Sophos Firewall: Bloccare paesi e IP dannosi
Una volta che i servizi sono accessibili da Internet, si nota spesso rapidamente traffico indesiderato: scansioni di porte, tentativi di login, reti bot conosciute o accessi da paesi da cui non ci si aspetta utenti. Su Sophos Firewall è possibile bloccare tali fonti a più livelli.
Questo articolo spiega due varianti tipiche:
- Bloccare paesi o reti di origine con una regola del firewall
- Tradurre fonti indesiderate nel vuoto con una regola Black Hole DNAT
Inoltre, consigliamo i Sophos Firewall Threat Feeds, in modo che IP, domini o URL dannosi conosciuti possano essere bloccati automaticamente.
Orientamento
Prima di bloccare fonti, deve essere chiaro quale traffico si intende: servizi pubblicati, servizi locali del firewall, traffico client in uscita o traffico WAF. Il metodo adatto dipende esattamente da questo.
Quale metodo è adatto quando?
- Regola del firewall con
Drop: Blocca il traffico in base a Source Country, Source Network o Source Host. È adatta per blocchi di paesi, singole reti o liste di IP dannosi mantenute manualmente. - Black Hole DNAT: Reindirizza traffico indesiderato a un IP interno inesistente. È utile quando il traffico verso servizi pubblicati deve essere intercettato presto.
- WAF Blocked countries: Vale per server web pubblicati tramite WAF. I paesi vengono bloccati direttamente nella regola WAF.
- Local service ACL exception rule: Controlla servizi locali del firewall come WebAdmin, User Portal, VPN Portal o SSH. È il punto corretto quando si deve proteggere il firewall stesso.
- Threat Feeds: Usano liste dinamiche di fonti dannose conosciute. Sono adatti per botnet, scanner, infrastruttura malware e indirizzi IP di attaccanti conosciuti.
Quale metodo sia sensato dipende da dove il traffico viene elaborato tecnicamente. Le regole del firewall non si applicano in ogni caso per il traffico che va a un indirizzo ospitato utilizzato in WAF. In tali casi, una regola WAF per i paesi o una regola Black Hole DNAT è spesso più adatta.
In entrata, in uscita o firewall locale
Prima di una regola di blocco, dovrebbe essere chiaro quale tipo di traffico si intende. Altrimenti si blocca nel punto sbagliato e ci si chiede più tardi perché l’attacco è ancora visibile o perché il traffico legittimo non funziona.
- In entrata verso server pubblicati: Inoltro di porta su RDP, HTTPS, SMTP o applicazione propria. Ordine DNAT, regola WAF, regola del firewall, IPS e logging
- In entrata verso il firewall stesso: WebAdmin, User Portal, VPN Portal, SSH, Ping o DNS sul firewall. Device Access e Local Service ACL Exception Rules
- In uscita da client interni: I client contattano obiettivi sospetti su Internet. Regola del firewall, Threat Feeds, Web Protection, DNS Protection e logging
- Server web tramite WAF: Applicazione web pubblica dietro Web Server Protection. Regola WAF, paesi bloccati, autenticazione, MFA e log WAF
Questa separazione è importante perché una regola per i paesi in Rules and policies > Firewall rules non protegge automaticamente ogni superficie di attacco del firewall. Per i server pubblicati, di solito la catena NAT e WAF è in primo piano. Per i portali di amministrazione conta prima di tutto se il servizio del firewall locale è raggiungibile dalla zona. Per il traffico client in uscita, Threat Feeds, Web Protection e DNS Protection sono spesso gli strumenti più puliti.
Non confondere con Device Access
Il blocco dei paesi e Black Hole DNAT proteggono principalmente il traffico elaborato da regole del firewall o NAT. I servizi locali di Sophos Firewall sono un altro caso. Questi includono, ad esempio, WebAdmin, SSH, User Portal, VPN Portal, DNS, Ping e in parte anche servizi di accesso remoto.
Per questi servizi locali è rilevante prima di tutto Administration > Device access. Lì si decide da quali zone un servizio è generalmente raggiungibile. Se si desidera consentire l’accesso solo per singoli indirizzi IP di amministrazione, paesi o fonti di supporto, le Local service ACL exception rules sono il punto di controllo corretto. La procedura è descritta in Proteggere l’accesso a Sophos Firewall: configurare correttamente Device Access.
⚠️ Una regola di blocco dei paesi non sostituisce una configurazione pulita di Device Access. Se WebAdmin, User Portal, VPN Portal o SSH sono troppo ampiamente accessibili, il firewall stesso rimane una superficie di attacco. Il blocco dei paesi può ridurre il rischio, ma non sostituire il rafforzamento dell’accesso di base.
