Aller au contenu
Avanet

Configurer Sophos Firewall après le Setup Wizard

Sophos Firewall

Sophos Firewall est au cœur de l’une des meilleures plateformes de sécurité réseau au monde. Cet article décrit les étapes nécessaires pour mettre en service une nouvelle Sophos Firewall et la configurer correctement. Il couvre les prérequis, l’enregistrement de la firewall, l’intégration dans Sophos Central et l’activation des licences.

Bien sûr, c’est plus simple avec une vidéo, et Sophos en a déjà produit une assez utile.

Sophos Firewall : configuration de base et enregistrement

Prérequis pour la configuration

Avant de commencer la configuration de Sophos Firewall, quelques prérequis doivent être remplis :

  1. Connexion Internet active : la firewall a besoin d’une connexion Internet fonctionnelle pour l’enregistrement et la synchronisation des licences.
  2. Configuration DNS : un serveur DNS public, par exemple 8.8.8.8 (Google DNS), doit être configuré.
  3. Port 443 autorisé : le trafic sortant sur le port 443 doit être autorisé sur tous les équipements en amont.

Il est optionnel de créer au préalable un compte Sophos Central. Cet article montre aussi comment effectuer cette étape pendant la configuration.

Connexions et configuration réseau

Après avoir déballé la Sophos Firewall, par exemple un modèle XGS 118, il faut tenir compte des points suivants :

  1. Connexion WAN : connecter l’interface WAN au port 2 pour établir la connexion Internet.
  2. Connexion LAN : connecter l’interface LAN du port 1 à un appareil local. L’appareil reçoit automatiquement une adresse IP dans le sous-réseau 172.16.16.x.
  3. Interface de management (si disponible) : les modèles plus haut de gamme disposent souvent d’un port de management dédié (MGMT) avec l’adresse IP par défaut 10.0.1.1. Il est recommandé d’utiliser ce port pour la configuration de base.

Accès à l’interface web

Pour configurer Sophos Firewall, on accède au Web UI avec un navigateur. Selon l’interface utilisée, l’une des URL suivantes est utilisée :

  • Port LAN : https://172.16.16.16:4444
  • Port Management : https://10.0.1.1:4444

Lors du premier accès, un avertissement concernant le certificat auto-signé s’affiche et doit être accepté. La page d’accueil s’ouvre ensuite.

Première configuration avec le Setup Wizard

  1. Définir le mot de passe admin : un nouveau mot de passe doit être attribué et confirmé pour l’utilisateur admin.
  2. Mise à jour du firmware : si nécessaire, le dernier firmware est installé automatiquement pendant la configuration.
  3. Secure Storage Master Key : on crée un Master Key pour le stockage sécurisé, utilisé pour chiffrer les données sensibles. Cette clé doit être conservée dans un gestionnaire de mots de passe. Elle est notamment nécessaire lorsqu’un backup chiffré doit être restauré sur une nouvelle firewall. Si le Master Key est perdu, il peut être réinitialisé avec le mot de passe admin et un accès SSH. Les données ou backups protégés avec l’ancienne clé ne peuvent toutefois pas être restaurés automatiquement sans autre étape.

Vérification de la connexion Internet et du DNS

L’étape suivante vérifie si la firewall dispose d’une connexion Internet fonctionnelle. En cas de problème, les paramètres peuvent être ajustés manuellement. Il est recommandé d’utiliser un serveur DNS public comme 8.8.8.8.

Enregistrement de Sophos Firewall

Sophos Firewall peut être enregistrée immédiatement ou plus tard. Sans enregistrement, la firewall peut être utilisée jusqu’à 30 jours. L’enregistrement s’effectue via la plateforme Sophos Central.

Étapes d’enregistrement

  1. Revendiquer la firewall dans Sophos Central : après l’enregistrement, la firewall est revendiquée dans Sophos Central. Si aucun compte Sophos Central n’existe encore, il peut être créé directement pendant la configuration.
  2. Enregistrement OTP : l’enregistrement utilise un One-Time Password (OTP) fourni par Sophos Central.

