O que é?

Webfilter é o módulo responsável pelo controle e monitoramento da navegação dos usuários. Através deste módulo é possível monitorar os acessos, liberar e bloquear sites para hosts específicos, além da possibilidade de definir dias e horários para aplicação das regras.

Funcionalidades

  1. Criação de múltiplas políticas
  2. Regras de acesso baseadas em ip, rede ou grupos de usuários
  3. Bloqueio de domínios e URLs
  4. Interceptação de tráfego SSL, possibilitando bloqueio efetivo
  5. Antivírus para acessos WEB
  6. Cadastro de exceção (Antivírus, Logs e Inspeção SSL) para domínios
  7. Relatórios em tempo real
  8. Logs de acesso
  9. Gerenciar e hospedar arquivos de WPAD para o Webfilter (PAC parse proxy auto-config)

Casos de uso

Download do certificado SSL

O modo padrão e recomendado do proxy requer instalação de um certificado SSL nas máquinas de cliente. Deste modo é possível inspecionar o tráfego e realizar os bloqueios, liberações e gerar log’s de modo mais efetivo.

Na tela de Serviços é possível fazer download do certificado através do botão “Baixar autoridade certificadora (CA)”.

Configuração das portas do proxy

O Webfilter pode ser utilizado em diferentes modos, cada modo requer configurações específicas nos clientes para funcionar e também traz limitações específicas quanto aos bloqueios e inspeções.

Por padrão, o webfilter ouve em 4 portas diferentes que podem ser alteradas via intercace e funciona em diferentes modos simultaneamente. Cada porta tem uma função:

  • Portas proxy - Normal: O considerado padrão para o webfilter é utilizar a inspeção SSL. Caso o proxy seja configurado manualmente no navegador do cliente ou via WPAD e a máquina estiver com o certificado SSL do webfilter instalado, esta porta deve ser utilizada nas configurações.
  • Portas proxy - Sem inspeção SSL: Caso não seja possível instalar o certificado no cliente e o proxy seja configurado manualmente no navegador ou via WPAD, esta porta deve ser utilizada.
  • Portas Proxy Transparente - Transparente HTTP: A porta configurada nesta opção será a porta utilizada pelo webfilter para receber todo o tráfego HTTP das políticas configuradas como transparente.
  • Portas Proxy Transparente - Transparente HTTPS: A porta configurada nesta opção será a porta utilizada pelo webfilter para receber todo o tráfego HTTPS das políticas configuradas como transparente.

Modos de uso recomendados

  • Transparente + Inspeção SSL

Funcionamento: O proxy será transparente e não precisa ser configurado no navegador dos hosts. É necessário instalar o certificado SSL nos clientes.

Efetividade: Será possível detectar todos os acessos do cliente (HTTP e HTTPS), liberar e bloquear os acessos por domínio, URL’s, categorias e tipos de arquivo.

Configuração da política: Opção Transparente habilitada e opção Inspeção SSL habilitada.

Integração com SSO: Tráfego é direcionado para o portal de autenticação do SSO antes de ser direcionado para o Proxy. Nenhuma configuração adicional necessária.

  • Configurado manualmente + Inspeção SSL

Funcionamento: O proxy precisará ser configurado no navegador dos hosts. É necessário instalar o certificado SSL nos clientes.

Efetividade: Será possível detectar todos os acessos do cliente (HTTP e HTTPS), liberar e bloquear os acessos por domínio, URL’s, categorias e tipos de arquivo.

Configuração da política: Opção Transparente desabilitada e opção Inspeção SSL habilitada.

Configuração no navegador: Utilizar porta configurada no campo “Portas proxy - Normal”.

Integração com SSO: Necessário implementar o WPAD do FWFLEX (que cria exceção automática) ou adicionar a exceção da URL sso.itflex.app no navegador do usuário.

  • Configurado manualmente sem inspeção SSL

Funcionamento: O proxy precisará ser configurado no navegador dos hosts. Não será necessário instalar o certificado SSL.

Efetividade: Será possível detectar os acessos HTTP de forma completa, porém os acessos HTTPS não podem ser inspecionados completamente. Para os acessos HTTP será possível liberar e bloquear por domínio, URL’s, categorias e tipos de arquivo. Nos acessos HTTPS só será possível bloquear e liberar por domínios e categorias. Os bloqueios de sites HTTPS não são exibidos de forma efetiva, apresentará somente um erro no navegador do cliente.

Configuração da política: Opção Transparente desabilitada e opção Inspeção SSL desabilitada.

Configuração no navegador: Utilizar porta configurada no campo “Portas proxy - Sem inspeção SSL”.

Integração com SSO: Necessário implementar o WPAD do FWFLEX (que cria exceção automática) ou adicionar a exceção da URL sso.itflex.app no navegador do usuário.

  • Transparente sem inspeção SSL

Funcionamento: O proxy não precisará ser configurado no navegador dos hosts. Não será necessário instalar o certificado SSL.

Efetividade: Será possível detectar os acessos HTTP de forma completa, porém os acessos HTTPS não podem ser inspecionados completamente. Para os acessos HTTP será possível liberar e bloquear por domínio, URL’s, categorias e tipos de arquivo. Nos acessos HTTPS só será possível bloquear e liberar por domínios e categorias. Os bloqueios de sites HTTPS não são exibidos de forma efetiva, apresentará somente um erro no navegador do cliente.

Configuração da política: Opção Transparente habilitada e opção Inspeção SSL desabilitada.

Integração com SSO: Tráfego é direcionado para o portal de autenticação do SSO antes de ser direcionado para o Proxy. Nenhuma configuração adicional necessária.