Per servizi locali particolarmente sensibili, WAN non dovrebbe essere attivato in modo generico sotto Local service ACL. È meglio una exception rule che consenta solo le fonti attese o blocchi paesi indesiderati. Per WebAdmin, un IP amministrativo fisso o una VPN di gestione è di solito più pulito di un filtro paese, perché Geo-IP non è una vera verifica dell’identità.
Pianificare le regole di blocco
Le regole di blocco devono essere pianificate in modo da non interrompere traffico legittimo per errore.
Bloccare paesi con una regola del firewall
Per il blocco generale dei paesi, è possibile creare una regola del firewall con Drop.
Percorso del menu:
Rules and policies > Firewall rules
Campi consigliati:
- Nome della regola: Nome descrittivo, ad esempio
BLOCK_COUNTRY_PANAMA - Posizione della regola:
Top - Azione:
Drop - Zone di origine:
Any - Reti e dispositivi di origine: Paese, gruppo di paesi, lista di IP o gruppo di host
- Durante il tempo programmato:
All the time - Zone di destinazione:
Any - Reti di destinazione:
Any - Servizi:
Anyo un servizio definito
Per il blocco dei paesi è importante che le zone di origine e di destinazione non siano impostate troppo strettamente. Se si inserisce solo WAN come zona di origine, la regola potrebbe non applicarsi a tutti i percorsi di traffico rilevanti.
Paesi e gruppi di paesi vengono usati come oggetti sotto Hosts and services. Per più paesi, una Country host group è più chiara di molti paesi singoli direttamente in ogni regola. Le liste di IP dannosi appartengono invece a oggetti IP host o IP host group adatti. Bisogna conoscerne i limiti: le IP host list non sono pensate per feed dinamici arbitrariamente grandi. Per infrastruttura di attacco che cambia continuamente, i Threat Feeds sono più gestibili.
Il blocco dei paesi dovrebbe essere inoltre inteso come un controllo Best-Effort. I dati Geo-IP possono essere errati, gli utenti viaggiano, gli attaccanti utilizzano proxy o sistemi compromessi in paesi consentiti, e i servizi cloud utilizzano infrastrutture distribuite a livello globale. Pertanto, una regola per i paesi non dovrebbe mai essere l’unica misura di protezione.
Quando non bloccare troppo ampiamente
Una regola di blocco è facile da creare, ma può successivamente generare effetti collaterali difficili da comprendere. Bisogna essere particolarmente cauti quando le applicazioni produttive dipendono da piattaforme esterne, CDN, fornitori di pagamenti, servizi cloud, fornitori di monitoraggio o partner di supporto.
Prima di un blocco ampio di paesi o IP, è quindi necessario chiarire:
- Ci sono utenti, partner o fornitori di servizi nei paesi interessati?
- Un’applicazione utilizza infrastrutture cloud o CDN con indirizzi di origine variabili?
- Gli aggiornamenti, i webhook, il monitoraggio, i backup o gli accessi di supporto vengono attivati tramite servizi esterni?
- C’è un modo per registrare prima solo i log o testare la regola per un periodo limitato?
- È chiaro chi verifica i falsi positivi e come viene concessa un’eccezione?
Per i servizi Internet con autentica registrazione degli utenti, le regole per i paesi sono spesso solo una misura aggiuntiva. MFA, regole del firewall strette, sistemi di destinazione aggiornati, IPS, protezione WAF, logging e Threat Feeds rimangono più importanti di una lista di blocco il più lunga possibile.
Pianificare una Allowlist prima di una Blocklist
Per i servizi critici, una Allowlist è spesso più pulita di una Blocklist sempre più lunga. Se un servizio deve essere accessibile solo da partner fissi, filiali, sistemi di monitoraggio o sedi amministrative, si dovrebbero prima consentire queste fonti e bloccare il resto. Questo riduce il carico di manutenzione e impedisce di dover bloccare reattivamente ogni nuovo IP di scanner singolarmente.
