Utilizzare la regola di bypass del firewall di Sophos in modo sicuro
Eine Bypass-Regel auf der Sophos Firewall ist kein normales Allow-Objekt und kein Ersatz für eine saubere Firewall-Regel. Der definierte Traffic umgeht damit den normalen Stateful-Firewall-Pfad. Dadurch werden auch viele Funktionen umgangen, auf die man sich im Alltag bewusst verlässt: Firewall-Regeln, Log Viewer, IPS, Webfilter, Application Control, Malware-Scanning oder andere Security Features.
Le regole di bypass sono quindi utili solo per casi speciali strettamente definiti, ad esempio per la risoluzione dei problemi a breve termine con guida, per un’eccezione di compatibilità molto specifica o per una soluzione alternativa chiaramente documentata. Per rilasci normali, problemi di prestazioni o falsi positivi, dovresti prima controllare regole, eccezioni o politiche specifiche.
⚠️ Una regola di bypass riduce notevolmente la visibilità e l’effetto protettivo del firewall. Le regole di aggiramento dovrebbero sempre essere definite in modo rigoroso, documentate, testate e rimosse dopo il completamento.
Le tipiche occasioni del mondo reale sono casi speciali con routing asimmetrico, comportamento insolito del protocollo o analisi del fornitore a breve termine. Una volta chiara la causa, la soluzione dovrebbe essere ripristinata alle normali regole del firewall, NAT, routing, IPS, eccezioni web o TLS.
Quale tipo di bypass si intende
Il termine “bypass” appare più volte negli ambienti Sophos. Questo articolo riguarda esclusivamente bypass-stateful-firewall-config nella Console dispositivo.
- Bypass del firewall con stato: Configurazione CLI che instrada il traffico host o di rete definito oltre il normale percorso del firewall con stato.
- Regola di bypass DoS: Eccezione in Protezione spoofing e Impostazioni DoS per i controlli DoS, diversa da Stateful Firewall Bypass.
- IPS
Bypass session: Azione della regola IPS che tratta un colpo IPS in modo diverso per la sessione. - Bypass LAN/fail-to-wire: Funzione hardware di apparecchi o moduli specifici, non una regola SFOS.
- Eccezione normale del firewall: Personalizzazione di firewall, NAT, Web, TLS, IPS o controllo delle applicazioni in WebAdmin.
Questa separazione è importante perché le misure comportano rischi diversi. Un’eccezione DoS o un’azione IPS non sono automaticamente innocue, ma sono più strettamente correlate a una funzione. Un bypass del firewall con stato, d’altro canto, può aggirare la visibilità e la valutazione delle policy in modo molto ampio se l’origine o la destinazione vengono scelte troppo grandi.
Controlla in anticipo le alternative migliori
Prima di stabilire una regola di bypass, dovrebbe essere chiaro il motivo per cui i meccanismi normali non sono sufficienti.
- La regola del firewall non corrisponde a: Controlla l’ordine delle regole, origine/destinazione, servizi e registri.
- IPS blocca un’applicazione: Controlla la policy IPS, la firma, l’eccezione o l’analisi dei falsi positivi.
- L’ispezione TLS interrompe un’app: Regola la regola di ispezione SSL/TLS o l’esclusione TLS.
- Il filtro Web blocca un URL: Controlla politica Web, categoria, gruppo URL o eccezione Web.
- Il controllo delle applicazioni funziona in modo errato: Controlla la policy di controllo dell’applicazione e l’applicazione rilevata.
- NAT o routing funzionano in modo errato: Controlla le regole NAT, il percorso di ritorno, SD-WAN e l’acquisizione dei pacchetti.
Per l’analisi di regole e log, la guida Testare la regola di Sophos Firewall con visualizzatore di log e acquisizione di pacchetti, La regola del firewall non funziona: verificare le cause e Comprendere e configurare correttamente le regole del firewall Sophos.
Limiti operativi
Una regola di bypass dovrebbe essere impostata solo se tutti i punti sono soddisfatti:
- L’origine e la destinazione sono reti o host specifici, non
Any. - La direzione e la direzione del ritorno sono comprese.
- C’è un biglietto, una ragione e una persona responsabile.
- Viene definita una finestra di manutenzione o una finestra di test.
- La configurazione esistente è stata precedentemente documentata.
- È disponibile un comando di rollback.
- Dopo il test viene verificato se la regola è stata nuovamente rimossa.
Una regola di bypass non è adatta per una “attivazione rapida” permanente tra reti. Se una connessione deve essere consentita in modo permanente, deve rientrare in una normale regola del firewall con registrazione e adeguate caratteristiche di sicurezza.
