Sophos Firewall Analyseer verwijderde pakketten
Als de Sophos Firewall pakketten laat vallen, is dit niet automatisch een fout. Vaak is het precies de gewenste veiligheidsbeslissing: een regel past niet, een beleid blokkeert, een pakket hoort niet bij een bekende verbinding of een module zoals webfilter, IPS of Application Control werkt.
Het wordt lastig als een dienst niet werkt en het onduidelijk is of de firewall deze blokkeert, of het verkeer helemaal niet aankomt, of dat het retourverkeer via een andere route gaat. Dan heeft u een schone bestelling nodig: eerst Log Viewer, dan Packet Capture, daarna servicelogs of CLI indien nodig.
Voor het matchen van algemene regels is Test firewallregel met Log Viewer, Policy Test en Packet Capture geschikt. Dit artikel richt zich op druppels en gevallen pakketten.
Welk artikel over probleemoplossing past?
Niet elk verbindingsprobleem is een druppelprobleem. Afhankelijk van je waarneming is een andere manier om te beginnen sneller:
- Drop,
Invalid traffic,Violationof Firewall-ID0zichtbaar: Dit artikel is de juiste plek om te beginnen. - Er wordt niet voldaan aan de verwachte firewallregel: Er wordt niet voldaan aan de Sophos Firewallregel: controleer de oorzaken.
- Regel moet worden gevalideerd na een wijziging: Sophos Firewall Testregel met Log Viewer en Packet Capture.
- Pakketten moeten worden gecontroleerd in WebAdmin met een smal filter: Sophos Firewall gebruik Packet Capture in WebAdmin.
- WebAdmin toont te weinig en logbestanden zijn vereist: Sophos Firewall Problemen oplossen: Services en logboeken.
- Logboeken moeten langer worden bewaard of centraal worden gecorreleerd: Sophos Firewall Systeemlog verzenden naar SIEM.
- WebAdmin, SSH, DNS, VPN Portal of SNMP naar de firewall zelf wordt beïnvloed: Sophos Firewall Veilige toegang: configureer Device Access correct.
- IPsec-tunnel is actief, maar het verkeer stroomt niet correct: Sophos Firewall IPsec VPN Problemen oplossen.
- Grote overdrachten lopen vast of individuele applicaties crashen: Sophos Firewall Controleer MTU en MSS op VPN-problemen.
Deze selectie bespaart tijd omdat u niet elk probleem als een fout in de firewallregel beschouwt. Eerst moet duidelijk zijn of de firewall het verkeer ziet, welke regel of module de beslissing neemt en of het retourpad daadwerkelijk over dezelfde route loopt.
Niet alle druppels zijn hetzelfde
Voor de analyse moet u eerst onderscheiden welk type druppel aanwezig is. Anders zoek je snel op de verkeerde plek.
- Opzettelijke verwijdering: De firewall blokkeert op basis van regels, webbeleid, IPS of bedreigingsfeed. Dan moet je nagaan of het beleid technisch klopt.
- Onverwachte daling: Legitiem verkeer wordt geblokkeerd door een regel of module. Controleer regel-ID, NAT ID, module en reden in Log Viewer of Packet Capture.
- Geen firewall-uitval: Het verkeer bereikt de firewall helemaal niet of de reactie volgt een andere route. Controleer client, VLAN, switch, gateway, route, SD-WAN of retourpad.
Deze classificatie voorkomt onnodige uitzonderingen. Als de daling gewenst is, is er geen technische reparatie nodig, maar eerder een beleidsbeslissing. Als het verkeer de firewall helemaal niet bereikt, helpt een nieuwe firewallregel niet. Als een beveiligingsmodule blokkeert, mag er niet blindelings een brede firewallregel worden gecreëerd.
Eerste classificatie
Voordat u gaat analyseren, moet u de fout zo specifiek mogelijk isoleren.
Belangrijke vragen:
- Welk bron-IP en bestemmings-IP worden beïnvloed?
- Welke poort en welk protocol worden gebruikt?
- Is het client-internet, site-to-site VPN, externe toegang, DNAT, WAF of intern verkeer?
- Is de fout permanent of sporadisch?
