Guide de dimensionnement Sophos Firewall : Dimensionner correctement XGS
Le dimensionnement de Sophos Firewall ne dépend pas seulement du nombre d'utilisateurs. La bande passante, l'inspection TLS, l'IPS, le VPN, la HA, la …
Guides pratiques en français pour Sophos Firewall sur la configuration, le renforcement, le VPN, les règles réseau, les licences, les mises à jour, les journaux et le dépannage.
Les articles sont organisés selon les tâches typiques des administrateurs : sélectionner, configurer, sécuriser, publier, connecter à distance, analyser et restaurer.
Dimensionnement, sélection XGS, licence de base, bundles, Air Gap, cycle de vie, portails et gestion des licences.
Le dimensionnement de Sophos Firewall ne dépend pas seulement du nombre d'utilisateurs. La bande passante, l'inspection TLS, l'IPS, le VPN, la HA, la …
Lors de l'achat ou du renouvellement d'un Sophos Firewall, il est essentiel que Standard Protection, Xstream Protection et Epic Protection …
La Base License est la base de Sophos Firewall, mais elle ne remplace pas une subscription de support ou de sécurité. Le statut de licence, le …
Une clé de licence Sophos Firewall associe ou renouvelle des subscriptions. Le numéro de série, le compte, la synchronisation, HA et le contrôle final …
Le fonctionnement en mode Air Gap sur Sophos Firewall nécessite une autorisation, un fichier de licence, une synchronisation manuelle, des mises à …
Les valeurs des fiches techniques du Sophos Firewall sont des valeurs de comparaison. Ce qui compte, ce sont le pare-feu, IMIX, IPS, NGFW, Inspection …
Le matériel, l'appliance virtuelle, Software Appliance et Cloud Deployment diffèrent par leur fonctionnement, HA, leur récupération, leur …
Cet article explique l'End of Life XG, les différences XG vs XGS, les limites SFOS 21/22 et comment préparer proprement la migration vers XGS.
La planification du cycle de vie Sophos exige End-of-Sale, Last Renewal, End-of-Life, produits successeurs et contrôles clairs avant renouvellement, …
La garantie, le contrat de support et le RMA doivent être vérifiés séparément pour le matériel Sophos : numéro de série, date d'achat, cycle de vie, …
SophosID, les portails Central, Support Portal et Firewall ont des tâches différentes. La connexion, les licences, l'accès et l'accès à distance sont …
Le numéro de série identifie de manière unique un Sophos Firewall. Il est nécessaire pour le support, les licences, le RMA, l'enregistrement Central, …
Le transfert de compte déplace le mappage des licences et des enregistrements vers un pare-feu. Le compte cible, la période d'acceptation, les limites …
Assistant de configuration, connexion à Central, Active Directory, STAS, SATC, Device Access et accès support.
Après l'assistant de configuration, le pare-feu est accessible, mais pas encore prêt pour la production. Backup, firmware, Device Access, règles, …
Un Sophos Firewall peut fonctionner localement, mais offre des fonctionnalités supplémentaires de gestion, de sauvegarde, de reporting et de sécurité …
Active Directory fournit à Sophos Firewall les utilisateurs, groupes et l'authentification. LDAPS, base de recherche, Main Group et AD SSO sont …
Tous les environnements n'utilisent pas Active Directory. LDAP relie Sophos Firewall à OpenLDAP, 389-ds, FreeIPA ou Google Secure LDAP. Bind DN, Base …
RADIUS relie Sophos Firewall à NPS, à des systèmes MFA ou à d'autres services d'identité. Shared secret, services, groupes, timeouts et tests sont …
STAS associe les connexions AD aux IP clientes pour utiliser des règles utilisateur sur Sophos Firewall. Agent, Collector et audits sont essentiels.
SATC associe les utilisateurs sur Remote Desktop Session Hosts à Sophos Firewall. Les points importants sont Server Protection, Registry, Device …
Device Access contrôle les services locaux du pare-feu. Les autorisations de zone, règles d'exception ACL, risques WAN, verrouillage, logs et revues …
L'accès support Avanet doit être limité dans le temps et étroitement contrôlé. Les éléments importants sont WebAdmin, SSH optionnel, Device Access, …
Règles de pare-feu, zones, interfaces, VLAN, NAT, DNS, DHCP, SD-WAN, NTP et VoIP.
