Naar de inhoud
Avanet

Sophos Firewall-regels begrijpen en configureren

Sophos Firewall

Firewall Rules vormen de kern van Sophos Firewall. Ze bepalen welk verkeer tussen zones, netwerken, gebruikers en services wordt toegestaan of geblokkeerd, en welke beveiligingsfuncties worden toegepast.

Dit artikel legt een Sophos Firewall Rule van boven naar beneden uit: volgorde, groepen, Action, logging, Source, Destination, Services, User Matching, Exclusions, NAT, Web Filtering, TLS Inspection, Security Heartbeat, Application Control, IPS, Traffic Shaping, DSCP, NDR en e-mailscanning.

Het menupad is:

Rules and policies > Firewall rules > Add firewall rule > New firewall rule

Sophos Firewall Add firewall rule met alle opties van Rule status tot Security features
Sophos Firewall - Add firewall rule: de regel wordt van boven naar beneden geconfigureerd en later volgens de regelvolgorde geëvalueerd.

Snelle navigatie

Basisprincipe en volgorde

Firewall Rules controleren verkeer tussen zones en netwerken. Ze staan verkeer toe, droppen of blokkeren het en kunnen extra Security Features toepassen.

Sophos Firewall controleert Firewall Rules van boven naar beneden. Zodra een regel matcht, worden de volgende Firewall Rules niet meer gecontroleerd. Het is dus niet alleen belangrijk wat er in een regel staat, maar ook waar de regel in de lijst staat.

Een regel matcht alleen als alle relevante criteria tegelijk kloppen:

CriteriumMoet matchen?Voorbeeld
Source zoneJaLAN
Source networks and devicesJanet_LAN_Clients
ScheduleJaAll the time
Destination zoneJaWAN
Destination networksJaAny of een FQDN Host
ServicesJaHTTP, HTTPS, DNS
User MatchingAlleen indien actiefAD-groep Internet-Users
ExclusionsIndien ingesteld kan de regel worden overgeslagenbackupserver uitsluiten

De eerste passende regel wint. Als een algemene LAN_to_WAN_Any-regel boven een specifieke LAN_to_WAN_Restricted-regel staat, wordt de specifieke regel nooit bereikt.

Praktijkvoorbeeld

In dit voorbeeld wordt een nette clientregel gemaakt:

Doel: clients uit het interne LAN mogen naar internet. Web Filtering, Application Control, IPS en logging moeten actief zijn. Servers, gasten en managementnetwerken krijgen eigen regels en worden niet met deze clientregel gemengd.

VeldVoorbeeldwaardeWaarom?
Rule nameLAN_to_WAN_ClientsDuidelijke naam met bron en doel
DescriptionInternet Access for client network, created for standard client trafficLater is duidelijk waarom de regel bestaat
Rule positionOnder specifieke block- en serverregelsSpecifieke regels moeten eerst matchen
Rule groupInternet AccessBeter overzicht
ActionAcceptVerkeer wordt toegestaan
Log firewall trafficActiefTroubleshooting in Log Viewer
Source zonesLANVerkeer komt uit de LAN-zone
Source networks and devicesnet_LAN_ClientsNiet alle LAN-netwerken, alleen clients
During scheduled timeAll the timeInternettoegang moet permanent gelden
Destination zonesWANDe bestemming is internet
Destination networksAnyMeestal praktisch voor client-internet
ServicesHTTP, HTTPS, DNS, NTPAlleen noodzakelijke basisservices
Web policyDefault Workplace PolicyWebtoegang per categorie sturen
Block QUIC protocolActiefWeb Filtering en scanning blijven effectief
IPSClient policyExploitbescherming voor uitgaand clientverkeer
App controlClient Application PolicyOngewenste applicaties blokkeren
Shape trafficOptioneelAlleen als bandbreedtebeheer nodig is
DSCP markingLeegAlleen nodig als achterliggende apparaten DSCP gebruiken

Dit voorbeeld is bewust geen Any-vrijbrief. In de praktijk moeten clientnetwerken, servernetwerken, gast-Wi-Fi, VoIP en management apart bekeken worden.

