Sophos Firewall VLAN configurazione e test
Un VLAN su Sophos Firewall è più di un ID VLAN. Affinché la nuova rete funzioni davvero, l’interfaccia principale, il tagging dello switch, la zona, l’indirizzo IP, DHCP, DNS, Device Access, le regole del firewall e NAT devono corrispondere.
L’articolo descrive il flusso generico del firewall Sophos e le principali decisioni operative relative a segmentazione, zona, DHCP, regole e test. Quando si tratta di un’implementazione concreta con gli switch UniFi, l’articolo VLAN si adatta a Sophos Firewall e configura lo switch UniFi. Per casi di ponti speciali secondo SFOS 22, Sophos Firewall Controllare il ponte-VLANs secondo SFOS 22 è l’inizio migliore.
Risposta breve
Un VLAN viene creato su Sophos Firewall in Network > Interfaces > Add interface > Add VLAN. Successivamente di solito sono necessari:
- una zona adatta
- un indirizzo IP statico come gateway
- DHCP server o DHCP relè
- DNS progettazione
- Device Access per servizi firewall locali
- regole firewall per Internet, reti interne o server
- Registrazione e un breve test di accettazione
Solo quando un client di prova mostra l’indirizzo IP, il gateway, DNS, le connessioni consentite, le connessioni bloccate e le voci di registro appropriate, VLAN viene accettato in modo pulito.
Quando un VLAN ha senso
VLANs separano logicamente le reti di livello 2 l’una dall’altra. Su Sophos Firewall vengono spesso utilizzati per instradare più reti sullo stesso uplink fisico o su LAG.
Applicazioni tipiche:
- Separare la rete client e la rete server
- Isolare il guest WLAN dall’interno LAN
- Posizionare i telefoni VoIP nella propria rete
- Limitare IoT, fotocamere o stampanti
- Rete di gestione per PC di amministrazione, switch e creazione di monitoraggio
- DMZ o rete di server principale tramite un uplink switch comune
Tuttavia, un VLAN non sostituisce le regole del firewall. Garantisce la separazione tecnica sul livello 2. Se il traffico è consentito tra VLAN viene quindi deciso da Sophos Firewall tramite zone, routing, regole firewall, NAT e politiche di sicurezza.
VLAN architettura di pianificazione
La domanda più importante non è come creare un VLAN. La domanda più importante è quali aree di sicurezza dovrebbero esserci nella rete. Molti problemi sorgono perché i VLAN sono creati puramente tecnicamente: VLAN 10, VLAN 20, VLAN 30. Dopo alcuni mesi, nessuno sa quali comunicazioni dovrebbero essere consentite e perché alcune reti sono state disconnesse.
Raccomandiamo di pianificare innanzitutto i VLAN in base al rischio, alla funzione e alla responsabilità operativa. Una buona struttura di partenza spesso si presenta così:
| Gamma | Dispositivi tipici | Perché disconnettersi? |
|---|---|---|
| Gestione | PC di amministrazione, switch, punti di accesso, monitoraggio, controller | L’accesso alle interfacce di amministrazione deve essere controllato molto attentamente. |
| Client | Dispositivi workstation, notebook, dispositivi utente normale | Rete standard con accesso a Internet e versioni interne mirate. |
| Server | Controller di dominio, file server, server applicazioni | I server non dovrebbero essere direttamente accessibili da ogni rete client. |
| Ospiti | Ospite WLAN, dispositivi esterni | Nessun accesso ai sistemi interni, per lo più solo Internet. |
| IoT e fotocamere | Fotocamere, stampanti, sensori, tecnologia edilizia | Molti dispositivi hanno modelli di aggiornamento e sicurezza deboli. |
| VoIP | Telefoni, PBX, SBC | QoS, opzioni proprie DHCP e una chiara accessibilità sono utili. |
| Backup | Server di backup, repository, storage immutabile | Protezione contro ransomware e movimenti laterali. |
| DMZ | Sistemi accessibili al pubblico o proxy inversi | Area separata per i servizi esposti. |
Questo non è uno schema rigido. Un piccolo ufficio non ha necessariamente bisogno di dieci VLAN. Tuttavia, un ambiente con più sedi, server, WLAN, telecamere, sistemi di backup e accesso esterno non dovrebbe mettere tutto in un unico grande LAN.