Una Allowlist è particolarmente adatta per:
- Accessi amministrativi a servizi di gestione pubblicati
- Interfacce B2B con indirizzi IP di partner conosciuti
- Monitoraggio, backup, webhook o endpoint API con sistemi di origine fissi
- Accessi di supporto temporanei con ticket, data di scadenza e revisione
Una Blocklist è più adatta quando un servizio deve rimanere consapevolmente accessibile pubblicamente, ma si desidera ridurre le fonti sospette. In tal caso, la regola dovrebbe essere gestita con logging, data di revisione e eccezioni chiare. Per i server web pubblicati tramite WAF, è inoltre rilevante Sophos Firewall WAF: pubblicare in sicurezza i server web, poiché lì paesi, autenticazione e protezione del server web sono gestiti più vicino all’applicazione pubblicata.
Trattare separatamente i filtri paese WAF
In Web Server Protection, la regola WAF ha campi propri per Allowed client networks, Blocked client networks, Blocked countries e Block IP addresses of unknown country-origin. Queste impostazioni appartengono all’applicazione web pubblicata e non sono la stessa cosa di una normale regola firewall Drop.
Questo è pratico perché il filtro paese è collegato direttamente alla pubblicazione WAF. Allo stesso tempo serve cautela: Block IP addresses of unknown country-origin può escludere utenti legittimi se il loro indirizzo IP non può essere assegnato chiaramente. Prima dell’attivazione, conviene verificare il proprio indirizzo IP esterno con la GeoIP2 Databases Demo. Questa opzione dovrebbe essere attivata solo se l’effetto è stato testato ed è noto al processo di supporto.
Per le regole WAF, i filtri paese sono solo un elemento. Autenticazione, MFA, certificato, Web Server Protection, firme IPS/WAF, logging e un server backend aggiornato restano più importanti di una lunga lista di paesi bloccati.
Black Hole DNAT e Threat Feeds
Per servizi pubblicati può essere utile intercettare fonti indesiderate prima della regola DNAT produttiva. Per infrastrutture d’attacco dinamiche sono utili anche i Threat Feeds.
Black Hole DNAT per fonti indesiderate
Una regola Black Hole DNAT traduce il traffico verso una destinazione che non esiste nella rete. Il traffico finisce quindi nel vuoto e non raggiunge il servizio effettivo.
Questo è particolarmente utile quando un servizio viene pubblicato tramite DNAT e si desidera intercettare determinate fonti prima dell’effettivo inoltro di porta.
Black Hole DNAT dovrebbe essere utilizzato in modo mirato. È particolarmente adatto per il traffico verso servizi pubblicati, dove sotto c’è una normale regola DNAT. Per il traffico client in uscita generale, servizi del firewall locali o server web pubblicati tramite WAF, di solito una regola del firewall, Device Access o un’impostazione WAF è il punto di controllo migliore.

Nella regola NAT è importante non confondere la vista originale dell’attaccante con la destinazione dummy tradotta. La regola va inserita in Rules and policies > NAT rules sopra la regola DNAT di produzione. Original source contiene la lista di IP bloccati, il paese o il gruppo di paesi. Original destination è l’indirizzo WAN pubblico o l’oggetto host WAN a cui si rivolge l’attaccante. Translated destination è l’host dummy non instradato. In questo schema, la traduzione di sorgente e servizio normalmente resta impostata su Original.
Dopo il salvataggio, bisogna verificare nel Log Viewer se viene colpita la NAT Rule ID prevista. Se la normale regola DNAT continua a corrispondere, la regola Black Hole è troppo in basso, la sorgente non corrisponde, oppure il servizio o la destinazione raggiunti non corrispondono al traffico di test.
La regola Black Hole DNAT richiede comunque una regola firewall adatta o un percorso di log, in modo che il match resti tracciabile. NAT traduce soltanto, non è un’autorizzazione di accesso autonoma. Se in seguito nessuno sa più perché esiste l’host fittizio o quale fonte viene intercettata, questa tecnica diventa rapidamente un residuo legacy.
Esempio:
- Nome della regola:
BLOCK_BAD_IPS_COUNTRIES - Posizione della regola:
Top - Origine originale: Lista di IP dannosi, paese o gruppo di paesi
- Destinazione originale: IP WAN pubblico o oggetto host WAN
- Servizio originale:
Anyo il servizio pubblicato - Origine tradotta (SNAT):
Original - Destinazione tradotta (DNAT): Host fittizio che non esiste
- Servizio tradotto (PAT):
Original - Interfaccia in entrata:
Any - Interfaccia in uscita:
Any
L’host fittizio dovrebbe utilizzare un indirizzo IP che non esiste nella propria rete e non viene instradato. È importante che questa regola sia sopra le regole DNAT effettive. Le regole NAT vengono elaborate dall’alto verso il basso. Se prima corrisponde la regola DNAT normale, la regola Black Hole DNAT arriva troppo tardi.
