×
ข้ามไปยังเนื้อหาหลัก

การตั้งค่า Content Security Template บน Sangfor Network Secure

ปรับปรุงเมื่อ

บทความนี้อธิบายวิธีตั้งค่า Content Security Template บน Sangfor NGAF/NSF เพื่อกำหนดรูปแบบการควบคุม File Upload/Download

ขั้นตอนการตั้งค่า

1. ไปที่ Objects > Security Policy Template > Content Security กด Add

2. กำหนด:

  • Template Name: ตั้งชื่อ (เช่น "Block_Executables")
  • File Control: เลือก File Type ที่ต้องการ Block/Allow แยกตาม Direction (Upload/Download)
  • File Size Limit: กำหนดขนาดไฟล์สูงสุด
  • Action: Block หรือ Alert
NGAF web UI showing File Types dialog with file categories (movie, music, image, text), file extensions, and Max File Size settings

3. กด OK

URL Filter — Enhanced Filtering (Firmware 8.0.107+)

Firmware 8.0.107+: ในกล่อง Add Template ใต้ URL Filter มีหัวข้อ Enhanced Filtering ที่จัดการ DoH/DoT/ECH/Safe Search ได้โดยตรง — ใช้แก้ปัญหา HTTPS ที่ Block ไม่ได้เพราะ ECH หรือ Browser ที่ใช้ DoH ส่ง DNS Query แบบเข้ารหัส:

  • Enable DNS filtering — ตรวจ Site ที่กำหนดตอน DNS Lookup (ใช้กับ Site ใน Sites ของ Template เดียวกัน)
  • Disable DoH on Firefox — บังคับ Firefox ไม่ใช้ DoH ให้ DNS Query กลับเป็น UDP 53 ที่ NGAF ดักจับได้
  • Strip ECH parameters — ลบ ECH ใน TLS ClientHello เพื่อให้ SNI กลับมา Plaintext (ใช้แก้กรณีที่ Website ซ่อน Domain ผ่าน CDN)
  • Enable safe search — บังคับ Safe Search บน Google, Bing, YouTube (NGAF ต้องเข้า Internet หรือ DNS Server ได้เพื่อ Resolve Safe Search Domain)
  • Decrypt DoT/DoH traffic — Decrypt DNS-over-TLS / DNS-over-HTTPS เพื่อให้ NGAF เห็น Domain ใน Encrypted DNS Request ได้

ข้อกำหนดสำคัญสำหรับ Decrypt DoT/DoH (จากคู่มือ): ก่อนเปิด Decrypt DoT/DoH traffic ต้องติดตั้ง Root Certificate ที่เครื่อง Client ก่อน — กดปุ่ม Download Root Certificate ในหน้า Add Template เพื่อโหลด Cert แล้ว Deploy ไปที่ Client (ผ่าน GPO / MDM หรือผู้ใช้ติดตั้งเอง)

หาก Client ไม่มี Cert: DNS-encrypted Access จะ Fail ทั้งหมด และตัวเลือก 4 ข้อแรก (Enable DNS filtering / Disable DoH on Firefox / Strip ECH parameters / Enable safe search) จะใช้ไม่ได้ Sangfor ระบุใน Release Notes ว่ามีค่าใช้จ่าย Performance ประมาณ 20% เมื่อเปิด DoT/DoH Decryption

ดูบทความ "ไม่สามารถ Block บาง https website ได้เนื่องจาก ECH" สำหรับวิธี IPS Workaround ที่ใช้กับ Firmware 8.0.35–8.0.106 (ก่อนมี Native Option)

การใช้งาน

Apply Template ใน Policies > Network Security — เลือก Template ที่สร้างไว้ใน Content Security section

หมายเหตุ

  • สามารถสร้าง Template หลายตัวสำหรับ Policy ที่ต่างกัน
  • ต้องเปิด SSL Decryption หาก Traffic เป็น HTTPS

เกี่ยวข้องกับ

บทความที่เกี่ยวข้อง

ข้อคิดเห็น

0 ข้อคิดเห็น

โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น