Sophos NGFW Cấu hình tính năng Application Control giám sát lưu lượng traffic thông qua ứng dụng

Trên Sophos XG, Application Control hoạt động ở Layer 7 (Application Layer). Nó không quan tâm người dùng đang dùng Port nào (80, 443 hay port ngẫu nhiên), mà nó sẽ đọc các gói tin để nhận diện "chữ ký" (signature) của ứng dụng đó (ví dụ: Facebook, YouTube, BitTorrent, Zalo...).

Để thực hiện task giám sát (và thử nghiệm chặn) lưu lượng qua ứng dụng, bạn làm theo 3 phần sau:

Phần 1: Tạo chính sách kiểm soát ứng dụng (Application Filter Policy)​

Mặc định, Sophos XG có sẵn một số policy như Allow All hoặc Block Social Network. Tuy nhiên, để hiểu rõ cách hoạt động trong lab, bạn nên tự tạo một policy mới.

• Điều hướng đến menu Applications ở thanh bên trái > chọn tab Application filter.
• Bấm nút Add ở góc phải để tạo một policy mới.
  • Name: Đặt tên cho policy (Ví dụ: Lab_Monitor_And_Block).
  • Description: Tùy chọn mô tả.
  • Template: Chọn Allow All (Cho phép tất cả làm nền tảng ban đầu).
  • Nhấn Save.

1. Hệ thống sẽ tại policy. Tại đây, bạn nhấn vào cây bút để edit.
2. Bấm Add để thêm một rule cụ thể nhằm mục đích test lab (Ví dụ: Chặn YouTube hoặc Zalo):
   • Trong cửa sổ tìm kiếm ứng dụng, bạn có thể lọc theo Category (Ví dụ: Social Networking, Video Hosted) hoặc gõ trực tiếp tên app vào ô tìm kiếm (Ví dụ: YouTube).
   • Tích chọn ứng dụng muốn thao tác.
   • Tại mục Action, đổi từ Allow sang Deny (nếu muốn chặn) hoặc giữ Allow (nếu chỉ muốn giám sát).
   • Đảm bảo nút gạt Schedule đang ở mức All the time.
   • Nhấn Save.

Phần 2: Áp dụng Policy vào Firewall Rule​

Application Policy đứng một mình sẽ không có tác dụng. Bạn phải "gắn" nó vào luồng traffic đi từ nội bộ ra Internet.

1. Điều hướng đến Rules and policies > Firewall rules.
2. Tìm đến rule cho phép mạng LAN ra ngoài Internet (thường có tên là Default Network Policy hoặc luồng LAN to WAN mà bạn đã tạo trước đó). Bấm vào để chỉnh sửa (Edit).
3. Cuộn trang xuống phần Security features (hoặc Other security features).
4. Tại mục Application control, nhấp vào menu thả xuống và chọn chính sách Lab_Monitor_And_Block mà bạn vừa tạo ở Phần 1.
5. Cuộn xuống dưới cùng, đảm bảo tùy chọn Log firewall traffic đã được tích chọn.
6. Nhấn Save.

Phần 3: Giám sát lưu lượng thực tế (Test & Monitor)​

Bây giờ bạn hãy chuyển sang máy Client (máy tính nằm trong dải LAN) và tạo ra traffic. Ví dụ: lướt web, mở YouTube, tải file... Sau đó quay lại WebAdmin của Sophos XG để giám sát.




Xem log trực tiếp (Log Viewer):

• Nhấp vào nút Log viewer (góc trên cùng bên phải).
• Tại menu thả xuống Module, chọn Application filter.
• Bạn sẽ thấy luồng traffic chạy theo thời gian thực: Tên thiết bị (Source IP), tên ứng dụng (Ví dụ: DNS, HTTP, YouTube, Google...), Category tương ứng và Hành động (Allowed hoặc Denied).