Bovenste gedeelte: status, naam, actie en logging

Rule status

Rule status schakelt de regel in of uit.

Een nieuwe regel is normaal actief. Voor voorbereide regels kan men de status uitschakelen en de regel later activeren. Uitgeschakelde regels moeten regelmatig worden gecontroleerd, zodat oude test- of migratieregels niet in de configuratie blijven staan.

Praktijkvoorbeeld: een nieuwe regel voor een server wordt voorbereid, maar pas tijdens het onderhoudsvenster geactiveerd.

Rule name

De naam moet meteen duidelijk maken wat de regel doet.

Goede namen:

  • LAN_to_WAN_Clients
  • Guest_to_WAN_WebOnly
  • Server_to_WAN_Updates
  • VoIP_to_WAN_SIP_RTP
  • WAN_to_DMZ_HTTPS_Webserver

Namen zoals Rule1, Test, Allow of Internet zijn minder nuttig, omdat later niet meer duidelijk is waarvoor de regel bedoeld was.

Description

De beschrijving is belangrijk voor beheer, support en audits. Daarin hoort te staan:

  • waarom de regel bestaat
  • wie de regel heeft aangevraagd
  • welke beperkingen bewust zijn ingesteld
  • of er een ticket, project of vervaldatum is

Voorbeeld:

Internet Access for client network 10.10.10.0/24. Web filtering and IPS enabled. Requested by IT, reviewed on 10 June 2026.

Hoe men dit veld netjes gebruikt en Firewall Rules traceerbaar documenteert, wordt uitgebreider beschreven in Een Sophos Firewall Rule eenvoudig documenteren.

Rule position

Rule position bepaalt waar de nieuwe regel wordt ingevoegd.

OptieGebruik
TopAlleen voor zeer specifieke regels, blockregels of tests
BottomVaak zinvol voor nieuwe standaardregels
Above ruleAls een regel gericht vóór een bestaande regel moet matchen
Below ruleAls een regel gericht na een bestaande regel moet matchen

Basisregel: specifiek vóór algemeen. Een regel voor één server of een specifieke applicatie staat meestal hoger dan een algemene internetregel.

Rule group

Rule group is een organisatorische groepering. De groep zelf is geen beveiligingsgrens en geen aparte policy engine. De firewall controleert nog steeds de afzonderlijke regels van boven naar beneden.

Zinvolle groepen zijn bijvoorbeeld:

  • Internet Access
  • Server Rules
  • DNAT
  • VPN
  • Guest
  • Management
  • Block Rules

In kleine omgevingen kan None voldoende zijn. In grotere omgevingen loont een duidelijke groepering vroeg, omdat de regelbasis anders snel onoverzichtelijk wordt.

Action

Action bepaalt wat er met passend verkeer gebeurt.

ActionGedragTypisch gebruik
AcceptVerkeer wordt toegestaanNormale allow-regels
DropVerkeer wordt stil weggegooidBlockregels waarbij de client geen antwoord moet krijgen
RejectVerkeer wordt geweigerd en de client krijgt een antwoordTroubleshooting of interne blockregels
Protect with web server protectionWAF-bescherming wordt toegepastWebserver Protection, niet voor normale LAN-to-WAN-regels

Voor normale client- of serverregels gebruikt men meestal Accept. Voor blockregels is Drop stiller, Reject is bij troubleshooting vaak prettiger.

Log firewall traffic

Log firewall traffic moet bij belangrijke regels bijna altijd actief zijn.

Zonder logging ontbreekt later belangrijke informatie in Log viewer. Veel troubleshooting loopt vast omdat niet zichtbaar is welke regel echt heeft gematcht.

Belangrijk: de firewall logt Firewall-sessies meestal wanneer een verbinding eindigt en een Destroy-event ontstaat. Niet elke verbinding verschijnt exact op het moment waarop de client ze start.

Om logs lokaal, in Sophos Central of via syslog zichtbaar te maken, moet ook System services > Log settings passend geconfigureerd zijn. Voor langere bewaartermijnen zijn Sophos Central Firewall Reporting of een syslogserver zinvol. Meer informatie: Central Firewall Reporting activeren.

