Ir al contenido
Avanet

Sophos Firewall VLAN configuración y prueba

Sophos Firewall

Un VLAN en el Sophos Firewall es más que un VLAN ID. Para que la nueva red realmente funcione, la interfaz principal, el etiquetado de conmutadores, la zona, la dirección IP, DHCP, DNS, Device Access, las reglas de firewall y NAT deben coincidir.

El artículo describe el flujo genérico del firewall de Sophos y las decisiones operativas clave en torno a la segmentación, la zona, DHCP, las reglas y las pruebas. Cuando se trata de una implementación concreta con conmutadores UniFi, el artículo VLAN se adapta a Sophos Firewall y configura el conmutador UniFi. Para casos de puentes especiales según SFOS 22, Sophos Firewall Check bridge-VLANs según SFOS 22 es el mejor comienzo.

Respuesta corta

Se crea un VLAN en Sophos Firewall bajo Network > Interfaces > Add interface > Add VLAN. Después de eso normalmente necesitará:

  • una zona adecuada
  • una dirección IP estática como puerta de enlace
  • DHCP servidor o DHCP retransmisión
  • DNS diseño
  • Device Access para servicios de firewall locales
  • reglas de firewall para Internet, redes internas o servidores
  • Registro y un breve prueba de aceptación

Solo cuando un cliente de prueba muestra la dirección IP, la puerta de enlace, DNS, las conexiones permitidas, las conexiones bloqueadas y las entradas de registro apropiadas, se acepta limpiamente el VLAN.

Cuando un VLAN tiene sentido

VLANs separa lógicamente las redes de Capa 2 entre sí. En Sophos Firewall, a menudo se utilizan para enrutar múltiples redes a través del mismo enlace ascendente físico o un LAG.

Aplicaciones típicas:

  • Separar la red del cliente y la red del servidor
  • Aislar el invitado WLAN del interno LAN
  • Colocar los teléfonos VoIP en su propia red
  • Limitar IoT, cámaras o impresoras
  • Red de administración para PC de administración, conmutadores y monitoreo crear
  • DMZ o red de servidor principal a través de un enlace ascendente de conmutador común

. Sin embargo, un VLAN no reemplaza las reglas de firewall. Garantiza la separación técnica en la Capa 2. El Sophos Firewall decide si el tráfico está permitido entre VLANs a través de zonas, enrutamiento, reglas de firewall, NAT y políticas de seguridad.

VLAN planificación de arquitectura

La pregunta más importante no es cómo crear un VLAN. La pregunta más importante es qué áreas de seguridad debería haber en la red. Surgen muchos problemas porque los VLANs se crean de forma puramente técnica: VLAN 10, VLAN 20, VLAN 30. Después de unos meses, nadie sabe qué comunicación debería permitirse y por qué se desconectaron determinadas redes.

Recomendamos planificar a VLANs primero en función del riesgo, la función y la responsabilidad operativa. Una buena estructura inicial suele verse así:

RangoDispositivos típicos¿Por qué desconectar?
GestiónPC de administración, conmutadores, puntos de acceso, monitoreo, controladoresEl acceso a las interfaces de administración debe controlarse muy de cerca.
ClientesDispositivos de estaciones de trabajo, portátiles, dispositivos de usuario normalRed estándar con acceso a Internet y versiones internas específicas.
ServidorControladores de dominio, servidores de archivos, servidores de aplicacionesNo se debe poder acceder directamente a los servidores desde todas las redes de clientes.
InvitadosInvitado WLAN, dispositivos externosNo hay acceso a los sistemas internos, principalmente solo a Internet.
IoT y cámarasCámaras, impresoras, sensores, tecnología de construcciónMuchos dispositivos tienen modelos de seguridad y actualización débiles.
VoIPTeléfonos, PBX, SBCQoS, opciones propias de DHCP y una accesibilidad clara son útiles.
BackupServidores de backup, repositorios, almacenamiento inmutableProtección contra ransomware y movimiento lateral.
DMZSistemas de acceso público o proxies inversosÁrea separada para servicios expuestos.