Classificare la microsegmentazione in modo realistico
Microsegmentazione non significa che ogni singolo dispositivo necessiti del proprio VLAN. In pratica, l’inizio migliore è solitamente una segmentazione macro pulita: client, server, gestione, guest, IoT, backup e DMZ sono separati. I sistemi particolarmente critici possono quindi essere segmentati più finemente.
Esempi di segmentazione più precisa:
- Posiziona il controller di dominio nella propria sottorete del server.
- Rendere i sistemi di backup accessibili solo da poche fonti.
- Consenti la rete della telecamera solo a NVR o VMS.
- Rendere le stampanti accessibili solo tramite server di stampa o reti client definite.
- Gestione-VLAN aperto solo per dispositivi di amministrazione e monitoraggio.
È importante: ogni ulteriore separazione genera anche costi operativi. Ha bisogno di regole, registri, test, documentazione e qualcuno che mantenga le eccezioni. Una buona segmentazione non è il più complicata possibile, ma piuttosto comprensibile e verificabile.
Preparazione per ZTNA e accesso moderno
Una struttura VLAN pulita aiuta anche in seguito con ZTNA, VPN, SASE o altri concetti di accesso. Se le applicazioni interne si trovano già in reti di server o applicazioni in chiaro, l’accesso può essere pubblicato in modo più specifico e non è necessario rilasciare un flat completo LAN.
Per ZTNA è particolarmente utile: i server delle applicazioni
- si trovano in reti di server conosciute.
- L’accesso alla gestione è separato dal normale traffico client.
- DNS i nomi e i percorsi interni sono chiaramente documentati.
- Le regole del firewall mostrano quali utenti o gruppi di posizioni richiedono quali destinazioni.
- Le vecchie regole della tariffa forfettaria
LAN to LANoAny to Anyverranno abolite.
Se Sophos ZTNA verrà utilizzato in un secondo momento, è possibile iniziare tramite Pianifica e crea Sophos ZTNA gateway. VLAN la pianificazione non è un requisito necessario per questo, ma rende le operazioni successive molto più pulite.
Di quanti VLAN hai bisogno?
Non esiste un numero corretto fisso. Dovresti creare VLAN laddove sia necessaria la tua decisione di sicurezza.
| Domanda | Se sì, ciò suggerisce la propria VLAN |
|---|---|
| La rete necessita di altre regole firewall? | Pianifica la tua zona o almeno il tuo oggetto VLAN. |
| Device Access dovrebbe essere diverso? | La tua zona spesso ha senso. |
| Esistono altre opzioni DHCP? | Il tuo VLAN è generalmente più pulito. |
| Il traffico deve essere registrato o monitorato separatamente? | Proprio VLAN migliora la valutazione e la risoluzione dei problemi. |
| I dispositivi presentano rischi significativamente diversi? | La separazione ha senso, ad esempio IoT, ospiti, backup. |
| Ci sono altri soggetti responsabili? | Il proprio VLAN semplifica il funzionamento e la documentazione. |
Ma non dovresti forzare immediatamente ogni piccolo argomento speciale in un nuovo VLAN. Se due reti client hanno esattamente le stesse regole, la stessa policy web e lo stesso Device Access, potrebbe essere sufficiente una zona comune con oggetti di rete chiari.
Pianificare in anticipo
Prima di creare, il VLAN dovrebbe essere brevemente documentato. Questo non deve essere un grande piano di rete, ma i valori più importanti dovrebbero essere chiari.
| Campo | Esempio |
|---|---|
| VLAN Nome | Clients |
| VLAN ID | 100 |
| Sottorete | 10.100.0.0/24 |
| Gateway su Sophos Firewall | 10.100.0.1 |
| Interfaccia principale | Port3 o LAG1 |
| Zona | Client , LAN, Guest , Server o DMZ |
| DHCP | Sophos Firewall, DHCP Relè o server esterno |
| DNS | Firewall, server interno DNS o design deliberatamente diverso |
| Scopo | Client workstation con accesso a Internet |
La zona è particolarmente importante. Questa impostazione influisce successivamente sulle regole firewall, Device Access, criteri Web, IPS, registri e risoluzione dei problemi. Sophos Firewall Configura zone e interfacce è adatto per la pianificazione di base delle zone.