Activation des licences

Après l’enregistrement, Sophos Firewall vérifie ses licences auprès du serveur de licences Sophos. Depuis octobre 2024, les licences sont normalement activées directement par Sophos lors de l’achat. Si la firewall dispose d’un accès Internet, elle récupère automatiquement les informations de licence actuelles.

Chez Avanet, le principe est similaire : lors de l’achat d’un abonnement Sophos Firewall, nous activons normalement les licences pour le client. Si une date de début précise est souhaitée lors de la commande, elle peut être prise en compte. Le serveur de licences Sophos dispose alors déjà des informations et la firewall peut reprendre automatiquement la licence après l’enregistrement.

Après la configuration, vérifier sous Administration > Licensing si Base License, Support et les subscriptions commandées sont affichés correctement. Si l’affichage n’est pas à jour, la synchronisation des licences peut être lancée manuellement avec le bouton de synchronisation.

Connexion à Sophos Central

Pour l’exploitation d’une seule Sophos Firewall, Sophos Central n’est pas obligatoire. La firewall peut être entièrement administrée localement via WebAdmin. Sophos Central apporte toutefois plusieurs avantages lorsque ces fonctions sont utilisées volontairement :

  • vue centralisée d’une ou plusieurs firewalls
  • accès de management via Sophos Central sans publier directement WebAdmin sur Internet
  • stockage des backups de configuration dans Sophos Central
  • Central Firewall Reporting avec données de logs et de rapports dans le cloud
  • selon la licence, conservation des logs plus longue et fonctions de reporting supplémentaires
  • Synchronized Security avec Sophos Endpoint, par exemple Security Heartbeat et réactions automatisées en cas d’appareils compromis

Important : la connexion au cloud n’est pas une obligation. Si l’on souhaite uniquement gérer une firewall locale, cela reste possible. Avec plusieurs produits Sophos ou plusieurs firewalls, Sophos Central apporte cependant beaucoup plus de visibilité.

Plus d’informations dans l’article Connecter Sophos Firewall à Sophos Central : avantages et limites.

Étapes de connexion à Sophos Central

  1. Firewall Management dans Sophos Central : dans le tableau de bord Sophos Central, sous “Firewall Management”, la firewall peut être ajoutée en saisissant son numéro de série.
  2. Authentification OTP : un code OTP est utilisé pour finaliser l’enregistrement.
  3. Activer les services : les services Sophos Central sont ensuite activés sur la firewall.

Fin de la configuration

Une fois la configuration terminée, la firewall redémarre. Après le redémarrage, les licences peuvent être vérifiées et activées à nouveau. Des backups automatiques de la configuration sont également configurés et envoyés chaque semaine par e-mail.

Ce qu’il faut faire après le Setup Wizard

Après le Setup Wizard, Sophos Firewall est joignable, enregistrée et globalement prête à l’emploi. Cela ne signifie pas que l’environnement est déjà correctement segmenté ou entièrement sécurisé. Le wizard crée une configuration de base, mais le travail de production commence ensuite : interfaces, zones, Device Access, DNS, DHCP, Firewall Rules, NAT, logs, backups et profils de protection doivent être vérifiés consciemment.

Sophos Firewall n’est pas un routeur grand public que l’on peut considérer comme terminé après le wizard. Elle peut très bien sécuriser un réseau, mais seulement si l’architecture est correcte : les zones doivent correspondre à la logique de sécurité, les accès de management doivent être restreints, les règles doivent être créées et documentées de manière intentionnelle, et les fonctions comme le filtrage web, IPS, Application Control ou TLS Inspection doivent être activées et testées de façon ciblée. Une firewall mal configurée peut donner un faux sentiment de sécurité.