- Betreft het slechts één applicatie, slechts één gebruiker of een heel netwerk?
- Is onlangs een firewallregel, NAT-regel, route, SD-WAN-regel, TLS Inspection of webbeleid gewijzigd?
Zonder deze informatie zoek je vaak te breed in Log Viewer. Een reproduceerbare test met tijd, IP-adressen en verwachte richting is beter.
Gebruik Log Viewer correct
De Log Viewer is het eerste startpunt. Het toont gebeurtenislogboeken en kan worden gefilterd op module, tijd, veld en vrije tekst.
De Log Viewer wordt rechtsboven in de WebAdmin-interface geopend. Afhankelijk van het geval zijn deze modules belangrijk voor druppels:
- Firewall: Regelafstemming, toegestane en afgewezen verbindingen.
- Web: Webbeleid, categorie, URL-groep en malwarescan.
- SSL/TLS Inspection: Decodering, TLS-fouten en uitzonderingen.
- Applicatiefilter: Applicatiecontrolehits.
- IPS: Inbraakpreventie en DPI-beslissingen.
- Actieve reactie op bedreigingen: Bedreigingsfeeds, NDR Essentials of andere ATR-hits.
- Webserverbeveiliging: WAF, reverse proxy en gepubliceerde webservices.
- VPN: IPsec, SSL VPN en gebeurtenissen voor toegang op afstand.
Firewallregels registreren doorgaans sessies wanneer de firewall een Destroy-gebeurtenis ontvangt en de verbinding verbreekt. Als een verbinding zonder deze gebeurtenis wordt beëindigd, zal deze niet altijd verschijnen zoals verwacht. Bij SSL/TLS-verbindingen wordt de verbinding geregistreerd na de handshake en wanneer deze wordt gesloten.
De logconfiguratie is ook belangrijk. Als een logtype niet is geactiveerd onder System services > Log settings, ziet u het niet betrouwbaar lokaal, in Sophos Central of in de syslog. Voor evaluatie op langere termijn is Sophos Firewall Stuur syslog naar SIEM of Activeer centrale firewallrapportage geschikt.
Classificeer ongeldige verkeersgebeurtenissen
Invalid traffic is een belangrijke bevinding, maar geen volledige causale analyse. De firewall rapporteert dus verkeer dat niet duidelijk overeenkomt met een geldige verbinding of beleidsbeslissing. Typische voorbeelden zijn pakketten buiten een verwachte sessiestatus, asymmetrische paden, verlopen sessies, onverwachte TCP-vlaggen of retourverkeer dat niet hetzelfde pad volgt.
Voor dergelijke gebeurtenissen moet u niet eerst een toestemmingsregel opstellen. Dit proces is beter:
- Neem bron, bestemming, haven en tijd over van het evenement.
- Controleer in Log Viewer of een firewallregel-ID, NAT regel-ID of een module zichtbaar is.
- Test met Packet Capture of beide richtingen door dezelfde firewall lopen.
- Controleer routing, SD-WAN, VPN-paden, HA-rol en retourroute.
- Bepaal dan pas of een regel, NAT-logica, route of beveiligingsprofiel moet worden aangepast.
Invalid traffic is bijzonder waardevol als indicatie van status- of retourpadproblemen. Als alleen de regel Toestaan wordt uitgebreid, blijft de hoofdoorzaak vaak bestaan.
Gebruik Packet Capture correct
Het menupad is:
Diagnostics > Packet capture
Packet Capture laat zien of pakketten bij een interface aankomen, worden doorgestuurd, door de firewall zelf worden verwerkt of worden verwijderd. Dit is vooral belangrijk als er niets duidelijks in Log Viewer staat.
Basisproces:
- Beperk de testcase: noteer het bron-IP, bestemmings-IP, poort en protocol.
- Diagnostics > Packet capture openen.
- Stel de opnamefilters zo smal mogelijk in.
- Activeer Packet Capture.
- Reproduceer het probleem.
- Stop met vastleggen.
- Controleer de invoer op Bron, Bestemming, Rule ID, NAT ID, Status en Reden.