Connessione alla console del dispositivo
I comandi vengono eseguiti in Sophos Firewall Device Console. Per fare ciò, connettiti all’utente admin tramite SSH e apri la Console dispositivo nel menu della console.
L’accesso SSH deve essere consentito solo da una rete amministrativa attendibile. La preparazione è in Connetti Sophos Firewall tramite SSH.
Prima di apportare qualsiasi modifica, è necessario innanzitutto visualizzare e documentare lo stato attuale.
show advanced-firewall

Seleziona correttamente l’host o la rete
Sophos consente di ignorare le voci per singoli host o reti. Per la risoluzione dei problemi, un singolo host è quasi sempre migliore di un’intera sottorete perché significa che meno traffico è invisibile.
- singolo host di origine all’host di destinazione:
dest_host <Ziel-IP> source_host <Quell-IP>. - Dalla rete di origine all’host di destinazione:
dest_host <Ziel-IP> source_network <Netz-IP> source_netmask <Maske>. - Host di origine per rete di destinazione:
dest_network <Netz-IP> dest_netmask <Maske> source_host <Quell-IP>. - Rete di origine alla rete di destinazione:
dest_network <Netz-IP> dest_netmask <Maske> source_network <Netz-IP> source_netmask <Maske>.
Reti ampie come zone client, server o VPN complete non sono quasi mai un buon punto di partenza. È meglio effettuare un test approfondito con un host di origine, un host di destinazione e un servizio chiaro. Solo se il caso di test riguarda realmente più host si può parlare di una piccola rete.
Anche la direzione è importante. Sophos spiega che le voci per entrambe le direzioni sono spesso necessarie per connessioni complete. Ma questo dovrebbe essere fatto consapevolmente: non ricreare automaticamente la logica Any, ma piuttosto comprendere lo specifico percorso di ritorno.
Imposta il cambio frame prima del bypass
Una regola di bypass non dovrebbe mai essere impostata spontaneamente mentre è in corso la risoluzione dei problemi. Prima di eseguire il comando add, dovrebbe essere chiaro a quale test individuale si intende rispondere e come verrà annullata la modifica.
Per garantire un periodo di manutenzione o test pulito, tenere presente questi punti:
- Domanda di prova: Il traffico definito funziona senza un percorso firewall con stato?
- Flusso interessato:
192.168.33.0/24a192.168.46.0/24. - Stato iniziale: Output di
show advanced-firewallprima della modifica. - Itinerario di ritorno previsto: comando
delappropriato per ciascuna direzione impostata. - Criterio di risoluzione: traffico imprevisto, nuova interruzione o zona target errata.
- Ispezione di follow-up:
show advanced-firewall, cattura pacchetti e test funzionale senza bypass.
L’ordine di ritiro è particolarmente importante. Dovrebbe essere preparato prima dell’impostazione, non cercato dopo il test. Ciò significa che la modifica rimane controllabile anche se si verifica pressione durante la finestra di manutenzione.
Esempio: creare una regola di bypass
Esempio:
- Rete di origine:
192.168.33.0/24. - Rete di destinazione:
192.168.46.0/24. - Maschera di rete di origine:
255.255.255.0. - Maschera di rete di destinazione:
255.255.255.0.
La regola per la prima direzione:
set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0
Una seconda regola è necessaria per la direzione inversa se anche il traffico dalla rete di destinazione alla rete di origine deve utilizzare il bypass.
set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0
Quindi controlla di nuovo:
show advanced-firewall
Se viene testato solo un singolo client e un singolo server, è meglio utilizzare host anziché reti:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.46.20 source_host 192.168.33.10
Per la direzione opposta di conseguenza:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.33.10 source_host 192.168.46.20
Controlla l’effetto
Dopo l’impostazione, non dovresti solo verificare se l’applicazione funziona. Ciò che conta è se la tangenziale incide davvero solo sul traffico previsto.
Punti di controllo:
show advanced-firewallmostra esattamente le reti previste.- Non esistono reti più larghe del previsto.
- La direzione e il ritorno sono impostati consapevolmente.
- Il traffico di prova funziona solo tra sorgenti e destinazioni previste.
- Le reti non coinvolte non utilizzano il bypass.
- I normali log del firewall per questo traffico non sono più previsti come base per il processo decisionale.
- Packet Capture mostra il traffico solo durante il test pianificato.
- Il ritiro è stato effettuato subito dopo la prova.
Se improvvisamente il visualizzatore del registro e il contatore delle regole non mostrano più gli eventi, ciò potrebbe essere causato dal bypass stesso. In questa condizione, Packet Capture è più utile di Log Viewer.