Comprendere l’interfaccia principale e il tagging dello switch
L’interfaccia principale è la porta fisica, il bridge o LAG su cui Sophos Firewall riceve i pacchetti contrassegnati VLAN. L’ID VLAN su Sophos Firewall deve corrispondere esattamente a ciò che lo switch sta inviando su questo collegamento.
Disegni tipici:
| Progetto | Descrizione |
|---|---|
| Porta fisica come trunk | Uno switch uplink trasporta diversi VLAN contrassegnati sul firewall. |
| LAG come trunk | Diverse porte fisiche formano un LAG, sul quale si trovano diverse interfacce VLAN. |
| Porta di accesso senza tag VLAN | Un dispositivo terminale rimane senza tag in un VLAN; il tagging avviene sullo switch, non sul client. |
| Ponte con VLANs | Caso speciale, controllare attentamente soprattutto per migrazioni o disegni trasparenti. |
Se un normale PC client è collegato direttamente a una porta dello switch, normalmente invia senza tag. Lo switch assegna quindi questa porta a VLAN. Sophos Firewall vede solo VLAN sull’uplink quando lo switch trasporta VLAN contrassegnato al firewall.
Porte individuali o trunk VLAN tramite LAG?
In teoria è possibile utilizzare la propria porta firewall fisica per VLAN. Ciò è comprensibile per installazioni molto piccole, ma è scarsamente scalabile. Le porte scarseggiano, il cablaggio diventa confuso e le modifiche a zone, interruttori o HA diventano più noiose in seguito.
Negli ambienti produttivi, il design del trunk è solitamente più pulito:
- Sophos Firewall è collegato a uno o più switch principali.
- Una porta fisica o un LAG trasporta più VLAN contrassegnati.
- Sul firewall, vengono create interfacce VLAN separate su questa interfaccia principale per ciascun VLAN.
- Il firewall rimane il gateway predefinito per i VLAN e decide le politiche di routing e sicurezza.
La nostra variante preferita è spesso un LAG con due uplink veloci, ad esempio 2x SFP+, purché il firewall e gli switch lo supportino. I VLAN vengono quindi eseguiti su di esso come interfacce contrassegnate. Ciò non significa automaticamente il doppio della velocità per una singola sessione, ma fornisce più ridondanza, più riserve e un design più chiaro rispetto a molte porte in rame individuali per VLAN.
| Design | Vantaggio | Svantaggio |
|---|---|---|
| Pro VLAN propria porta firewall | facile da capire, poca conoscenza VLAN richiesta | scarsa scalabilità, molte porte, cablaggio confuso |
| Una porta trunk con VLANs | semplice, pulita, pochi cavi | Uplink è un singolo punto di guasto |
| LAG con VLAN trunk | ridondante, pulito, facilmente scalabile | Switch e firewall devono LAG/LACP supportati correttamente |
| Routing sullo switch principale | molto performante in reti di grandi dimensioni | Il firewall non vede più completamente il traffico interno est-ovest |
Per molte reti di PMI e di medie dimensioni, Firewall come gateway predefinito per VLANs è la decisione migliore in termini di sicurezza. Quindi il traffico interno tra VLANs viene eseguito tramite Sophos Firewall e può essere controllato con regole firewall, IPS, policy web, registrazione e successive funzioni di sicurezza. L’instradamento sullo switch principale può essere utile se è richiesto un throughput interno est-ovest molto elevato. Ma poi bisogna accettare consapevolmente che il firewall non vede più ogni comunicazione interna.
Come regola generale:
- Orientati alla sicurezza e chiari: VLAN gateway su Sophos Firewall.
- Prestazioni interne molto elevate: Controlla il routing sullo switch principale, ma aggiungi zone di sicurezza e ACL in modo pulito.
- Nuove installazioni: Instradare VLAN al firewall tramite trunk o LAG, non sprecare una singola porta per VLAN.
- Siti piccoli: una singola porta trunk può essere sufficiente se non è richiesta la ridondanza.
Idee sbagliate comuni:
- VLAN viene creato sul firewall, ma lo switch uplink non lo trasporta.
- VLAN è contrassegnato sulla porta di accesso, sebbene il client si aspetti che non sia contrassegnato.
- L’ID VLAN non corrisponde sullo switch e sul firewall.
- VLAN è stato creato sull’interfaccia principale errata.
