close
menu

Nowa chmurowa baza URL w wersji 4.7

firmware 4.x Firewall i NAT

 

Wymagane zmiany

Od wersji firmware 4.7 został zmieniony dostawca chmurowej (rozszerzonej) bazy URL. W związku z tym wymagana jest zmiana konfiguracji urządzenia Stormshield związana z filtrowaniem SSL/URL. Zmiany te wymagane są ze względu na 3 czynniki:

  1. Kategorie URL uległy zmianie – poprzednie i nowe kategorie nie są w pełni zgodne. Niektóre kategorie zostały dodane, inne zaś usunięte;
  2. Zmiana logiki klasyfikacji – nowa polityka filtrowania URL/SSL musi znajdować się w trybie czarnej listy;
  3. Należy dostosować nową politykę filtrów, aby móc przypisać do reguły Firewall profile filtrowania URL/SSL.

Zmiana logiki klasyfikacji

Logika klasyfikacji ulega zmianie po aktualizacji. Zasady filtrowania muszą teraz znajdować się trybie czarnej listy. Wymaga to rozważenia następujących kwestii:

  • Kategorie adresów URL, które mają być zabronione, muszą znajdować się nad regułami dopuszczającymi inne kategorie;
  • Producent zaleca stworzenie polityki filtrowania z podziałem na kilka sekcji.

 

Rekomendowane sekcje

Sekcja Opis Akcja  
    Filtrowanie URL Filtrowanie SSL
1. Compromised URLs Kategoria zawierająca złośliwe adresy URL Blokuj Blokuj bez deszyfracji
2. Zawsze blokuj Nielegalne, niebezpieczne i zawierające przemoc kategorie Blokuj Blokuj bez deszyfracji
3. Zawsze zezwalaj. Nigdy nie deszyfruj Treści wymagające ochrony danych użytkowników (bankowość, opieka zdrowia, itp.) Zezwól Zezwól bez deszyfracji
4. Zawsze zezwalaj. Może być deszyfrowane Treści związane z sektorem biznesowym organizacji i których wymaga praca użytkowników Zezwól Deszyfruj
5. Blokowanie rekomendowane Treści, które powinny być blokowane Blokuj Blokuj bez deszyfracji
6. Zezwolenie rekomendowane Treści, które powinny być dozwolone aby użytkownik mógł przeglądać Internet. Wysoko zalecane jest dodanie kategorii unknown, misc, hosting i computersandsoftware. Niektóre kategorie mogą być zezwolone w określonym przedziale czasowym (media społecznościowe) Zezwól Deszyfruj
7. Zezwól na wszystko Akcja dla wszystkich stron nie będących skategoryzowanych powyżej Zezwól Deszyfruj

Wpływ na reguły filtrowania URL/SSL

Sposób przetwarzania reguł filtrów URL/SSL w przypadku zmiany bazy danych zależy od tego, czy poprzednia i nowa kategoria adresów URL są zgodne. Istnieje kilka możliwości:

  • Kategorie pasują
  • Kategorie częściowo się zgadzają
  • Kategorie nie są zgodne, stara kategoria nie ma odpowiednika
  • Kategorie nie pasują, nowa kategoria nie ma odpowiednika

Po zmianie bazy danych w niektórych scenariuszach będzie wymagana interwencja administratora w celu naprawy niespójności lub błędów w konfiguracji. W interfejsie urządzenia pojawią się komunikaty ostrzegawcze:

W menu po lewej stronie, przy sekcjach Filtrowanie URL i Filtrowanie SSL

Oraz w Panelu kontrolnym w Wiadomościach

Zanim wykonasz aktualizację

Zanim przystąpisz do aktualizacji urządzenia zalecane jest wykonanie poniższych kroków w celu zmniejszenia problemów z bazą URL, które mogą wystąpić po aktualizacji.

Ważne! Przed aktualizacją zapory zalecane jest wykonanie kopii konfiguracji, aby móc ją przywrócić w razie potrzeby.

Dla każdego użytego profilu filtrowania URL:

  1. Wyłącz wszystkie reguły z akcją Blokuj.
  2. Utwórz regułę z akcją Zezwól i grupą URL Any. Umieść ją na samym dole.

Dla każdego użytego profilu filtrowania SSL:

  1. Wyłącz wszystkie reguły z akcją Blokuj.
  2. Utwórz regułę z akcją Nie deszyfruj i grupą URL Any. Umieść ją na samym dole.

Po dokonaniu powyższych zmian możesz przystąpić do aktualizacji urządzenia. Zmodyfikowane polityki nie są wersjami optymalnym, ale pomogą uniknąć problemów blokowanego ruchu użytkowników po aktualizacji.

Po wykonaniu aktualizacji

Ważne! Przed zmianami wykonaj kopię konfiguracji, aby móc ją przywrócić w razie potrzeby.

Gdy urządzenie Stormshield będzie już w wersji z nową bazą URL, możesz skorzystać z dwóch opcji:

  1. Import profilów filtrowania URL/SSL przygotowanych przez producenta Stormshield (szybsze rozwiązanie)
  2. Ręczna napraw polityki bezpieczeństwa.

Import profilów

Producent rozwiązania Stormshield oferuje plik backupowy .na, który zawiera 3 rekomendowane filtry URL/SSL. Możesz zaimportować plik do swojego urządzenia. Te profile będą automatycznie umieszczone jako 3 pierwsze zarówno w SSL jak i URL:

  • 00: „permissive”
  • 01: „standard”
  • 02: „restrictive”

Plik .na możesz pobrać TUTAJ.

1. Przejdź do interfejsu urządzenia Stormshield do sekcji Ustawienia systemowe > System > Import konfiguracji.

2. Wskaż pobrany plik konfiguracyjny .na. Nie klikaj jeszcze Importuj konfigurację.

3. Rozwiń opcje zaawansowane.

4. Odznacz wszystko (domyślnie) i zaznacz tylko Filtrowanie URL i Filtrowanie SSL.

5. Kliknij Importuj konfigurację.

Ręczna naprawa polityk bezpieczeństwa

Filtrowanie URL/SSL

Przejdź w interfejsie urządzenia do Polityki Ochrony > Filtrowanie URL / Filtrowanie SSL. Dla każdego profilu URL i SSL wykonaj:

  1. Kliknij Dodaj wszystkie wbudowane kategorie.
  2. Wybierz kategorie, które chcesz blokować/zezwolić i przebuduj swój profil zgodnie z sugerowanymi sekcjami.
  3. Kliknij Usuń reguły, aby usunąć reguły oznaczone jako nieznana kategoria.
  4. Dodaj ostatnią regułę zezwalającą na wszystko (any) jako ostatnią.

Reguły Firewall

Przejdź do reguł Firewall Polityki Ochrony > Firewall i NAT. W regułach, w których używasz filtrowania URL lub SSL wskaż nowe, odpowiednie filtry.

Jeżeli reguł z wyjątkiem uwierzytelniania, musisz je naprawić poprzez wymianę kategorii na nowe.