Packet Capture toont onder andere Rule ID, NAT ID, Status, Reden, Verbindings-ID, Webfilter-ID, Applicatie-ID, IPS-beleid-ID en Gebruikersnaam. Deze velden helpen als er niet alleen een firewallregel, maar ook webfilters, IPS, Application Control of NAT bij betrokken zijn.
Voor het bedienen van de tool is Packet Capture gebruik in WebAdmin de meer gedetailleerde instructie.

Begrijp de status van pakketopname
De statuswaarden zijn cruciaal voor de analyse. Sophos Firewall biedt zes statuswaarden in het weergavefilter: Allowed, Violation, Consumed, Generated, Incoming en Forwarded.
- Binnenkomend: Het pakket arriveert op een WAN- of LAN-interface. De bron bereikt de firewall.
- Allowed: Het pakket is toegestaan door de betreffende firewallregel of het beleid. Deze status overlapt in de praktijk vaak met
Forwarded; als een pakket wel alsAllowedmaar niet alsForwardedverschijnt, is het de moeite waard om routering, het retourpad of een nagelegen beveiligingsmodule te controleren. - Doorgestuurd: Het pakket wordt doorgestuurd. De firewall laat in principe het pakket door.
- Verbruikt: Het pakket is bedoeld voor de firewall zelf. Dan zijn Device Access, VPN Portal, DNS, DHCP of een andere lokale dienst relevant.
- Gegenereerd: Het pakket wordt gegenereerd door de firewall. Dit is reactie- of systeemverkeer van de firewall.
- Overtreding: Het pakket is verwijderd vanwege een beleidsschending. Regel, module of veiligheidsfunctie geblokkeerd.
Een enkele Incoming zonder een overeenkomende Forwarded kan betekenen dat de firewall het pakket laat vallen, het zelf verwerkt, of dat het filter niet de hele stroom weergeeft. Daarom moet je altijd naar beide kanten kijken.
Er mag niet onmiddellijk na de eerste status een uitzondering worden gemaakt. Het is beter om de volgende test af te leiden uit de status:
- Alleen
Incomingzichtbaar: Filter controleren, tegengestelde richting opnemen, regel-ID zoeken en firewall-ID uitsluiten0. IncomingenForwarded, maar geen reactie: Controleer de retourroute, het bestemmingssysteem, de lokale serverfirewall, NAT en asymmetrische routering.Consumedzichtbaar: Device Access, vink Lokale service ACL en betrokken lokale firewallservice aan.Generatedzichtbaar: Controleer of de firewall zelf reageert of systeemverkeer genereert.Violationzichtbaar: Match Reden, Rule ID, NAT ID en betrokken module in Log Viewer.
Dit betekent dat de analyse reproduceerbaar blijft: de status bepaalt welke tool vervolgens zinvol is. Voor Violation is Log Viewer belangrijk. Als er geen antwoord is, is het belangrijker om terug te gaan en Packet Capture, voor Consumed Device Access in plaats van de firewallregel.
Snelle symptoomtriage
In de praktijk bespaart een snelle symptoomtriage veel tijd voordat dieper in boomstammen of shell wordt gegraven:
- Log Viewer toont
Invalid traffic: Focus op sessiestatus, retourpad en asymmetrische routering. Controleer beide richtingen met Packet Capture. - Packet Capture toont alleen
Incoming: Focus op drop, lokale service, standaardregel of onvolledig filter. Vouw het filter uit, voer Policy Test uit en controleer de firewall-ID0. - Packet Capture toont
Forwardedmaar geen reactie: Focus op doelsysteem, retourroute, NAT of externe firewall. Controleer antwoordpakketten en retourroute. - Packet Capture toont
Consumed: Focus op verkeer naar de firewall zelf. Controleer Device Access en Lokale dienst ACL. - Packet Capture toont
Violation: Focus op regel, beveiligingsmodule of beleidsschending. Vergelijk Reden, Rule ID, NAT ID en modulelogboek. - Log Viewer en Packet Capture laten niets zien: Het verkeer bereikt waarschijnlijk de firewall niet. Controleer client, VLAN, switch, gateway of onjuist testdoel.