Este no es un esquema rígido. Una oficina pequeña no necesita necesariamente diez VLANs. Sin embargo, un entorno con múltiples ubicaciones, servidores, WLANs, cámaras, sistemas de respaldo y acceso externo no debería poner todo en un gran LAN.

Clasificar la microsegmentación de manera realista

La microsegmentación no significa que cada dispositivo necesite su propio VLAN. En la práctica, el mejor comienzo suele ser una segmentación macro limpia: los clientes, servidores, administración, invitados, IoT, respaldo y DMZ están separados. De este modo, los sistemas especialmente críticos se pueden segmentar con mayor precisión.

Ejemplos para una segmentación más precisa:

  • Coloque el controlador de dominio en su propia subred de servidor.
  • Haga que los sistemas de respaldo solo sean accesibles desde unas pocas fuentes.
  • Permitir la red de cámaras solo a NVR o VMS.
  • Haga que las impresoras solo sean accesibles a través de servidores de impresión o redes de clientes definidas.
  • Gestión-VLAN solo abierto para dispositivos de administración y monitoreo.

Es importante: Cada separación adicional también genera costos operativos. Necesita reglas, registros, pruebas, documentación y alguien que mantenga las excepciones. Una buena segmentación no es lo más complicada posible, sino más bien comprensible y verificable.

Preparación para ZTNA y acceso moderno

Una estructura VLAN limpia también ayuda más adelante con ZTNA, VPN, SASE u otros conceptos de acceso. Si las aplicaciones internas ya están ubicadas en servidores claros o redes de aplicaciones, el acceso se puede publicar de manera más específica y no es necesario liberar un LAN plano completo.

Para ZTNA es particularmente útil:

  • los servidores de aplicaciones están en redes de servidores conocidas.
  • El acceso de administración está separado del tráfico normal del cliente.
  • DNS los nombres y las rutas internas están claramente documentados.
  • Las reglas del firewall muestran qué usuarios o grupos de ubicación requieren qué objetivos.
  • Las antiguas reglas de tarifa fija LAN to LAN o Any to Any serán desmanteladas.

Si utiliza Sophos ZTNA más adelante, puede comenzar a través de Planificar y crear Sophos ZTNA gateway. La planificación VLAN no es un requisito necesario para esto, pero hace que las operaciones posteriores sean mucho más limpias.

¿Cuántos VLANs necesitas?

No hay un número correcto fijo. Debe crear VLANs donde sea necesaria su propia decisión de seguridad.

PreguntaSi es así, ¿eso sugiere su propia VLAN
¿La red necesita otras reglas de firewall?Planifica tu propia zona o al menos tu propio objeto VLAN.
¿Debería Device Access ser diferente?Tu propia zona a menudo tiene sentido.
¿Hay otras opciones DHCP?Tu propio VLAN suele estar más limpio.
¿Se debe registrar o monitorear el tráfico por separado?El propio VLAN mejora la evaluación y la resolución de problemas.
¿Los dispositivos tienen un riesgo significativamente diferente?La separación tiene sentido, por ejemplo IoT, invitados, respaldo.
¿Existen otros responsables?Su propio VLAN facilita la operación y la documentación.

Pero no deberías forzar inmediatamente cada pequeño tema especial a un nuevo VLAN. Si dos redes de clientes obtienen exactamente las mismas reglas, la misma política web y el mismo Device Access, una zona común con objetos de red claros puede ser suficiente.

Planifique con anticipación

Antes de crear, el VLAN debe documentarse brevemente. No es necesario que sea un gran plan de red, pero los valores más importantes deben quedar claros.

