Przejdz do tresci
Avanet
Sophos Central Firewall Management – funkcje z SFOS v18

Sophos Central Firewall Management – funkcje z SFOS v18

19. GRUDNIA 2019

Pierwsze połączenie pomiędzy zaporą a Sophos Central pojawiło się wraz z wprowadzeniem Synchronized Security. Niedługo potem dodano Sophos Central Firewall Manager. Zakres funkcji tej pierwszej wersji był jednak dość ograniczony, przez co produkt na początku wydawał się tylko umiarkowanie atrakcyjny. Wraz z SFOS v18 Central Firewall Manager został teraz znacząco rozbudowany.

Informacja: jeśli chcą Państwo poznać wszystkie nowości nadchodzącej wersji SFOS v18 w szczegółach, znajdą Państwo mój obszerny artykuł tutaj: Sophos SFOS v18: Nowe funkcje w skrócie

Central Firewall Management

Osobiście uważam Sophos Central Firewall Manager (SCFM) za bardzo udane narzędzie. Chociaż obecnie dostępny zestaw funkcji jest jeszcze stosunkowo ograniczony, wizja Sophos stojąca za rozwiązaniem jest bardzo przekonująca. Narzędzie pomaga nam przede wszystkim zachować przejrzystość w środowiskach klientów z wieloma zaporami. W świecie UTM tę rolę pełni Sophos UTM Manager (SUM), a dla SFOS można dodatkowo korzystać z Sophos Firewall Manager. Z naszej perspektywy ten ostatni sprawdza się jednak tylko w ograniczonym zakresie. Patrząc na rozwój SCFM, łatwo dojść do wniosku, że klasyczny Sophos Firewall Manager z czasem zostanie zastąpiony.

Przyjrzyjmy się teraz najważniejszym funkcjom podstawowym i temu, jak zacząć pracę z Central Firewall Managerem.

Łączenie zapory

Aby korzystać z funkcji zarządzania zaporami, potrzebne jest konto Sophos Central. Można je utworzyć bezpłatnie, a sama funkcja zarządzania firewallem również jest dostępna za darmo. W panelu administracyjnym zapory można zarejestrować się w Sophos Central za pomocą menu „Central synchronization”. Zapora zostaje wtedy powiązana z Central.

Sophos Central Firewall Management – połączenie z Central

Management

Z czasem na koncie Central pojawia się lista wszystkich zapór, które zostały dodane. Kliknięcie nazwy zapory powoduje automatyczne zalogowanie do jej backendu, dzięki czemu można dalej wprowadzać konfigurację tak jak zwykle. Logowanie przez Central jest wprawdzie odczuwalnie wolniejsze niż bezpośrednie połączenie z zaporą, ale za to znacznie wygodniejsze, ponieważ nie wymaga dodatkowego logowania. Czy zapora ma dynamiczny adres IP? To nie problem. Ponieważ połączenie z Central jest zestawiane przez samą zaporę, wszystko działa bez zarzutu.

Sophos Central Firewall Management – lista wszystkich powiązanych zapór

Zakres funkcji dostępnych w Central Firewall Manager zależy od wersji oprogramowania układowego zainstalowanej na poszczególnych zaporach. Niektóre możliwości są odblokowywane dopiero od określonej wersji.

Aktualizacje firmware’u

W widoku przeglądowym zapór można jednym rzutem oka sprawdzić, która wersja oprogramowania układowego jest zainstalowana na danych modelach. Klikając „Upgrade”, a następnie „Upgrade Firmware”, można wdrożyć najnowszą dostępnie wersję.

Sophos Central Firewall Management – przegląd aktualnych wersji firmware’u
Sophos Central Firewall Management – aktualizowanie firmware’u

Nie mogę tego wystarczająco podkreślić: przycisk aktualizacji należy zawsze naciskać z najwyższą ostrożnością. Należy starannie przygotować aktualizację i wcześniej sprawdzić, jakie zmiany wprowadza nowa wersja. Zbyt często widzimy, że aktualizacje zapór są instalowane zbyt pochopnie. Dzięki naszym umowom serwisowym na zapory przejmujemy zarządzanie poprawkami i chronimy przed nieprzyjemnymi niespodziankami. 😎

Kopie zapasowe online

Za pomocą Sophos Central Firewall Manager można również tworzyć zaplanowane lub ręczne kopie zapasowe konfiguracji zapory. Zdecydowanie warto wdrożyć taki koncept kopii zapasowych. Do tej pory kopie zapasowe można było pobierać ręcznie z zapory, zapisywać bezpośrednio na serwerze FTP lub przesyłać pocztą elektroniczną.