Firewall-ID 0 en expliciete drop-regel
Als er niet aan expliciete firewallregels wordt voldaan, wijst Sophos Firewall het verkeer af via de ingebouwde eindregel met Firewall ID 0 of Policy ID 0. Deze regel staat altijd aan het einde van de firewallregels. Belangrijk voor het oplossen van problemen en SIEM: De ingebouwde drop-all-regel registreert het verkeer zelf niet. Als je alle verbroken verbindingen traceerbaar wilt zien, heb je een eigen expliciete drop-regel met actieve logging nodig.
Als drops via de standaardregel niet zichtbaar zijn, is de beleidsbeslissing niet automatisch verkeerd. In Packet Capture is dan mogelijk alleen Incoming te zien, zonder bijpassende Violation Firewall-vermelding. Het probleem is dan de traceerbaarheid bij troubleshooting, niet noodzakelijk de eigenlijke drop-beslissing.
Als een testcase aan geen enkele regel voldoet en er nog steeds geen drop zichtbaar is, controleer dan ook:
- Gebruik Policy Test en controleer of de test valt onder firewall-ID
0of de standaardregel. - Controleer de regelvolgorde en zorg ervoor dat geen enkele andere regel hogerop onverwachts overeenkomt.
- Maak een expliciete drop-regel aan het einde van de regelbasis als drop-ons moeten worden geregistreerd of doorgegeven aan Central Reporting of Syslog.
- Voer de test opnieuw uit en controleer of de drop nu zichtbaar is met het expliciete regel-ID.
- Neem de expliciete drop-regel op in de wijzigingsdocumentatie en regelbeoordeling, zodat deze later niet verkeerd wordt geïnterpreteerd als een normale regel voor toestaan/weigeren.
Bij het opstellen van de definitieve regel moeten de zones bewust worden gekozen. Sophos raadt aan om individuele bron- en bestemmingszones te gebruiken en Any niet als algemene zone in te stellen, zodat interne diensten niet onnodig worden beïnvloed. De expliciete eindregel is nuttig voor een auditbestendige omgeving. Het vervangt echter geen schone regelstructuur. Als veel legitiem verkeer op de laatste regel terechtkomt, ontbreekt waarschijnlijk een nauwkeurigere toestemmingsregel hogerop of wordt een netwerk verkeerd geclassificeerd.
Lees belangrijke velden in Packet Capture
Als het om drops gaat, is niet alleen de status belangrijk. De extra velden laten zien welk deel van de firewall het verkeer heeft verwerkt.
- Rule ID: Overeenkomende firewallregel. Controleer of deze overeenkomt met de verwachte regel.
- NAT ID: Overeenkomende NAT-regel. Controleer of NAT werd verwacht, ontbreekt of dat er een onjuiste NAT-regel van toepassing is.
- Reden: Reden voor verwijdering of overtreding. Lees niet op zichzelf, maar vergelijk met status en module.
- Webfilter-ID: Webbeleidsbeslissing. Controleer categorie, URL-groep en gebruikerscontext.
- Applicatie-ID: Gedetecteerde applicatie. Application Control kan anders beslissen dan de haven suggereert.
- IPS-beleids-ID: Toegepast IPS-beleid. Controleer handtekening, regelcontext en vals-positief risico.
- Gebruikersnaam: Gedetecteerde gebruiker. Evalueer de gebruikersmatching alleen als de gebruiker daadwerkelijk zichtbaar is.
Als Rule ID of NAT-ID onverwacht is, moet u niet onmiddellijk een uitzondering maken. Eerst moet duidelijk zijn of het testgeval correct is gedefinieerd, of hierboven aan een meer algemene regel is voldaan of dat NAT de weergave van bron en bestemming verandert.
Gebruik de Rede als leidraad
De waarde Reason is geen volledig hoofdoorzaakrapport, maar is een goede leidraad voor de volgende module. Firewall spreekt meer voor regelbasis, standaardregel of zonelogica. LOCAL_ACL komt overeen met Device Access en Lokale dienst ACL. INVALID_TRAFFIC geeft de sessiestatus, het retourpad of asymmetrische routering aan. APPLICATION_FILTER, IPS, USER_IDENTITY, IP_SPOOF, SSL_VPN_ACL_VIOLATION of VIRTUAL_HOST laten zien dat u niet alleen de firewallregel moet controleren.