CampoEjemplo
VLAN NombreClients
VLAN ID100
Subred10.100.0.0/24
Puerta de enlace en Sophos Firewall10.100.0.1
Interfaz principalPort3 o LAG1
ZonaClient , LAN, Guest , Server o DMZ
DHCPSophos Firewall, DHCP Retransmisión o servidor externo
DNSFirewall, servidor DNS interno o diseño deliberadamente diferente
FinalidadClientes de estaciones de trabajo con acceso a Internet

La zona es especialmente importante. Esta configuración afecta posteriormente a las reglas de firewall, Device Access, políticas web, IPS, registros y solución de problemas. Sophos Firewall Configurar zonas e interfaces es adecuado para la planificación básica de zonas.

Comprensión de la interfaz principal y el etiquetado de conmutadores

La interfaz principal es el puerto físico, puente o LAG en el que Sophos Firewall recibe los paquetes VLAN etiquetados. El ID VLAN en Sophos Firewall debe coincidir exactamente con lo que envía el conmutador en este enlace.

Diseños típicos:

DiseñoDescripción
Puerto físico como troncalUn enlace ascendente de conmutador transporta varios VLANs etiquetados al firewall.
LAG como troncalVarios puertos físicos forman un LAG, en el que se encuentran varias interfaces VLAN.
Puerto de acceso sin etiqueta VLANUn dispositivo terminal cuelga sin etiquetar en un VLAN; el etiquetado ocurre en el conmutador, no en el cliente.
Puente con VLANsCaso especial, verifique cuidadosamente especialmente para migraciones o diseños transparentes.

Si una PC cliente normal está conectada directamente a un puerto de conmutador, normalmente envía sin etiquetar. Luego, el conmutador asigna este puerto a VLAN. El Sophos Firewall solo ve el VLAN en el enlace ascendente cuando el conmutador transporta el VLAN etiquetado al firewall.

¿Puertos individuales o VLAN troncal a través de LAG?

Teóricamente puedes usar tu propio puerto de firewall físico por VLAN. Esto es comprensible para instalaciones muy pequeñas, pero no se escala correctamente. Los puertos escasean, el cableado se vuelve confuso y los cambios de zonas, switch o HA se vuelven más tediosos posteriormente.

En entornos productivos, el diseño de un troncal suele ser más limpio:

  1. El Sophos Firewall está conectado a uno o más conmutadores centrales.
  2. Un puerto físico o un LAG transporta múltiples VLANs etiquetados.
  3. En el firewall, se crean interfaces VLAN separadas en esta interfaz principal para cada VLAN.
  4. El firewall sigue siendo la puerta de enlace predeterminada para los VLANs y decide las políticas de enrutamiento y seguridad.

Nuestra variante preferida suele ser un LAG con dos enlaces ascendentes rápidos, por ejemplo 2x SFP+, siempre que el firewall y los conmutadores lo admitan. Los VLANs luego se ejecutan en él como interfaces etiquetadas. Esto no significa automáticamente el doble de velocidad para una sola sesión, pero sí proporciona más redundancia, más reservas y un diseño más claro que muchos puertos de cobre individuales por VLAN.

DiseñoVentajaDesventaja
Pro VLAN su propio puerto de firewallfácil de entender, se requiere poco VLAN conocimientoescala mal, muchos puertos, cableado confuso
Un puerto troncal con VLANssimple, limpio, pocos cablesEl enlace ascendente es un único punto de falla
LAG con VLAN troncalredundante, limpio, fácilmente escalableEl switch y el firewall deben LAG/LACP ser compatibles correctamente
Enrutamiento en el conmutador centralmuy eficaz en redes grandesEl firewall ya no ve completamente el tráfico interno de este a oeste

Para muchas redes medianas y PYME, Firewall como puerta de enlace predeterminada para los VLANs es la mejor decisión de seguridad. Luego, el tráfico interno entre VLANs se ejecuta a través de Sophos Firewall y se puede controlar con reglas de firewall, IPS, políticas web, registros y funciones de seguridad posteriores. El enrutamiento en el conmutador central puede resultar útil si se requiere un rendimiento interno este-oeste muy alto. Pero luego hay que aceptar conscientemente que el firewall ya no ve todas las comunicaciones internas.

