Vai al contenuto
Avanet

Configurare correttamente Sophos Firewall dopo il Setup Wizard

Dopo il Setup Wizard, un Sophos Firewall è accessibile, registrato e fondamentalmente pronto per l’uso. Tuttavia, non è ancora sicuro da utilizzare. Il wizard gestisce l’avvio, non l’architettura produttiva.

L’articolo raccoglie i punti che dovrebbero essere verificati dopo la configurazione iniziale: accesso a Internet, registrazione, stato della licenza, firmware, backup, zone, Device Access, DNS, DHCP, regole del firewall, NAT, logging e prime misure di hardening. È pensato come una lista di controllo pratica per nuovi hardware XGS, firewall virtuali e piccole migrazioni.

Se si tratta di una migrazione da XG a XGS, da hardware a virtuale o di un ripristino su un dispositivo sostitutivo, si dovrebbe anche consultare Creare o ripristinare un backup di Sophos Firewall e Sophos XG vs. XGS: differenze, EOL e migrazione.

Percorso rapido dopo il primo login

Quando il firewall esce dal wizard, non ogni dettaglio è immediatamente urgente. Nei primi 30 minuti, l’obiettivo principale è non perdere l’accesso, garantire lo stato e riconoscere i principali rischi operativi.

Questa sequenza è sensata per la maggior parte delle nuove installazioni:

  1. Proteggere l’accesso admin: Documentare password, Secure Storage Master Key e un secondo accesso admin o di emergenza.
  2. Verificare licenza e registrazione: Sotto Administration > Licensing, controllare che modello, numero di serie, Base License e sottoscrizioni siano corretti.
  3. Creare un backup: Scaricare un backup manuale prima di ulteriori modifiche e conservarlo esternamente.
  4. Verificare firmware e pattern: Controllare lo stato del firmware, hotfix e aggiornamenti dei pattern, ma installare aggiornamenti solo con una finestra di manutenzione e un piano di rollback.
  5. Limitare Device Access: Non lasciare che WebAdmin e SSH siano ampiamente accessibili da zone client, guest, IoT o WAN.
  6. Verificare zone e interfacce: Controllare WAN, LAN, VLAN, bridge, rete di gestione e future zone di sicurezza rispetto al piano di rete.
  7. Valutare le regole predefinite: Non adottare le prime regole del firewall e NAT come design di sicurezza definitivo.
  8. Attivare il logging: Attivare Log firewall traffic per regole importanti, in modo che i test successivi siano tracciabili nel Log Viewer.

Solo quando questi punti sono chiari, si dovrebbe iniziare con il traffico produttivo, accesso remoto, WAF, SD-WAN, RED o TLS Inspection. Altrimenti, la ricerca degli errori diventa inutilmente difficile, poiché non è chiaro se un problema deriva dalla configurazione di base, da una funzione di sicurezza o da un’applicazione.

Articoli di configurazione aggiuntivi in base alla situazione

Dopo il wizard, il lavoro si dirama rapidamente in diverse aree. Per i nuovi firewall, questa sequenza è sensata:

Questa separazione è importante perché un wizard di successo non significa una sicurezza architettonica completa. Prima del traffico produttivo, l’accesso alla gestione, il backup, la licenza, le zone, le regole, il logging e le funzioni di protezione devono essere consapevolmente verificati.

Preparare prima della configurazione

Prima di avviare il wizard, accesso, collegamento WAN, rete di management e contesto di licenza dovrebbero essere chiari. Questo evita improvvisazioni durante la configurazione e correzioni successive di ipotesi di base poco chiare.

Prerequisiti per la configurazione

Prima della configurazione, dovrebbe essere chiaro come il firewall sarà integrato nella rete. Molti problemi successivi non nascono dal wizard stesso, ma perché WAN, LAN, DNS, accesso alla gestione o dati di licenza sono improvvisati.