Een korte drievoudige sprong is daarom nuttig: lees eerst de status, classificeer vervolgens Reden en open vervolgens de betreffende module in Log Viewer. Op deze manier wordt een enkele Violation-invoer een begrijpelijke audit trail in plaats van een uitnodiging voor een brede uitzondering.
Verbruikte en lokale firewallservices
Consumed is geen normale daling. De status betekent dat het pakket bestemd is voor de firewall zelf. Typische doelen zijn WebAdmin, User Portal, VPN Portal, SSH, DNS, DHCP, IPsec, SSL VPN of SNMP.
In dergelijke gevallen is het vaak niet de normale firewallregel die doorslaggevend is, maar eerder Device Access en Lokale service ACL. Als WebAdmin, SSH, VPN Portal of SNMP bijvoorbeeld niet bereikbaar is, moet u niet alleen onder Rules and policies > Firewall rules zoeken. Het juiste uitgangspunt is doorgaans Administration > Device access.
Voor het versterken en oplossen van problemen met lokale firewallservices is Sophos Firewall Veilige toegang: Device Access correct configureren geschikt.
Veelvoorkomende oorzaken van vallen
Geen overeenkomende firewallregel
De meest voorkomende oorzaak is een regel die niet overeenkomt. Redenen kunnen zijn:
- verkeerde bronzone
- verkeerd bronnetwerk
- verkeerde bestemmingszone
- Bestemmings-IP op DNAT verkeerd geïnterpreteerd
- gebrek aan service of onjuist protocol
- Gebruiker is niet geverifieerd
- Schema klopt niet
- een meer specifieke regel wordt onder een meer algemene regel geplaatst
Het begrijpen en correct configureren van de Sophos Firewallregels helpt bij de regelstructuur. Als het om DNAT gaat, moet ook publicatieserver via DNAT naar Sophos Firewall worden gecontroleerd.
NAT of retourroute past niet
Soms staat de firewall het antwoord toe, maar komt het antwoord anders terug of wordt het verkeerd vertaald.
Typische punten:
- SNAT of MASQ ontbreekt.
- DNAT verwijst naar de verkeerde interne host.
- Een gekoppelde NAT-regel is uitgeschakeld.
- Terugreisroute ontbreekt.
- SD-WAN of statische routing stuurt antwoordverkeer via een ander pad.
- VPN-verkeer mist een geschikte IPsec-route of retourroute.
Asymmetrische routering levert vaak fouten op die moeilijk te begrijpen zijn, omdat de firewall de verbindingsstatus niet duidelijk kan toewijzen. Pakketten kunnen dan verschijnen alsof ze niet tot de verbinding behoren.
Pakket behoort niet tot een bekende verbinding
Berichten als Could not associate packet to any connection of soortgelijke conntrack-meldingen betekenen vaak dat de firewall geen geschikt verbindingscontextobject kan vinden.
Mogelijke oorzaken:
- Retourverkeer neemt een andere route.
- Er is verbinding gemaakt met een ander HA-knooppunt.
- Sessie is al verlopen.
- TCP-vlaggen komen niet overeen met de verwachte verbinding.
- Een apparaat verzendt antwoorden zonder voorafgaand verzoek.
- Stateful inspection ziet slechts een deel van de gegevensstroom.
Hier is Packet Capture belangrijker dan een enkele logvermelding. Je moet kijken of beide richtingen door dezelfde firewall en dezelfde zone gaan.
Webfilter, TLS Inspection, Application Control of IPS geblokkeerd
Niet elke druppel komt van de firewallregel zelf. Verkeer is vaak toegestaan, maar wordt vervolgens geblokkeerd door een beveiligingsmodule.
Typische voorbeelden:
- Webbeleid blokkeert een categorie of URL-groep.
- TLS Inspection wordt afgebroken vanwege certificaat, SNI, cijfer of uitzondering.
- Application Control detecteert een ongewenste applicatie.
- IPS blokkeert een patroon.
- Active Threat Response stuit op een IoC.
- Zero-Day Protection houdt een download tegen of blokkeert deze.
