Zum Inhalt springen
Avanet

Sophos Firewall Regel testen mit Log Viewer und Packet Capture

Sophos Firewall

Eine Firewall Regel sollte man nicht nur speichern, sondern gezielt testen. Gerade bei Webfilter, TLS Inspection, NAT, IPS oder User Matching kann eine Regel optisch korrekt aussehen und trotzdem nicht so greifen, wie man erwartet.

Für den Test eignen sich drei Werkzeuge:

  • Log viewer für echte Events und Regelentscheidungen
  • Policy tester für Web-, Firewall- und SSL/TLS-Policy-Logik
  • Packet capture für den tatsächlichen Paketfluss

Vor dem Test

Zuerst sollte man genau notieren, was getestet werden soll:

PunktBeispiel
Source IP172.16.10.25
Benutzeruser@domain.local
Source zoneLAN
Destinationhttps://www.example.com
ServiceHTTPS
Erwartete RegelLAN_to_WAN_Clients
Erwartete Actionerlaubt, blockiert, decrypted, nicht decrypted

Danach in der betroffenen Firewall Regel Log firewall traffic aktivieren. Ohne Logging ist der Log Viewer nur begrenzt hilfreich.

Sophos Firewall Regel mit aktivierter Option Log firewall traffic
Die Option Log firewall traffic sollte bei Regeln aktiviert sein, die man testen oder später nachvollziehen möchte.

Schritt 1: Regelposition prüfen

Man öffnet Rules and policies > Firewall rules und prüft:

  • Steht die Regel oberhalb allgemeinerer Regeln?
  • Ist sie aktiv?
  • Ist die richtige IPv4- oder IPv6-Ansicht ausgewählt?
  • Ist sie in einer sinnvollen Rule group?
  • Gibt es Exclusions?
  • Gibt es eine automatisch erstellte Regel darüber?

Wenn man eine neue Regel testet, sollte man den Usage Counter der Regel zurücksetzen. Danach lässt sich besser erkennen, ob die Regel beim Test wirklich getroffen wurde.

Schritt 2: Log Viewer öffnen

Man öffnet oben rechts in der WebAdmin-Konsole den Log viewer.

Nützliche Filter:

  • Module: Firewall
  • Source IP
  • Destination IP
  • Destination port
  • Rule ID
  • Rule name
  • Action
  • User

Für Webtraffic zusätzlich prüfen:

  • Web filter
  • SSL/TLS inspection
  • Application filter
  • IPS

Der Log Viewer aktualisiert sich automatisch. Für ruhige Analyse kann man die Live-Ansicht pausieren, filtern und danach wieder fortsetzen.

Schritt 3: Test reproduzieren

Der Test sollte von einem definierten Client ausgeführt werden:

  • Website öffnen
  • Ping senden
  • Port testen
  • Anwendung starten
  • VPN-Verbindung aufbauen
  • Datei herunterladen

Wenn möglich, führe nur einen Test zur gleichen Zeit aus. Sonst vermischen sich Logs.

Danach prüfen:

  • Steigt der Regelzähler?
  • Sieht man ein Log im Log Viewer?
  • Welche Rule ID wird angezeigt?
  • Welche NAT Rule ID wird angezeigt?
  • Wird der Traffic erlaubt oder blockiert?
  • Greift ein Security Feature?

Schritt 4: Policy tester verwenden

Der Policy tester ist hilfreich, wenn man prüfen möchte, welche Firewall Regel, SSL/TLS inspection rule oder Web Policy für Webtraffic theoretisch greifen würde.

Menüpfad:

Diagnostics > Tools > Policy tester

Typische Eingaben:

  • URL
  • Benutzer
  • Zeit und Tag
  • Source IP
  • Source zone
  • Test method

Als Test method wählt man zum Beispiel Firewall, SSL/TLS, and web, wenn die Kombination aus Firewall Regel, SSL/TLS inspection rule und Web Policy geprüft werden soll.

Sophos Firewall Policy tester mit akzeptiertem Ergebnis
Der Policy tester zeigt hier, dass die Verbindung von der angegebenen Source IP über die gematchte Firewall Regel erlaubt würde.

Der Policy tester zeigt nicht nur Accepted oder Blocked, sondern auch die gematchte Firewall Regel, die erkannte Destination, die Source zone und je nach Testmethode weitere Web- oder SSL/TLS-Informationen. Dadurch sieht man schnell, ob der Traffic grundsätzlich in der erwarteten Regel landet.

Sophos Firewall Policy tester mit blockiertem Web Policy Ergebnis
Bei Webtraffic zeigt der Policy tester zusätzlich die Web protection Bewertung, die Kategorie und die gematchte Web Policy.