Zones et interfaces sont la base de règles Sophos Firewall propres. Zone, interface, objet IP, Device Access, routage et tests comptent.
Les règles de pare-feu sont au cœur du Sophos Firewall. Ce qui est important, c'est la structure des règles, la séquence, les limites, les types de …
Une bonne description de règle fait gagner du temps. Objectif, owner, ticket, date d’expiration, risque, review et Description claire sont essentiels.
Les VLAN Sophos Firewall demandent plus qu'une VLAN ID : parent interface, switch tagging, zone, objets IP, DHCP, DNS, règles, NAT et tests doivent …
Après SFOS 22, les VLAN de pont sont particulièrement visibles pour le trafic vers ou depuis le pare-feu. Les balises CLI VLAN, les interfaces br0 et …
Un LAG regroupe deux à quatre ports physiques en une seule interface logique. Le mode de bonding, la configuration du switch, le hashing et les tests …
Les FQDN hosts aident avec les destinations cloud et service dynamiques. Les wildcard FQDNs sont différents car le firewall apprend les IPs depuis le …
Lorsque qu'une règle de pare-feu ne s'applique pas, cela est souvent dû à l'ordre, la zone, la source, la destination, le service, le matching …
Le portail captif avec Entra ID SSO cartographie les utilisateurs locaux via la connexion au navigateur. L'URI de redirection, l'accès aux appareils, …
Les tests de règles nécessitent des données claires et des événements réels. Log Viewer, Policy tester, Packet Capture, tcpdump, Central Reporting et …
La délégation de préfixe IPv6 apporte les préfixes du fournisseur aux réseaux internes. La configuration WAN, l'annonce du routeur, les règles et le …
NAT traduit les adresses ou les ports mais n'autorise pas le trafic. Les éléments importants sont SNAT, DNAT, MASQ, PAT, le bouclage, les règles …
DNAT publie des services internes via des IP ou ports publics. Sources strictes, règles de firewall adaptées, ordre NAT, zone cible après NAT et tests …
Les DNS Request Routes redirigent certaines requêtes DNS vers des serveurs DNS définis. Les points décisifs sont le pare-feu comme résolveur, les …
Les problèmes de MTU et de MSS se manifestent par des téléchargements bloqués, RDP, HTTPS ou VoIP. L'important est de vérifier le chemin, le surcoût …
Les options DHCP distribuent les paramètres PXE, WDS, clients légers ou RED. WebAdmin, CLI et erreurs typiques sont importants.
Les routes SD-WAN orientent le trafic selon des critères, pas seulement selon la table de routage. Ordre, DSCP, applications, gateways, SLA, NAT, logs …
Route Precedence décide si Static, SD-WAN ou VPN prend effet en premier. Les réseaux directs, les cas particuliers IPsec, les tests et la restauration …
Reply Packets et le trafic généré par le système peuvent affecter le routage SD-WAN. Le statut CLI, les cas d’utilisation, les risques, les tests et …
Les VLAN avec Sophos Firewall et UniFi nécessitent un balisage propre. Les éléments importants sont Gateway, l'interface parent, le réseau UniFi, …
Le WAN cellulaire est généralement une ligne de secours. Pour le basculement 4G/5G, la SIM, l'APN, le PIN, la passerelle, la qualité du signal, les …
Sophos Firewall n'est pas un serveur NTP à part entière, mais peut transmettre les requêtes NTP vers des serveurs de temps externes ou internes via …
Une route IPsec manuelle sur Sophos Firewall peut être nécessaire lorsque le routage, le NAT ou le comportement de SFOS-22 ne correspondent pas au …
Le Traffic Shaping des applications priorise les applications importantes et limite les autres trafics. Les éléments clés sont la politique, la …
Les problèmes VoIP proviennent souvent de SIP ALG, de délais d'attente UDP, de ports NAT, RTP ou de routage. L’analyse SIP/RTP, la capture et les …
Sophos Connect, SSL VPN, Entra ID SSO, IPsec, SD-RED et dépannage VPN.
