[WatchGuard] อยากรู้เรื่อง WebBlocker

เทรนนิ่ง
จุดประกายโดย: คุณวุฒิ กิ่งหิรัญวัฒนา เขียนเมื่อ 2015-02-24 17:24:10

WebBlocker ทำงานภายใต้ HTTP Proxy และแยกแยะหมวดหมู่ )Categorize) ไม่ใช่เพียงแค่ระดับ Domain แต่เจาะจงลงไปที่ระดับ URL

วิธีการตรวจสอบ URL คือ XTM จะส่ง URL นั้นไปตรวจสอบที่ Cloud ของ WebSense และ Cloud จะให้คำตอบว่า URL นั้นจัดอยู่ในหมวดหมู่ไหน

เราสามารถติดต่อการทำงานของ WebBlocker ได้ด้วยการ Enable Log ที่ WebBlocker setting ใน HTTP Proxy ตัวอย่างของ Log ที่จะแสดงใน Traffic policy ใน FSM (Firebox System Manager) จะเป็นแบบนี้ (แสดงแบบเว้นบรรทัดเพื่อให้ดูง่ายขึ้น)

2013-09-20 01:23:22

Allow 10.0.1.10 202.57.155.203 http/tcp 2626 80

1-Trusted 0-External

ProxyAllow: HTTP Request categories  

(HTTP-proxy-00) HTTP-Client.3

proc_id="http-proxy"

rc="590"

proxy_act="HTTP-Client.3"

cats="News and Media" op="GET" dstname="www.manager.co.th"

arg="/" msg_id="262177" Traffic

 

โดยใน Traffic Monitor สามารถใช้ Filter คำว่า "Request cat" เพื่อค้นหาเฉพาะการทำงานของ WebBlocker ได้

ตามตัวอย่าง แสดงให้เห็นว่า WebBlocker จัดให้ www.manager.co.th อยู่ใน Category "News and Media"

เราสามารถทดสอบว่า WebBlocker จะจัดให้ URL นั้นอยู่ในหมวดใด ไปที่ http://csi.websense.com  

y02

บางครั้ง เราพยายาม Block web ประเภทนั้น ๆ แล้ว เช่น Category Sex แต่กลับมีบางเวบที่ผู้ใช้ยังสามารถเข้าถึงได้ เพราะ WebBlocker ไม่ได้เก็บURL บนอินเตอร์เน็ตของทั้งโลกเอาไว้ เราเรียก URL พวกนี้ว่า Uncategorized ซึ่งดูจาก Traffic Policy จะได้ผลดังนี้ แสดงให้เห็นว่า ผู้ใช้สามารถเข้าถึง www.thaix2.com ได้ เพราะ website นั้นยังไม่ได้จัดหมวดหมู่

 

2013-09-17 10:24:33

Allow 10.0.1.10 108.162.196.104 http/tcp 2104 80

1-Trusted 0-External

ProxyAllow: HTTP Request categories  

(HTTP-proxy-00) HTTP-Client.3

proc_id="http-proxy"

rc="590"

proxy_act="HTTP-Client.3"

cats="Uncategorized" op="GET" dstname="www.thaix2.com"

arg="/" msg_id="211243" Traffic

 

เราสามารถแจ้ง URL นี้ไปที่ WebSense ได้โดยตรง (csi.websense.com) และใช้วิธี"Suggest a different classification" ภายใน 24 ชั่วโมง เราสามารถจะตรวจสอบกลับไปที่ WebSense ได้ว่า Category ถูกเปลี่ยนตามที่เราแจ้งไปหรือไม่

เมื่อตรวจสอบแล้วในวันถัดไป ก็จะพบว่า ทาง WebSense ได้จัดหมวดหมู่ของ URL เอาไว้แล้ว เป็นประเภท Sex

y03

แต่เมื่อลองเข้า web site นี้โดยผ่านทาง XTM ก็ยังพบว่า สามารถเข้าถึง web site นี้ได้เหมือนเดิม โดย WebBlocker บน XTM ยังคงแสดงเป็น Uncategorized เหมือนเดิม (ไม่ได้แสดงเป็นSex เหมือนบน Cloud) นั่นก็เป็นเพราะ XTM ได้มีการเก็บคำตอบของ Cloud เอาไว้ใน Cache คำตอบครั้งที่ผ่านมาสำหรับ web site แห่งนี้คือ Uncategorized ผู้ใช้จึงยังคงสามารถเข้าถึงเวบไซด์ได้

เราสามารถตรวจสอบได้ว่า คำตอบของ WebBlocker เป็นคำตอบจาก Cloud หรือจาก Cache โดยการปรับให้ XTM แสดง Log ของ WebBlocker ในระดับ Debug (Policy Manager -> Setup -> Logging และกดที่ปุ่ม "Diagnostic Log Level" 

y05

 

ลองเข้าดู web site อีกครั้ง และกลับมาตรวจสอบที่ Traffic monitor ก็พบว่า คำตอบของ WebBlocker นั้นมาจาก Cache จริง ตามภาพ (cache node found for str=www.thaix2.com)

 

x01

 

XTM จะเก็บคำตอบเอาไว้ใน Cache นาน 7 วัน นานกว่านั้นก็จะถูกลบออกจาก Cache

หากเราต้องการที่จะ Clear cache ทันที สามารถทำได้ 2 วิธี

1. Restart XTM

2. บังคับให้ XTM ไม่ต้องเก็บคำตอบของ WebBlocker cloud เอาไว้ในตัวเองก็ได้ เปิด Policy manager และดูที่นี่ Subscription Services -> WebBlocker -> Configure ไล่ดู Proxy policy ทีละบรรทัดโดยการกดปุ่ม Configure และปรับ Cache size เป็น 0 ในทุก ๆ policy

y04

การจัดให้ WebBlocker cache มีค่าเป็น 0 แปลว่า XTM จะไม่มีการเก็บ Cache ของWebBlocker เอาไว้เลย แต่จะตรวจสอบ URL กับ Cloud ทุกครั้ง

แต่เนื่องจาก Category ของ URL ก็ไม่ได้เปลี่ยนบ่อย ๆ จึงไม่แนะนำให้ยกเลิกCache ของ WebBlocker เปิด Cache ให้ทำงานเอาไว้ เพื่อเพิ่มความเร็วของWebBlocker ดีกว่า

 

 

WatchGuard - Getting Started with WebBlocker

ดาวน์โหลดเอกสาร

สินค้าที่เกี่ยวข้อง

For more information, feel free to contact us at 0-22479898 Ext 87,
E-Mail: marketing@optimus.co.th; Twitter: @optimus_th; Facebook: optimusthailand