Prima di iniziare, avere a disposizione:

  • Modello del firewall, numero di serie e posizione pianificata.
  • Dati di accesso WAN o informazioni del provider, ad esempio DHCP, IP statico, PPPoE, VLAN o router a monte.
  • Rete di destinazione interna per il primo accesso LAN o di gestione.
  • Server DNS che funzionano durante la configurazione.
  • Accesso a Sophos Central o una persona che può generare un OTP per la registrazione.
  • Password admin pianificata e luogo di archiviazione nel password manager.
  • Decisione se configurare il firewall da zero o ripristinarlo da un backup.

Il firewall necessita di una connessione Internet funzionante per registrazione, sincronizzazione delle licenze, aggiornamenti dei pattern e connessione a Central. Se un dispositivo a monte filtra il traffico in uscita, deve funzionare almeno l’accesso HTTPS necessario. In configurazioni di provider più complesse, l’accesso WAN dovrebbe essere pianificato consapevolmente prima di indovinare durante il wizard.

Connessioni e configurazione di rete

A seconda del modello, i nomi delle porte e l’assegnazione predefinita differiscono. In molte appliance hardware, il primo accesso LAN è possibile tramite l’indirizzo standard, mentre i modelli più grandi possono avere una porta di gestione dedicata.

Accessi tipici iniziali:

  • Porta LAN con https://172.16.16.16:4444: Configurazione iniziale tramite la rete di setup locale
  • Porta MGMT con https://10.0.1.1:4444: Accesso di gestione dedicato nei modelli con porta MGMT
  • Console seriale o accesso locale: Scenari di emergenza o reimage

Il client per la configurazione iniziale dovrebbe essere collegato direttamente o tramite una rete di setup controllata. Vecchi server DHCP, VLAN errate o una porta switch produttiva con configurazione di porta inaspettata possono rendere la configurazione iniziale inutilmente difficile.

Accesso all’interfaccia web

Per configurare, si accede alla WebAdmin Console tramite un browser web. A seconda dell’interfaccia, si utilizza uno di questi indirizzi:

  • Porta LAN: https://172.16.16.16:4444
  • Porta di gestione: https://10.0.1.1:4444

Al primo accesso, il firewall utilizza un certificato firmato localmente. L’avviso del browser è normale in questo momento, ma non dovrebbe essere ignorato in seguito. Per l’accesso produttivo a WebAdmin, dovrebbe essere pianificato un certificato appropriato, specialmente se vengono utilizzati più admin, gestione centralizzata o un FQDN di gestione.

Finché viene ancora usato l utente predefinito admin con la password predefinita, si applicano restrizioni aggiuntive. SSH dalla zona WAN non viene rifiutato normalmente; il firewall chiude la connessione in modo silenzioso. WebAdmin dalla zona WAN mostra un messaggio Forbidden. SCP con le credenziali predefinite non è utilizzabile nelle zone LAN e WAN. Questo stato va inteso come fase di installazione, non come modello operativo.

Eseguire il Setup Wizard

Il Setup Wizard configura il firewall a livello di base. In questa fase l’obiettivo non è il design di sicurezza finale, ma portare il firewall online, registrato e amministrabile in modo controllato.

Configurazione iniziale con il Setup Wizard

Il Setup Wizard raccoglie i dati di base e porta il firewall in uno stato pronto per l’avvio. Durante questo processo, dovrebbero essere impostati consapevolmente questi punti:

  1. Accettare i Termini di utilizzo per l’utente finale di Sophos.
  2. Avviare la configurazione.
  3. Impostare e conservare in sicurezza la password admin.
  4. Definire il nome del firewall e il fuso orario.
  5. Fornire il numero di serie o i dati di licenza esistenti.
  6. Consentire l’installazione automatica dell’aggiornamento del firmware durante la configurazione solo se l’accesso a Internet e la finestra di manutenzione lo consentono.
  7. Creare il Secure Storage Master Key e documentarlo nel password manager.
  8. Eseguire la registrazione e la sincronizzazione delle licenze o posticiparle consapevolmente.

Il Secure Storage Master Key è importante per i dati protetti e gli scenari di ripristino. Non dovrebbe essere conservato in un file di testo locale sul notebook dell’admin, ma in un processo di password o di recupero controllato. Se viene perso, può essere tecnicamente reimpostato, ma i backup protetti esistenti o i dati non possono essere automaticamente decrittati.

