Sophos Firewall Veilig gebruik maken van de bypass-regel
Een bypassregel op Sophos Firewall is geen normaal allow-object en is geen vervanging voor een schone firewallregel. Het gedefinieerde verkeer omzeilt dus het normale stateful firewallpad. Dit omzeilt ook veel functies waar u in het dagelijks leven bewust op vertrouwt: firewallregels, Log Viewer, IPS, webfilters, Application Control, scannen op malware of andere beveiligingsfuncties.
Bypass-regels zijn daarom alleen nuttig voor nauw gedefinieerde speciale gevallen, bijvoorbeeld voor het op korte termijn oplossen van problemen met begeleiding, voor een zeer specifieke compatibiliteitsuitzondering of voor een duidelijk gedocumenteerde oplossing. Voor normale releases, prestatieproblemen of false positives moet u eerst specifieke regels, uitzonderingen of beleid controleren.
⚠️ Een bypass-regel vermindert de zichtbaarheid en beschermende werking van de firewall enorm. Bypass-regels moeten altijd nauwkeurig worden gedefinieerd, gedocumenteerd, getest en na voltooiing worden verwijderd.
Typische gelegenheden in de echte wereld zijn speciale gevallen met asymmetrische routering, ongebruikelijk protocolgedrag of een leveranciersanalyse op de korte termijn. Zodra de oorzaak duidelijk is, moet de oplossing worden teruggezet naar de normale firewallregels, NAT, routing, IPS, web- of TLS-uitzonderingen.
Welk type bypass wordt bedoeld
De term ‘bypass’ komt meerdere keren voor in Sophos-omgevingen. Dit artikel gaat uitsluitend over bypass-stateful-firewall-config in de Device Console.
- Stateful Firewall Bypass: CLI-configuratie die gedefinieerd host- of netwerkverkeer omzeilt via het normale stateful firewallpad.
- DoS bypass-regel: Uitzondering onder Spoof Protection en DoS Instellingen voor DoS-controles, niet hetzelfde als stateful firewall bypass.
- IPS
Bypass session: IPS-regelactie waarbij een IPS-hit anders wordt behandeld voor de sessie. - FastPath/Firewall-versnelling: normale versnelling van vertrouwde stromen op ondersteunde apparaten of platforms. Dit is geen handmatige stateful firewall-bypass en mag niet worden opgevat als een tijdelijke oplossing voor regelproblemen.
- LAN bypass / fail-to-wire: Hardwarefunctie van bepaalde apparaten of modules, geen SFOS-regel.
- Normale firewall-uitzondering: Firewall, NAT, web, TLS, IPS of aanpassing van applicatiebeheer in WebAdmin.
Deze scheiding is van belang omdat de maatregelen verschillende risico’s met zich meebrengen. Een DoS-uitzondering of een IPS-actie is niet automatisch onschadelijk, maar houdt nauwer verband met een functie. Een stateful firewall-bypass kan daarentegen de zichtbaarheid en beleidsevaluatie in grote lijnen omzeilen als de bron of het doel te groot wordt gekozen.
Controleer vooraf betere alternatieven
Voordat een bypass-regel wordt ingesteld, moet duidelijk zijn waarom normale mechanismen niet voldoende zijn.
- Firewallregel komt niet overeen: Controleer de regelvolgorde, bron/bestemming, services en logbestanden.
- IPS blokkeert een applicatie: Controleer IPS-beleid, handtekening, uitzondering of fout-positieve analyse.
- TLS Inspection interfereert met een app: SSL/TLS Inspectionregel aanpassen of TLS Uitsluiting.
- Webfilter blokkeert een URL: Controleer webbeleid, categorie, URL-groep of webuitzondering.
- Application Control is onjuist: Controleer het applicatiebeheerbeleid en de gedetecteerde applicatie.
- NAT of routering werkt niet correct: Controleer NAT-regels, retourroute, SD-WAN en Packet Capture.
Sophos Firewall Testregel met Log Viewer en Packet Capture, Firewallregel werkt niet: controleer oorzaken en Begrijp en correct configureer Sophos firewallregels hulp voor regel- en loganalyse.