- L’interfaccia principale veniva utilizzata come una normale porta di accesso invece che come un trunk.
Crea interfaccia VLAN
Percorso menu:
Network > Interfaces > Add interface > Add VLAN
Procedura:
- Assegna nome, ad esempio
Clients VLAN 100. - Selezionare l’interfaccia principale come Interfaccia, ad esempio
Port3oLAG1. - Zona di rete seleziona consapevolmente.
- Immettere VLAN ID, ad esempio
100. - Nella configurazione IPv4 di solito si usa
Static. - Immettere l’indirizzo IP e la maschera di sottorete, ad esempio
10.100.0.1/24. - Salva.
Per i VLAN interni, l’IP del firewall è solitamente il gateway predefinito dei client. Se un altro sistema esegue il routing o il firewall vede solo determinate reti, questa progettazione deve essere documentata esplicitamente. Altrimenti cercherai le regole del firewall in un secondo momento, anche se il client non utilizza Sophos Firewall come gateway.
DHCP e DNS impostati
Dopo l’interfaccia VLAN è necessario decidere se assegnare gli indirizzi.
| Variante | Quando utile |
|---|---|
| DHCP su Sophos Firewall | posizioni semplici, client, guest, IoT o reti VoIP |
| DHCP Relay | server centrale Windows DHCP o infrastruttura DHCP esistente |
| Server DHCP esterno in il VLAN | Caso speciale quando un server è responsabile direttamente in VLAN |
| IP statici | piccoli server, reti di gestione o infrastruttura |
DHCP su Sophos Firewall viene creato in Network > DHCP. L’interfaccia, l’intervallo, il gateway, il server DNS e il dominio di ricerca sono importanti. Opzioni speciali come PXE, VoIP o valori specifici del produttore sono descritti in Sophos Firewall DHCP Configura opzioni.
Quando si progetta DNS, è necessario decidere chiaramente se i client utilizzano Sophos Firewall come forwarder DNS o si rivolgono direttamente ai server DNS interni. Quando il firewall funge da forwarder DNS, spesso i domini interni devono essere inoltrati ai server DNS corretti tramite DNS Request Routes su Sophos Firewall.
Device Access controlla
Device Access controlla i servizi locali di Sophos Firewall. Questa non è la stessa cosa di una regola firewall tra VLANs.
Esempi tipici:
- I client devono utilizzare il firewall come server DNS: consentire
DNSper la zona. - La risoluzione dei problemi dovrebbe consentire il ping sul firewall: abilitare consapevolmente
Ping/Ping6. - Client normali, ospiti o IoT VLAN non devono avere accesso WebAdmin o SSH.
- L’accesso alla gestione deve avvenire tramite una rete amministrativa dedicata o regole di eccezione ACL del servizio locale.
La procedura esatta è in Sophos Firewall Accesso sicuro: configurare correttamente Device Access. Regole firewall
e supplemento NAT
Un nuovo VLAN necessita quindi di regole firewall appropriate. Senza una regola, un client può ottenere un indirizzo IP, ma non automaticamente su Internet o su altre reti interne.
Una semplice prima regola Internet potrebbe assomigliare a questa:
| Campo | Esempio |
|---|---|
| Nome regola | Clients_to_WAN |
| Zone di origine | Client o LAN |
| Reti di origine | VLAN rete, ad esempio 10.100.0.0/24 |
| Zone di destinazione | WAN |
| Reti di destinazione | Any |
| Servizi | Servizi consapevolmente richiesti, non automaticamente Any |
| Registra traffico firewall | attivato |
Dovrebbero essere create regole separate per l’accesso interno. Un ospite, un IoT o una telecamera VLAN non dovrebbero essere ammessi nel server o nella rete di gestione su tutta la linea. La pianificazione delle regole è descritta in modo più dettagliato in Sophos Firewall-Comprendere e configurare le regole in modo sicuro.
NAT non è necessario per ogni traffico VLAN. Per il normale accesso a Internet viene spesso utilizzata la regola MASQ o SNAT esistente. Tra VLANs interni NAT solitamente è sbagliato perché i sistemi di destinazione non vedono più l’IP reale del client. La classificazione è in NAT comprendere Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Test di accettazione
A VLAN è pronto solo quando il flusso dei pacchetti è stato verificato. Un solo ping non è sufficiente.