Verifica della connessione Internet e del DNS

Nel wizard viene verificato se il firewall raggiunge Internet. Se il controllo fallisce, non dovrebbe essere inserito “qualsiasi DNS”. È meglio una delimitazione chiara:

  • L’interfaccia WAN ha un indirizzo IP valido?
  • Il gateway predefinito è corretto?
  • È necessario PPPoE, VLAN o routing statico?
  • Il firewall può risolvere il DNS?
  • Il traffico HTTPS in uscita è bloccato da un dispositivo a monte?
  • Data, ora e fuso orario sono corretti?

Per ambienti produttivi, il DNS non dovrebbe essere impostato casualmente su resolver pubblici se è necessaria la risoluzione dei nomi interni. Dopo la configurazione iniziale, i domini interni dovrebbero essere instradati correttamente ai server DNS interni tramite rotte delle richieste DNS su Sophos Firewall.

Registrazione di Sophos Firewall

La registrazione collega il firewall al contesto di licenza e Central di Sophos. Può essere eseguita direttamente nel wizard o successivamente durante il funzionamento. Per i firewall produttivi, questo passaggio non dovrebbe rimanere aperto inutilmente a lungo, poiché lo stato della licenza, il supporto, le sottoscrizioni e le funzioni di Central dipendono da esso.

Sophos supporta diversi metodi per la registrazione. In ambienti partner o clienti, OTP è particolarmente pratico, poiché non tutti gli admin devono conoscere le credenziali di accesso Super Admin di Sophos Central.

Procedura tipica:

  1. Tenere a disposizione il numero di serie del firewall.
  2. Rivendicare il firewall in Sophos Central o far generare un OTP da un amministratore di Sophos Central.
  3. Inserire l’OTP nel firewall.
  4. Completare la registrazione.
  5. Successivamente, sotto Administration > Licensing, verificare che il firewall sia registrato correttamente.

Importante: Sophos Central Firewall Management richiede una sottoscrizione a pagamento o un contesto di supporto/bundle appropriato. La sola Base Firewall License non è sufficiente per tutte le funzioni di gestione centralizzata.

Attivazione delle licenze

Dopo la registrazione, il firewall verifica le sue licenze con il server di licenze Sophos. Se il firewall ha accesso a Internet, le informazioni sulle licenze vengono sincronizzate regolarmente. Inoltre, è possibile avviare manualmente la sincronizzazione nella WebAdmin Console.

Sotto Administration > Licensing, si dovrebbe verificare:

  • È registrato il modello corretto con il numero di serie corretto?
  • La Base License è attiva?
  • Sono visibili correttamente supporto, Xstream Protection, Standard Protection o singole sottoscrizioni?
  • Le date di scadenza sono plausibili?
  • Una nuova chiave di licenza è stata effettivamente applicata o solo registrata nel portale?
  • Dopo Synchronize, il firewall mostra lo stesso stato di Sophos Central?

Senza una licenza adeguata, molte funzioni di protezione non funzionano o funzionano solo in modo limitato. Questo riguarda, a seconda della funzione, ad esempio IPS, Web Protection, Zero-Day Protection, DNS Protection, Central Orchestration, Active Threat Response o servizi di supporto. Le basi su supporto e moduli sono spiegate in Comprendere la Base License di Sophos Firewall OS e Quali bundle di Sophos Firewall esistono?.

Connessione alla piattaforma Sophos Central

Per il funzionamento locale di un singolo Sophos Firewall, Sophos Central non è strettamente necessario. Il firewall può essere gestito completamente tramite WebAdmin. Tuttavia, Sophos Central offre vantaggi se si utilizzano consapevolmente queste funzioni:

  • panoramica centrale su uno o più firewall,
  • Central Firewall Management senza pubblicazione diretta di WebAdmin da Internet,
  • Central Backups,
  • Central Firewall Reporting,
  • a seconda della licenza, conservazione dei log più lunga e funzioni di reporting aggiuntive,
  • Security Heartbeat e Synchronized Application Control in ambienti endpoint Sophos,
  • integrazione in ulteriori processi di Sophos Central.