Bedrijfslimieten
Een bypass-regel mag alleen worden ingesteld als aan alle punten is voldaan:
- Bron en bestemming zijn specifieke netwerken of hosts, niet
Any. - Richting en retourrichting worden begrepen.
- Er is een ticket, een reden en een verantwoordelijke persoon.
- Er is een onderhoudsvenster of testvenster gedefinieerd.
- De bestaande configuratie was eerder gedocumenteerd.
- Er is een terugdraaiopdracht beschikbaar.
- Na de test wordt gecontroleerd of de regel weer is verwijderd.
Een bypass-regel is niet geschikt voor permanente “snelle activering” tussen netwerken. Als een verbinding permanent moet worden toegestaan, hoort deze thuis in een normale firewallregel met logboekregistratie en passende beveiligingsfuncties.
U moet bijzonder voorzichtig zijn met NAT-paden. Als SNAT, DNAT, VPN NAT of een andere vertaling vereist is voor de stroom, kan een stateful firewall-bypass de feitelijke NAT-beslissing omzeilen of de test vervormen. In dergelijke gevallen moet u eerst controleren met NAT Rule ID, Firewall Rule ID, Packet Capture en routering in plaats van eenvoudigweg het stateful pad te omzeilen.
Verbinding met apparaatconsole
De opdrachten worden uitgevoerd in de Device Console van Sophos Firewall. Maak hiervoor verbinding met de gebruiker admin via SSH en open de Device Console in het consolemenu.
SSH-toegang mag alleen worden toegestaan vanaf een vertrouwd beheerdersnetwerk. De voorbereiding is in Sophos Firewall verbinden via SSH.
Voordat u wijzigingen aanbrengt, moet u eerst de huidige status weergeven en documenteren.
show advanced-firewall

Selecteer de host of het netwerk correct
Sophos staat bypass-invoer toe voor individuele hosts of netwerken. Voor het oplossen van problemen is één enkele host bijna altijd beter dan een heel subnet, omdat er dan minder verkeer onzichtbaar is.
- Enkele bronhost naar bestemmingshost:
dest_host <Ziel-IP> source_host <Quell-IP> - Bronnetwerk naar bestemmingshost:
dest_host <Ziel-IP> source_network <Netz-IP> source_netmask <Maske> - Bronhost naar doelnetwerk:
dest_network <Netz-IP> dest_netmask <Maske> source_host <Quell-IP> - Bronnetwerk naar bestemmingsnetwerk:
dest_network <Netz-IP> dest_netmask <Maske> source_network <Netz-IP> source_netmask <Maske>
Brede netwerken zoals complete client-, server- of VPN-zones zijn vrijwel nooit een goed startpunt. Het is beter om een strakke test te doen met een bronhost, een bestemmingshost en een duidelijke service. Alleen als de testcase echt meerdere hosts betreft, mag er sprake zijn van een klein netwerk.
Ook de richting is belangrijk. Sophos beschrijft dat voor volledige verbindingen vaak invoer voor beide richtingen nodig is. Maar dit moet bewust gebeuren: niet automatisch de logica van Any herscheppen, maar de specifieke weg terug begrijpen.
Sophos specificeert geen praktische limiet voor het aantal hosts of netwerken voor deze bypass-lijst. Dit is precies wat riskant is in het bedrijfsleven: veel kleine invoeringen zijn technisch mogelijk, maar ze worden al snel verwarrend. Als meerdere bypass-invoeren nodig lijken, is dit meestal een teken dat het feitelijke routerings-, NAT-, beleids- of applicatieprobleem nog niet duidelijk wordt begrepen.
Stel wisselframe in vóór bypass
Een bypass-regel mag nooit spontaan worden ingesteld terwijl het oplossen van problemen aan de gang is. Voordat het commando add wordt uitgevoerd, moet het duidelijk zijn welke individuele test het moet beantwoorden en hoe de wijziging ongedaan wordt gemaakt.
