Sophos NGFW Cấu hình tính năng ngăn chặn malware dựa vào signatures: anti-virus, anti-bot, anti-spam,...

Để cấu hình được tính năng này đầu tiên bạn phải import CA của FW vào máy client, tham khảo cách làm tại đây

1. Cấu hình Anti-Virus (Quét mã độc khi lướt web/tải file)​

Tính năng này sẽ quét các luồng HTTP và HTTPS (đã được giải mã từ bài lab trước) để tìm kiếm các đoạn mã độc dựa trên cơ sở dữ liệu Signature của Sophos/Avira.
  1. Bật tính năng trên Rule:
    • Điều hướng đến Rules and policies > Firewall rules.
    • Mở rule LAN to WAN (Rule cho phép người dùng ra Internet) của bạn lên để chỉnh sửa.
    • Cuộn xuống phần Security features.
    • Tại ô Malware and content scanning, tích chọn Scan HTTP and decrypted HTTPS.
    • Nhấn Save.
1782788092008.png



  1. (Tùy chọn) Tối ưu hóa bộ máy quét:
    • Vào Web > General settings.
    • Ở phần Malware scanning, bạn có thể chọn dùng 1 engine (chỉ Sophos) hoặc 2 engines (Sophos và Avira) để quét. (Trong lab, dùng 1 engine cho nhẹ CPU nhé).
1782788180458.png



2. Cấu hình Anti-Bot / Command & Control (Chống mạng máy tính ma)​

Trên Sophos, tính năng Anti-Botnet được gọi là Advanced Threat Protection (ATP). Nó giám sát các truy vấn DNS và IP đích để phát hiện xem có máy tính nào trong LAN đang bị nhiễm mã độc và cố gắng gọi điện về nhà cho máy chủ của Hacker (C&C Server) hay không.
  1. Điều hướng đến Advanced threat > Advanced threat protection.
  2. Bật tính năng: Nhấp vào công tắc cạnh dòng Sophos X-Ops threat feeds để nó chuyển sang trạng thái BẬT
  3. Thay đổi hành động (Action): Hãy chuyển dấu chấm chọn sang Log and drop. Nếu bạn giữ nguyên Log only, tường lửa sẽ chỉ đứng nhìn và ghi nhật ký chứ không hề chặn đứt kết nối của thiết bị nhiễm Botnet.
  4. Lưu cấu hình: Nhấn nút Apply màu xanh ở góc dưới cùng bên trái.
1782788314035.png




3. Cấu hình Anti-Spam (Chống thư rác)​

Tính năng này áp dụng nếu hệ thống của bạn có chạy máy chủ Mail (như Exchange) hoặc người dùng sử dụng các giao thức POP/IMAP/SMTP.
  1. Điều hướng đến Email > Policies & exceptions.
  2. Tại tab Policies, nhấp vào Add policy và chọn SMTP route & scan (nếu bạn có Mail Server nội bộ) hoặc POP-IMAP scan (nếu người dùng dùng phần mềm nhận mail như Outlook).
1782789021614.png



  1. Trong giao diện cấu hình Policy:
    • Chuyển tab sang Spam protection.
    • Bật Spam protection lên.
    • Tại mục Spam action, thiết lập các hành động tương ứng:
      • Spam: Chọn Drop (Hoặc Quarantine).
      • Probable Spam (Nghi ngờ): Chọn Warn hoặc Quarantine.
    • Nhấn Save.
1782789044941.png





4. Đảm bảo Signatures luôn được cập nhật​

Vì yêu cầu task là "dựa vào signatures", bạn phải chứng minh được Firewall lấy signature ở đâu.
  1. Điều hướng đến Backup & firmware > Pattern updates.
  2. Ở đây bạn sẽ thấy danh sách các bản cập nhật Signatures cho: Anti-Virus, Anti-Spam, IPS, ATP...
  3. Nhấp vào Update pattern now để đảm bảo tường lửa đang dùng bộ nhận diện mới nhất (Hoặc cài đặt Auto-update mỗi 2 tiếng).
1782789080963.png
1782789089047.png



TEST Antivirus:
Ta lên eicar tải file có virus thì bị block
1782789295591.png

1782789299028.png
 
Back
Top