Como regla general:

  • Orientado a la seguridad y claro: VLAN puertas de enlace en Sophos Firewall.
  • Rendimiento interno muy alto: Verifique el enrutamiento en el conmutador central, pero agregue zonas de seguridad y ACL de manera limpia.
  • Nuevas instalaciones: Enrute VLANs al firewall vía troncal o LAG, no desperdicie ni un solo puerto por VLAN.
  • Sitios pequeños: Un solo puerto troncal puede ser suficiente si no se requiere redundancia.

Conceptos erróneos comunes:

  • El VLAN se crea en el firewall, pero el enlace ascendente del conmutador no lo transporta.
  • El VLAN está etiquetado en el puerto de acceso, aunque el cliente espera que no esté etiquetado.
  • El ID VLAN no coincide en el conmutador y el firewall.
  • El VLAN se creó en la interfaz principal incorrecta.
  • La interfaz principal se operó como un puerto de acceso normal en lugar de como un troncal.

Crear interfaz VLAN

Ruta del menú:

Network > Interfaces > Add interface > Add VLAN

Procedimiento:

  1. Asignar nombre, por ejemplo Clients VLAN 100.
  2. Seleccione la interfaz principal como Interfaz, por ejemplo Port3 o LAG1.
  3. Zona de red seleccione conscientemente.
  4. Introduzca VLAN ID, por ejemplo 100.
  5. En Configuración IPv4 normalmente se utiliza Static .
  6. Introduzca la dirección IP y la máscara de subred, por ejemplo 10.100.0.1/24.
  7. Guardar.

Para VLANs internos, la IP del firewall suele ser la puerta de enlace predeterminada de los clientes. Si otro sistema está enrutando o el firewall solo ve ciertas redes, este diseño debe documentarse explícitamente. De lo contrario, buscará reglas de firewall más adelante, aunque el cliente no esté usando Sophos Firewall como puerta de enlace.

DHCP y DNS configurados

Después de la interfaz VLAN, se necesita una decisión para asignar direcciones.

VarianteCuando sea útil
DHCP en Sophos Firewallubicaciones simples, cliente, invitado, IoT o redes VoIP
DHCP Retransmisiónservidor central de Windows DHCP o infraestructura DHCP existente
servidor DHCP externo en el VLANCaso especial cuando un servidor es responsable directamente en VLAN
IP estáticasservidores pequeños, redes de administración o infraestructura

DHCP en Sophos Firewall se crea en Network > DHCP. La interfaz, el rango, la puerta de enlace, el servidor DNS y el dominio de búsqueda son importantes. Las opciones especiales como PXE, VoIP o valores específicos del fabricante se describen en Sophos Firewall DHCP Opciones de configuración.

Al diseñar el DNS, debe decidir claramente si los clientes utilizan el Sophos Firewall como reenviadores DNS o preguntan directamente a los servidores internos DNS. Cuando el firewall actúa como un reenviador DNS, los dominios internos a menudo deben reenviarse a los servidores DNS correctos a través de DNS Solicitar rutas en Sophos Firewall.

Device Access check

Device Access controla los servicios locales del Sophos Firewall. Esto no es lo mismo que una regla de firewall entre VLANs.

Ejemplos típicos:

  • Los clientes deben usar el firewall como servidor DNS: permita DNS para la zona.
  • La solución de problemas debería permitir hacer ping en el firewall: habilite conscientemente Ping/Ping6.
  • El cliente normal, invitado o IoT VLANs no debe tener acceso WebAdmin o SSH.
  • El acceso de administración debe realizarse a través de una red de administración dedicada o reglas de excepción de ACL de servicio local.

