Vai al contenuto
Avanet

Testare le regole Sophos Firewall con Log Viewer

Sophos Firewall

Una regola firewall non dovrebbe essere solo salvata, ma anche testata in modo mirato. Soprattutto con Webfilter, TLS Inspection, NAT, IPS o User Matching, una regola può sembrare corretta in WebAdmin ma non comportarsi come previsto.

Per il test sono utili tre strumenti:

  • Log viewer per eventi reali e decisioni delle regole
  • Policy tester per la logica web, firewall e SSL/TLS
  • Packet capture per il flusso effettivo dei pacchetti

Prima del test

Per prima cosa occorre definire esattamente cosa deve essere testato:

PuntoEsempio
Source IP172.16.10.25
Utenteuser@domain.local
Source zoneLAN
Destinationhttps://www.example.com
ServiceHTTPS
Regola previstaLAN_to_WAN_Clients
Action previstaconsentita, bloccata, decrypted, non decrypted

Poi attivare Log firewall traffic nella regola interessata. Senza logging, il Log Viewer è utile solo in parte.

Regola Sophos Firewall con opzione Log firewall traffic attivata
L’opzione Log firewall traffic dovrebbe essere attivata per le regole che devono essere testate o analizzate in seguito.

Passo 1: Verificare la posizione della regola

Aprire Rules and policies > Firewall rules e verificare:

  • La regola si trova sopra regole più generiche?
  • È attiva?
  • È selezionata la vista IPv4 o IPv6 corretta?
  • Si trova in una Rule group sensata?
  • Ci sono Exclusions?
  • Sopra di essa esiste una regola creata automaticamente?

Quando si testa una nuova regola, conviene azzerare l’Usage Counter della regola. In questo modo è più facile capire se la regola è stata effettivamente colpita durante il test.

Passo 2: Aprire Log Viewer

Aprire il Log viewer in alto a destra nella console WebAdmin.

Filtri utili:

  • Module: Firewall
  • Source IP
  • Destination IP
  • Destination port
  • Rule ID
  • Rule name
  • Action
  • User

Per il traffico web verificare anche:

  • Web filter
  • SSL/TLS inspection
  • Application filter
  • IPS

Il Log Viewer si aggiorna automaticamente. Per un’analisi più tranquilla si può mettere in pausa la vista live, filtrare e poi riprenderla.

Passo 3: Riprodurre il test

Il test deve essere eseguito da un client definito:

  • Aprire un sito web
  • Inviare un ping
  • Testare una porta
  • Avviare un’applicazione
  • Stabilire una connessione VPN
  • Scaricare un file

Se possibile, eseguire un solo test alla volta. Altrimenti i log si mescolano.

Poi verificare:

  • Il contatore della regola aumenta?
  • Si vede un log nel Log Viewer?
  • Quale Rule ID viene mostrata?
  • Quale NAT Rule ID viene mostrata?
  • Il traffico è consentito o bloccato?
  • Interviene una funzione di sicurezza?

Passo 4: Usare Policy tester

Il Policy tester è utile per verificare quale regola firewall, SSL/TLS inspection rule o Web Policy si applicherebbe teoricamente al traffico web.

Percorso menu:

Diagnostics > Tools > Policy tester

Input tipici:

  • URL
  • Utente
  • Ora e giorno
  • Source IP
  • Source zone
  • Test method

Come Test method si può scegliere ad esempio Firewall, SSL/TLS, and web quando si vuole verificare la combinazione di regola firewall, SSL/TLS inspection rule e Web Policy.

Sophos Firewall Policy tester con risultato accettato
Il Policy tester mostra che la connessione dalla Source IP indicata verrebbe consentita dalla regola firewall corrispondente.

Il Policy tester non mostra solo Accepted o Blocked, ma anche la regola firewall corrispondente, la destinazione rilevata, la Source zone e, a seconda del metodo di test, ulteriori informazioni web o SSL/TLS. Così si vede rapidamente se il traffico finisce nella regola prevista.

Sophos Firewall Policy tester con risultato Web Policy bloccato
Per il traffico web, il Policy tester mostra anche la valutazione Web protection, la categoria e la Web Policy corrispondente.

