Aller au contenu
Avanet

Sophos Firewall VLAN paramétrer et tester

Sophos Firewall

Un VLAN sur le Sophos Firewall est plus qu’un VLAN ID. Pour que le nouveau réseau fonctionne réellement, l’interface parent, le marquage des commutateurs, la zone, l’adresse IP, DHCP, DNS, Device Access, les règles de pare-feu et NAT doivent correspondre.

L’article décrit le flux générique du pare-feu Sophos et les décisions opérationnelles clés concernant la segmentation, la zone, DHCP, les règles et les tests. Lorsqu’il s’agit d’une implémentation concrète avec les commutateurs UniFi, l’article VLAN s’adapte à Sophos Firewall et configure le commutateur UniFi. Pour les cas de pont spéciaux selon SFOS 22, Sophos Firewall Vérifier le pont-VLANs selon SFOS 22 est le meilleur début.

Réponse courte

Un VLAN est créé sur le Sophos Firewall sous Network > Interfaces > Add interface > Add VLAN. Ensuite, vous avez généralement besoin de :

  • une zone appropriée
  • une adresse IP statique comme passerelle
  • DHCP serveur ou DHCP relais
  • DNS conception
  • Device Access pour les services de pare-feu locaux
  • règles de pare-feu pour Internet, les réseaux internes ou les serveurs
  • Journalisation et un court test d’acceptation

Ce n’est que lorsqu’un client de test affiche l’adresse IP, la passerelle, DNS, les connexions autorisées, les connexions bloquées et les entrées de journal appropriées que le VLAN est proprement accepté.

Lorsqu’un VLAN a du sens,

VLAN séparent logiquement les réseaux de couche 2 les uns des autres. Sur le Sophos Firewall, ils sont souvent utilisés pour acheminer plusieurs réseaux sur la même liaison montante physique ou un LAG.

Applications typiques :

  • Séparer le réseau client et le réseau serveur
  • Isoler l’invité WLAN de l’interne LAN
  • Placer VoIP les téléphones dans leur propre réseau
  • Limiter l’IoT, les caméras ou les imprimantes
  • Réseau de gestion pour les PC d’administration, les commutateurs et la surveillance créer
  • DMZ ou réseau de serveurs principaux via une liaison montante de commutateur commune

Cependant, un VLAN ne remplace pas les règles de pare-feu. Il garantit la séparation technique sur la couche 2. L’autorisation du trafic entre VLANs est ensuite décidée par le Sophos Firewall via les zones, le routage, les règles de pare-feu, NAT et les politiques de sécurité.

VLAN architecture de planification

La question la plus importante n’est pas de savoir comment créer un VLAN. La question la plus importante est de savoir quelles zones de sécurité devraient-il y avoir dans le réseau. De nombreux problèmes surviennent car les VLAN sont créés de manière purement technique : VLAN 10, VLAN 20, VLAN 30. Au bout de quelques mois, personne ne sait quelles communications doivent être autorisées et pourquoi certains réseaux ont été déconnectés.

Nous recommandons de planifier d’abord les VLAN en fonction du risque, de la fonction et de la responsabilité opérationnelle. Une bonne structure de départ ressemble souvent à ceci :

GammeAppareils typiquesPourquoi se déconnecter ?
GestionPC d’administration, commutateurs, points d’accès, surveillance, contrôleursL’accès aux interfaces d’administration doit être très étroitement contrôlé.
ClientsPostes de travail, ordinateurs portables, appareils utilisateur normauxRéseau standard avec accès Internet et versions internes ciblées.
ServeurContrôleurs de domaine, serveurs de fichiers, serveurs d’applicationsLes serveurs ne doivent pas être directement accessibles depuis chaque réseau client.
InvitésInvité WLAN, appareils externesAucun accès aux systèmes internes, principalement uniquement Internet.
IoT et camérasCaméras, imprimantes, capteurs, technique du bâtimentDe nombreux appareils ont des modèles de mise à jour et de sécurité faibles.
VoIPLes téléphones, PBX, SBCQoS, vos propres options DHCP et une accessibilité claire sont utiles.
SauvegardeSauvegarde des serveurs, référentiels, stockage immuableProtection contre les ransomwares et les mouvements latéraux.
DMZSystèmes accessibles au public ou proxys inversesZone séparée pour les services exposés.