È importante avere le giuste aspettative: Sophos Central non sostituisce una documentazione operativa locale e un processo admin pulito. Chi attiva Central Management dovrebbe definire consapevolmente ruoli, MFA, accesso, conservazione dei backup e conservazione dei report.

Maggiori dettagli sono disponibili nell’articolo Collegare Sophos Firewall a Sophos Central: vantaggi e limiti.

Conclusione della configurazione

Dopo il completamento della configurazione, il firewall si riavvia o reindirizza alla schermata di login. Successivamente, non si dovrebbe iniziare direttamente con il traffico produttivo, ma prima controllare lo stato di base.

Subito dopo il primo login, verificare:

  • Data, ora e fuso orario.
  • Versione del firmware e aggiornamenti dei pattern.
  • Stato della licenza sotto Administration > Licensing.
  • Stato WAN e accesso a Internet.
  • Password admin e Secure Storage Master Key nel password manager.
  • Configurazione del backup.
  • Accessibilità della WebAdmin Console solo dalle reti desiderate.
  • Regole predefinite, NAT e DNS.
  • Primi log nel Log viewer.

Rendere il firewall pronto per la produzione dopo il Setup Wizard

Dopo il wizard inizia il lavoro vero: il firewall deve essere irrobustito, integrato nell’architettura di rete, documentato e preparato per il troubleshooting. Questi passaggi incidono sull’esercizio successivo più del wizard stesso.

Perché il Setup Wizard non basta

Il wizard crea una configurazione di base, ma non un’architettura di sicurezza completa. Interfacce, zone, Device Access, DNS, DHCP, regole del firewall, NAT, log, backup e profili di protezione devono essere consapevolmente verificati.

Un Sophos Firewall non è un router consumer, dove si è finiti dopo il wizard. Se pianificato correttamente, può proteggere molto bene una rete, ma solo se l’architettura è corretta: le zone devono corrispondere alla logica di sicurezza, gli accessi di gestione devono essere limitati, le regole devono essere create consapevolmente e documentate, e le funzioni di protezione come Webfilter, IPS, Application Control o TLS Inspection devono essere attivate e testate consapevolmente. Un firewall configurato in modo errato può creare un falso senso di sicurezza.

Per prima cosa, vale la pena dare un’occhiata al Control Center. Qui si vedono lo stato del sistema, il traffico, le informazioni su utenti e dispositivi, le regole del firewall attive, i report e gli avvisi come nuovi firmware o risultati del Health Check. Gli avvisi e le notifiche in quest’area non dovrebbero essere semplicemente ignorati, ma utilizzati come lista di controllo pratica per il lavoro successivo.

Verifica di firmware, licenza e backup

Sotto Backup & firmware, si verifica se il firmware attivo è aggiornato. Gli aggiornamenti del firmware sono rilevanti per la sicurezza, poiché correggono errori, migliorano la stabilità e applicano correzioni di sicurezza. Gli aggiornamenti non dovrebbero essere rimandati indefinitamente, ma nemmeno installati senza preparazione.

Sophos Firewall lavora con due slot firmware. In caso di problemi, è possibile avviare un firmware precedente. Tuttavia, prima di ogni modifica significativa, dovrebbe essere creato un backup manuale. Per i firewall produttivi, si pianifica una finestra di manutenzione, si controllano le note di rilascio, lo stato HA, lo spazio libero, le dipendenze VPN e l’accessibilità esterna.

Sotto Backup & firmware, dovrebbe essere inoltre impostato un backup regolare. Per i backup crittografati, è necessario una password di backup. Per il ripristino di dati sensibili, è inoltre rilevante il Secure Storage Master Key. Questo key deve assolutamente essere conservato in un password manager. Se viene perso, può essere reimpostato tramite la console, ma i backup protetti esistenti non possono essere ripristinati normalmente.

Successivamente, si verifica sotto Administration > Licensing se la registrazione, la Base License e le sottoscrizioni prenotate sono visualizzate correttamente. Per il tema degli aggiornamenti, aiutano gli articoli Aggiornamento del firmware di Sophos Firewall: preparazione e best practices e Aggiornamento del firmware su Sophos Firewall. I backup sono spiegati più dettagliatamente nell’articolo Creare o ripristinare un backup di Sophos Firewall.

