Sophos Web Filtering یکی از ماژول‌های کلیدی در پلتفرم امنیتی Sophos است که برای کنترل، پایش و فیلتر کردن ترافیک وب در سطح سازمانی طراحی شده است. این قابلیت با استفاده از URL Categorization ،Policy Engine و HTTPS Inspection امکان مدیریت دقیق دسترسی کاربران به اینترنت را فراهم کرده و نقش مهمی در کاهش تهدیدات وب در شبکه‌های Enterprise دارد.

 

معماری Sophos Web Filtering

در Sophos Firewall، فرآیند فیلتر کردن ترافیک وب به‌صورت یک Pipeline چندلایه طراحی شده است که شامل Interception، Policy Processing و Threat Intelligence می‌باشد.

1. Traffic Interception Layer (لایه رهگیری ترافیک)

در اولین مرحله، تمام ترافیک HTTP و HTTPS قبل از رسیدن به مقصد توسط فایروال سوفوس رهگیری می‌شود. این فرآیند نقطه شروع اعمال Web Filtering است و بسته به طراحی شبکه می‌تواند در دو حالت اجرا شود:

  • Transparent Mode

در این حالت، کاربر هیچ تنظیمی روی مرورگر انجام نمی‌دهد و ترافیک به‌صورت کاملاً شفاف توسط Firewall رهگیری می‌شود. این مدل در شبکه‌های سازمانی رایج‌تر است.

 

  • Explicit Proxy Mode

حالتی است که، مرورگر یا سیستم کاربر به‌صورت دستی روی Proxy تنظیم می‌شود و تمام درخواست‌ها از طریق Proxy Engine عبور می‌کنند. این روش کنترل دقیق‌تری روی HTTP policies فراهم می‌کند.

در هر دو حالت، هدف اصلی این لایه ایجاد نقطه کنترل قبل از خروج ترافیک به اینترنت است.

 

2. Policy & Identity Engine (موتور ارزیابی سیاست‌ها)

در این مرحله، تصمیم‌گیری بر اساس هویت کاربر و سیاست‌های سازمان انجام می‌شود. Sophos از Identity-aware Policy Processing استفاده می‌کند، یعنی تصمیم‌گیری فقط بر اساس IP نیست، بلکه بر اساس User واقعی است.

معیارهای اصلی در Policy Evaluation:

  • User / Group Based Policies: اعمال دسترسی بر اساس Active Directory یا Local Users
  • Time-based Rules: محدودسازی دسترسی در ساعات مشخص
  • Network Zone Policies: تفکیک LAN، DMZ، Guest
  • Exception Handling: تعریف استثنا برای سرویس‌های حیاتی

نتیجه: تعیین سطح دسترسی برای هر درخواست قبل از تحلیل محتوا

 

3. Content Classification Engine (موتور تحلیل و دسته‌بندی محتوا)

در این مرحله، Sophos برای تصمیم‌گیری درباره هر وب‌سایت از ترکیب دیتابیس امنیتی سوفوس (SophosLabs) و Cloud Reputation Service استفاده می‌کند.

URL Categorization:

هر دامنه یا URL در یکی از دسته‌های امنیتی قرار می‌گیرد:

  • Malware & Phishing Domains: دامنه‌های مخرب و فیشینگ (سایت‌هایی که برای حملات یا سرقت اطلاعات استفاده می‌شوند)
  • Adult Content: محتوای غیراخلاقی / بزرگسال
  • Social Media Platforms: شبکه‌های اجتماعی (مانند Instagram، Facebook و X که معمولاً برای کنترل بهره‌وری یا جلوگیری از نشت اطلاعات مدیریت می‌شوند)
  • Streaming Services: سرویس‌های پخش ویدئو و صوت (مانند YouTube و Netflix که مصرف پهنای باند بالایی ایجاد می‌کنند)
  • Cloud Storage Services: سرویس‌های ذخیره‌سازی ابری (مثل آپلود و اشتراک فایل مانند Google Drive و Dropbox که ممکن است برای انتقال یا خروج داده سازمانی استفاده شوند.)
  • Newly Registered / Unknown Domains: دامنه‌های تازه ثبت‌شده یا ناشناخته (ریسک‌پذیر و بدون سابقه امنیتی)

 

4. Threat Intelligence Layer

در این مرحله، فایروال Sophos فقط به دسته‌بندی اکتفا نمی‌کند، بلکه ریسک واقعی دامنه را تحلیل می‌کند.