Ce n’est pas un schéma rigide. Un petit bureau n’a pas nécessairement besoin de dix VLAN. Cependant, un environnement comportant plusieurs emplacements, serveurs, WLAN, caméras, systèmes de sauvegarde et accès externes ne devrait pas tout regrouper dans un seul grand LAN.

Classer la micro-segmentation de manière réaliste

La micro-segmentation ne signifie pas que chaque appareil a besoin de son propre VLAN. En pratique, le meilleur début est généralement une segmentation propre des macros : les clients, les serveurs, la gestion, les invités, l’IoT, la sauvegarde et DMZ sont séparés. Les systèmes particulièrement critiques peuvent alors être segmentés plus finement.

Exemples pour une segmentation plus fine :

  • Placez le contrôleur de domaine dans son propre sous-réseau de serveur.
  • Rendre les systèmes de sauvegarde accessibles uniquement à partir de quelques sources.
  • Autoriser le réseau de caméras uniquement vers NVR ou VMS.
  • Rendre les imprimantes accessibles uniquement via des serveurs d’impression ou des réseaux clients définis.
  • Gestion-VLAN ouvert uniquement pour les appareils d’administration et la surveillance.

C’est important : Chaque séparation supplémentaire génère également des coûts d’exploitation. Il a besoin de règles, de journaux, de tests, de documentation et de quelqu’un pour gérer les exceptions. Une bonne segmentation n’est pas aussi compliquée que possible, mais plutôt compréhensible et vérifiable.

Préparation pour ZTNA et accès moderne

Une structure VLAN propre est également utile plus tard avec ZTNA, VPN, SASE ou d’autres concepts d’accès. Si les applications internes se trouvent déjà dans des réseaux de serveurs ou d’applications clairs, l’accès peut être publié de manière plus spécifique et vous n’avez pas besoin de libérer un appartement complet LAN.

Pour ZTNA, cela est particulièrement utile :

  • les serveurs d’applications se trouvent dans des réseaux de serveurs connus.
  • L’accès à la gestion est séparé du trafic client normal.
  • DNS les noms et les routes internes sont clairement documentés.
  • Les règles de pare-feu indiquent quels utilisateurs ou groupes d’emplacements nécessitent quelles cibles.
  • Les anciennes règles forfaitaires LAN to LAN ou Any to Any seront supprimées.

Si Sophos ZTNA est utilisé ultérieurement, vous pouvez commencer via Planifier et créer une passerelle Sophos ZTNA. La planification VLAN n’est pas une condition nécessaire pour cela, mais elle rend les opérations ultérieures beaucoup plus propres.

De combien de VLAN avez-vous besoin ?

Il n’y a pas de numéro correct fixe. Vous devez créer des VLANs où votre propre décision de sécurité est nécessaire.

QuestionSi oui, cela suggère-t-il ses propres VLAN
Le réseau a-t-il besoin d’autres règles de pare-feu ?Planifiez votre propre zone ou au moins votre propre VLAN objet.
Device Access devrait-il être différent ?Votre propre zone a souvent du sens.
Existe-t-il d’autres options DHCP ?Votre propre VLAN est généralement plus propre.
Le trafic doit-il être enregistré ou surveillé séparément ?Own VLAN améliore l’évaluation et le dépannage.
Les appareils présentent-ils un risque significativement différent ?La séparation a du sens, par exemple IoT, invités, sauvegarde.
Y a-t-il d’autres parties responsables ?Votre propre VLAN facilite l’utilisation et la documentation.

Mais vous ne devriez pas immédiatement forcer chaque petit sujet spécial dans un nouveau VLAN. Si deux réseaux clients ont exactement les mêmes règles, la même politique web et le même Device Access, une zone commune avec des objets réseau clairs peut suffire.