Source

In Source definieert men waar het verkeer vandaan komt.

Source zones

Source zones is de zone waaruit het verkeer komt.

Voorbeelden:

  • LAN voor interne clientnetwerken
  • VPN voor Remote Access-gebruikers
  • DMZ voor servernetwerken
  • Guest voor gast-Wi-Fi
  • WAN voor inkomend internetverkeer

Praktijkvoorbeeld: voor een internetregel van clients naar internet wordt LAN gekozen. Voor een DNAT-regel van buiten naar een interne server gebruikt de bijbehorende Firewall Rule meestal WAN als Source zone.

Source networks and devices

Source networks and devices beperkt de bron nauwkeuriger.

Mogelijke objecten zijn:

  • losse hosts
  • netwerken
  • IP ranges
  • hostgroepen
  • FQDN Hosts
  • landobjecten

Any lijkt in het begin gemakkelijk, maar is vaak te breed. Beter is een concreet clientnetwerk, een hostgroep of een duidelijk benoemd netwerkobject.

Praktijkvoorbeeld: in plaats van Any als Source gebruikt men net_LAN_Clients. Servers, printers, gasten en managementapparaten krijgen eigen regels.

During scheduled time

During scheduled time bepaalt wanneer de regel geldt.

Typische waarden:

  • All the time
  • werktijden
  • onderhoudsvensters
  • tijdelijke toegang

Schedules zijn nuttig wanneer toegang alleen op bepaalde tijden toegestaan mag zijn. Bij troubleshooting moet men altijd controleren of firewalltijd, tijdzone en schedule echt kloppen.

Praktijkvoorbeeld: externe onderhoudstoegang tot een server wordt alleen tijdens een vastgesteld onderhoudsvenster toegestaan.

Destination and services

In Destination and services definieert men waar verkeer heen mag en welke poorten of protocollen toegestaan zijn.

Destination zones

Destination zones is de doelzone.

Voorbeelden:

  • WAN voor internettoegang
  • DMZ voor servers in een DMZ
  • LAN voor interne doelen
  • VPN voor remote users of Site-to-Site-tunnels

Praktijkvoorbeeld: voor client-internetverkeer gebruikt men WAN. Voor toegang van clients tot een interne server kan Server of DMZ worden gebruikt, als deze zones bestaan.

Destination networks

Destination networks beperkt het doel nauwkeuriger.

Voor client-internetregels is Any vaak een praktische start. Bij servers, managementnetwerken of VPN-toegang moeten doelen veel strikter worden beperkt.

Voorbeelden:

  • Any voor algemene internettoegang
  • FQDN Host zoals updates.vendor.com
  • hostobject van een interne server
  • netwerkobject van een remote VPN-site
  • landobject voor Geo-IP-regels

Praktijkvoorbeeld: een backupserver mag alleen naar de cloud-backupdoelen van de fabrikant, niet naar Any.

Services

Services zijn protocol- en poortdefinities.

Voorbeelden:

  • HTTP voor TCP 80
  • HTTPS voor TCP 443
  • DNS voor TCP/UDP 53
  • NTP voor UDP 123
  • eigen services zoals Synology_5555

Services moeten zo smal mogelijk gekozen worden. Any is alleen zinvol als echt alle protocollen toegestaan moeten zijn of als bewust met andere controles wordt gewerkt.

Praktijkvoorbeeld: voor normale webclients is een groep met HTTP, HTTPS, DNS en NTP vaak voldoende. Voor servertoegang vanaf internet wordt alleen de daadwerkelijk gepubliceerde service toegestaan.

Match known users

Met Match known users wordt gebruikersidentiteit onderdeel van de matching. De regel geldt dan niet alleen voor IP-adressen, maar voor bekende gebruikers of groepen.

Dat is zinvol wanneer:

  • Web Policies per AD-groep moeten gelden
  • reporting gebruikersgericht moet zijn
  • verschillende gebruikersgroepen verschillende internetrechten krijgen
  • MFA, Captive Portal of SSO netjes is ingericht

Valkuil: als authenticatie niet goed werkt, matcht de regel mogelijk niet. Het verkeer valt dan op een algemenere regel daaronder of wordt door de drop-all-regel weggegooid.