این تحلیل شامل:

  • بررسی سابقه حملات (Malware / Phishing)
  • تحلیل رفتار دامنه در سطح جهانی
  • بررسی دامنه‌های تازه ثبت‌شده
  • تحلیل الگوهای مشابه حملات سایبری

Real-time Cloud Lookup (بررسی لحظه‌ای در Cloud)

اگر URL در دیتابیس داخلی وجود نداشته باشد، درخواست به Cloud Intelligence ارسال می‌شود.

در این حالت:

  • اعتبار و Reputation دامنه

بررسی می‌شود دامنه در گذشته رفتار مشکوک یا سابقه فعالیت مخرب داشته است یا خیر.

  • سوابق امنیتی جهانی

تحلیل می‌شود که آیا این URL در کمپین‌های فیشینگ، انتشار بدافزار یا حملات سایبری مشاهده شده است.

  • وضعیت دامنه‌های تازه‌ثبت‌شده

دامنه‌های جدید معمولاً ریسک بیشتری دارند زیرا مهاجمان اغلب از زیرساخت‌های تازه ایجادشده برای حملات استفاده می‌کنند.

  • الگوهای رفتاری و تهدیدات مشابه

سیستم رفتار دامنه را با الگوهای شناخته‌شده تهدیدات مقایسه می‌کند تا احتمال فعالیت مخرب مشخص شود.

نتیجه: تشخیص تهدیدات ناشناخته (Zero-day)

 

5. Decision Engine

در نهایت، تمام داده‌ها در یک موتور تصمیم‌گیری ترکیب می‌شوند:

عوامل:

  • Policy سازمان
  • User Identity
  • URL Category
  • Reputation Score

خروجی‌های نهایی در Sophos Web Filtering:

  • Allow (اجازه دسترسی): کاربر بدون محدودیت به وب‌سایت دسترسی خواهد داشت.
  • Block (مسدودسازی): دسترسی به دلیل نقض Policy یا ریسک امنیتی متوقف می‌شود.
  • Warn Page (نمایش هشدار): قبل از ورود کاربر، یک صفحه هشدار نمایش داده می‌شود تا کاربر از ریسک احتمالی مطلع شود.
  • Quota / Time-based restriction(محدودیت زمانی یا حجمی): دسترسی فقط در بازه زمانی مشخص یا تا سقف تعیین‌شده امکان‌پذیر خواهد بود.

 

HTTPS Inspection

بیش از 90٪ ترافیک وب امروزی HTTPS است، بنابراین بدون SSL Inspection، قابلیت Web Filtering ناقص خواهد بود.

نحوه عملکرد Sophos SSL/TLS Inspection

1. Certificate Interception: ایجاد Certificate داخلی

2. TLS Termination: شکستن اتصال رمزنگاری‌شده

3. Deep Inspection (DPI): بررسی محتوا

4. Re-encryption: ارسال مجدد به مقصد

 

چالش‌های HTTPS Inspection در فایروال سوفوس

فعال‌سازی HTTPS Inspection در Sophos اگرچه دید امنیتی بسیار عمیق‌تری روی ترافیک رمزنگاری‌شده ایجاد می‌کند، اما در محیط‌های سازمانی بدون چالش نیست. از آنجا که Firewall باید ترافیک TLS را decrypt، تحلیل و دوباره encrypt کند، این فرآیند می‌تواند روی Performance، Compatibility و مدیریت زیرساخت تأثیر مستقیم بگذارد.

  • افزایش Latency

در HTTPS Inspection ،Firewall  قبل از ارسال ترافیک به مقصد، ابتدا اتصال TLS را باز کرده و محتوای آن را بررسی می‌کند. این فرآیند باعث اضافه شدن Delay جزئی در ارتباطات می‌شود.

در شبکه‌های پرترافیک یا هنگام بررسی حجم بالای HTTPS Traffic، ممکن است کاربران موارد زیر را تجربه کنند:

  • کند شدن بارگذاری وب‌سایت‌ها
  • افزایش زمان Response در Web Applications
  • تأخیر در سرویس‌های Cloud

هرچه سطح Inspection یا بررسی ترافیک عمیق‌تر باشد، میزان پردازش و Latency نیز بیشتر خواهد شد.

