Obsługa licencjonowania i aktualizacji wzorców w trybie Air-Gap na Sophos Firewall

Sophos Firewall może być używana w szczególnie izolowanych środowiskach bez bezpośredniego dostępu do Internetu. To nie jest zwykły tryb offline, lecz świadomie zaplanowany tryb Air-Gap z własną logiką licencyjną, ręczną synchronizacją i oddzielnym procesem aktualizacji wzorców.

Najważniejszy punkt: Air Gap nie jest sposobem na proste “działanie bez Internetu”. Wymaga wcześniejszej autoryzacji, przypisanej sprzętowej zapory sieciowej, jasnego procesu aktualizacji i regularnej kontroli stanu licencji i wzorców. W przeciwnym razie zapora może działać dalej, ale funkcje ochronne tracą aktualność lub subskrypcje zostają dezaktywowane.

Dla ogólnej logiki licencyjnej najpierw warto zrozumieć Podstawową licencję Sophos Firewall. Ten artykuł koncentruje się na szczególnym przypadku Air Gap.

Kiedy Air Gap ma sens

Air Gap pasuje tylko do środowisk, w których zapora jest świadomie odłączona od Internetu. Typowe przykłady to silnie regulowane sieci, środowiska badawcze, środowiska obronne, segmenty produkcyjne lub inne strefy, w których bezpośrednie połączenia z chmurą lub aktualizacjami są niedozwolone.

Przed podjęciem decyzji należy rozważyć trzy pytania:

Pytanie	Dlaczego ważne?
Czy zapora naprawdę nie może mieć dostępu do Internetu?	Jeśli możliwy jest kontrolowany dostęp do Internetu, normalna synchronizacja licencji i wzorców jest zazwyczaj prostsza i bezpieczniejsza.
Kto przejmie ręczny proces aktualizacji?	Air Gap generuje nakład pracy operacyjnej. Pliki licencyjne i wzorce muszą być świadomie zarządzane.
Jakie funkcje przestaną działać lub będą słabsze?	Niektóre funkcje wymagają usług online, reputacji, Sophos Central lub zewnętrznego rozwiązywania.

Air Gap nie zwiększa automatycznie bezpieczeństwa. Redukuje określoną powierzchnię połączeń, ale przenosi odpowiedzialność na procesy: pobieranie, weryfikacja, transfer, przesyłanie, dokumentacja i monitorowanie.

Wymagania wstępne

Przed instalacją należy wyjaśnić następujące kwestie:

Zapora musi być przypisana jako zapora Air-Gap w Sophos Central.
Użycie Air-Gap musi być autoryzowane przez menedżera konta Sophos.
Według Sophos, Air Gap jest przeznaczony dla sprzętowych zapór sieciowych.
Środowisko nie może być po prostu tymczasowo offline, lecz musi być zaplanowane jako izolowane środowisko.
Zapora nie może być używana z licencjonowaniem MSP-Flex w nieodpowiednim modelu.
Potrzebny jest dostęp administracyjny do CLI i WebAdmin.
Potrzebny jest bezpieczny sposób przesyłania plików licencyjnych i wzorców do izolowanego środowiska.

Przed realizacją należy udokumentować numer seryjny, model, konto Sophos Central, status licencji i odpowiedzialną osobę. W przypadku numerów seryjnych i podstaw licencyjnych pomocne są Aktywacja klucza licencyjnego Sophos Firewall i Znajdowanie numeru seryjnego Sophos Firewall.

Przegląd procesu

Proces Air-Gap składa się z kilku oddzielnych kroków. Jeśli któryś z nich zostanie pominięty, zapora nie będzie działać poprawnie w trybie Air-Gap.

Krok	Miejsce	Wynik
Przypisanie zapory	Sophos Central	Zapora jest przypisana do właściwego konta
Wyjaśnienie autoryzacji Air-Gap	Menedżer konta Sophos	Autoryzacja Air-Gap jest dostępna
Pobranie licencji Air-Gap	Sophos Central	Plik licencyjny jest dostępny
Aktywacja Air Gap na zaporze	Konsola urządzenia CLI	Widoczna jest ręczna synchronizacja licencji
Przesłanie pliku licencyjnego	`Administration > Licensing`	Status licencji jest lokalnie zaktualizowany
Wgrywanie aktualizacji wzorców	`Backup & firmware > Pattern updates`	Wzorce ochronne są zaktualizowane
Monitorowanie procesu i logów	WebAdmin, Alerts, `licensing.log`	Dezaktywacja lub przestarzałe wzorce są wcześnie wykrywane

Ważna jest kolejność. Sam plik licencyjny nie wystarczy, jeśli Air Gap nie został aktywowany na zaporze. Odwrotnie, polecenie CLI nic nie da, jeśli nie ma ważnego pliku licencyjnego Air-Gap z właściwego konta.