Voor eerste tests is het vaak beter om zonder User Matching te starten en gebruikerscriteria later toe te voegen.

Add exclusion

Met Add exclusion kan verkeer van een regel worden uitgezonderd. De firewall slaat deze regel alleen over als alle ingestelde exclusion-criteria matchen en controleert daarna de volgende regel.

Exclusions kunnen Source zones, Source networks and devices, Destination zones, Destination networks en Services bevatten.

Praktijkvoorbeeld: een algemene client-internetregel gebruikt Web Filtering. Een bepaalde updateserver moet via een eigen regel met andere Security Features lopen. Dan kan men deze server uit de algemene regel uitzonderen.

Exclusions zijn krachtig, maar maken regels moeilijker leesbaar. Als een regel veel uitzonderingen bevat, is een aparte specifieke regel vaak begrijpelijker.

Create linked NAT rule

Met Create linked NAT rule kan direct vanuit de Firewall Rule een Source NAT-regel worden gemaakt. Deze Linked NAT Rule verschijnt daarna in de NAT-regeltabel.

Voor beginners klinkt dit handig, maar in de praktijk zijn zelfstandige NAT-regels meestal overzichtelijker. Als een generieke NAT-regel hetzelfde verkeer al netjes afdekt, moet geen extra Linked NAT Rule worden gemaakt.

Voor een normale client-naar-internet-regel is de default SNAT-regel met MASQ meestal genoeg, zolang die actief is en bij de regelbasis past.

Belangrijk: NAT staat zelf geen verkeer toe. NAT vertaalt adressen of poorten. Of verkeer toegestaan is, beslist nog steeds de passende Firewall Rule.

Meer informatie: NAT op Sophos Firewall begrijpen: SNAT, DNAT, MASQ, PAT.

Web filtering

In Web filtering worden Web Policy, malware scan en webfiltergedrag geconfigureerd.

Web policy

Web policy stuurt webtoegang via categorieën, gebruikers, groepen, URL groups en regels.

Praktijkvoorbeeld: voor clients wordt een Web Policy gebruikt die malware, phishing, adult content en risicovolle categorieën blokkeert, maar businessapplicaties toestaat.

Als geen Web Policy is ingesteld, vindt via deze optie geen categoriegebaseerde webfiltering plaats.

Apply web category-based traffic shaping

Deze optie past Traffic Shaping toe op basis van webcategorieën. Ze is alleen zinvol wanneer bijpassende Traffic Shaping-regels of Web Category Policies worden gebruikt.

Praktijkvoorbeeld: streamingcategorieën worden beperkt, businessapplicaties blijven geprioriteerd.

Block QUIC protocol

QUIC gebruikt UDP 80 en UDP 443. Veel browsers gebruiken QUIC voor Google-services en andere moderne webapplicaties.

Als Web Filtering of Malware Scan op webverkeer belangrijk is, moet Block QUIC protocol in veel omgevingen actief blijven. Browsers vallen dan normaal terug op HTTPS over TCP, dat beter te controleren en inspecteren is.

Scan HTTP and decrypted HTTPS

Deze optie scant HTTP en al ontsleutelde HTTPS op malware.

Belangrijk: deze optie ontsleutelt HTTPS niet automatisch. Om HTTPS echt te inspecteren zijn passende SSL/TLS inspection rules nodig onder Rules and policies > SSL/TLS inspection rules.

Praktijkvoorbeeld: als TLS Inspection voor LAN_to_WAN_Clients actief is, kan Scan HTTP and decrypted HTTPS gedownloade bestanden in ontsleuteld HTTPS-verkeer controleren.

Meer informatie: TLS Inspection op Sophos Firewall stap voor stap uitrollen.

Use Zero-day protection

Use Zero-day protection stuurt verdachte downloads naar Sophos Zero-Day Protection voor verdere analyse. Dit is zinvol voor client- en serverregels waarbij downloads van internet gecontroleerd moeten worden.

De functie vereist een passende licentie en kan afhankelijk van bestandstype en policy vertraging veroorzaken.