El procedimiento exacto está en Sophos Firewall Acceso seguro: configurar Device Access correctamente.

reglas de firewall y NAT complementan

Un nuevo VLAN necesita entonces reglas de firewall apropiadas. Sin una regla, un cliente puede obtener una dirección IP, pero no automáticamente en Internet u otras redes internas.

Una primera regla simple de Internet podría verse así:

CampoEjemplo
Nombre de reglaClients_to_WAN
Zonas de origenClient o LAN
Redes de origenVLAN red, por ejemplo 10.100.0.0/24
Zonas de destinoWAN
Redes de destinoAny
Serviciosservicios requeridos conscientemente, no automáticamente Any
Registrar el tráfico del firewallactivado

Se deben crear reglas separadas para el acceso interno. No se debe permitir la entrada de un invitado, IoT o cámara VLAN al servidor o a la red de administración en todos los ámbitos. La planificación de reglas se describe con más detalle en Sophos Firewall-Comprensión y configuración de reglas de forma segura.

NAT no es necesario para cada tráfico VLAN. Para el acceso normal a Internet, a menudo se utiliza la regla existente MASQ o SNAT. Entre VLANs NAT internos suele ser incorrecto porque los sistemas de destino ya no ven la IP real del cliente. La clasificación está en NAT entender Sophos Firewall: SNAT, DNAT, MASQ, PAT.

Prueba de aceptación

Un VLAN solo está listo cuando se prueba el flujo de paquetes. Un solo ping no es suficiente.

Secuencia de prueba útil:

  1. Conecte el cliente de prueba al puerto del conmutador o SSID deseado.
  2. Compruebe si el cliente recibe una dirección IP del VLAN correcto.
  3. Verifique la puerta de enlace, el servidor DNS y el dominio de búsqueda.
  4. Haga ping a la IP del firewall en VLAN si el ping está permitido.
  5. DNS Resolución de prueba para nombres internos y externos.
  6. Prueba de acceso a Internet permitido.
  7. La prueba permitió el acceso interno, si se proporciona.
  8. Pruebe deliberadamente el acceso interno no permitido y verifique el bloqueo en Log Viewer.
  9. En Log Viewer Verifique el ID de la regla, la zona de origen, la zona de destino y el ID de NAT.
  10. Si no está claro, utilice Captura de paquetes en la interfaz VLAN.

Para la evaluación con Log Viewer, Prueba de política y Packet Capture, Sophos Firewall Regla de prueba con Log Viewer, Prueba de política y Packet Capture es adecuada.

Errores típicos

ErrorSíntomaSiguiente verificación
VLAN no permitido en el enlace ascendente del conmutadorEl cliente no obtiene una IP o no llega a la puerta de enlaceVerifique el troncal/etiquetado VLAN en el conmutador
Interfaz principal incorrectaEl firewall no ve el tráficoCompara VLAN la interfaz y el cableado físico
Puerto del cliente etiquetado en lugar de sin etiquetarLos clientes normales no terminan en el VLANVerifica el puerto de acceso o el perfil nativo VLAN
DHCP respuestas DHCP faltantes o incorrectasEl cliente no obtiene ninguna IP o es incorrectaDHCP y verifica Packet Capture para UDP 67/68
DNS Device Access faltaEl tráfico IP funciona, la resolución del nombre no esDevice Access y verifica el cliente DNS
Zona incorrecta seleccionadaLas reglas o políticas no funcionan como se esperabaComparar zona de interfaz y reglas de firewall
Falta la regla de firewallEl cliente tiene IP, pero el tráfico está bloqueadoLog Viewer y la ID de la regla verifican
NAT entre los VLANs internossistemas de destino ven la IP de origen incorrectaverifican las reglas NAT y planifican las excepciones internas NAT

Si una regla no coincide, el problema suele estar en la zona, la red de origen, la puerta de enlace o el etiquetado del conmutador. El artículo Sophos Firewall la regla no se aplica: verifique las causas ayuda con la distinción.