Pobieranie licencji Air-Gap

Plik licencyjny jest pobierany z Sophos Central. Typowa ścieżka to:

Sophos Central > Profil-Menü > Licensing > Firewall licenses > Download airgap license

Plik licencyjny powinien być traktowany z należytą ostrożnością po pobraniu i nie powinien być przechowywany w prywatnych pobraniach, komunikatorach czy niejasnych schowkach. Warto sporządzić krótki wewnętrzny dowód:

Data pobrania
Konto Sophos Central
Dotknięta zapora lub grupa zapór
Numery seryjne
Osoba odpowiedzialna
Planowany czas przesłania

Sophos zaleca, aby pobrana licencja Air-Gap została zastosowana w ciągu 30 dni. Jeśli plik zostanie użyty zbyt późno, należy pobrać nowy plik.

Aktywacja Air Gap na zaporze

Aby ręczna synchronizacja licencji była widoczna w WebAdmin, Air Gap musi być aktywowany na zaporze za pomocą CLI.

Procedura:

Zaloguj się do konsoli zapory lub przez SSH.
Wybierz 4 w konsoli Sophos, aby przejść do Device Console.
Wykonaj polecenie:

system airgap enable

Następnie w Administration > Licensing powinien być widoczny obszar Manual license synchronization.

Ten krok powinien być udokumentowany. W środowiskach produkcyjnych należy go uwzględnić w tym samym procesie zmiany co przesłanie pliku licencyjnego, aby później było jasne, kiedy Air Gap został aktywowany i który plik licencyjny do niego należy.

Przesyłanie licencji Air-Gap

Po aktywacji plik licencyjny jest wgrywany w WebAdmin.

Procedura:

Zaloguj się do WebAdmin Console.
Otwórz Administration > Licensing.
W obszarze Manual license synchronization wybierz Choose file.
Wybierz plik licencyjny Air-Gap.
Wgraj go za pomocą Update license.
Sprawdź status licencji i daty wygaśnięcia.

Po przesłaniu należy sprawdzić, czy oczekiwane subskrypcje są aktywne. Udana synchronizacja licencji nie zastępuje testu funkcjonalności. Jeśli używane są Web Protection, IPS, Zero-Day Protection lub inne moduły, muszą być one osobno sprawdzone pod kątem polityki, stanu wzorców, logowania i testów.

HA-Cluster: Zwróć uwagę na Initial Primary

W przypadku Active-Passive-HA licencjonowanie Air-Gap jest szczególnie delikatne. Plik licencyjny powinien być wgrany tylko na Initial Primary. To urządzenie musi być również aktualnym Primary podczas przesyłania.

Jeśli licencja zostanie wgrana na niewłaściwy węzeł, mogą wystąpić różnice w licencjach lub nieoczekiwane zachowanie HA. Dlatego dla działania jest to sensowne:

Przed przesłaniem sprawdź System services > High availability.
Udokumentuj Initial Primary i aktualną rolę.
Ustaw Initial Primary jako Preferred primary device.
Wgraj plik licencyjny na właściwy Primary.
Następnie sprawdź status HA i licencji.

Dla podstaw HA i logiki ról pasuje Konfiguracja High Availability na Sophos Firewall. W przypadku Air Gap ta praca przygotowawcza nie jest opcjonalna, ponieważ niewłaściwy węzeł może później powodować trudne do zrozumienia objawy licencyjne lub failover.

Ręczne wgrywanie aktualizacji wzorców

Bez automatycznych aktualizacji online wzorce muszą być świadomie zarządzane. Dotyczy to sygnatur, silników, klientów i innych komponentów aktualizacji. W środowiskach Air-Gap pobierany jest plik wzorców i wgrywany w WebAdmin.

Dla SFOS 22.0 i nowszych Sophos odsyła do pliku wzorców Air-Gap:

https://airgap.u2d.sophos.com/sfos_pattern_updates_v2.tar

Procedura:

Pobierz plik wzorców na przeznaczonym do tego systemie.
Przenieś plik do izolowanego środowiska za pomocą autoryzowanej ścieżki transferu.
Zaloguj się do zapory.
Otwórz Backup & firmware > Pattern updates > Manual pattern update.
Wybierz Choose file.
Wgraj plik wzorców.
Potwierdź przesłanie i sprawdź status aktualizacji.