Houd rekening met de volgende punten om een schoon onderhouds- of testvenster te garanderen:
- Testvraag: Werkt het gedefinieerde verkeer zonder een stateful firewallpad?
- Beïnvloede stroom: bijvoorbeeld
192.168.33.0/24tot192.168.46.0/24 - Startstatus: Uitvoer van
show advanced-firewallvóór de wijziging. - Geplande terugreis: passend
delcommando voor elke ingestelde richting. - Afbreekcriteria: onverwacht verkeer, nieuwe verstoring of onjuist doelgebied.
- Vervolginspectie:
show advanced-firewall, Packet Capture en functietest zonder bypass.
Het opnamebevel is bijzonder belangrijk. Het moet vóór het uitharden worden voorbereid en niet na de test worden gezocht. Dit betekent dat de verandering beheersbaar blijft, zelfs als er druk ontstaat tijdens het onderhoudsvenster.
Voorbeeld: Maak een bypass-regel
Voorbeeld:
- Bronnetwerk:
192.168.33.0/24 - Doelnetwerk:
192.168.46.0/24 - Bron Netmasker:
255.255.255.0 - Doelnetmasker:
255.255.255.0
De regel voor de eerste richting:
set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0
Er is een tweede regel nodig voor de omgekeerde richting als het verkeer van het bestemmingsnetwerk terug naar het bronnetwerk ook gebruik moet maken van de bypass.
set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0
Controleer dan nogmaals:
show advanced-firewall
Als er slechts één client en één server worden getest, is het beter om hosts te gebruiken in plaats van netwerken:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.46.20 source_host 192.168.33.10
Voor de tegenovergestelde richting dienovereenkomstig:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.33.10 source_host 192.168.46.20
Controleer effect
Na het instellen moet je niet alleen testen of de applicatie werkt. Cruciaal is of de bypass werkelijk alleen het geplande verkeer beïnvloedt.
Controlepunten:
show advanced-firewalltoont precies de verwachte netwerken.- Er zijn geen bredere netten dan gepland.
- Richting en terugkeer worden bewust bepaald.
- Testverkeer werkt alleen tussen verwachte bronnen en bestemmingen.
- Niet-betrokken netwerken maken geen gebruik van de bypass.
- Normale firewalllogboeken voor dit verkeer worden niet langer verwacht als basis voor besluitvorming.
- Packet Capture toont alleen verkeer tijdens de geplande test.
- De opname werd onmiddellijk na de test uitgevoerd.
Als Log Viewer en regeltellers plotseling geen gebeurtenissen meer weergeven, kan dit door de bypass zelf worden veroorzaakt. In deze toestand is Packet Capture nuttiger dan Log Viewer.
Bij asymmetrische routing moet je ook controleren of het retourpad daadwerkelijk door de verwachte firewall gaat. Een bypass kan symptomen maskeren als de hoofdoorzaak een onjuiste standaardgateway, een onvolledige route of NAT aan de verkeerde kant is.
Als u prestaties of ontlading vermoedt, moet u Bypass niet verwarren met FastPath. FastPath, Firewall-versnelling, PKI-versnelling en IPsec-versnelling zijn afzonderlijke mechanismen. Afhankelijk van het verkeer en platform kan normaal verkeer worden versneld zonder een bypass-regel in te stellen. Omgekeerd verandert een bypass-regel een slecht ontwerp niet in een architectuur met schone prestaties.
Overbruggingsregel verwijderen
Om te verwijderen gebruikt u hetzelfde commando met del in plaats van add.
Eerste richting verwijderen:
set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0
Omgekeerde richting verwijderen:
set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0
Controleer dan nogmaals:
show advanced-firewall
De uitvoer mag geen onverwachte bypass-vermeldingen meer bevatten.
Na de test weer netjes vastzetten
Een verwijderde bypass-regel lost niet automatisch het oorspronkelijke probleem op. Uit de test blijkt alleen dat het normale firewallpad voor het geteste verkeer waarschijnlijk hierbij betrokken was. Je moet de oorzaak dan bewust omzetten in een gedragen, zichtbare configuratie.