Pianificare correttamente zone e interfacce

Il wizard può unire più porte LAN in un bridge nelle appliance hardware. Questo è pratico per un avvio rapido, ma non sempre la migliore architettura di destinazione. Sotto Network > Interfaces, si dovrebbe verificare quali porte, VLAN, bridge o LAG sono realmente necessari.

Ogni interfaccia è assegnata esattamente a una zona. Questa assegnazione determina successivamente come le regole del firewall, Device Access e i profili di protezione si applicano. Zone produttive tipiche sono ad esempio LAN, Server, DMZ, Guest, VoIP, Management o VPN. Non ogni VLAN necessita di una propria zona, ma ogni zona dovrebbe avere un chiaro significato di sicurezza.

Maggiori dettagli sono disponibili nell’articolo Pianificare e configurare zone e interfacce di Sophos Firewall.

Proteggere Device Access

Un errore comune dopo la configurazione iniziale è un accesso di gestione eccessivo. Gli accessi ai servizi locali del firewall, come WebAdmin, SSH, User Portal, VPN Portal, DNS o Ping, non sono gestiti tramite le normali regole del firewall. Per questo è responsabile Administration > Device access.

⚠️ WebAdmin, SSH, User Portal e VPN Portal non dovrebbero mai essere raggiungibili solo perché la base delle regole firewall sembra pulita. Questi servizi dipendono da Device Access e Local Service ACLs. Dopo ogni modifica, testare attivamente da quali zone e reti sorgente l’accesso è davvero possibile.

Per i sistemi produttivi, HTTPS e SSH non dovrebbero essere ampiamente consentiti da zone non sicure. Se è necessario un accesso esterno, si dovrebbe lavorare con una Local service ACL exception rule e limitare l’accesso a indirizzi IP fissi o reti di gestione definite. In alternativa, Sophos Central Firewall Management è spesso la soluzione più pulita.

Maggiori dettagli sono disponibili nell’articolo Proteggere l’accesso a Sophos Firewall: configurare correttamente Device Access.

Stabilire account admin, MFA e fallback

Dopo il primo login, non si dovrebbe lavorare permanentemente con un accesso admin condiviso. Per l’uso quotidiano, sono migliori amministratori propri, ruoli chiari e un accesso di emergenza documentato. In questo modo, è possibile tracciare chi ha effettuato una modifica e una singola password compromessa non diventa automaticamente un accesso completo al firewall.

Per i nuovi firewall, questa sequenza è sensata:

  1. Testare almeno un secondo accesso amministrativo prima di attivare ampiamente MFA.
  2. Trattare l’utente predefinito locale admin come account di emergenza e non utilizzarlo come utente giornaliero.
  3. Pianificare l’attivazione di MFA per WebAdmin, VPN Portal e Remote Access.
  4. Documentare ruoli e responsabilità, specialmente se si utilizza Sophos Central Firewall Management.
  5. Stabilire il processo di reset dei token, la conservazione delle password e l’accesso al di fuori degli orari d’ufficio.

MFA riduce il rischio di credenziali rubate, ma non sostituisce una restrizione di accesso. Pertanto, MFA per WebAdmin, VPN Portal e Remote Access di Sophos Firewall e Device Access vanno insieme. Se più persone lavorano tramite Sophos Central, dovrebbero essere verificate anche le ruoli amministrativi di Sophos Central.

Verificare DNS, DHCP e risoluzione dei nomi interni

Sotto Network > DNS, si stabilisce come il firewall riceve i server DNS: tramite DHCP, tramite le informazioni PPPoE del provider o staticamente. Per i domini interni, si dovrebbero utilizzare DNS request routes in modo che le richieste per le zone interne vadano al server DNS interno corretto.

Nelle nuove installazioni, il DNS dovrebbe essere testato con nomi interni ed esterni reali. Un test solo con google.com non è sufficiente se in seguito vengono utilizzati Active Directory, file server, stampanti, sistemi di gestione o applicazioni interne. È importante soprattutto se i client ricevono i server DNS corretti e se il firewall non inoltra accidentalmente i domini interni ai resolver pubblici.