Sequenza di test utile:
- Collegare il client di test alla porta dello switch o all’SSID previsto.
- Controllare se il client riceve un indirizzo IP dal VLAN corretto.
- Controllare il gateway, il server DNS e il dominio di ricerca.
- Effettua il ping dell’IP del firewall in VLAN se il ping è consentito.
- DNS Risoluzione del test per nomi interni ed esterni.
- Test consentito l’accesso a Internet.
- Test consentito accesso interno, se previsto.
- Testare deliberatamente gli accessi interni non consentiti e controllare il blocco in Log Viewer.
- In Log Viewer Controllare ID regola, zona di origine, zona di destinazione e ID NAT.
- Se non è chiaro, utilizzare Cattura pacchetto sull’interfaccia VLAN.
Per la valutazione con Log Viewer, Policy Test e Packet Capture, Sophos Firewall Test Rule con Log Viewer, Policy Test e Packet Capture è adatta.
Errori tipici
| Errore | Sintomo | Controllo successivo |
|---|---|---|
| VLAN non consentito sull’uplink dello switch | Il client non ottiene un IP o non raggiunge il gateway | Controllare trunk/tagged VLAN sullo switch |
| Interfaccia principale errata | Il firewall non vede il traffico | Confronta l’interfaccia VLAN e il cablaggio fisico |
| Porta client contrassegnata anziché senza tag | I client normali non finiscono in VLAN | Controlla la porta di accesso o il profilo nativo VLAN |
| DHCP mancante o errato DHCP risposte | Il client non ottiene o non ottiene un IP errato | DHCP lease e controlla Packet Capture per UDP 67/68 |
| DNS Device Access mancante | Il traffico IP funziona, la risoluzione del nome non funziona | Device Access e controlla il client DNS |
| Zona sbagliata selezionata | Le regole o i criteri non funzionano come previsto | Confronta la zona dell’interfaccia e le regole del firewall |
| Manca la regola del firewall | Il client ha l’IP, ma il traffico è bloccato | Log Viewer e ID regola controlla |
| NAT tra VLAN interni | i sistemi di destinazione vedono un IP di origine errato | controlla le regole NAT e pianifica le eccezioni interne NAT |
Se una regola non viene soddisfatta, il problema spesso riguarda la zona, la rete di origine, il gateway o il tagging dello switch. L’articolo Sophos Firewall regola non applicabile: verificare le cause aiuta nella distinzione.
Controllo operativo
Per i VLAN produttivi, non solo la configurazione iniziale dovrebbe essere corretta. È fondamentale che gli amministratori successivi possano capire perché esiste VLAN e quali regole ne fanno parte.
È necessario documentare:
- VLAN ID, nome e sottorete
- Interfaccia principale e switch uplink
- Zona e scopo di sicurezza
- DHCP sorgente e DNS server
- zone e servizi target consentiti
- NAT decisione
- proprietario responsabile
- client di test o procedura di test
- data dell’ultimo controllo delle regole
Per ambienti più grandi è utile anche una semplice matrice di accesso. Tale matrice mostra quali VLAN possono parlare tra loro e quali rimangono deliberatamente separati.
Una semplice matrice di accesso può assomigliare a questa:
| Da | Dopo | Decisione |
|---|---|---|
| Client | Internet | consentito con policy Web, DNS Protezione e registrazione |
| Client | Server | solo quelli definiti Applicazione porte |
| Ospiti | Interni | bloccati |
| IoT | Internet | richiesti solo target e porte |
| IoT | Server | solo per NVR, server di stampa o sistemi di gestione |
| Gestione | Infrastruttura | consentito per i protocolli di amministrazione |
| Backup | Server | consentito specificatamente, limitare fortemente la direzione inversa |
Questa matrice è spesso più importante dell’elenco VLAN stesso. Ciò impedisce che vengano create successivamente regole generali che annullino effettivamente la segmentazione.
Domande frequenti
Come si configura un VLAN su Sophos Firewall?
Ciascun VLAN necessita di una propria zona?
Il routing tra VLAN deve passare attraverso il firewall o lo switch?
Un LAG con più VLAN è migliore di una porta per VLAN?
Perché il client non ottiene un indirizzo IP in VLAN?
67/68 spesso aiuta più velocemente che fare nuovamente clic su WebAdmin.