Comprobación operativa

Para VLANs productivos, no sólo la configuración inicial debe ser correcta. Es fundamental que los administradores posteriores puedan comprender por qué existe VLAN y qué reglas le pertenecen.

Debe documentar:

  • VLAN ID, nombre y subred
  • Interfaz principal y enlace ascendente del conmutador
  • Zona y propósito de seguridad
  • DHCP fuente y DNS servidor
  • zonas objetivo permitidas y servicios
  • NAT decisión
  • propietario responsable
  • cliente de prueba o procedimiento de prueba
  • fecha de la última verificación de regla

Para entornos más grandes, también vale la pena una matriz de acceso simple. Una matriz de este tipo muestra qué VLANs pueden hablar entre sí y cuáles permanecen deliberadamente separados.

Una matriz de acceso simple puede verse así:

DesdeDespués deDecisión
ClientesInternetpermitido con Política Web, DNS Protección y Registro
ClientesServidorsolo los definidos Puertos de aplicaciones
InvitadosInternosbloqueados
IoTInternetsolo objetivos y puertos requeridos
IoTServidorsolo para NVR, servidor de impresión o sistemas de gestión
GestiónInfraestructurapermitido para protocolos de administración
Copia de seguridadServidorespecíficamente permitido, limita fuertemente la dirección inversa

Esta matriz suele ser más importante que la lista VLAN misma. Esto evita que posteriormente se creen reglas generales que realmente anulen la segmentación.

Preguntas frecuentes

¿Cómo se configura un VLAN en Sophos Firewall?

Crea una nueva interfaz VLAN en Network > Interfaces > Add interface > Add VLAN, selecciona la interfaz principal correcta, establece VLAN ID, zona y dirección IP y luego agrega DHCP, Device Access, reglas y pruebas de firewall.

¿Cada VLAN necesita su propia zona?

No necesariamente. Una zona separada tiene sentido si un VLAN necesita un nivel de confianza diferente, reglas de acceso a dispositivos diferentes o sus propias políticas de firewall. También pueden estar en la misma zona varios VLANs con políticas idénticas.

¿El enrutamiento entre VLANs debe pasar por el firewall o por el switch?

Para redes relevantes para la seguridad, el enrutamiento a través de Sophos Firewall suele ser mejor porque las reglas, registros y políticas de seguridad tienen efecto de forma centralizada. El enrutamiento en el conmutador central puede tener sentido si hay un tráfico muy alto de este a oeste, pero luego debe protegerse con ACL, monitoreo y documentación clara.

¿Es un LAG con múltiples VLANs mejor que un puerto por VLAN?

Para los entornos más productivos, una troncal VLAN es más limpia que una LAG. Ahorra puertos, reduce cables, aumenta la redundancia y puede controlar muchos VLANs a través de la misma conexión de firewall. Un puerto por VLAN es más adecuado para configuraciones muy pequeñas o temporales.

¿Por qué el cliente no obtiene una dirección IP en VLAN?

A menudo, no se permite etiquetar VLAN en el enlace ascendente del conmutador, el puerto del cliente está asignado incorrectamente, falta DHCP u otro servidor DHCP está respondiendo. Un Packet Capture en DHCP 67/68 a menudo ayuda más rápido que hacer clic nuevamente en WebAdmin.

¿Tiene que activarse NAT entre los VLANs internos?

Mayormente no. Entre los VLANs internos normalmente se deben enrutar y permitir o bloquear mediante reglas de firewall. NAT entre redes internas dificulta los registros, las rutas de retorno y la resolución de problemas.

¿Por qué funciona Internet pero no hay acceso a los servidores internos?

Entonces probablemente haya una regla LAN-to-WAN que funcione, pero no hay una regla coincidente desde VLAN a la zona del servidor. Verifique la zona de origen, la zona de destino, la red de origen, el objeto de destino, el servicio y el ID de regla en Log Viewer.