Sophos Connect avec IPsec, Sophos Connect avec SSL VPN, les clients OpenVPN classiques et ZTNA s'adaptent à différents scénarios d'accès à distance.
Sophos Connect nécessite des profils IPsec/SSL VPN adaptés, utilisateurs, pool IP, DNS, MFA, règles firewall, provisioning et mises à jour.
SSL VPN Remote Access fonctionne correctement seulement si paramètres globaux, portail, policy, profil actuel, DNS, MFA, Device Access, règles et …
L'IPsec Remote Access Legacy bloque SFOS 22 MR1 et les versions ultérieures. Avant la mise à niveau, il faut l'identifier, prévoir une solution de …
Sophos Connect sur Windows nécessite une version client, un profil, une plateforme, MFA/SSO et des règles. La connexion, le DNS et l'accès doivent …
Sophos Connect sur macOS dépend de la version du client, d'Apple Silicon/Rosetta, du profil IPsec ou SSL VPN, du DNS, de la MFA et des règles de …
Entra ID SSO connecte l'accès à distance avec OAuth 2.0, OpenID Connect et Entra-MFA. Les URI de redirection, les groupes et l'accès aux appareils …
Les mises à jour Sophos Connect touchent profils VPN, plateformes, MFA, SSO, helpdesk et rollback. Version, pilote, profils et known issues comptent.
SSL VPN avec Sophos Connect sur Windows nécessite un profil OVPN actuel, VPN Portal, MFA, version client, test DNS, nettoyage des profils et règles …
Le VPN SSL sur macOS fonctionne aujourd'hui souvent avec Sophos Connect au lieu de Tunnelblick. Le profil OVPN, Apple Silicon/Rosetta, DNS, MFA et la …
SSL VPN sur iPhone et iPad passe par un client compatible OpenVPN. Le profil OVPN, le VPN Portal, MFA, DNS et les règles firewall sont essentiels.
SSL VPN sur Android nécessite un client OpenVPN, un profil OVPN à jour, un accès au portail VPN, MFA, test DNS, règles de pare-feu et changement …
Il n'existe pas de client Linux pour Sophos Connect. Les utilisateurs Linux se connectent via le client OpenVPN standard ou via …
L'ancien client Sophos SSL VPN peut démarrer automatiquement. La connexion automatique avec password.txt est risquée. L'important est le risque, le …
Un IPsec Site-to-Site exige des réseaux, profils, règles, routes, NAT et tests clairs. Choisir consciemment entre policy-based et route-based.
Azure Site-to-Site VPN exige Local Network Gateway, Virtual Network Gateway, paramètres IPsec/IKE compatibles, XFRM Sophos, routes et règles firewall.
AWS Site-to-Site VPN demande un Customer Gateway, une passerelle cible, deux tunnels, des paramètres IPsec cohérents, du routage et une validation des …
Le dépannage IPsec exige une séquence claire : IKE, Phase 2, Security Associations, logs StrongSwan, XFRM, routing, NAT, règles firewall et flux de …
Si Sophos Connect IPsec se déconnecte après environ 4 heures ou demande à nouveau un OTP, vérifiez d'abord le profil, la durée de vie de la clé IKE, …
Sophos SD-RED connecte les sites distants au pare-feu. Les points clés sont provisioning, NTP, ports, LED, interface RED, DHCP, VLAN et règles.
MFA, inspection TLS, WAF, Threat Feeds, IPS, protection Web, NDR, protection DNS et renforcement.