W środowiskach HA wzorce są wgrywane na Primary i następnie synchronizowane z Auxiliary. Dlatego również tutaj najpierw należy sprawdzić status HA.

Kontrola stanu wzorców

Działanie w trybie Air-Gap jest tylko tak dobre, jak rutyna za nim stojąca. Nowe wzorce są regularnie dostępne. Jeśli zapora długo nie jest aktualizowana, wartość IPS, Antivirus, Application Signatures i innych funkcji ochronnych spada.

Praktyczna kontrola:

Kontrola	Miejsce
Aktualne wersje wzorców	`Backup & firmware > Pattern updates`
Ostatnia udana aktualizacja	`Backup & firmware > Pattern updates`
Status aktualizacji	Ready to install, Downloading, Success lub Failed
Status licencji	`Administration > Licensing`
Wskazówki dotyczące licencji i dezaktywacji	`licensing.log`

Dla ogólnej kontroli operacyjnej dodatkowo pasuje Właściwe korzystanie z Sophos Firewall Health Check. Tam Air Gap nie powinien być rozumiany jako wyjątek od higieny aktualizacji, lecz jako specjalny proces dla tej samej obowiązku: utrzymanie aktualności funkcji ochronnych.

Wygaśnięcie licencji i okno Incommunicado

Przy normalnej synchronizacji licencji 90 dni bez udanej synchronizacji jest krytyczne. Dla licencji Air-Gap obowiązuje dłuższe okno 180 dni. Po tym czasie subskrypcje bezpieczeństwa są dezaktywowane; Base Firewall i Enhanced Support pozostają aktywne.

Dla działania oznacza to:

Najpóźniej od dnia 160 należy przygotować nowy plik licencyjny Air-Gap.
Najpóźniej przy ostrzeżeniach należy zaplanować przesłanie.
Po 180 dniach bez nowej licencji Air-Gap grozi dezaktywacja subskrypcji ochronnych.
Ruch może nadal trwać, ale bez dotkniętych funkcji ochronnych.
Stan powinien być kontrolowany przez WebAdmin, Alerts i licensing.log.

licensing.log jest szczególnie ważny przy problemach z licencją. Przegląd istotnych logów zapory znajduje się w Rozwiązywanie problemów z Sophos Firewall: Usługi i logi.

Co jest ograniczone w środowiskach Air-Gap

Air Gap oznacza, że usługi online nie działają jak w normalnie podłączonej zaporze. Niektóre funkcje nie są obsługiwane, inne tracą część swojej skuteczności.

Typowe ograniczenia:

Obszar	Ograniczenie
Sophos Central Management	centralne zarządzanie i Synchronized Security nie są dostępne jak w środowiskach online
Dynamic DNS	wymaga połączenia z Internetem
Zewnętrzny NTP	działa tylko, jeśli dostępny jest wewnętrzny serwer czasu
FQDN	sensowne tylko z wewnętrznym rozwiązywaniem DNS
RED Online Provisioning	wymaga online-provisioningu
Web i URL Categorization	bez usług online tylko z lokalnie dostępnymi kategoriami i sygnaturami ograniczone
Zero-Day Protection	wymaga połączenia z chmurą i nie pasuje do klasycznego Air Gap
Support Access	zdalny dostęp do wsparcia nie jest dostępny w izolowanych sieciach

Ten punkt jest często niedoceniany w projektach. Zapora Air-Gap nie może dostarczyć tej samej ochrony opartej na chmurze, co normalnie podłączona zapora. Dlatego przed projektowaniem należy zdecydować, które funkcje ochronne są niezbędne i jak skompensować brakujące funkcje online: wewnętrzne serwery DNS i NTP, ręczna rutyna wzorców, Syslog, lokalna dokumentacja i jasny proces wsparcia.

Ustalenie rutyny operacyjnej

Dla Air Gap potrzebny jest stały proces. W przeciwnym razie aktualizacje licencji i wzorców stają się zauważalne dopiero, gdy pojawi się ostrzeżenie lub moduł ochronny nie jest już aktualny.

