivo do SonicWALL solicitar autenticação para as maquinas.

      Vá em Firewall > LAN para WAN
      Crie uma regra ALLOW

      Source: Lan Subnets
      Destination: ANY
      Services: DNS
      Users: ALL

      OBS: Coloque esta regra como a 1 regra

      Crie outra regra
      Source: Lan Subnets
      Destination: ANY
      Services: HTTP e HTTPS (crie um grupo)
      Users: Trusted Users

      OBS: Coloque ela como regra n2

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL
      Crie

  • Oi Igor,

    Estou fazendo a instalação de um NSA 220 com o firmware SonicOS Enhanced 5.8.1.14-48o.
    Fiz a importação do grupo (LDAP + Local users) porém não veio nenhum usuário dentro e mesmo assim inseri uma politica criada mas ela não é utilizada, continua indo pela politica default. Pode me ajudar?

    • Caro Felipe

      Normalmente nao importamos usuários e sim grupos de usuários.
      Pois o SonicWALL faz a consulta dos usuários ondemmand diretamente no LDAP.

      Importe os grupos, faça as amarrações de CFS pelos grupos e valide isto.

      Espero que ajude!

      Igor Casalecchi
      Instrutor SonicWALL

  • Igor,

    Utilizo na empresa autenticação via SSO para usuarios do dominio. Dividi minha rede entre visitantes e corporativo. Na parte de visitantes habilitei o guest services, para eles abre a tela de autenticação até ai tudo certo…mas ela vem com aquela mensagem de certificado não valido. Sei que preciso comprar um certificado valido e importar no meu firewall para que os visitantes não recebam mais este aviso de site nao confiavel. Como eu faço esta importação? Abs,

    • Caro Marcelo

      Voce precisa comprar um certificado do tipo wildcard.

      Com este certificado importamos no SonicWALL e partir deste momento caso você utilize a interface do SonicWALL ele não irá mostrar a opção de Certificado inválido.

      Espero que ajude

      Igor Casalecchi
      Instrutor SonicWALL

  • Tenho um Sonicwall TZ105 tenho uns 10 usuários da filial, o problema é que tenho dois diretores nesta filial. O que eu gostaria de fazer é deixar o acesso destes 8 usuários (ou máquinas) com filtro e restrição de acesso a redes sociais etc. E Gostaria de deixar o acesso das máquinas do diretores acesso livre a internet, como posso fazer isso? Podem me ajudar?

    • Caro Wesllay

      Basta ir em Security Services > Content Filter

      Localizar o campo ” CFS Policy per IP Address Range”

      Habilitar esta opção e configurar os 02 IPs dos diretores para uma politica FULL (esta politica já deve estar criada)

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

  • Igor boa tarde meu caro expert, criei uma Custom Category e a ativei, mas qdo digito uma url e clico em Add nao acontece nada, o que pode ser?
    Pode me ajudar?

    O que preciso fazer é liberar alguns sites que nao necessitem de nenhuma autenticação, entao criei uma Custom que irei permitir na politica default, e nessa custom colocar os sites permitidos, agora vc sugere dessa forma ou tem alguma outra?

    Um abraço,

  • Olá sou novo com SonicWall na minha empresa, e verifiquei que a licença dele está vencida, eu acho que esse recurso de CFS não funciona correto? existe alguma forma de eu utilizar algo do tipo pra fazer esses bloqueios?

    • Caro Victor

      Sem as licenças você está totalmente desprotegido.

      Recomendo que procure uma revenda Dell SOnicWALL e faça a aquisição das licenças;

      Veja pacotes de licenças (chamados de CGSS) para 1, 2 ou 3 anos

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

    • Bom dia Leandro

      Atualmente desconheço a possibilidade de realizar a configuração de politicas CFS via CLI

      Vou testar nas novas versões de firmware e se for possivel, monto um post sobre isso!

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

  • Boa tarde,

    Como posso aplicar a exclusao da regra por dispositivo.Tipo:
    Gostaria que os clientes wifi do ubiquiti unifi (DHCP Sonicwall) não fossem bloqueiados pela regra, apenas os usuarios da rede cabeada. Há como fazer?

    • Caro Geovani

      O ideal neste cenário é configurar uma outra ZONA (ex; wireless) e ligar a antena Ubiquiti nesta interface configurada na zona WIRELESS.

      Desta forma, você consegue excluir a rede WIRELESS dos bloqueios

      Espero que ajude!
      Igor Casalecchi
      Instrutor Dell SonicWALL

  • Olá , Bom dia

    Criei uma politica para bloquear tudo para um setor especifico na empresa, porém quero aplicar para os usuarios importados do AD, ja criei um grupo no sonic wall, e inclui os usuários lá, e apontei a regra criada nesse grupo, só que não funciona, o mesmo continua desbloqueado..sem aplicar a regra cfs..

    Por favor me ajude rsrsrs

    • Caro Leonardo

      Voce precisa validar que a politica default está fechada também! Lembre-se o Content Filter do Dell SonicWALL é mais permissivo menos restritivo, ou seja, não adianta você fechar a politica para determinados usuários se eles sempre vão cair na politica default (pois ela é aplicada por zona) e esta estará aberta.

      Espero que ajude!

      Igor Casalecchi
      Instrutor Dell SonicWALL

  • Como faço para determinar um horario de utilização da minha rede na empresa atraves do sonic, pois creio que esta desabilitado e preciso estipular um horario de uso. Ja fui no ” Schedules ” porem clico e ele não acata quando eu clico.

    • Cara Tatiana

      Voce precisa configurar a plitica em Schedule e depois aplicar em Access Rules

      Crie um topico dentro da area do forum. será mais facil para te auxiliar

      Fica atento ao blog que postaremos sobre treinamentos e cursos e na area de Forum!

      Igor Casalecchu
      Instrutor SonicWall

    • Em users > Status ele te mostrará isto!

      Crie um topico no forum assim mais pessoas conseguirão usar esta reposta

      Fica atento ao blog que postaremos sobre treinamentos e cursos e na area de Forum!

      Igor Casalecchu
      Instrutor SonicWall

    • Caro Joao Paulo

      Crie um topico sobre isto na area de Forum, todos irão te responder.

      Fica atento ao blog que postaremos sobre treinamentos e cursos e na area de Forum!

      Igor Casalecchu
      Instrutor SonicWall

  • Boa Tarde Igor.
    Estou com um probleminha, e gostaria de uma luz.

    Estou trocando o firewall de um cliente, estou começando as configurações do zero.
    Porem existiam algumas politicas do CFS antigo que preciso ter acesso, mas a licença do velho venceu, sendo assim não consigo consulta-las,
    Existe alguma forma de eu recuperar essas informações?

    Meus parabéns pelo Blog cara.

    Forte Abraço

  • Existe a possibilidade de um usuário estar em mais de um grupo usando LDAP? Como exemplo eu queira bloquear medias sociais pra todos grupos e em um outro colocar apenas alguns usuários.
    “Detalhe; os clientes usam DHCP o que creio que dificulte a permissão via IP”

    • Ola Tiago
      Sim, o SonicWall aceita que os usuarios estejam em diversos grupos, porém vale lembrar que a liberacao de CFS (filtro de Sites) acontece top-down ou seja a regra que estiver mais acima será utilizada na liberacao do usuário.

      Espero que ajude!
      Igor Csasakecchi

LEAVE A COMMENT