Voor IPS-hits moet u de handtekening, het beleid en de regelcontext controleren voordat u een brede uitzondering instelt. Het juiste proces kunt u vinden in Sophos Firewall IPS instellen en veilig testen.
Voor web- en TLS-gevallen dient u ook QUIC aan te vinken. Wanneer browsers UDP 443 gebruiken, komen de verwachtingen van het webfilter en TLS niet altijd overeen. Meer hierover: Sophos Firewall QUIC en HTTP/3 correct blokkeren.
MTU, MSS of fragmentatie
Met VPN, PPPoE, SD-WAN, mobiele of geneste tunnels kan een pakket te groot zijn voor het pad. Dan zie je niet altijd een duidelijke firewall drop, maar eerder verbindingsonderbrekingen, trage applicaties of individuele services die vastlopen.
Voor dergelijke gevallen is Sophos Firewall Controleer MTU en MSS op VPN-problemen geschikt.
Gestructureerd proces
In de praktijk werkt deze volgorde goed:
- Let op testcase: Bron, bestemming, poort, protocol, tijd.
- Log Viewer controle: Filter firewallmodule en geschikte beveiligingsmodules.
- Zoekregel-ID en NAT ID: Controleer aan welke regel daadwerkelijk is voldaan.
- Packet Capture start: Stel een smal filter in en reproduceer de test.
- Status controleren: Evalueer inkomend, doorgestuurd, verbruikt, gegenereerd of overtreding.
- Controleer de retourrichting: Komt het antwoord terug en via hetzelfde pad?
- Controleer de beveiligingsmodules: Web, TLS, Application Control, IPS, ATR, WAF.
- Servicelogboeken controleren: Als er serviceproblemen zijn, controleer dan het betreffende logbestand onder
/log. - Controleer centrale logs: Voeg Centrale Rapportage toe of SIEM als lokale logs niet voldoende zijn.
De betreffende service- en logbestanden worden samengevat in Sophos Firewall Problemen oplossen: Services en logboeken.
Als er niets verschijnt in Log Viewer
Geen loginvoer betekent niet automatisch dat de firewall er niet bij betrokken is.
Mogelijke oorzaken:
- Loggen is niet geactiveerd in de firewallregel.
- Het betreffende logtype is niet actief onder System services > Log settings.
- De verbinding is niet netjes beëindigd en daarom niet geregistreerd.
- Het verkeer bereikt de firewall helemaal niet.
- Verkeer wordt verwerkt door een lokale dienst.
- Het filter in Log Viewer is te smal.
- Het loggeheugen is beperkt of oude vermeldingen zijn al overschreven.
Gebruik in dergelijke gevallen eerst Packet Capture. Als Packet Capture ook geen invoer toont, ligt de focus meer op client, switch, VLAN, routing voor de firewall of onjuist testdoel.
Wanneer tcpdump of logarchieven nodig zijn
De WebAdmin Packet Capture is goed voor snelle analyse. Voor langere opnames, PCAP-bestanden, zeer nauwkeurige filters of ondersteuningsgevallen is tcpdump vaak beter geschikt dan SSH. Dit is vooral het geval als een probleem slechts sporadisch optreedt of als de opname later in Wireshark of door Sophos Support moet worden geëvalueerd.
In dergelijke gevallen moet u het volgende verduidelijken voordat u gaat opnemen:
- Welk bron-IP, bestemmings-IP en poorten moeten in het filter worden opgenomen?
- Hoe lang mag de opname duren?
- Waar wordt het PCAP-bestand opgeslagen?
- Wie kan het bestand zien?
- Wanneer wordt het bestand na analyse weer verwijderd?
De praktische procedure vindt u in Sophos Firewall tcpdump: Pakketten opnemen via CLI. Als er naast pakketten ook servicelogboeken nodig zijn, helpt Sophos Firewall Logboeken opslaan voor ondersteuning en analyse.
Stel alleen specifiek uitzonderingen in
Bij drops is de verleiding groot om snel een uitzondering te maken. Dit kan op de korte termijn helpen, maar verslechtert vaak de veiligheid of verbergt de oorzaak.
