Ir al contenido
Avanet

Probar reglas de Sophos Firewall con Log Viewer

Sophos Firewall

Una regla de firewall no debería simplemente guardarse, sino probarse de forma específica. Especialmente con filtrado web, TLS Inspection, NAT, IPS o User Matching, una regla puede parecer correcta en WebAdmin y aun así no aplicarse como se espera.

Para la prueba son útiles tres herramientas:

  • Log viewer para eventos reales y decisiones de reglas
  • Policy tester para la lógica web, firewall y SSL/TLS
  • Packet capture para el flujo real de paquetes

Antes de la prueba

Primero conviene definir exactamente qué se va a probar:

PuntoEjemplo
Source IP172.16.10.25
Usuariouser@domain.local
Source zoneLAN
Destinationhttps://www.example.com
ServiceHTTPS
Regla esperadaLAN_to_WAN_Clients
Action esperadapermitido, bloqueado, decrypted, no decrypted

Después, activar Log firewall traffic en la regla afectada. Sin logging, el Log Viewer solo ayuda de forma limitada.

Regla de Sophos Firewall con la opción Log firewall traffic activada
La opción Log firewall traffic debería estar activada en las reglas que se quieran probar o revisar más adelante.

Paso 1: Comprobar la posición de la regla

Abrir Rules and policies > Firewall rules y comprobar:

  • ¿Está la regla por encima de reglas más generales?
  • ¿Está activa?
  • ¿Está seleccionada la vista IPv4 o IPv6 correcta?
  • ¿Está en una Rule group adecuada?
  • ¿Hay Exclusions?
  • ¿Hay una regla creada automáticamente por encima?

Cuando se prueba una regla nueva, conviene restablecer el Usage Counter de la regla. Así se ve mejor si la regla se ha alcanzado realmente durante la prueba.

Paso 2: Abrir Log Viewer

Abrir el Log viewer en la esquina superior derecha de la consola WebAdmin.

Filtros útiles:

  • Module: Firewall
  • Source IP
  • Destination IP
  • Destination port
  • Rule ID
  • Rule name
  • Action
  • User

Para tráfico web, comprobar también:

  • Web filter
  • SSL/TLS inspection
  • Application filter
  • IPS

El Log Viewer se actualiza automáticamente. Para un análisis más tranquilo, se puede pausar la vista en directo, filtrar y luego reanudarla.

Paso 3: Reproducir la prueba

La prueba debe ejecutarse desde un cliente definido:

  • Abrir un sitio web
  • Enviar un ping
  • Probar un puerto
  • Iniciar una aplicación
  • Establecer una conexión VPN
  • Descargar un archivo

Si es posible, realizar solo una prueba a la vez. De lo contrario, los logs se mezclan.

Después comprobar:

  • ¿Aumenta el contador de la regla?
  • ¿Se ve un log en Log Viewer?
  • ¿Qué Rule ID se muestra?
  • ¿Qué NAT Rule ID se muestra?
  • ¿El tráfico se permite o se bloquea?
  • ¿Interviene alguna función de seguridad?

Paso 4: Usar Policy tester

El Policy tester ayuda a comprobar qué regla de firewall, SSL/TLS inspection rule o Web Policy se aplicaría teóricamente al tráfico web.

Ruta de menú:

Diagnostics > Tools > Policy tester

Entradas típicas:

  • URL
  • Usuario
  • Hora y día
  • Source IP
  • Source zone
  • Test method

Como Test method, seleccionar por ejemplo Firewall, SSL/TLS, and web si se quiere comprobar la combinación de regla de firewall, SSL/TLS inspection rule y Web Policy.

Sophos Firewall Policy tester con resultado aceptado
El Policy tester muestra aquí que la conexión desde la Source IP indicada sería permitida por la regla de firewall coincidente.

El Policy tester no muestra solo Accepted o Blocked, sino también la regla de firewall coincidente, el destino detectado, la Source zone y, según el método de prueba, información adicional web o SSL/TLS. Así se ve rápidamente si el tráfico termina en la regla esperada.

Sophos Firewall Policy tester con resultado Web Policy bloqueado
Para tráfico web, el Policy tester muestra además la evaluación de Web protection, la categoría y la Web Policy coincidente.