Planifier à l’avance

Avant de créer, le VLAN doit être brièvement documenté. Il n’est pas nécessaire qu’il s’agisse d’un grand plan de réseau, mais les valeurs les plus importantes doivent être claires.

ChampExemple
VLAN NomClients
VLAN ID100
Sous-réseau10.100.0.0/24
Passerelle sur Sophos Firewall10.100.0.1
Interface ParentPort3 ou LAG1
ZoneClient , LAN, Guest , Server ou DMZ
DHCPSophos Firewall, DHCP Relais ou serveur externe
DNSPare-feu, serveur DNS interne ou conception volontairement différente
ObjectifClients de poste de travail avec accès à Internet

La zone est particulièrement importante. Ce paramètre affecte ultérieurement les règles de pare-feu, Device Access, les politiques Web, IPS, les journaux et le dépannage. Sophos Firewall Configurer les zones et les interfaces convient à la planification de base des zones.

Comprendre l’interface parent et le balisage des commutateurs

L’interface parent est le port physique, le pont ou le LAG sur lequel le Sophos Firewall reçoit les paquets VLAN balisés. L’ID VLAN sur le Sophos Firewall doit correspondre exactement à ce que le commutateur envoie sur ce lien.

Conceptions typiques :

ConceptionDescription
Port physique comme jonctionUne liaison montante de commutateur transporte plusieurs VLAN marqués vers le pare-feu.
LAG comme trunkPlusieurs ports physiques forment un LAG, sur lequel se trouvent plusieurs interfaces VLAN.
Port d’accès sans balise VLANUn terminal se bloque sans balise dans un VLAN ; le marquage se produit sur le commutateur, pas sur le client.
Bridge avec VLANsCas particulier, vérifiez bien notamment les migrations ou les conceptions transparentes.

Si un PC client normal est directement connecté à un port de commutateur, il envoie normalement sans étiquette. Le commutateur attribue ensuite ce port à un VLAN. Le Sophos Firewall ne voit le VLAN sur la liaison montante que lorsque le commutateur transporte le VLAN balisé vers le pare-feu.

Ports individuels ou VLAN ligne réseau via LAG ?

Vous pouvez théoriquement utiliser votre propre port de pare-feu physique par VLAN. Ceci est compréhensible pour les très petites installations, mais s’adapte mal. Les ports se raréfient, le câblage devient confus et les changements de zones, de commutateurs ou de HA deviennent plus fastidieux par la suite.

Dans les environnements productifs, une conception de ligne réseau est généralement plus propre :

  1. Le Sophos Firewall est connecté à un ou plusieurs commutateurs principaux.
  2. Un port physique ou un LAG transporte plusieurs VLAN étiquetés.
  3. Sur le pare-feu, des interfaces VLAN distinctes sont créées sur cette interface parent pour chaque VLAN.
  4. Le pare-feu reste la passerelle par défaut pour les VLAN et décide des politiques de routage et de sécurité.

Notre variante préférée est souvent un LAG avec deux liaisons montantes rapides, par exemple 2x SFP+, tant que le pare-feu et les commutateurs le prennent en charge. Les VLAN s’exécutent ensuite dessus en tant qu’interfaces balisées. Cela ne signifie pas automatiquement deux fois la vitesse pour une seule session, mais cela offre plus de redondance, plus de réserves et une conception plus claire que de nombreux ports cuivre individuels par VLAN.

ConceptionAvantageInconvénient
Pro VLAN son propre port de pare-feufacile à comprendre, peu de VLAN connaissances requisesévolutivité médiocre, nombreux ports, câblage confus
Un port de ligne réseau avec VLANssimple, propre, peu de câblesLa liaison montante est un point de défaillance unique
LAG avec VLAN ligne réseauredondante, propre, facilement évolutiveLe commutateur et le pare-feu doivent LAG/LACP correctement pris en charge
Routage sur le commutateur principaltrès performant dans les grands réseauxLe pare-feu ne voit plus entièrement le trafic interne est-ouest

Pour de nombreux réseaux de PME et de taille moyenne, Le pare-feu comme passerelle par défaut pour les VLANs est la meilleure décision en matière de sécurité. Ensuite, le trafic interne entre VLANs s’exécute via Sophos Firewall et peut être contrôlé avec des règles de pare-feu, IPS, des politiques Web, la journalisation et des fonctions de sécurité ultérieures. Le routage sur le commutateur principal peut être utile si un débit interne est-ouest très élevé est requis. Mais il faut alors accepter consciemment que le pare-feu ne voit plus toutes les communications internes.