Scan FTP for malware

Deze optie scant FTP-verkeer op malware. Ze is alleen relevant als FTP echt gebruikt wordt en de passende Services in de regel toegestaan zijn.

In moderne omgevingen komt FTP minder vaak voor, maar bij legacy-systemen, machinebesturingen of oudere updateprocessen nog wel.

Use web proxy instead of DPI engine

Sophos Firewall kan webverkeer via de DPI engine of via de Web Proxy inspecteren.

Voor moderne setups is DPI meestal de betere standaardkeuze, omdat HTTP- en SSL/TLS-verkeer op alle poorten verwerkt kan worden. De Web Proxy blijft nuttig wanneer specifieke proxyfuncties nodig zijn, bijvoorbeeld SafeSearch enforcement, YouTube-beperkingen, Google app domain restriction, Pharming Protection, Web Cache of Parent Proxy.

Als Use web proxy instead of DPI engine niet actief is, werkt de regel in DPI-modus.

Decrypt HTTPS during web proxy filtering

Deze optie hoort bij Web Proxy-modus. Ze is alleen relevant als Use web proxy instead of DPI engine actief is en HTTPS in proxy-modus ontsleuteld moet worden.

In DPI-modus wordt HTTPS-decryption niet hier geregeld, maar via SSL/TLS inspection rules.

Synchronized Security Heartbeat

Met Configure Synchronized Security Heartbeat kan de Sophos Endpoint-status in de Firewall Rule worden meegenomen.

Typische mogelijkheden:

  • minimale status voor bronapparaten definiëren
  • clients zonder Heartbeat blokkeren
  • minimale status voor doelapparaten definiëren
  • aanvragen naar doelen zonder Heartbeat blokkeren

Dit is krachtig, maar alleen zinvol als Sophos Endpoint, Sophos Central en Security Heartbeat netjes ingericht zijn.

Praktijkvoorbeeld: clients met rode Security Heartbeat mogen niet meer naar servers of internet.

Voor een eerste clientregel moet Heartbeat niet blind geactiveerd worden, anders kunnen apparaten worden geblokkeerd die geen Heartbeat kunnen sturen.

Other security features

Identify and control applications (App control)

Via Identify and control applications (App control) wordt een Application Filter Policy gekozen.

Daarmee kunnen applicaties worden herkend en gestuurd, bijvoorbeeld:

  • TeamViewer
  • Tor
  • Messenger
  • Streaming
  • Cloud Storage
  • Remote-Control-Tools

Application Control vereist een passende licentie. In de praktijk zit deze functie in Sophos Firewall Bundles met Web Protection, bijvoorbeeld Standard Protection, Xstream Protection of Epic Protection.

Voor applicatieherkenning bij versleuteld verkeer is TLS Inspection vaak doorslaggevend. Zonder decryption ziet de firewall afhankelijk van de service alleen hostnames, SNI, certificaatinformatie of IPs, maar niet de volledige inhoud.

Apply application-based traffic shaping policy

Deze optie past Traffic Shaping toe dat in de Application Policy of op het Application Object is gedefinieerd.

Praktijkvoorbeeld: Microsoft Teams moet worden herkend en met een specifieke Traffic Shaping Policy worden geprioriteerd. Dan moet de juiste Application Control Policy gekozen zijn en de application-based traffic shaping policy worden toegepast.

Als in Shape traffic al een expliciete Traffic Shaping Policy staat, moet duidelijk gedocumenteerd zijn welke policy voorrang heeft en waarom.

Detect and prevent exploits (IPS)

Onder Detect and prevent exploits (IPS) wordt een IPS Policy gekozen.

IPS controleert verkeer op bekende aanvalspatronen en exploits. Voor clientverkeer naar internet gebruikt men een andere policy dan voor serververkeer of gepubliceerde services.

Praktijkvoorbeelden:

  • clientregel LAN_to_WAN: client- of LAN-to-WAN-IPS-policy
  • DNAT-regel naar webserver: server- of webserver-IPS-policy
  • VoIP-regel: voorzichtig testen, omdat agressieve IPS-profielen VoIP kunnen verstoren

IPS moet niet zomaar overal met de strengste policy worden geactiveerd. Een te brede of verkeerde IPS Policy kan legitiem verkeer breken of onnodige load veroorzaken.