L’host fittizio non dovrebbe essere scelto a caso. È sensato un indirizzo da una rete di documentazione o fittizia interna non utilizzata, che non viene instradata e non è pianificata per sistemi reali in futuro. La regola dovrebbe descrivere chiaramente perché questo host esiste, in modo che non venga eliminato accidentalmente o utilizzato in produzione.
Perché l’ordine è decisivo
Per le regole NAT vince la prima regola corrispondente. Una regola Black Hole DNAT deve quindi essere molto in alto, di solito in cima alla tabella delle regole NAT.
Ordine esemplificativo:
- Black Hole DNAT per lista di IP dannosi e paesi bloccati
- Regole DNAT specifiche per servizi pubblicati
- Regole SNAT speciali
- Regola MASQ generale per il traffico in uscita
Per le regole del firewall vale lo stesso principio: le regole di blocco specifiche stanno sopra le regole di autorizzazione generali. Altrimenti può succedere che il traffico sia già stato autorizzato prima che la regola di drop venga verificata.
Non lasciare inutilmente la fonte su Any
Per i servizi pubblicati, si dovrebbe restringere la fonte il più possibile.
Fonti sensate possono essere:
- singoli indirizzi IP pubblici
- Reti di partner o filiali
- Paesi da cui ci si aspetta l’accesso
- Host FQDN o gruppi di host DNS, se appropriato
- Gruppi di host curati con indirizzi IP di amministrazione consentiti
Any è sensato solo se il servizio deve essere veramente accessibile a livello mondiale. In tal caso, si dovrebbero attivare misure di protezione aggiuntive: logging, IPS, MFA dove possibile, autenticazione forte, sistemi di destinazione aggiornati e Threat Feeds.
IPv6 deve essere pianificato separatamente. Una regola paese IPv4 non dimostra che la stessa applicazione sia protetta anche tramite IPv6. In ambienti dual-stack servono regole IPv6 adatte, logging e un percorso di test. Se IPv6 non viene usato in produzione, deve essere disattivato, bloccato o introdotto in modo documentato.
Utilizzare anche Threat Feeds
Le liste manuali e le regole per i paesi sono statiche. L’infrastruttura degli attaccanti cambia continuamente. Pertanto, consigliamo anche i Sophos Firewall Threat Feeds.
I Threat Feeds aiutano particolarmente con:
- indirizzi IP di scanner conosciuti
- Reti bot
- Infrastruttura malware
- Host compromessi
- Liste di IP dannosi gestite dinamicamente
In questo modo non è necessario gestire manualmente ogni singolo IP. Il firewall può bloccare già fonti cattive conosciute prima che raggiungano il servizio pubblicato.
Test e operatività
Dopo la modifica, contatori, log e percorsi di accesso attesi devono essere controllati consapevolmente.
Gestione e revisione delle liste di blocco
Le liste di blocco sono utili solo se rimangono comprensibili in funzione. Una regola per i paesi o una lista di IP dannosi non dovrebbe quindi semplicemente crescere indefinitamente senza che qualcuno verifichi i colpi, le eccezioni e gli effetti collaterali.
Per ogni lista di blocco manuale dovrebbe essere documentato:
- perché la fonte è stata bloccata
- se si tratta di un blocco temporaneo o permanente
- chi gestisce la lista
- quando la regola verrà nuovamente verificata
- quali servizi o regole DNAT sono interessati
- come viene concesso un falso positivo
Soprattutto con reti cloud, CDN, hosting o supporto, bisogna essere cauti. Un singolo indirizzo IP può appartenere successivamente a un altro cliente, un intervallo CDN può contenere servizi legittimi e un fornitore di servizi esterno può cambiare il proprio IP di uscita. Se un accesso legittimo viene bloccato, non si dovrebbe disattivare immediatamente l’intera regola. È meglio un’eccezione stretta con motivo, ticket e data di revisione.
Per i server pubblicati, si dovrebbe inoltre verificare se la lista di blocco effettivamente precede la regola DNAT produttiva. Il controllo operativo in Pubblicare server tramite DNAT su Sophos Firewall aiuta a valutare insieme servizi pubblicati, regole NAT e logging. Se le fonti bloccate passano attraverso una regola del firewall, Testare la regola del firewall con Log Viewer, Policy Test e Packet Capture è il percorso di test appropriato.
Una revisione sensata non consiste solo in uno sguardo alla regola. Si dovrebbe controllare nel Log Viewer se la regola colpisce ancora, quali fonti sono interessate e se i colpi corrispondono al rischio previsto. Per una valutazione a lungo termine, Central Firewall Reporting o Inviare i log di Sophos Firewall a SIEM sono migliori dei soli log locali.