Nuttige vervolgvragen:
- Was een normale firewallregel te smal of op de verkeerde plaats? Controleer de regelvolgorde, zones, bron, bestemming, service en gebruikerstoewijzing.
- Is IPS, Web Protection of Application Control geblokkeerd? Documenthandtekening, categorie, beleid of gerichte uitzondering.
- Was TLS Inspection hierbij betrokken? Controleer de TLS-regel, het certificaat, de uitzondering en de betrokken applicatie nauwkeurig.
- Was het een routerings- of NAT-probleem? Vergelijk NAT Rule ID, retourroute, SD-WAN-route en Packet Capture.
- Zal het verkeer in de toekomst permanent nodig zijn? Maak een normale firewallregel met logboekregistratie, eigenaar en beoordelingsdatum.
Na het terugtrekken moet er minimaal één controletest zonder bypass worden uitgevoerd. Als het verkeer weer alleen met bypass werkt, is de zaak nog niet afgesloten. Dan heeft u een schone regel, beleid, NAT of inspectieaanpassing nodig die zichtbaar blijft in Log Viewer en later kan worden gecontroleerd.
Bij permanente wijzigingen dient u tevens te documenteren welke echtheidskenmerken bewust actief zijn gelaten en welke uitzondering echt noodzakelijk is. Een tijdelijke bypass-regel mag niet stilletjes onderdeel worden van de operationele architectuur.
Documentatie
Elke omzeilingsregel moet worden gedocumenteerd:
- Datum en tijd
- Beheerder
- reden
- Bronnetwerk en bestemmingsnetwerk
- betrokken toepassing
- geplande duur
- Test bewijs
- Tijdstip van verwijdering
- Vervolgtaak voor het geval er een schone regel of uitzondering moet worden gemaakt
Zonder documentatie kunnen omzeilingsregels gemakkelijk onopgemerkt blijven. Dit is vooral gevaarlijk omdat een normale blik op de firewallregels of Log Viewer niet voldoende is om het beveiligingslek te identificeren.
Controlelijst
Vóór bypass:
- Normale firewallregel, NAT, routing, IPS, web, TLS Inspection en Application Control aangevinkt.
- Specifieke testvraag gedefinieerd.
- Bron, bestemming, richting en terugkeer gedocumenteerd.
- Smalst mogelijke variant geselecteerd, waarbij de voorkeur wordt gegeven aan host in plaats van netwerk.
- Huidige status beveiligd met
show advanced-firewall. delcommando voorbereid voor elke geplande richting.- Ticket, eigenaar, tijdvenster en demontagetijd bepaald.
Tijdens de test:
- Bypass alleen actief voor de geplande periode.
- Testverkeer gedocumenteerd met bron, bestemming, service en tijd.
- Packet Capture of doelsysteemlogboek gebruikt als bewijs.
- Er worden geen onbedoelde extra netwerken of applicaties beïnvloed.
Na de test:
- Alle overbruggingsgegevens verwijderd met
del. show advanced-firewalltoont geen onverwachte bypass-regels.- Test herhaald zonder bypass of later gedocumenteerd probleem.
- Permanente oplossing gepland als normale regel, beleid, NAT, routing of inspectie-aanpassing.
- Ticket- en operationele documentatie bijgewerkt.
Typische fouten
- Te brede netwerken gebruikt: Meer verkeer dan gepland omzeilt de firewall.
- Omgekeerde richting vergeten: De applicatie werkt slechts gedeeltelijk of asymmetrisch.
- Regel niet verwijderd: Er ontstaat een permanente beschermingsopening.
- Geen ticket of commentaar: Later is onduidelijk waarom de bypass bestaat.
- Log Viewer verwacht als bewijs: Het verkeer lijkt niet op normale firewallbeslissingen.
- Omzeiling gebruikt in plaats van gerichte uitzondering: Beveiligingsfuncties zijn onnodig uitgeschakeld.
- Wijziging zonder onderhoudsvenster: Fouten hebben onmiddellijk een productief effect.