Verifica pratica del DNS:

  • Il firewall risolve i nomi esterni: Registrazione, sincronizzazione delle licenze, aggiornamenti e connessione a Central funzionano
  • Il client risolve i nomi esterni: DHCP, server DNS e regola del firewall sono coerenti
  • Il client risolve i nomi interni: Il DNS interno o la route delle richieste DNS funziona
  • Il client VPN o VLAN risolve i nomi interni: Server DNS, dominio di ricerca e regola della zona sono coerenti anche al di fuori della prima LAN

DHCP è configurato sotto Network > DHCP per interfaccia. È importante adattare correttamente le aree DHCP alla struttura delle interfacce e delle VLAN. Il server DHCP non dovrebbe assegnare indirizzi già utilizzati staticamente per server, switch, access point, stampanti o dispositivi di gestione. Inoltre, gateway, server DNS, nome di dominio e tempo di lease dovrebbero essere impostati consapevolmente, in modo che i client, dopo la prima connessione, non ricevano solo un indirizzo IP qualsiasi, ma lavorino effettivamente nella rete prevista.

Se DHCP deve essere inoltrato tramite percorsi VPN, il firewall può anche funzionare come DHCP Relay. Per le opzioni DHCP speciali, c’è Configurare le opzioni DHCP su Sophos Firewall.

Verificare le prime regole del firewall e NAT

La regola predefinita Outbound creata dal wizard non dovrebbe essere adottata ciecamente. Sotto Rules and policies > Firewall rules, si dovrebbe verificare quali zone di origine sono consentite, quali destinazioni devono essere raggiungibili e quali funzionalità di sicurezza sono attive. Le regole vengono elaborate dall’alto verso il basso; la prima regola corrispondente vince.

Per iniziare, dovrebbe esistere almeno una regola Client-to-Internet consapevolmente nominata. Questa regola non dovrebbe semplicemente consentire Any a Any, ma mostrare chiaramente zona di origine, rete di origine, destinazioni, servizi, logging e funzionalità di sicurezza. Se la regola viene successivamente ampliata, dovrebbe rimanere tracciabile se è destinata a client normali, server, ospiti, IoT o dispositivi di gestione.

Una prima verifica delle regole può essere così:

  1. Collegare un client di test nella zona prevista.
  2. Verificare indirizzo IP, gateway e DNS sul client.
  3. Generare una chiamata HTTPS esterna.
  4. Nel Log viewer, cercare IP di origine, destinazione, servizio e ID della regola.
  5. Verificare se la regola del firewall e la regola NAT previste sono state colpite.
  6. Eseguire un test intenzionalmente non consentito, ad esempio da una zona guest o di gestione.
  7. Documentare quale regola rimane produttiva e quale regola del wizard o di test viene rimossa.

Per NAT vale: NAT non consente traffico da solo. È sempre necessaria anche una regola del firewall appropriata. Per i client normali verso Internet, è rilevante una regola Source-NAT con MASQ. Per i server pubblicati, invece, è necessaria una DNAT più una regola del firewall appropriata, logging e un test esterno al di fuori della propria LAN. Per nuove configurazioni, le regole NAT autonome sono generalmente più chiare delle Linked NAT Rules. Le basi sono spiegate in Comprendere e configurare correttamente le regole di Sophos Firewall e Comprendere NAT su Sophos Firewall: SNAT, DNAT, MASQ, PAT. Se un server interno deve essere pubblicato, l’articolo Pubblicare un server tramite DNAT su Sophos Firewall è adatto.

Attivare consapevolmente le funzioni di protezione

Una regola del firewall non è automaticamente una regola di protezione completa. A seconda della licenza e dell’obiettivo, IPS, Web Protection, Application Control, Malware-Scanning, TLS Inspection, Zero-Day Protection o Threat Feeds dovrebbero essere attivati, testati e documentati consapevolmente.