Le hardening réduit la surface d'attaque de Sophos Firewall. Les points clés sont l'accès d'administration, MFA, les mises à jour, les services …
Le Health Check signale les configurations risquées dans le Control Center. Les constats, statuts, overrides, priorités et contrôles de suivi sont …
MFA protège correctement WebAdmin, VPN Portal et l'accès à distance uniquement lorsque Device Access, les groupes, le repli, le déploiement, les tests …
TLS Inspection augmente la visibilité des connexions chiffrées, mais nécessite distribution CA, ordre de règles clair, choix DPI/Web Proxy, …
L'inspection TLS fonctionne sans avertissements de navigateur uniquement si les clients font confiance à la CA du pare-feu. Le téléchargement, la …
L'accès à l'API XML sur Sophos Firewall ne devrait être autorisé que depuis des réseaux de gestion définis, des systèmes d'automatisation ou des hôtes …
Les règles de contournement contournent le chemin normal du pare-feu avec état. Ce qui compte, c'est une démarcation claire, des réseaux serrés, des …
Web Server Protection publie les applications HTTP et HTTPS comme reverse proxy. Points clés : WAF ou DNAT, DNS, certificat, objet web server, profil, …
Sophos Firewall peut protéger avec MFA les applications Web publiées via le WAF dès SFOS 22. Version, Authentication Policy, tokens, tests et …
Sophos Firewall peut obtenir et renouveler directement les certificats Let's Encrypt. La validation HTTP, la Hosted Address, le port 80, les services …
Les Threat Feeds apportent des IP, domaines et URL malveillants connus comme IoC dans Sophos Firewall. Licence, type d'indicateur, format du feed, …
IPS nécessite une licence, une activation globale, la bonne policy par règle de firewall, des logs, des tests, un suivi des performances et un …
La protection Web nécessite une règle de pare-feu appropriée, une politique Web, des catégories, un contexte utilisateur, des Web Exceptions, une …
NDR Essentials et NDR Active Threat Intelligence ajoutent la détection réseau à Sophos Firewall. Les limites d'utilisation, l'exploitation et le …
DNS Protection complète le pare-feu avec des DNS Policies et Central Reporting. Les points clés sont le type de location, les routes DNS, le …
Spoof Protection et DoS Settings renforcent la protection contre les sources peu plausibles et les floodings simples. Routing, Packet Rate, Burst …
Country Blocking, Black Hole DNAT, WAF Blocked countries et Threat Feeds ont des rôles différents. La position des règles, les services locaux et le …
Application Control identifie les applications au-delà des ports. Application Filters, signatures, position des règles, visibilité TLS, logs, détails …
Zero-Day Protection analyse les téléchargements suspects et les pièces jointes. Règle firewall, chemin Web/Mail, visibilité TLS, rapports, exceptions …
Mail Protection en mode MTA fait du pare-feu le point d'acceptation SMTP. MX, TLS, relais, policies, quarantaine et logs sont déterminants.
Les catégories Web et les alertes instantanées aident à contrôler les politiques Web. L'important est l'utilisation, les prérequis, la configuration, …
Une maintenance de la base de données Secure Heartbeat est un cas de support restreint. Avant VACUUM FULL, il faut une sauvegarde, une fenêtre de …
QUIC fonctionne sur UDP 80 et UDP 443. Sur Sophos Firewall, il est important de comprendre quand Block QUIC protocol est nécessaire et comment …
CAPTCHA réduit les tentatives de connexion automatisées à WebAdmin et User Portal. L’état de la console de l’appareil, les risques, le suivi et les …
Log Viewer, journaux de service, Audit Trail, SSH, CLI, capture de paquets, tcpdump, Syslog et SIEM.
Pour dépanner, il faut savoir quel service Sophos Firewall appartient à quel module, quel log convient et quand Log Viewer, CTR, debug ou CLI sont …
En cas de dysfonctionnements, de problèmes VPN ou d'événements de pare-feu peu clairs, un cas de support nécessite des journaux propres, des …
Les journaux de piste d'audit montrent les modifications de configuration sur Sophos Firewall. L'activation, le téléchargement, l'évaluation et la …
SSH est un puissant accès au support sur Sophos Firewall. Device Access, les exceptions ACL, les clés publiques, les clés d'hôte et les limites de …
Les commandes CLI importantes facilitent le dépannage, l'analyse des journaux, la vérification du réseau, l'état du service et la journalisation du …
La capture de paquets montre si les paquets arrivent, sont transférés ou rejetés. La planification des tests, les filtres, le NAT et l'évaluation sont …
tcpdump fournit des captures précises sur le pare-feu. Les points clés sont Advanced Shell, filtres précis, PCAP, comparaison d'interfaces, contexte …
Sophos Firewall utilise des ID utilisateur internes pour les utilisateurs et les groupes. La limite de 65 535 peut perturber les téléchargements du …
Les rejets ne sont pas automatiquement des erreurs. Pour l'analyse, comptez sur Log Viewer, Invalid Traffic, Packet Capture, Firewall ID 0, Rule ID, …
Après un changement de pare-feu, d'anciennes entrées ARP peuvent bloquer les adresses IP WAN ou alias. Les caches ARP, l'appareil du fournisseur et …
Des alertes de battement de cœur manquant se produisent lorsque le pare-feu détecte du trafic sans battement de cœur de sécurité correspondant. L'état …
iPerf mesure le débit TCP ou UDP entre les points de terminaison. Le test n’a de sens qu’avec un parcours, une direction et une évaluation clairs.