Le premier endroit à consulter est le Control Center. On y voit l’état du système, le trafic, les informations utilisateurs et appareils, Active Threat Response, les Firewall Rules actives, les rapports et les indications comme les nouveaux firmware. Les avertissements et messages de cette zone ne doivent pas être simplement ignorés, mais utilisés comme checklist pratique pour la suite.

Vérifier firmware, licence et backup

Ouvrir Backup & firmware et vérifier si le firmware actif est à jour. Les mises à jour firmware sont importantes pour la sécurité, car elles apportent corrections de bugs, améliorations de stabilité et security fixes. Les mises à jour ne doivent pas être repoussées indéfiniment, mais elles ne doivent pas non plus être installées sans préparation.

Sophos Firewall fonctionne avec deux slots firmware. En cas de problème, il est donc possible de redémarrer sur une version précédente. Malgré cela, un backup manuel doit être créé avant tout changement important. Sur les firewalls de production, on planifie une fenêtre de maintenance et on vérifie les release notes, l’état HA, l’espace libre, les dépendances VPN et l’accessibilité externe.

Sous Backup & firmware, il faut également configurer un backup régulier. Les backups chiffrés nécessitent un mot de passe de backup. Pour restaurer des données sensibles, le Secure Storage Master Key est aussi important. Cette clé doit absolument être conservée dans un gestionnaire de mots de passe. Si elle est perdue, elle peut être réinitialisée via la console, mais les backups protégés existants ne peuvent plus être restaurés normalement avec la nouvelle clé.

Vérifier ensuite sous Administration > Licensing si l’enregistrement, Base License et les subscriptions commandées sont affichés correctement. Sans licence adaptée, de nombreuses fonctions de protection ne fonctionnent pas ou seulement de manière limitée. Pour les mises à jour, voir Sophos Firewall Firmware Update - préparation et bonnes pratiques et Mise à jour du firmware sur Sophos Firewall. Les backups sont détaillés dans Créer ou restaurer un backup Sophos Firewall.

Planifier proprement les zones et interfaces

Sur les appliances matérielles, le wizard peut regrouper plusieurs ports LAN dans une bridge. C’est pratique pour un démarrage rapide, mais ce n’est pas toujours la meilleure architecture cible. Sous Network > Interfaces, vérifier quels ports, VLANs, bridges ou LAGs sont réellement nécessaires.

Chaque interface est affectée exactement à une zone. Cette affectation détermine ensuite comment s’appliquent les Firewall Rules, Device Access et profils de protection. Les zones typiques en production sont par exemple LAN, Server, DMZ, Guest, VoIP, Management ou VPN. Chaque VLAN n’a pas forcément besoin de sa propre zone, mais chaque zone doit avoir une signification de sécurité claire.

Plus d’informations dans Planifier et configurer les zones et interfaces Sophos Firewall.

Sécuriser Device Access

Une erreur fréquente après la première configuration consiste à laisser trop d’accès de management. Les accès aux services locaux de la firewall, par exemple Web Admin, SSH, User Portal, DNS ou Ping, ne sont pas contrôlés par les Firewall Rules normales. C’est Administration > Device access qui s’en charge.

Pour les systèmes de production, HTTPS et SSH ne doivent pas être largement autorisés depuis des zones non sûres. Si un accès externe est nécessaire, il faut utiliser une Local service ACL exception rule et limiter l’accès à des adresses IP fixes ou à des réseaux de management définis. Sophos Central Firewall Management est souvent l’alternative la plus propre.

Plus d’informations dans Sécuriser l’accès Sophos Firewall : configurer correctement Device Access.

Vérifier DNS, DHCP et résolution de noms interne

Sous Network > DNS, on définit comment la firewall reçoit ses serveurs DNS : par DHCP, via les informations PPPoE du fournisseur ou statiquement. Pour les domaines internes, il faut utiliser DNS request routes, afin que les requêtes pour les zones internes soient envoyées au bon serveur DNS interne.