Sequenza pratica:

  1. Creare zone e regole pulite.
  2. Attivare il logging per regole importanti.
  3. Attivare IPS e Web Protection dove sono adatti dal punto di vista funzionale.
  4. Aggiungere Application Control per applicazioni rischiose o indesiderate.
  5. Introdurre TLS Inspection solo pianificata, con gruppo di test, distribuzione CA ed eccezioni.
  6. Attivare Threat Feeds, NDR o Active Threat Response solo quando il monitoraggio e il processo di false positive sono chiari.

Per il contesto di hardening più ampio, è adatto Sophos Firewall Best Practices: rete, regole e sicurezza. Per Zero-Day Protection, c’è Comprendere e gestire Sophos Firewall Zero-Day Protection, per TLS Inspection Introdurre Sophos Firewall TLS Inspection.

Preparare logging e troubleshooting

Nelle regole del firewall importanti, dovrebbe essere attivato Log firewall traffic, altrimenti spesso mancano esattamente le informazioni necessarie per la risoluzione dei problemi. Questo non è noto a molti: se una regola del firewall non registra, il traffico corrispondente non appare in modo significativo nel Log Viewer. Si vedono quindi forse altri eventi di sistema, ma non la decisione concreta della regola che si sta cercando.

Sotto System services > Log settings, si può definire quali tipi di log vengono inviati localmente, a server Syslog o a Sophos Central. Il firewall possiede file di log locali e un database di reporting interno, ma questi non sono pensati come archivio a lungo termine per settimane, mesi o anni. Se i log devono essere conservati permanentemente o cercati centralmente, è necessario un server Syslog esterno o Sophos Central Firewall Reporting.

Per Sophos Central, in generale: con una sottoscrizione attiva del firewall, i Central Firewall Reports sono disponibili per un periodo limitato. Con Xstream Protection o Central Orchestration, sono possibili valutazioni più lunghe. Con Sophos Central Firewall Reporting Advanced, si ottiene spazio di archiviazione aggiuntivo e una conservazione significativamente più lunga. I dettagli sono descritti in Attivare Central Firewall Reporting.

Per le prime analisi, di solito bastano Log viewer, Policy tester e Packet capture. Per analisi più approfondite, si possono anche salvare log CLI, attivare log di debug o utilizzare tcpdump. I log di debug dovrebbero essere attivati solo in modo mirato e per un tempo limitato, poiché generano molti più dati. Come testare le regole è mostrato in Testare le regole del firewall con Log Viewer, Policy Test e Packet Capture. Per Packet Capture, nomi di servizio e file di log, ci sono gli articoli Utilizzare lo strumento Packet Capture in WebAdmin e Troubleshooting di Sophos Firewall: servizi e log. Se i log devono essere raccolti per supporto o analisi esterna, aiuta Salvare i log di Sophos Firewall per analisi esterna.

Test di accettazione prima del traffico produttivo

Prima del go-live, non si dovrebbe solo verificare se “Internet funziona”. Un piccolo test di accettazione documentato previene molti casi di supporto successivi.

Test sensati:

  • Login admin dalla rete di gestione: WebAdmin è accessibile, ma non aperto da zone indesiderate
  • Secondo admin o accesso di emergenza: L’accesso rimane possibile se MFA, SSO o un account utente fallisce
  • Client da LAN a Internet: Regola del firewall, NAT, DNS e policy di sicurezza funzionano come previsto
  • Nome DNS interno: Le rotte delle richieste DNS o i resolver interni funzionano
  • Traffico di test bloccato: Log Viewer mostra la regola corrispondente o il drop previsto
  • Download e conservazione del backup: Il backup non è solo creato, ma anche reperibile
  • Destinazione Central o Syslog: Log e report arrivano al di fuori del firewall, se pianificato

Il test dovrebbe essere brevemente documentato: data, versione del firmware, posizione, IP di origine testato, destinazione, risultato previsto e punti aperti. Questo sembra poco spettacolare, ma risparmia tempo quando giorni dopo si deve indagare su un problema VPN, una regola NAT o un problema DNS.