Importante:

⚠️ Il Policy tester non sostituisce un test reale del flusso dei pacchetti. Sophos segnala che i risultati del Policy tester non rappresentano le SD-WAN routes. Il comportamento reale può quindi differire quando sono coinvolti SD-WAN, routing o gateway.

Il Policy tester è particolarmente utile per:

  • Web Policy
  • Categorizzazione URL
  • Contesto utente
  • Schedule
  • SSL/TLS inspection rule
  • Matching delle regole firewall per traffico web

È meno adatto per:

  • decisioni di routing reali
  • percorso di ritorno NAT
  • perdita di pacchetti
  • problemi di provider o switch
  • applicazioni con più connessioni e porte

Passo 5: Usare Packet Capture

Se Log Viewer e Policy tester non bastano, usare Diagnostics > Packet capture.

Impostare un filtro stretto, ad esempio:

  • Source IP del client
  • Destination IP del server
  • Destination port
  • Protocollo

Poi:

  1. Avviare Packet Capture.
  2. Riprodurre il test.
  3. Fermare Packet Capture.
  4. Confrontare gli eventi Incoming e Forwarded.
  5. Confrontare Rule ID e NAT ID con Log Viewer.

Interpretazione:

OsservazioneCosa verificare?
Nessun pacchetto arrivaClient, VLAN, switch, gateway, provider, Cloud Security Group
Il pacchetto arriva ma non esceRegola firewall, NAT, routing, funzione di sicurezza
Il pacchetto esce ma manca la rispostaRoute di ritorno, sistema di destinazione, NAT, firewall esterno
Il pacchetto ha stato ViolationPolicy, IPS, filtro web, Application Control
NAT ID inattesaOrdine NAT e regole NAT generiche

Maggiori dettagli: Usare Packet Capture in WebAdmin.

Passo 6: Validare singolarmente le funzioni di sicurezza

Se la regola corretta fa match ma il traffico non funziona, verificare le funzioni attivate.

FunzioneCosa verificare?
Web policyCategoria, utente, schedule, ordine delle policy
Scan HTTP and decrypted HTTPSHTTPS viene scansionato solo se è già stato decrypted
SSL/TLS inspectionRegola corrispondente, Decryption Profile, certificato CA sui client
IPSFirma, policy, falso positivo
Application ControlApplicazione rilevata, categoria, rilevamento cloud app
Security HeartbeatEndpoint invia heartbeat, stato verde/giallo/rosso
Traffic ShapingPolicy attiva, applicazione o regola corretta
NATRegola SNAT/DNAT/PAT corretta, ordine

Per HTTPS, una regola firewall con filtraggio web non basta per ispezionare il contenuto HTTPS. Serve anche una SSL/TLS inspection rule corrispondente con decryption e certificato CA distribuito.

Maggiori dettagli: Implementare TLS Inspection su Sophos Firewall passo dopo passo.

Passo 7: Verificare i file di log

Se gli strumenti WebAdmin non bastano, controllare i file di log corrispondenti.

File tipici:

TemaFile di log
Regola firewallfirewall_rule.log
NATnat_rule.log
Connessioni firewallfwlog.log
IPS e DPIips.log
Web Proxyawarrenhttp.log
IPsecstrongswan.log, charon.log
SSL VPNsslvpn.log
DNSdnsd.log, dnsgrabber.log
DHCPdhcpd.log

Una panoramica dettagliata è disponibile qui: Sophos Firewall Troubleshooting: servizi e log.

Esempio: testare una regola web LAN verso WAN

  1. Creare la regola firewall LAN_to_WAN_Clients.
  2. Attivare il logging.
  3. Impostare Services su HTTP e HTTPS.
  4. Selezionare Web Policy.
  5. Lasciare attivo Block QUIC protocol.
  6. Attivare Scan HTTP and decrypted HTTPS.
  7. Creare una SSL/TLS inspection rule per il gruppo di test.
  8. Installare il certificato CA sul client di test.
  9. Azzerare il contatore della regola.
  10. Aprire un sito web.
  11. Filtrare Log Viewer per Source IP.
  12. Eseguire Policy tester per lo stesso URL.
  13. In caso di differenze, avviare Packet Capture.

Così si vede se la regola fa match, se HTTPS viene effettivamente decrittato e se intervengono Webfilter, IPS o Application Control.

Ulteriori informazioni