  • مصرف بالای CPU و منابع Firewall

HTTPS Inspection  یکی از سنگین‌ترین قابلیت‌های پردازشی در فایروال‌های نسل جدید (NGFW) محسوب می‌شود، زیرا تمام فرآیندهای زیر به‌صورت Real-time انجام می‌شوند:

  • TLS Handshake Processing
  • Certificate Generation
  • Traffic Decryption
  • Deep Packet Inspection (DPI)
  • Re-encryption

در صورتی که Hardware متناسب انتخاب نشده باشد، فعال‌سازی Full SSL Inspection می‌تواند باعث:

  • افزایش CPU Usage
  • کاهش Throughput
  • افت Performance کلی فایروال

شود. به همین دلیل در شبکه‌های Enterprise معمولاً SSL Inspection به‌صورت Selective روی دسته‌های پرریسک فعال می‌شود.

  • مشکلات Certificate Pinning

برخی اپلیکیشن‌ها و سرویس‌های حساس، فقط Certificate اصلی سرور را معتبر می‌دانند و هرگونه تغییر در زنجیره Certificate را به‌عنوان حمله شناسایی می‌کنند. به این مکانیزم Certificate Pinning گفته می‌شود.

در چنین شرایطی، HTTPS Inspection ممکن است باعث اختلال در:

  • اپلیکیشن‌های بانکی
  • سرویس‌های مالی
  • برخی Mobile Applicationها
  • ابزارهای امنیتی و VPNها

شود.

در نتیجه، معمولاً این سرویس‌ها در لیست SSL Exception قرار می‌گیرند تا ترافیک آن‌ها decrypt نشود.

  • مدیریت Trusted Root CA

برای اینکه کاربران هنگام HTTPS Inspection با خطای امنیتی مرورگر مواجه نشوند، باید Root Certificate مربوط به Firewall  روی تمام Clientها Trusted شود.

در محیط‌های سازمانی، مدیریت این Certificate روی:

  • Windows Clients
  • Mobile Devices
  • BYOD Devices
  • Linux/macOS Systems

می‌تواند به یک چالش عملیاتی تبدیل شود.

در صورت نصب نشدن صحیح Root CA:

  • مرورگر خطای Certificate نمایش می‌دهد
  • اتصال HTTPS غیرقابل اعتماد تشخیص داده می‌شود
  • برخی سرویس‌ها به‌درستی Load نمی‌شوند

در شبکه‌های Enterprise معمولاً این فرآیند از طریق Group Policy یا MDM مدیریت می‌شود.

 

SSL Inspection در فایروال سوفوس

 

Web Policy در Sophos Firewall

در Sophos Web Filtering، بخش Web Policy به‌عنوان موتور اصلی کنترل دسترسی کاربران عمل می‌کند. تمام درخواست‌های وب پس از شناسایی کاربر و بررسی URL از این بخش عبور می‌کنند تا مشخص شود چه نوع دسترسی برای هر کاربر، گروه یا سرویس مجاز است.

Web Policy مجموعه‌ای از قوانین امنیتی است که تعیین می‌کند چه کسی، در چه زمانی و تحت چه شرایطی به منابع اینترنتی دسترسی داشته باشد.

انواع Ruleها:

1. User-based Policy (سیاست مبتنی بر کاربر)

در این روش، قوانین بر اساس هویت کاربران یا گروه‌های سازمانی تعریف می‌شوند. Sophos می‌تواند کاربران را از طریق Active Directory یا روش‌های احراز هویت دیگر شناسایی کرده و برای هر گروه سیاست جداگانه‌ای اعمال کند.

مثلاً:

HR: دسترسی کامل به سرویس‌های سازمانی و وب‌سایت‌های مورد نیاز

Guests: دسترسی محدود فقط به وب‌سایت‌های مشخص

IT Team: دسترسی به ابزارهای مدیریتی و منابع فنی

 

2. Application-aware Policy (سیاست مبتنی بر برنامه)

در بسیاری از موارد، کنترل فقط بر اساس URL کافی نیست؛ زیرا برخی سرویس‌ها از HTTPS یا زیرساخت‌های ابری استفاده می‌کنند و ممکن است تشخیص آن‌ها دشوار باشد.

Sophos با استفاده از Application Awareness می‌تواند نوع برنامه را حتی در ترافیک رمزنگاری‌شده شناسایی کند.

نمونه‌ها:

  • YouTube: کنترل دسترسی یا محدود کردن Streaming
  • Facebook: مدیریت استفاده از شبکه‌های اجتماعی
  • Microsoft365: اعمال سیاست‌های دسترسی برای سرویس‌های ابری سازمانی

این قابلیت باعث می‌شود تصمیم‌گیری فقط بر اساس آدرس سایت انجام نشود، بلکه نوع سرویس نیز در نظر گرفته شود.