En règle générale :

  • Orienté sécurité et clair : VLAN passerelles sur le Sophos Firewall.
  • Performances internes très élevées : Vérifiez le routage sur le commutateur principal, mais ajoutez proprement des zones de sécurité et des ACL.
  • Nouvelles installations : Acheminez les VLANs vers le pare-feu via le tronc ou LAG, ne gaspillez pas un seul port par VLAN.
  • Petits sites : Un seul port de ligne réseau peut suffire si la redondance n’est pas requise.

Idées fausses courantes :

  • Le VLAN est créé sur le pare-feu, mais la liaison montante du commutateur ne le transporte pas.
  • Le VLAN est balisé sur le port d’accès, bien que le client s’attende à ce qu’il ne soit pas balisé.
  • L’ID VLAN ne correspond pas au commutateur et au pare-feu.
  • Le VLAN a été créé sur la mauvaise interface parent.
  • L’interface parent fonctionnait comme un port d’accès normal plutôt que comme une ligne réseau.

Créer VLAN interface

Chemin de menu :

Network > Interfaces > Add interface > Add VLAN

Procédure :

  1. Attribuer un nom, par exemple Clients VLAN 100.
  2. Sélectionnez l’interface parent comme Interface, par exemple Port3 ou LAG1.
  3. Zone réseau sélectionnez consciemment.
  4. Saisissez VLAN ID, par exemple 100.
  5. Sous configuration IPv4, utilisez généralement Static .
  6. Saisissez l’adresse IP et le masque de sous-réseau, par exemple 10.100.0.1/24.
  7. Enregistrer.

Pour les VLAN internes, l’adresse IP du pare-feu est généralement la passerelle par défaut des clients. Si un autre système effectue le routage ou si le pare-feu ne voit que certains réseaux, cette conception doit être explicitement documentée. Sinon, vous rechercherez des règles de pare-feu plus tard, même si le client n’utilise pas Sophos Firewall comme passerelle.

DHCP et DNS configurés

Après l’interface VLAN, une décision est nécessaire pour attribuer des adresses.

VarianteLorsque cela est utile
DHCP sur Sophos Firewallemplacements simples, client, invité, IoT ou VoIP réseaux
DHCP RelaisWindows central DHCP serveur ou infrastructure DHCP existante
serveur DHCP externe dans le VLANCas particulier où un serveur est responsable directement dans le VLAN
IP statiquespetits réseaux de serveur, de gestion ou d’infrastructure

DHCP sur le Sophos Firewall est créé sous Network > DHCP. L’interface, la plage, la passerelle, le serveur DNS et le domaine de recherche sont importants. Les options spéciales telles que PXE, VoIP ou les valeurs spécifiques au fabricant sont décrites dans Sophos Firewall DHCP Configurer les options.

Lors de la conception du DNS, vous devez clairement décider si les clients utilisent le Sophos Firewall comme DNS redirecteurs ou s’ils demandent directement aux serveurs DNS internes. Lorsque le pare-feu agit comme un redirecteur DNS, les domaines internes doivent souvent être transférés vers les serveurs DNS appropriés via DNS Request Routes on Sophos Firewall.

Device Access check

Device Access contrôle les services locaux du Sophos Firewall. Ce n’est pas la même chose qu’une règle de pare-feu entre VLANs.

Exemples typiques :

  • Les clients doivent utiliser le pare-feu comme serveur DNS : autorisez DNS pour la zone.
  • Le dépannage devrait permettre le ping sur le pare-feu : activez consciemment Ping/Ping6.
  • Les clients normaux, invités ou IoT VLANs ne doivent pas avoir d’accès WebAdmin ou SSH.
  • L’accès à la gestion doit se faire via un réseau d’administrateur dédié ou des règles d’exception ACL de service local.