Mimo tych możliwości, w praktyce problemy pojawiają się właśnie wtedy, gdy kopia zapasowa jest naprawdę potrzebna. W środowiskach klientów spotykaliśmy się m.in. z następującymi sytuacjami:

  • Adres e-mail, na który wysyłano kopie zapasowe, od dawna już nie istniał – kopie nigdy nie trafiały więc do skrzynki odbiorczej.
  • Ochrona poczty blokowała wiadomości, ponieważ były wysyłane z dynamicznego adresu IP albo rekord SPF był nieprawidłowy.
  • Istniała kopia zapasowa, ale hasło do niej zostało zapomniane i nie dało się go odzyskać.
  • Istniała kopia zapasowa, ale była już mocno nieaktualna.

Można by wymienić jeszcze więcej powodów, dla których kopia zapasowa okazuje się bezużyteczna w sytuacji awaryjnej. Wiele z tych ryzyk ogranicza się dzięki kopii online w Central. Otrzymujesz centralne, zaszyfrowane repozytorium na kopie zapasowe w Sophos Central. Są tam zawsze aktualne i natychmiast dostępne, gdy tylko zajdzie taka potrzeba.

Sophos Central Firewall Management – zarządzanie kopiami zapasowymi

Nowe funkcje w wersji v18

Opisane powyżej możliwości są dostępne już od wersji 17.5. Przyjrzyjmy się teraz nowym funkcjom, które zostały wprowadzone dopiero wraz z SFOS v18.

Raportowanie

W przeszłości istniał oddzielny produkt Sophos do centralnego raportowania, o nazwie iView. Technicznie rzecz biorąc, oprogramowanie wciąż istnieje, ale w praktyce traktujemy produkt, który od lat nie jest rozwijany, jako de facto wycofany. Fakt, że Sophos nie ogłosił tego jeszcze oficjalnie, niewiele zmienia. 😅 Dla nas iView nie ma przyszłości, choć jego koncepcja żyje dalej w Central Reporting.

Po włączeniu raportowania na zaporze dane logów są wysyłane do Sophos Central. Na ich podstawie można generować wartościowe raporty.

Sophos Central Firewall Management – włączenie Central Reporting
Sophos Central Firewall Management – panel raportów
Sophos Central Firewall Management – wykorzystanie przepustowości łącza

Central Reporting dla zapory jest obecnie w fazie beta. Już na tym etapie implementacja daje jednak bardzo dobry obraz tego, czego można się spodziewać po wersji finalnej.

Globalne ustawienia zapór

W środowiskach z wieloma zaporami proces zarządzania szybko staje się złożony. Przy około dziesięciu zaporach administrację można jeszcze mniej więcej prowadzić ręcznie, ale przy około pięćdziesięciu systemach stanowi to już poważne wyzwanie. W wersji v18 można wygodnie grupować zapory w Central.

Sophos Central Firewall Management – grupowanie zapór

W ramach polityk grupowych dostępny jest znajomy interfejs zapory, w którym można zdefiniować i zapisać centralne ustawienia. Następnie konfiguracje te są wdrażane na wszystkich zaporach w danej grupie.

Sophos Central Firewall Management – kolejka zadań dla grup zapór

Ta funkcja również znajduje się jeszcze w fazie beta, co było wyraźnie widoczne podczas testów. Do w pełni dojrzałego rozwiązania wciąż trochę brakuje i niektóre szczegóły pozostają otwarte. Generalnie jesteśmy jednak przekonani, że globalne ustawienia zapór staną się w przyszłości istotnym wsparciem przy zarządzaniu rozbudowanymi środowiskami firewalli.

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.