 

3. Schedule-based Filtering (فیلتر مبتنی بر زمان)

در این روش، دسترسی کاربران بر اساس زمان یا بازه‌های مشخص مدیریت می‌شود. این قابلیت برای کنترل مصرف اینترنت و افزایش بهره‌وری سازمانی بسیار کاربردی است.

مثال:

  • دسترسی به شبکه‌های اجتماعی فقط خارج از ساعات کاری
  • فعال شدن محدودیت‌های خاص در ساعات اداری
  • محدودسازی سرویس‌های Streaming در زمان‌های پرترافیک شبکه

این نوع Policy به سازمان‌ها کمک می‌کند تعادل مناسبی بین نیاز کاربران و مدیریت منابع شبکه ایجاد کنند.

 

Application Control در کنار  Web Filtering

Sophos Web Filtering تعیین می‌کند کاربر به کدام سایت دسترسی داشته باشد، اما Application Control رفتار واقعی برنامه‌ها را تحلیل می‌کند.

نمونه‌های کاربردی

  • اجازه دسترسی به YouTube فقط برای محتوای آموزشی

سازمان می‌تواند دسترسی به محتوای آموزشی را مجاز کند و استفاده‌های غیرضروری را محدود کند.

  • مسدودسازی BitTorrent حتی در ارتباطات HTTPS

برخی برنامه‌ها از ترافیک رمزنگاری‌شده استفاده می‌کنند، اما Sophos می‌تواند نوع برنامه را تشخیص داده و آن را مسدود کند.

  • مدیریت شبکه‌های اجتماعی

امکان محدودسازی یا کنترل سرویس‌هایی مانند Facebook، Instagram یا پیام‌رسان‌ها بر اساس Policy وجود دارد.

  • کنترل سرویس‌های اشتراک فایل و Cloud Storage

سرویس‌هایی مانند Google Drive یا Dropbox می‌توانند برای انتقال داده سازمانی استفاده شوند و قابل کنترل هستند.

 

ترکیب Application Control و Sophos Web Filtering باعث می‌شود تصمیم‌گیری فقط بر اساس آدرس وب‌سایت انجام نشود، بلکه نوع برنامه، رفتار ترافیک و سطح ریسک نیز در نظر گرفته شود. این موضوع کنترل دقیق‌تر و امنیت بالاتری در شبکه‌های Enterprise ایجاد می‌کند.

 

Performance Optimization در Sophos XGS

در نسل جدید Sophos XGS، پردازش Web Filtering با استفاده از سخت‌افزار اختصاصی بهینه شده است؛ تا Firewall بتواند حجم بیشتری از ترافیک را بدون افت Performance مدیریت کند.

تکنولوژی‌ها:

  • Xstream Flow Processor

این پردازنده اختصاصی برای پردازش سریع ترافیک شبکه طراحی شده است. به‌جای اینکه تمام پردازش‌ها توسط CPU اصلی انجام شود، بخشی از عملیات مستقیماً به Xstream Processor منتقل می‌شود.

نتیجه:

  • پردازش سریع‌تر ترافیک
  • کاهش فشار روی CPU
  • بهبود عملکرد در ترافیک‌های سنگین

 

  • FastPath Processing

در برخی ارتباطات، نیازی نیست تمام بسته‌ها چندین بار بررسی شوند. FastPath مسیر پردازش را کوتاه‌تر می‌کند تا ترافیک سریع‌تر از Firewall عبور کند. Firewall برای ترافیک‌های قابل اعتماد (trusted)، مسیر سریع‌تری ایجاد می‌کند.

 

  • Hardware Offloading

برخی عملیات پردازشی سنگین به سخت‌افزار اختصاصی منتقل می‌شوند و دیگر مستقیماً توسط پردازنده اصلی انجام نمی‌شوند.

مثلاً:

  • پردازش TLS
  • رمزنگاری و رمزگشایی
  • بررسی بسته‌های شبکه
  • نتیجه استفاده از این قابلیت‌ها

استفاده از این مکانیزم‌ها در Sophos XGS باعث می‌شود:

  • کاهش Latency: کاهش تأخیر در ارتباطات شبکه
  • افزایش Throughput در HTTPS Inspection: مدیریت حجم بیشتری از ترافیک رمزنگاری‌شده
  • بهینه‌سازی CPU Usage: جلوگیری از افزایش غیرضروری مصرف پردازنده

Sophos XGS تلاش می‌کند قابلیت‌های امنیتی سنگین مانند Web Filtering و HTTPS Inspection را فعال نگه دارد، بدون اینکه کاربران کاهش محسوس Performance را تجربه کنند.