Lista di controllo dopo la configurazione iniziale

Verificare immediatamente

  • Password admin e Secure Storage Master Key conservati in sicurezza.
  • Firewall registrato e stato della licenza verificato.
  • Stato del firmware e aggiornamenti dei pattern controllati.
  • Backup manuale creato e conservato esternamente.
  • WebAdmin e SSH accessibili solo dalle reti desiderate.
  • Test negativo attivo di WebAdmin e SSH da zone indesiderate.
  • Secondo accesso admin e concetto di emergenza testati.
  • WAN, DNS e fuso orario verificati.
  • Regola del firewall predefinita valutata consapevolmente.

Verificare nei primi giorni

  • Zone, VLAN, bridge e LAG pianificati correttamente.
  • Rotte delle richieste DNS e aree DHCP controllate.
  • Regole del firewall e regole NAT documentate.
  • Logging attivato su regole importanti.
  • Backup Central o processo di backup locale impostato.
  • Deciso obiettivo di log Central, Syslog o altro.
  • Prime regole validate con Log Viewer, Policy Test e Packet Capture.

Verificare prima del funzionamento produttivo o del go-live

  • Accesso di gestione rinforzato.
  • MFA e ruoli admin verificati.
  • IPS, Web Protection, Application Control e altre funzioni di protezione attivate consapevolmente.
  • TLS Inspection pianificata solo con processo di test ed eccezione.
  • Accesso remoto, IPsec, WAF, RED o SD-WAN testati separatamente, se utilizzati.
  • Percorso di rollback e supporto documentato.

Errori tipici

  • Configurazione del wizard utilizzata direttamente in produzione: Regole troppo ampie, zone errate o servizi di gestione aperti rimangono; Dopo il wizard, lavorare su una propria lista di controllo operativa
  • Secure Storage Master Key non documentato: Ripristino o migrazione diventa inutilmente difficile; Conservare immediatamente SSMK nel password manager
  • WebAdmin accessibile da WAN o reti client: Bot, brute-force e superficie di attacco non necessaria; Impostare strettamente Device Access e Local Service ACL Exception Rules
  • MFA attivato senza fallback: Gli admin possono essere bloccati in caso di problemi con token, tempo o gruppo; Testare prima secondo admin, accesso di emergenza e processo di token
  • Logging dimenticato nelle regole: La risoluzione dei problemi successiva diventa cieca; Attivare Log firewall traffic per regole importanti
  • DNS risolto solo con resolver pubblico: I nomi interni non funzionano in modo affidabile; Pianificare server DNS interni e rotte delle richieste DNS
  • NAT senza regola del firewall corrispondente: Server o servizi non sono raggiungibili nonostante NAT; Verificare insieme NAT e regola del firewall
  • Aggiornamento del firmware installato senza backup: Manca il percorso di ritorno in caso di problemi; Verificare backup, note di rilascio e finestra di manutenzione prima degli aggiornamenti

FAQ

La Sophos Firewall è configurata in modo sicuro dopo il Setup Wizard?

No. Il Setup Wizard crea una configurazione di base. Successivamente, zone, Device Access, regole del firewall, NAT, logging, backup, firmware e funzioni di protezione devono essere consapevolmente verificati.

È necessario utilizzare Sophos Central per una Sophos Firewall?

No. Un singolo firewall può essere gestito localmente tramite WebAdmin. Sophos Central è utile per la gestione centralizzata, i backup, il reporting e più firewall, ma non sostituisce una documentazione operativa locale.

Quale indirizzo si utilizza per il primo accesso a Sophos Firewall?

Spesso il primo accesso avviene tramite https://172.16.16.16:4444. Nei modelli con porta di gestione dedicata, può essere rilevante anche https://10.0.1.1:4444. Il comportamento esatto dipende dal modello e dalla connessione.

Perché il Secure Storage Master Key è importante?

Il Secure Storage Master Key protegge i dati di configurazione sensibili ed è importante per determinati scenari di ripristino. Dovrebbe essere documentato in sicurezza subito dopo la configurazione.

Cosa dovrebbe essere protetto per primo dopo la configurazione iniziale?

Per prima cosa, dovrebbero essere verificati password admin, Secure Storage Master Key, backup, stato della licenza, stato del firmware, Device Access, secondo accesso admin e piano MFA. Successivamente, seguono zone, regole, NAT, DNS, DHCP, logging e profili di protezione.