La procédure exacte est dans Sophos Firewall Accès sécurisé : configurer correctement Device Access.

règles de pare-feu et NAT supplément

Un nouveau VLAN nécessite alors des règles de pare-feu appropriées. Sans règle, un client peut obtenir une adresse IP, mais pas automatiquement sur Internet ou d’autres réseaux internes.

Une première règle Internet simple pourrait ressembler à ceci :

ChampExemple
Nom de la règleClients_to_WAN
Zones sourcesClient ou LAN
Réseaux sourcesVLAN réseau, par exemple 10.100.0.0/24
Zones de destinationWAN
Réseaux de destinationAny
Servicesservices consciemment requis, pas automatiquement Any
Journaliser le trafic du pare-feuactivé

Des règles distinctes doivent être créées pour l’accès interne. Un invité, un IoT ou une caméra VLAN ne doit pas être autorisé à accéder au serveur ou au réseau de gestion à tous les niveaux. La planification des règles est décrite plus en détail dans Sophos Firewall-Comprendre et configurer les règles en toute sécurité.

NAT n’est pas nécessaire pour chaque trafic VLAN. Pour un accès Internet normal, la règle MASQ ou SNAT existante est souvent utilisée. Entre les VLANs internes, NAT est généralement erroné car les systèmes cibles ne voient alors plus l’adresse IP réelle du client. Le classement est en NAT comprendre Sophos Firewall : SNAT, DNAT, MASQ, PAT.

Test d’acceptation

Un VLAN n’est prêt que lorsque le flux de paquets est prouvé. Un seul ping ne suffit pas.

Séquence de test utile :

  1. Connectez le client de test au port de commutateur ou au SSID prévu.
  2. Vérifiez si le client reçoit une adresse IP du bon VLAN.
  3. Vérifiez la passerelle, le DNS le serveur et le domaine de recherche.
  4. Pingez l’IP du pare-feu dans VLAN si le ping est autorisé.
  5. DNS Test de résolution pour les noms internes et externes.
  6. Testez l’accès Internet autorisé.
  7. Testez l’accès interne autorisé, le cas échéant.
  8. Testez délibérément les accès internes interdits et vérifiez le blocage dans Log Viewer.
  9. Dans Log Viewer Vérifiez l’ID de la règle, la zone source, la zone de destination et l’ID NAT.
  10. Si ce n’est pas clair, utilisez Packet capture sur l’interface VLAN.

Pour l’évaluation avec Log Viewer, Policy Test et Packet Capture, Sophos Firewall Test Rule avec Log Viewer, Policy Test et Packet Capture convient.

Erreurs typiques

ErreurSymptômeVérification suivante
VLAN non autorisé sur la liaison montante du commutateurLe client n’obtient pas d’adresse IP ou n’atteint pas la passerelleVérifiez le trunk/tagged VLAN sur le commutateur
Mauvaise interface parentLe pare-feu ne voit pas le traficComparez VLAN interface et câblage physique
Port client balisé au lieu de non baliséLes clients normaux ne se retrouvent pas dans le VLANVérifiez le port d’accès ou le profil natif VLAN
DHCP réponses manquantes ou incorrectes DHCPLe client n’obtient pas d’adresse IP ou une mauvaise IPDHCP baux et vérifie Packet Capture pour UDP 67/68
DNS Device Access manquantLe trafic IP fonctionne, la résolution de nom n’est pasDevice Access et vérifie le client DNS
Mauvaise zone sélectionnéeLes règles ou politiques ne fonctionnent pas comme prévuComparez les règles de zone d’interface et de pare-feu
La règle de pare-feu est manquanteLe client a une adresse IP, mais le trafic est bloquéLog Viewer et vérification de l’ID de règle
NAT entre les VLANs internesles systèmes cibles voient l’adresse IP source incorrectevérifient les NAT les règles et planifient les NAT exceptions internes

Si une règle ne correspond pas, le problème vient souvent du marquage de la zone, du réseau source, de la passerelle ou du commutateur. L’article Sophos Firewall la règle ne s’applique pas : vérifiez les causes aide à faire la distinction.