Uitzonderingen mogen alleen worden gemaakt als duidelijk is:
- welke module blokkeert
- welke host, domein of applicatie getroffen is
- waarom het verkeer legitiem is
- hoe beperkt de uitzondering kan zijn
- wanneer de uitzondering wordt gecontroleerd of verwijderd
Brede uitzonderingen voor hele netwerken, Any-regels of mondiale TLS-uitzonderingen moeten worden vermeden. Een kleine, gedocumenteerde uitzondering met een herzieningsdatum is beter.
Documentbevindingen
Een goed dropresultaat moet zodanig worden gedocumenteerd dat een ander de test kan begrijpen. Dit is belangrijk voor interne beoordelingen, wijzigingsdocumentatie en supportcases.
Bewaar in ieder geval:
- Datum, tijd en tijdzone van de test.
- Bron-IP, bestemmings-IP, poort, protocol en gebruiker.
- Verwachte firewallregel en daadwerkelijk zichtbare regel-ID.
- Verwachte NAT-regel en daadwerkelijk zichtbare NAT ID.
- Packet Capturestatus:
Allowed,Incoming,Forwarded,Consumed,GeneratedofViolation. - Relevante reden of modulebericht.
- Verandering doorgevoerd of bewust geen verandering.
- Indien een uitzondering is ingesteld: eigenaar, doel, geldigheid en herzieningsdatum.
Deze documentatie voorkomt dat een stap voor het oplossen van problemen op de korte termijn een permanent, onduidelijk beveiligingsprobleem wordt.
Controlelijst
- Bron-IP, bestemmings-IP, poort en protocol bekend.
- Testtijd gedocumenteerd.
- Log Viewer gecontroleerd met juiste module en tijdfilter.
- Rule ID en NAT ID geëvalueerd.
- Als er geen drop-invoer is, controleer dan of Firewall ID
0of de standaardregel wordt beïnvloed. - Firewallregel en regelvolgorde gecontroleerd.
- NAT-regel en retourroute gecontroleerd.
- Packet Capture uitgevoerd met een smal filter.
- Status en reden geëvalueerd in Packet Capture.
- Gecontroleerde heen en weer richting.
- Webfilter, TLS Inspection, Application Control, IPS en Active Threat Response aangevinkt.
- Gecontroleerd op VPN MTU, MSS en route.
- Voor DNAT of WAF doelhost, gehost adres en backend aangevinkt.
- Centrale logs of syslog gecontroleerd als lokale logs niet voldoende zijn.
- Als ondersteuning nodig is, wordt specifiek tcpdump of logarchief voorbereid.
- Uitzonderingen zijn slechts beperkt vastgelegd en gedocumenteerd.
- Bevindingen gedocumenteerd met regel-ID, NAT ID, status, reden en wijziging.
Veelgestelde vragen
Waarom toont Log Viewer geen afgebroken pakketten?
0 betrokken is. Packet Capture en Policy Test helpen bij het onderscheid.Wat betekent overtreding in Packet Capture?
Violation betekent dat de firewall het pakket heeft verwijderd vanwege een beleidsschending. Controleer vervolgens Reden, Rule ID, NAT ID en de betrokken modules.Is een druppel altijd een vergissing?
Wanneer heeft u Packet Capture nodig in plaats van Log Viewer?
Moet je gewoon een uitzondering maken voor drops?
Wat betekent Verbruikt in Packet Capture?
Consumed betekent dat het pakket bedoeld is voor de firewall zelf. Dan zijn vaak Device Access, Lokale dienst ACL of een lokale dienst zoals WebAdmin, SSH, DNS, VPN Portal of SNMP relevant.Wat betekent firewall-ID 0 voor het wegvallen van Sophos Firewall?
0 staat voor de standaardregel als er geen expliciete firewallregel past. Als zulke drops niet duidelijk zichtbaar zijn, gebruik dan Policy Test of een expliciet gelogde eindregel.Wanneer is tcpdump beter dan Packet Capture in WebAdmin?
tcpdump is beter voor langere opnames, PCAP-bestanden, zeer nauwkeurige filters en ondersteuningsgevallen. De WebAdmin Packet Capture is ideaal voor snelle visuele inspectie direct op het oppervlak.