Importante:

⚠️ El Policy tester no sustituye una prueba real del flujo de paquetes. Sophos indica que los resultados del Policy tester no reflejan las SD-WAN routes. Por tanto, el comportamiento real puede variar si intervienen SD-WAN, routing o gateways.

El Policy tester es especialmente útil para:

  • Web Policy
  • Categorización de URL
  • Contexto de usuario
  • Schedule
  • SSL/TLS inspection rule
  • Matching de reglas de firewall para tráfico web

Es menos útil para:

  • decisiones reales de routing
  • ruta de retorno NAT
  • pérdida de paquetes
  • problemas de proveedor o switch
  • aplicaciones con múltiples conexiones y puertos

Paso 5: Usar Packet Capture

Si Log Viewer y Policy tester no bastan, usar Diagnostics > Packet capture.

Configurar un filtro estrecho, por ejemplo:

  • Source IP del cliente
  • Destination IP del servidor
  • Destination port
  • Protocolo

Después:

  1. Iniciar Packet Capture.
  2. Reproducir la prueba.
  3. Detener Packet Capture.
  4. Comparar eventos Incoming y Forwarded.
  5. Comparar Rule ID y NAT ID con Log Viewer.

Interpretación:

Observación¿Qué comprobar?
No llega ningún paqueteCliente, VLAN, switch, gateway, proveedor, Cloud Security Group
El paquete entra, pero no saleRegla de firewall, NAT, routing, función de seguridad
El paquete sale, pero falta la respuestaRuta de retorno, sistema de destino, NAT, firewall externo
El paquete tiene estado ViolationPolicy, IPS, filtro web, Application Control
NAT ID inesperadaOrden NAT y reglas NAT genéricas

Más información: Usar Packet Capture en WebAdmin.

Paso 6: Validar las funciones de seguridad por separado

Si coincide la regla correcta pero el tráfico no funciona, comprobar las funciones activadas.

Función¿Qué comprobar?
Web policyCategoría, usuario, schedule, orden de policies
Scan HTTP and decrypted HTTPSHTTPS solo se escanea si ya ha sido decrypted
SSL/TLS inspectionRegla coincidente, Decryption Profile, certificado CA en los clientes
IPSFirma, policy, falso positivo
Application ControlAplicación detectada, categoría, detección de cloud apps
Security HeartbeatEndpoint envía heartbeat, estado verde/amarillo/rojo
Traffic ShapingPolicy activa, aplicación o regla correcta
NATRegla SNAT/DNAT/PAT correcta, orden

Para HTTPS, una regla de firewall con filtrado web no basta para inspeccionar contenido HTTPS. También se necesita una SSL/TLS inspection rule adecuada con decryption y certificado CA distribuido.

Más información: Implementar TLS Inspection en Sophos Firewall paso a paso.

Paso 7: Comprobar archivos de log

Si las herramientas WebAdmin no bastan, comprobar los archivos de log correspondientes.

Archivos típicos:

TemaArchivo de log
Regla de firewallfirewall_rule.log
NATnat_rule.log
Conexiones de firewallfwlog.log
IPS y DPIips.log
Web Proxyawarrenhttp.log
IPsecstrongswan.log, charon.log
SSL VPNsslvpn.log
DNSdnsd.log, dnsgrabber.log
DHCPdhcpd.log

Hay una vista detallada aquí: Sophos Firewall Troubleshooting: servicios y logs.

Ejemplo: probar una regla web LAN a WAN

  1. Crear la regla de firewall LAN_to_WAN_Clients.
  2. Activar logging.
  3. Configurar Services en HTTP y HTTPS.
  4. Seleccionar Web Policy.
  5. Mantener activado Block QUIC protocol.
  6. Activar Scan HTTP and decrypted HTTPS.
  7. Crear una SSL/TLS inspection rule para el grupo de prueba.
  8. Instalar el certificado CA en el cliente de prueba.
  9. Restablecer el contador de la regla.
  10. Abrir un sitio web.
  11. Filtrar Log Viewer por Source IP.
  12. Ejecutar Policy tester para la misma URL.
  13. Si hay diferencias, iniciar Packet Capture.

Así se ve si la regla coincide, si HTTPS se descifra realmente y si intervienen Webfilter, IPS o Application Control.

Más información