Wichtig:

⚠️ Der Policy tester ersetzt keinen echten Paketfluss-Test. Sophos weist darauf hin, dass Policy-Test-Ergebnisse SD-WAN routes nicht abbilden. Das tatsächliche Verhalten kann deshalb abweichen, wenn SD-WAN, Routing oder Gateways beteiligt sind.

Der Policy tester ist besonders gut für:

  • Web Policy
  • URL-Kategorisierung
  • User-Kontext
  • Schedule
  • SSL/TLS inspection rule
  • Firewall-Regel-Matching für Webtraffic

Er ist weniger gut für:

  • echte Routing-Entscheidungen
  • NAT-Rückweg
  • Paketverluste
  • Provider- oder Switch-Probleme
  • Anwendungen mit mehreren Verbindungen und Ports

Schritt 5: Packet Capture einsetzen

Wenn Log Viewer und Policy tester nicht reichen, nutzt man Diagnostics > Packet capture.

Setze einen engen Filter, zum Beispiel:

  • Source IP des Clients
  • Destination IP des Servers
  • Destination port
  • Protokoll

Dann:

  1. Packet Capture starten.
  2. Test reproduzieren.
  3. Packet Capture stoppen.
  4. Incoming und Forwarded Events vergleichen.
  5. Rule ID und NAT ID mit Log Viewer vergleichen.

Interpretation:

BeobachtungWas prüfen?
Kein Paket kommt anClient, VLAN, Switch, Gateway, Provider, Cloud Security Group
Paket kommt rein, geht aber nicht rausFirewall Regel, NAT, Routing, Security Feature
Paket geht raus, Antwort fehltRückroute, Zielsystem, NAT, externe Firewall
Paket hat Status ViolationPolicy, IPS, Webfilter, Application Control
NAT ID ist unerwartetNAT-Reihenfolge und generische NAT-Regeln

Mehr dazu: Packet Capture Tool im WebAdmin verwenden.

Schritt 6: Security Features einzeln validieren

Wenn die richtige Regel matcht, aber der Traffic nicht funktioniert, prüfe die aktivierten Features.

FeatureWas prüfen?
Web policyKategorie, Benutzer, Schedule, Policy-Reihenfolge
Scan HTTP and decrypted HTTPSHTTPS wird nur gescannt, wenn es bereits decrypted ist
SSL/TLS inspectionpassende Regel, Decryption Profile, CA-Zertifikat auf Clients
IPSSignatur, Policy, False Positive
Application Controlerkannte Anwendung, Kategorie, Cloud-App-Erkennung
Security HeartbeatEndpoint sendet Heartbeat, Status grün/gelb/rot
Traffic ShapingPolicy aktiv, richtige Anwendung oder Regel
NATkorrekte SNAT/DNAT/PAT-Regel, Reihenfolge

Für HTTPS gilt: Eine Firewall Regel mit Webfilterung reicht nicht aus, um HTTPS-Inhalte zu prüfen. Es braucht zusätzlich eine passende SSL/TLS inspection rule mit Decryption und verteiltem CA-Zertifikat.

Mehr dazu: TLS Inspection auf Sophos Firewall schrittweise ausrollen.

Schritt 7: Logdateien prüfen

Wenn WebAdmin-Werkzeuge nicht reichen, prüfe die passenden Logdateien.

Typische Dateien:

ThemaLogdatei
Firewall Regelfirewall_rule.log
NATnat_rule.log
Firewall-Verbindungenfwlog.log
IPS und DPIips.log
Web Proxyawarrenhttp.log
IPsecstrongswan.log, charon.log
SSL VPNsslvpn.log
DNSdnsd.log, dnsgrabber.log
DHCPdhcpd.log

Eine ausführliche Übersicht findet man hier: Sophos Firewall Troubleshooting: Services und Logs.

Beispiel: LAN zu WAN Webregel testen

  1. Firewall Regel LAN_to_WAN_Clients erstellen.
  2. Logging aktivieren.
  3. Services auf HTTP und HTTPS setzen.
  4. Web Policy auswählen.
  5. Block QUIC protocol aktiviert lassen.
  6. Scan HTTP and decrypted HTTPS aktivieren.
  7. SSL/TLS inspection rule für die Testgruppe erstellen.
  8. CA-Zertifikat auf dem Testclient installieren.
  9. Regelzähler zurücksetzen.
  10. Website öffnen.
  11. Log Viewer nach Source IP filtern.
  12. Policy tester für dieselbe URL ausführen.
  13. Bei Abweichung Packet Capture starten.

So sieht man, ob die Regel matcht, ob HTTPS wirklich entschlüsselt wird und ob Webfilter, IPS oder Application Control eingreifen.

Weitere Informationen