Contrôle opérationnel

Pour des VLAN productifs, la configuration initiale ne doit pas seulement être correcte. Il est crucial que les administrateurs ultérieurs puissent comprendre pourquoi le VLAN existe et quelles règles lui appartiennent.

Vous devez documenter :

  • VLAN ID, nom et sous-réseau
  • Interface parent et liaison montante du commutateur
  • Zone et objectif de sécurité
  • DHCP source et DNS serveur
  • zones et services cibles autorisés
  • NAT décision
  • propriétaire responsable
  • client de test ou procédure de test
  • date du dernier contrôle de règle

Pour les environnements plus grands, une simple matrice d’accès est également intéressante. Une telle matrice montre quels VLANs sont autorisés à se parler et lesquels restent délibérément séparés.

Une matrice d’accès simple peut ressembler à ceci :

DepuisAprèsDécision
ClientsInternetautorisé avec la politique Web, DNS Protection et journalisation
ClientsServeuruniquement ceux définis Ports d’application
InvitésInternebloqués
IoTInternetcibles et ports requis uniquement
IoTServeuruniquement pour NVR, serveur d’impression ou systèmes de gestion
GestionInfrastructureautorisé pour les protocoles d’administration
SauvegardeServeurspécifiquement autorisé, limite fortement le sens inverse

Cette matrice est souvent plus importante que la liste VLAN elle-même. Cela évite la création ultérieure de règles générales qui annuleraient la segmentation.

Foire aux questions

Comment configurer un VLAN sur Sophos Firewall ?

Vous créez une nouvelle interface VLAN sous Network > Interfaces > Add interface > Add VLAN, sélectionnez l’interface parent correcte, définissez l’ID VLAN, la zone et l’adresse IP, puis ajoutez DHCP, Device Access, les règles et tests de pare-feu.

Chaque VLAN a-t-il besoin de sa propre zone ?

Pas nécessairement. Une zone distincte est logique si un VLAN a besoin d’un niveau de confiance différent, de règles d’accès aux appareils différentes ou de ses propres politiques de pare-feu. Plusieurs VLAN avec des politiques identiques peuvent également se trouver dans la même zone.

Le routage entre VLANs doit-il passer par le pare-feu ou le commutateur ?

Pour les réseaux liés à la sécurité, le routage via Sophos Firewall est généralement préférable car les règles, les journaux et les politiques de sécurité prennent effet de manière centralisée. Le routage sur le commutateur principal peut avoir du sens en cas de trafic est-ouest très élevé, mais doit alors être sécurisé avec des ACL, une surveillance et une documentation claire.

Un LAG avec plusieurs VLAN vaut-il mieux qu'un port par VLAN ?

Pour la plupart des environnements productifs, une ligne réseau VLAN est plus propre qu’une LAG. Vous économisez des ports, réduisez les câbles, augmentez la redondance et pouvez contrôler de nombreux VLAN via la même connexion pare-feu. Un port par VLAN est plus adapté aux configurations très petites ou temporaires.

Pourquoi le client n'obtient-il pas d'adresse IP dans VLAN ?

Souvent, le VLAN n’est pas autorisé à être marqué sur la liaison montante du commutateur, le port client est mal attribué, DHCP est manquant ou un autre serveur DHCP répond. Un Packet Capture sur DHCP 67/68 est souvent plus rapide que de cliquer à nouveau dans WebAdmin.

NAT doit-il être activé entre les VLAN internes ?

Surtout non. Les VLAN internes doivent normalement être acheminés et autorisés ou bloqués via des règles de pare-feu. NAT entre les réseaux internes rend les journaux, les itinéraires de retour et le dépannage plus difficiles.

Pourquoi Internet fonctionne mais pas d'accès aux serveurs internes ?

Il existe probablement une règle LAN-to-WAN fonctionnelle, mais aucune règle de correspondance de VLAN vers la zone du serveur. Vérifiez la zone source, la zone de destination, le réseau source, l’objet cible, le service et l’ID de règle dans Log Viewer.