Sensowna rutyna:

Interwał	Zadanie
Cotygodniowo lub zgodnie z wewnętrznym ryzykiem	Sprawdzenie, pobranie i wgranie pliku wzorców
Miesięcznie	Dokumentowanie stanu wzorców, statusu licencji, statusu HA i alertów
Najpóźniej od dnia 160	Przygotowanie nowego pliku licencyjnego Air-Gap z Sophos Central
Po każdym przesłaniu	Sprawdzenie statusu licencji, statusu wzorców, odpowiednich modułów ochronnych i synchronizacji HA
Przy każdym oknie aktualizacji oprogramowania	Planowanie procesu Air-Gap, kopii zapasowej, wzorców i przywracania razem

Aktualizacje oprogramowania pozostają osobnym procesem. Dla realizacji pasuje Przeprowadzanie aktualizacji oprogramowania Sophos Firewall, dla kopii zapasowej i odzyskiwania Tworzenie lub przywracanie kopii zapasowej Sophos Firewall.

Częste błędy

Wyjaśnienie Air Gap dopiero po instalacji

Air Gap powinien być wyjaśniony przed zakupem i instalacją. Jeśli zapora już działa w izolacji, ale nie ma odpowiedniej autoryzacji Air-Gap lub pliku licencyjnego, powstaje niepotrzebna presja.

Traktowanie aktualizacji wzorców jako opcjonalnych

Aktualizacje wzorców w środowiskach Air-Gap nie są mniej ważne, lecz bardziej pracochłonne operacyjnie. Bez rutyny funkcje ochronne starzeją się po cichu.

Ignorowanie roli HA przed przesłaniem licencji

W przypadku Active-Passive-HA Initial Primary musi być właściwym aktualnym Primary. W przeciwnym razie status licencji po failoverze lub przesłaniu może być niejasny.

Zakładanie funkcji chmurowych

Zero-Day Protection, Sophos Central Management, Online-Reputation, RED Online Provisioning lub Support Access nie powinny być cicho zakładane w projektach Air-Gap.

Zbyt późne reagowanie na ostrzeżenia licencyjne

Licencje Air-Gap mają okno 180 dni, ale proces nie powinien zaczynać się w ostatnim dniu. Pobieranie, transfer, autoryzacja zmiany i przesyłanie wymagają czasu.

Lista kontrolna

Wyjaśniona autoryzacja Air-Gap z Sophos.
Zapora przypisana do właściwego konta Sophos Central.
Udokumentowany numer seryjny, model i status licencji.
Zdefiniowany bezpieczny transfer plików do izolowanego środowiska.
Wykonano i udokumentowano system airgap enable.
Wgrano licencję Air-Gap w Administration > Licensing.
W przypadku HA: sprawdzono Initial Primary, aktualny Primary i Preferred Primary.
Pobranie i wgranie pliku wzorców w Backup & firmware > Pattern updates.
Sprawdzenie statusu licencji, stanu wzorców i licensing.log.
Ustalenie rutyny operacyjnej dla wzorców, pliku licencyjnego, statusu HA i okna aktualizacji oprogramowania.

FAQ

Czym jest Sophos Firewall Air Gap?

Air Gap to model operacyjny dla izolowanych środowisk zapory Sophos bez bezpośredniego dostępu do Internetu. Licencjonowanie i aktualizacje wzorców są zarządzane ręcznie lub przez oddzielny proces Air-Gap.

Jak aktywować Air Gap na Sophos Firewall?

Air Gap aktywuje się w Device Console za pomocą system airgap enable. Następnie w Administration > Licensing pojawia się obszar do ręcznej synchronizacji licencji.

Jak długo ważna jest licencja Air-Gap?

Dla licencji Air-Gap obowiązuje okno 180 dni bez nowej synchronizacji. Po tym czasie subskrypcje bezpieczeństwa są dezaktywowane, podczas gdy Base Firewall i Enhanced Support pozostają aktywne.

Czy wzorce w środowiskach Air-Gap muszą być aktualizowane ręcznie?

Tak, jeśli nie jest wdrożone zautomatyzowane rozwiązanie aktualizacji Air-Gap. Dla SFOS 22.0 i nowszych plik wzorców jest pobierany i wgrywany w Backup & firmware > Pattern updates > Manual pattern update.

Co jest ważne przy Air Gap i HA?

W przypadku Active-Passive-HA licencja Air-Gap powinna być wgrana na Initial Primary, gdy to urządzenie jest również aktualnym Primary. Initial Primary powinien być ustawiony jako Preferred Primary.

Czy wszystkie funkcje Sophos Firewall działają w trybie Air-Gap?

Nie. Funkcje zależne od chmury, reputacji online, Central lub zdalnego wsparcia nie są dostępne lub są ograniczone. To musi być sprawdzone przed projektowaniem.