Observação: Neste modo é indicado que seja criada uma regra de liberação geral abrangente e realizar bloqueios pontuais, pois o conteúdo dos sites podem estar hospedados em domínios implícitos e algumas autoridades certificadores podem ser bloqueadas, comprometendo o SSL.

Gerenciamento de portas monitoradas

Por padrão, o proxy só inspeciona as portas HTTP 80 e HTTPS 443. Caso algum site acessado utilize uma porta diferente destas, ele será bloqueado independente de estar liberado na política, visto que a porta não é monitorada pelo proxy.

Para que o site seja inspecionado no proxy, deve ser adicionado na lista de acordo com o protocolo que está utilizando (HTTP ou HTTPS).

Gerenciamento de atividades

Uma atividade é um agrupamento de todos os destinos possíveis para as regras de uma política. Em uma atividade é possível selecionar diversas categorias, domínios, URLs e tipos de arquivos.

As atividades podem ser utilizadas em diversas regras e políticas diferentes.

Gerenciamento de tipos de arquivos

Os tipos de arquivos são inspeções de um tipo de conteúdo específico, como áudio, vídeo ou arquivos compactados.

É possível criar agrupamentos de tipos de arquivos para utilizar nas regras do webfilter.

Os valores aceitos são: extensões (.mp3, .mp4, etc) e MIME types (audio/wave, audio/wav, etc).

Gerenciamento das políticas do Webfilter

O módulo do Webfilter permite criar diversas políticas diferentes do webfilter.

Ao criar uma política, precisam ser preenchidas as informações:

Origem: é necessário especificar a origem para a política, possibilitando a criação de ações diferentes separando por IP, rede ou instância SSO. Transparente: Habilita o proxy transparente para esta política. Inspeção SSL: Habilita a inspeção de tráfego SSL para esta política. Antivírus: Habilita a verificação do antivírus para o tráfego desta política.

Regras

As regras do webfilter compões o funcionamento da política e permissões. Baseiam-se em origem e destino.

Origem: Traz opções como IP, rede, usuário ou Grupo de usuários, onde é possível criar regras utilizando os usuários logados ao SSO. Destino: Possibilita associar URLs, domínios, IPs, atividades, etc. Dias e horários: Define em quais dias e horários a regra estará ativa. Ação: Define se o acesso que casar com esta regra será liberado ou bloqueado.

Comportamento padrão

Quando há um acesso que passa pelo webfilter, a análise é feita na ordem de cima para baixo e respeitará a primeira regra que “casar”. Caso existam 3 políticas e a origem do acesso corresponda às 3, será feita a análise de todas as regras de todas as políticas na ordem configurada.

Se o acesso não corresponder à nenhuma regra criada, a ação para ele será de acordo com o configurado no “Comportamento padrão”: Aceitar ou Recusar.

Gerenciamento de exceções

Ao criar políticas e regras do webfilter, todos os acessos passam a ser gerenciados. Porém, em alguns casos não podem ou não precisam ter inspeção ssl, análise do antivírus ou constar nos relatórios.

É possível cadastrar vários grupos de exceções, preencher os domínios deste grupo e selecionar se serão exceção para:

Inspeção SSL: Não é realizada inspeção SSL para este domínio. Antivírus: Não será realizada análise de vírus para este domínios. Relatórios: Nenhum acesso à este domínio estará nos relatórios.

Visualização de relatórios

Relatórios em tempo real

Exibe os acessos e consumo dos acessos que estão sendo realizados no momento.

Consolidado

Traz informações de acesso consolidadas por Usuários ou Sites.

Possibilita a exportação dos dados em CSV.

Logs

Exibe os arquivos de logs de acesso dos usuários. É possível filtrar por status ou ação e buscar usuários ou URLs específicas.

Gerenciar e hospedar arquivos de WPAD para o Webfilter (PAC parse proxy auto-config)

A funcionalidade de WPAD permite o cadastro de múltiplos arquivos para a auto-configuração de proxy. Todo arquivo cadastrado e habilitado, é hospetado no serviço web http do FWFLEX na porta 7050. A URL para download é disponibilizada nas telas de listagem e detalhes. O administrador precisar configurar a liberação da porta 7050 na Entrada do Firewall para as redes autorizadas a acessar o arquivo.

O gerenciamento dos arquivos WPAD possuem os seguintes recursos:

  • Habilitar/desabilitar arquivo
  • Prefixo para o nome do arquivo (completado automaticamente com sufixo .dat)
  • Configuração do proxy padrão
    • Desabilitado (sem proxy, return DIRECT)
    • Habilitado (requer IP e porta do proxy)
  • Seleção das conexões de rede autorizadas para ouvir/hospedar o arquivo wpad
  • Cadastro de exceções
    • As URLs do SSO (padrão e instâncias customizadoa) são sempre adicionadas como exceção para correto funcionamento (aparecem somente leitura)
    • Cadastro de execeção tipo URL (ex. .itflex.com.br/; *.app123.itflex.com.br/Internal/; .itflex.cloud/)
    • Cadastro de exceção tipo host (ex. 10.0.0.0/24, 10.0.10.45/32)
  • Cadastro de proxy customizado para origens específicas
    • Uma ou mais redes de origem podem ser associadas a um IP e porta de proxy
    • É permitido cadastro de origens sem IP e porta de proxy (return DIRECT)
  • Requer que a sintaxe da configuração seja verificada antes de Salvar

Funcionamento:

  • Quando o arquivo está desabilitado, não é hospedado no serviço web;
  • Ao habilitar e aplicar, sempre é feito a verificação da sintaxe e hospedagem do arquivo gerado;
  • O administrador precisar configurar a liberação da porta 7050 na Entrada do Firewall para as redes autorizadas a acessar o arquivo.

Ajuda

Copyright © iTFLEX Tecnologia Ltda 2019