sFlow rend visibles les modèles de trafic et les flux remarquables. Les éléments clés sont le collecteur, l'échantillonnage, la sélection d'interface, …
SFOS 22 étend SNMP pour inclure la température, les ventilateurs, les alimentations et PoE. Les éléments importants sont Device Access, les MIB, la …
Un test de vitesse sur le Sophos Firewall permet de distinguer les problèmes de WAN et de client. L'important est le test SSH, le chemin WAN, l'unité, …
Le Central Firewall Reporting transfère les journaux de la firewall vers Sophos Central. L'important est le choix des journaux, la rétention, le …
Syslog apporte les journaux du pare-feu Sophos aux serveurs de journaux SIEM, SOC ou centraux. Les types de journaux, le transport, la compatibilité …
Sauvegarde, firmware, mises à niveau SFOS, file d'attente des tâches, services, Config Studio, réimagerie, SSD, HA et RMA.
Les sauvegardes ne sont utiles qu'avec fichier, mot de passe, Secure Storage Master Key, version cible, accès de gestion et compatibilité de …
Les mises à jour Sophos Firewall exigent préparation, backup, chemin d'upgrade, fenêtre de maintenance, plan HA, critères de rollback et validation …
Avant une mise à niveau vers SFOS 22, il est important de préparer la plateforme, les noms d'interfaces, l'espace de stockage, la sauvegarde, le HA, …
La file d'attente des tâches indique si les modifications du pare-feu central ont été traitées. L'historique, le statut, Skip, Retry et la validation …
L’installation n’est qu’une courte partie de l’update. Image, chemin de mise à niveau, backup, action GUI, HA, statut Central et rollback comptent.
Les redémarrages de services peuvent stabiliser des modules du pare-feu, mais ils modifient l'état. Avant cela, il faut vérifier les journaux, le …
Config Studio aide à lire, comparer et contrôler les configurations de firewall. Les fichiers d'export, la revue, la sortie API et les limites sont …
L'interface graphique WebAdmin ne répond pas ? Un redémarrage ciblé de Tomcat et Apache est souvent utile. Vous devez vérifier au préalable l’accès, …
Un reimage écrase entièrement la firewall. Avant de commencer, il faut vérifier sauvegarde, SSMK, image, compatibilité, HA et contrôles.
La valeur d'endurance SMART aide à évaluer l'usure du SSD. Les éléments décisifs sont tendances, symptômes, stockage, nœuds HA et données support.
Les alertes de stockage exigent une analyse de cause. /var, reports, Event Logs, Troubleshooting Logs, mailqueue, seuils d'alerte et conservation des …
HA connecte deux Sophos Firewalls en un cluster. Prérequis, licences, lien HA, Monitored Ports, QuickHA, mises à jour, RMA et exploitation sont …
Les scripts locaux sur Sophos Firewall compromettent le support, la HA, les mises à jour et le dépannage. Il est important de connaître les risques, …
Un bon ticket Sophos evite les demandes de precision. Numero de serie, statut de licence, symptome, journaux, captures et deroulement du portail sont …
En cas de defaut materiel Sophos, numero de serie, garantie, support case, sauvegarde, statut HA, appareil de remplacement et retour sont essentiels.
Cas spéciaux, anciens clients et sujets qui ne s'intègrent pas parfaitement dans les principales catégories.
Sophos Home Edition, XGS avec Base License et Sophos Home conviennent à différents scénarios privés. La limite du processeur, les avantages, les …
Les appareils UniFi ont besoin d une adresse de controleur pour l adoption L3, de ports sortants adaptes et souvent de DNS. Regles firewall, Inform …