 

 Log Analysis و Troubleshooting

در فرآیند Sophos Web Filtering، بررسی لاگ‌ها و تحلیل مشکلات نقش مهمی در شناسایی رفتار ترافیک و رفع خطاهای دسترسی دارد. زمانی که کاربران با مشکلاتی مانند باز نشدن سایت یا خطاهای HTTPS مواجه می‌شوند، Log Analysis اولین نقطه برای بررسی علت مشکل است.

1. Log Viewer

در این بخش می‌توان موارد زیر را مشاهده کرد:

  • Blocked URL : وب‌سایت‌هایی که توسط Policy مسدود شده‌اند
  • Policy Match : مشخص می‌کند کدام Rule روی درخواست اعمال شده است
  • User Identity : شناسایی کاربر یا گروهی که درخواست را ارسال کرده است

 

2. Packet Capture

در سناریوهای پیچیده‌تر، از Packet Capture برای بررسی عمیق ترافیک شبکه استفاده می‌شود. این ابزار به‌ویژه در تحلیل مشکلات TLS Handshake و خطاهای ارتباطی HTTPS کاربرد دارد.

 

مشکلات رایج در Web Filtering

  • سایت باز نمی‌شود: معمولاً به دلیل اعمال Category Block یا محدودیت Policy رخ می‌دهد.
  • Certificate Error: معمولاً به دلیل نصب نشدن صحیح Root CA در سیستم کاربر است.
  • کندی در باز شدن سایت‌ها (Slow Browsing): ممکن است ناشی از فعال بودن Full HTTPS Inspection و افزایش سطح پردازش باشد.

نکته: در صورت نیاز به بررسی عمیق‌تر سناریوهای خطا و روش‌های مرحله‌به‌مرحله رفع مشکل، باید از نحوه Troubleshooting در Sophos Firewall مطلع شوید.

 

Best Practices برای Sophos Web Filtering

در پیاده‌سازی Sophos Web Filtering ، رعایت Best Practices نقش مهمی در افزایش امنیت، بهینه‌سازی Performance و جلوگیری از خطاهای ناخواسته در دسترسی کاربران دارد. تنظیم نادرست Web Policy می‌تواند باعث Block شدن سرویس‌های ضروری یا افزایش بار پردازشی Firewall شود.

 

1. استفاده از Policy Layered (طراحی چندلایه Policy)

به جای استفاده از یک Rule بزرگ و پیچیده، بهتر است Web Policyها به‌صورت چندلایه طراحی شوند. این کار باعث می‌شود مدیریت دسترسی کاربران ساده‌تر شده و عیب‌یابی نیز سریع‌تر انجام شود.

مزیت:

  • افزایش خوانایی Policyها
  • کاهش خطا در اعمال Rule
  • مدیریت بهتر کاربران و گروه‌ها

 

2. فعال‌سازی SSL Inspection به‌صورت Selective

اگرچه HTTPS Inspection دید امنیتی عمیقی فراهم می‌کند، اما فعال‌سازی کامل آن برای تمام ترافیک می‌تواند باعث افزایش مصرف منابع و کاهش Performance شود.

به همین دلیل توصیه می‌شود فقط برای دسته‌های پرریسک فعال شود، مانند:

  • وب‌سایت‌های ناشناخته
  • دسته‌بندی‌های Malware
  • ترافیک مشکوک یا غیرقابل اعتماد

 

3. تعریف Whitelist برای سرویس‌های حیاتی (Critical Applications)

برخی سرویس‌ها برای عملکرد سازمان حیاتی هستند و نباید تحت تأثیر Web Filtering قرار بگیرند. برای این سرویس‌ها بهتر است از Whitelist استفاده شود.

نمونه‌ها:

  • سرویس‌های بانکی
  • Microsoft 365
  • Cloud Services سازمانی

این کار از ایجاد اختلال در سرویس‌های حیاتی جلوگیری می‌کند.

 

4. استفاده از Monitor Mode قبل از Block Mode

در زمان طراحی Policyهای جدید، بهتر است ابتدا قوانین در حالت Monitor اجرا شوند. در این حالت فقط Log ثبت می‌شود و هیچ ترافیکی Block نمی‌شود.

پس از بررسی رفتار واقعی کاربران، می‌توان Policy را به حالت Block تغییر داد.

مزیت:

  • جلوگیری از Block اشتباه (False Positive)
  • امکان تحلیل رفتار واقعی کاربران
  • کاهش ریسک اختلال در شبکه