Procedura di test dopo la modifica
Dopo una nuova regola di blocco, non si dovrebbe solo verificare se l’accesso indesiderato scompare. È importante anche se il traffico desiderato continua a funzionare e se il firewall registra il colpo in modo comprensibile.
Procedura pratica:
- Creare la regola con nome descrittivo, logging e descrizione dettagliata.
- Se possibile, testare prima con una piccola lista di origine o un singolo paese.
- Verificare il blocco previsto da una fonte esterna appropriata.
- Filtrare nel Log Viewer per origine, destinazione, servizio, ID regola del firewall e ID regola NAT.
- Testare un accesso legittimo da una fonte consentita.
- Per i server pubblicati, verificare se la regola DNAT produttiva continua a funzionare per le fonti consentite.
- Documentare la data di revisione e il proprietario della regola.
Se non è possibile un test pulito dall’esterno, la modifica dovrebbe essere almeno monitorata con Log Viewer, Packet Capture e una finestra di manutenzione stretta. Una regola di blocco senza colpi visibili e senza proprietario è difficilmente distinguibile da un residuo dopo alcuni mesi.
Troubleshooting
Se il risultato atteso manca, si controllano passo per passo logging, rule matching e comportamento delle policy.
Errori tipici
- Black Hole DNAT è sotto la regola DNAT normale: La regola DNAT normale corrisponde prima, la regola di blocco non si applica
- La destinazione fittizia esiste nella rete: Il traffico finisce inaspettatamente su un sistema reale
- La fonte viene gestita diversamente in NAT e regola del firewall: Le regole diventano difficili da comprendere e divergono
- Il blocco dei paesi viene utilizzato come unica misura di protezione: I bot da paesi consentiti possono continuare ad attaccare
- WAF e DNAT vengono confusi: Una regola firewall
Dropnon protegge automaticamente ogni pubblicazione WAF. Controllare separatamente WAF Blocked countries. - I servizi locali del firewall vengono protetti con normali regole firewall: Per WebAdmin, User Portal, VPN Portal e SSH controllare prima Device Access e Local Service ACL.
- IPv6 viene dimenticato: Una regola IPv4 non blocca un percorso IPv6.
- I blocchi IP temporanei non vengono mai verificati: Voci vecchie bloccano successivamente accessi legittimi o creano complessità inutile
- Gli intervalli cloud o CDN vengono bloccati troppo ampiamente: Applicazioni aziendali, aggiornamenti o fornitori di servizi esterni possono fallire
- Il logging è disattivato: Nel Log Viewer non è chiaro quale regola ha colpito
Risoluzione dei problemi
Se una regola di blocco non si applica, si dovrebbe verificare in questo ordine:
- La regola NAT o del firewall è davvero sopra le regole di autorizzazione?
- L’IP di origine corrisponde alla lista di IP dannosi o al paese scelto?
- Il traffico viene elaborato da una regola WAF, regola DNAT o regola del firewall?
- Il logging è attivo sulla regola del firewall interessata?
- Il Log Viewer mostra l’ID della regola del firewall o l’ID della regola NAT previsto?
- Si vede il traffico in Diagnostics > Packet capture?
- C’è un’eccezione più recente, un gruppo di host o un’esclusione di Threat Feed che influenza il blocco previsto?
- Un blocco temporaneo è stato lasciato permanentemente dopo un incidente?
Per l’analisi aiutano anche La regola del firewall non si applica: verificare ordine, corrispondenza e log, Utilizzare lo strumento Packet Capture in WebAdmin e Comprendere NAT su Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Se il traffico bloccato appartiene effettivamente a un server pubblicato, si dovrebbe inoltre verificare la regola DNAT produttiva: la regola Black Hole DNAT è davvero sopra, viene colpito lo stesso indirizzo di destinazione pubblico e il servizio è identico o volutamente più ampio? Per la pubblicazione completa si adatta Pubblicare server tramite DNAT su Sophos Firewall.
FAQ
È possibile bloccare paesi con Sophos Firewall?
Drop. La regola deve essere sopra le regole di autorizzazione corrispondenti e dovrebbe essere testata con il logging.Il blocco dei paesi protegge WebAdmin o il VPN Portal?
Administration > Device access e Local Service ACL Exception Rules. Il blocco dei paesi può integrare, ma non sostituisce un rafforzamento dell’accesso pulito.