Shape traffic

Met Shape traffic kan een Traffic Shaping Policy direct op de regel worden toegepast.

Relevant voor:

  • VoIP
  • videoconferenties
  • backupverkeer
  • gast-Wi-Fi
  • trage WAN-verbindingen

Praktijkvoorbeeld: gast-Wi-Fi krijgt een limit policy zodat businessverkeer niet verdrongen wordt.

Meer informatie: Application Traffic Shaping op Sophos Firewall configureren.

DSCP marking

DSCP marking markeert pakketten voor Quality of Service op achterliggende netwerkapparaten.

Dit is alleen zinvol als switches, routers of WAN-apparaten deze DSCP-waarden ook gebruiken. Sophos Firewall kan markeren, maar de rest van het netwerk moet deze markeringen consistent behandelen.

Praktijkvoorbeeld: VoIP-verkeer krijgt een DSCP-markering zodat switches en WAN-routers dit verkeer prioriteren.

Scan with NDR Active threat intelligence

Scan with NDR Active threat intelligence gebruikt Sophos NDR Threat Intelligence voor extra beoordeling van netwerkverkeer.

Deze optie is alleen zinvol als de omgeving de benodigde Sophos Central- en NDR-componenten gebruikt. In veel omgevingen is het niet de eerste optie voor een basisregel, maar in sterker bewaakte netwerken kan het waardevol zijn.

Scan email content

De sectie Scan email content gaat over e-mailprotocollen.

Mogelijke opties:

  • Scan IMAP
  • Scan IMAPS
  • Scan POP3
  • Scan POP3S
  • Scan SMTP
  • Scan SMTPS

Als protocollen hier worden geactiveerd, moeten de passende standaardpoorten ook in de Services van de regel aanwezig zijn of via Add ports worden toegevoegd.

Voor normale web-clientregels is deze sectie vaak niet relevant. Voor mailservers of client-mailverkeer moet dit bewust gepland worden.

Praktijkvoorbeeld: een interne mailserver mag SMTP naar buiten sturen. Dan wordt een aparte serverregel gemaakt, logging geactiveerd en e-mailscanning passend bij de mailarchitectuur gecontroleerd.

Controleren na opslaan

Na het opslaan moet men de regel testen en niet aannemen dat alles correct werkt.

Controleren:

  1. Staat de regel op de juiste positie?
  2. Is Log firewall traffic actief?
  3. Matcht de regel in Log viewer?
  4. Wordt de verwachte Firewall Rule ID getoond?
  5. Geldt de verwachte NAT-regel?
  6. Werkt DNS?
  7. Worden Web Filtering, IPS, Application Control en TLS Inspection toegepast zoals verwacht?
  8. Zijn er onverwachte drops of SSL/TLS-fouten?

Voor een nette controle helpt Firewall Rules testen met Log Viewer, Policy Test en Packet Capture.

Typische fouten

De regel staat te ver naar beneden: een algemenere regel erboven matcht het verkeer eerst.

Source is te breed: Any werkt misschien, maar maakt regels onduidelijk en vergroot het aanvalsoppervlak.

Destination is te breed: servers of managementnetwerken zouden zelden met Any naar internet mogen.

Services zijn te breed: Any staat veel meer toe dan nodig. Concrete services of servicegroepen zijn beter.

Logging is niet actief: in Log Viewer ontbreken dan de belangrijkste gegevens.

HTTPS wordt niet gescand: Scan HTTP and decrypted HTTPS is actief, maar er is geen passende SSL/TLS inspection rule of geen decryption.

Web Filtering grijpt niet: geen Web Policy ingesteld, verkeerde gebruiker, verkeerde Source zone of QUIC niet geblokkeerd.

User Matching grijpt niet: authenticatie, AD SSO, Captive Portal of user mapping werkt niet correct.

NAT ontbreekt: de Firewall Rule staat verkeer toe, maar SNAT/MASQ matcht niet.

Security Feature past niet bij het verkeer: een verkeerde IPS Policy, proxyoptie of e-mailscanoptie kan legitiem verkeer breken.