Con il routing asimmetrico bisognerebbe verificare anche se il percorso di ritorno passa effettivamente attraverso il firewall previsto. Un bypass può mascherare i sintomi se la causa principale è un gateway predefinito errato, un percorso incompleto o un NAT sul lato sbagliato.
Elimina la regola di bypass
Per rimuovere, usa lo stesso comando con del invece di add.
Rimuovi la prima direzione:
set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0
Rimuovere la direzione inversa:
set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0
Quindi controlla di nuovo:
show advanced-firewall
L’output non dovrebbe più contenere voci di bypass impreviste.
Fissalo di nuovo in modo pulito dopo il test
Una regola di bypass rimossa non risolve automaticamente il problema originale. Il test mostra solo che probabilmente era coinvolto il normale percorso del firewall per il traffico testato. Dovresti quindi trasferire consapevolmente la causa in una configurazione supportata e visibile.
Domande utili di follow-up:
- Una normale regola del firewall era troppo restrittiva o era nel posto sbagliato?: Controlla l’ordine delle regole, le zone, l’origine, la destinazione, il servizio e l’assegnazione degli utenti.
- IPS, Protezione Web o Controllo Applicazioni sono bloccati?: Firma del documento, categoria, politica o eccezione mirata.
- È stata coinvolta l’ispezione TLS?: Controllare in modo pulito la regola TLS, il certificato, l’eccezione e l’applicazione interessata.
- È stato un problema di routing o NAT?: Confronta ID regola NAT, percorso di ritorno, percorso SD-WAN e acquisizione dei pacchetti.
- Il traffico sarà necessario in modo permanente in futuro?: Crea una normale regola firewall con registrazione, proprietario e data di revisione.
Dopo il ritiro deve essere effettuato almeno un test di controllo senza bypass. Se il traffico funziona nuovamente solo con la tangenziale, il caso non è ancora chiuso. Allora hai bisogno di una regola pulita, una policy, un NAT o una regolazione dell’ispezione che rimanga visibile nel visualizzatore di log e possa essere controllata in seguito.
Per le modifiche permanenti, dovresti anche documentare quali funzionalità di sicurezza vengono lasciate deliberatamente attive e quale eccezione è realmente necessaria. Una regola di bypass temporaneo non deve diventare silenziosamente parte dell’architettura operativa.
Documentazione
Ogni regola di bypass dovrebbe essere documentata:
- Data e ora
- Amministratore
- motivo
- Rete di origine e rete di destinazione
- applicazione interessata
- durata prevista
- Prove di prova
- Momento della rimozione
- Attività di follow-up nel caso in cui sia necessario creare una regola o un’eccezione pulita
Senza documentazione, le regole di aggiramento possono facilmente passare inosservate. Ciò è particolarmente pericoloso perché uno sguardo normale alle regole del firewall o ai visualizzatori di log non è sufficiente per identificare la lacuna nella protezione.
Lista di controllo
Prima del bypass:
- Regola firewall normale, NAT, routing, IPS, Web, ispezione TLS e controllo delle applicazioni controllati.
- Definizione della domanda di test specifica.
- Origine, destinazione, direzione e ritorno documentati.
- È stata selezionata la variante più ristretta possibile, preferendo l’host anziché la rete.
- Stato attuale salvato con
show advanced-firewall. - Comando
delpreparato per ogni direzione pianificata. - Determinazione del biglietto, del proprietario, della finestra temporale e del tempo di smontaggio.
Durante la prova:
- Bypass attivo solo per il periodo previsto.
- Testare il traffico documentato con origine, destinazione, servizio e ora.
- Acquisizione di pacchetti o registro del sistema di destinazione utilizzati come prova.
- Nessuna rete o applicazione aggiuntiva interessata involontariamente.
Dopo la prova:
- Rimosse tutte le voci di bypass con
del. show advanced-firewallnon mostra regole di bypass impreviste.- Test ripetuto senza bypass o successivo problema documentato.
- Soluzione permanente pianificata come regola normale, policy, NAT, adeguamento del routing o dell’ispezione.
- Aggiornata biglietteria e documentazione operativa.
Errori tipici
- Reti usate troppo larghe: Più traffico del previsto bypassa il firewall.
- Ho dimenticato la direzione inversa: L’applicazione funziona solo parzialmente o in modo asimmetrico.
- Regola non rimossa: Si crea un divario di protezione permanente.
- Nessun biglietto o commento: Successivamente non è chiaro il motivo per cui esiste la tangenziale.
- È previsto il visualizzatore di log come prova: Il traffico non appare come le normali decisioni del firewall.
- Bypass utilizzato al posto dell’eccezione mirata: Le funzionalità di sicurezza vengono disattivate inutilmente.
- Finestra di modifica senza manutenzione: Gli errori hanno un effetto produttivo immediato.