DHCP est configuré par interface sous Network > DHCP. Il est important d’aligner proprement les plages DHCP avec la structure des interfaces et VLANs. Si DHCP doit être relayé à travers des connexions VPN, la firewall peut également fonctionner comme DHCP Relay. Pour les domaines internes, Configurer DNS request routes sur Sophos Firewall est utile. Les options DHCP spéciales sont décrites dans Configurer Sophos Firewall DHCP Options.

Vérifier les premières règles Firewall et NAT

La règle Default-Outbound créée par le wizard ne doit pas être reprise aveuglément. Sous Rules and policies > Firewall rules, vérifier quelles zones source sont autorisées, quelles destinations doivent être joignables et quelles fonctions de sécurité sont actives. Les règles sont traitées de haut en bas ; la première règle correspondante gagne.

Pour NAT, il faut retenir que NAT n’autorise pas le trafic à lui seul. Une Firewall Rule correspondante est toujours nécessaire. Pour les nouvelles configurations, des règles NAT autonomes sont généralement plus lisibles que des Linked NAT Rules. Les bases sont expliquées dans Comprendre et configurer correctement les Sophos Firewall Rules et Comprendre NAT sur Sophos Firewall : SNAT, DNAT, MASQ, PAT. Pour publier un serveur interne, voir Publier un serveur avec DNAT sur Sophos Firewall.

Préparer logging et troubleshooting

Activer Log firewall traffic dans les Firewall Rules importantes, sinon les informations nécessaires au dépannage manquent souvent plus tard. Beaucoup ne le savent pas : si une Firewall Rule ne journalise pas, le trafic correspondant n’apparaît pas utilement dans Log Viewer. On voit éventuellement d’autres événements système, mais pas la décision de règle précise recherchée.

Sous System services > Log settings, on définit quels types de logs sont envoyés localement, vers des serveurs syslog ou vers Sophos Central. La firewall possède des fichiers de logs locaux et une base de données de reporting interne, mais ceux-ci ne sont pas conçus comme archive à long terme pour des semaines, mois ou années. Pour conserver les logs durablement ou les rechercher centralement, il faut un serveur syslog externe ou Sophos Central Firewall Reporting.

Pour Sophos Central, en résumé : avec une subscription firewall active, Central Firewall Reports est disponible pendant une période limitée. Avec Xstream Protection ou Central Orchestration, des analyses plus longues sont possibles. Sophos Central Firewall Reporting Advanced fournit davantage de stockage et une conservation nettement plus longue. Les détails sont décrits dans l’article dédié au reporting.

Pour les premières analyses, Log viewer, Policy tester et Packet capture suffisent généralement. Pour des analyses plus approfondies, on peut collecter des logs CLI, activer des debug logs ou utiliser tcpdump. Les debug logs doivent être activés de manière ciblée et limitée dans le temps, car ils génèrent beaucoup plus de données. Tester une Firewall Rule avec Log Viewer, Policy Test et Packet Capture montre comment tester les règles. Pour Packet Capture, les noms de services et les fichiers de logs, voir Utiliser Packet Capture dans WebAdmin et Comprendre les services et fichiers de logs Sophos Firewall. Pour envoyer les logs à Sophos Central ou les collecter pour le support, voir Activer Central Firewall Reporting et Sauvegarder les logs Sophos Firewall pour une analyse externe.

Support

Après la configuration de base, Sophos Firewall est fonctionnelle et prête à l’emploi. Il faut toutefois garder à l’esprit qu’à ce stade elle est loin d’être entièrement sécurisée. Le vrai travail commence maintenant : configuration des interfaces, zones, Firewall Rules, Intrusion Prevention Systems (IPS), création de policies et autres éléments sont indispensables pour obtenir une solution de sécurité réseau robuste.

Notre plan à long terme est de créer des vidéos détaillées pour chacune de ces étapes afin de faciliter la configuration et d’assurer la meilleure sécurité possible. En attendant, notre équipe support reste disponible pour aider à la configuration, l’optimisation ou la migration de Sophos Firewall.