Publikacja serwera za pomocą DNAT na Sophos Firewall
Dzięki DNAT publikujesz serwer wewnętrzny za pośrednictwem publicznego adresu IP lub portu. Następnie zapora sieciowa Sophos przekazuje ruch przychodzący do wewnętrznego serwera docelowego. Typowymi przykładami są serwery internetowe, zwrotne proxy, bramy VPN lub inne usługi w strefie DMZ.
W artykule wyjaśniono, które punkty należy sprawdzić przed i po zastosowaniu reguły DNAT oraz w jaki sposób możliwie najlepiej zabezpieczyć zwolnienie.
Planowanie przed publikacją
Przed udostępnieniem DNAT powinno być jasne, czy usługa rzeczywiście musi być publicznie dostępna i jaki wariant techniczny będzie dla niej najodpowiedniejszy. Dobre planowanie zapobiega otwieraniu portów, powielaniu reguł NAT i trudnym do wyśledzenia ścieżkach powrotnych.
Wymagania
- Publiczny adres IP lub interfejs WAN
- Wewnętrzny serwer ze stałym adresem IP
- Znana usługa i port, na przykład TCP 443
- Odpowiednia reguła zapory sieciowej
- Opcjonalnie: IPS, ochrona serwera WWW lub odwrotne proxy w zależności od usługi
⚠️ DNAT publikuje serwis wewnętrzny dla świata zewnętrznego. Każda opublikowana usługa zwiększa powierzchnię ataku. Publikowane powinno być tylko to, co jest naprawdę konieczne. Źródło, port i miejsce docelowe powinny być jak najwęższe.
Wyjaśnij wcześniej
Przed skonfigurowaniem systemu sterowania należy odpowiedzieć sobie na następujące pytania:
- Który publiczny adres IP lub interfejs WAN jest używany?
- Który port zewnętrzny powinien być dostępny?
- Na jaki wewnętrzny adres IP przekazywane jest połączenie?
- Czy port pozostaje taki sam, czy jest przetłumaczony?
- Czy dostęp powinien być dozwolony zewsząd, czy tylko z określonych sieci źródłowych?
- Czy należy wziąć pod uwagę Source NAT lub Reflexive NAT?
- Czy istnieje potrzeba stosowania reguły sprzężenia zwrotnego dla klientów wewnętrznych korzystających z publicznej nazwy FQDN?
- Czy zostanie opublikowany tylko jeden serwer wewnętrzny, czy wiele serwerów z równoważeniem obciążenia?
- Czy istnieje już reguła korzystająca z tego samego portu?
- Czy zapora sieciowa Sophos znajduje się bezpośrednio w Internecie, czy za routerem dostawcy?
- Czy w grupie zabezpieczeń Cloud należy otworzyć dodatkowe reguły?
Informacje te zapobiegają późniejszym konfliktom z istniejącymi regułami NAT lub zapory sieciowej.
Jeśli terminy Original source, Original destination, Translated destination, Translated service, pętla zwrotna lub reguła refleksyjna są nadal niejasne, powinieneś najpierw przeczytać Zrozumienie NAT w zaporze Sophos: SNAT, DNAT, MASQ, PAT. Ta strona skupia się na konkretnej publikacji usługi wewnętrznej.
DNAT, WAF, VPN czy ZTNA?
Nie każda publicznie dostępna usługa powinna być automatycznie publikowana za pośrednictwem DNAT. DNAT jest technicznie prosty, ale także bardzo bezpośredni: zapora przekazuje port do wewnętrznego miejsca docelowego. To, czy ma to sens, zależy od usługi, źródeł i potrzeby ochrony.
- Usługa inna niż HTTP z jasno określonymi źródłami: DNAT ze ścisłymi ograniczeniami źródła, logowaniem i IPS.
- Publiczna aplikacja HTTP lub HTTPS: pierwsze sprawdzenie Sophos Firewall WAF.
- Dostęp administracyjny, taki jak SSH, RDP lub wewnętrzny portal administracyjny: Jeśli to możliwe, VPN, ZTNA lub stały adres IP zamiast otwartego DNAT.
- Dostęp tylko dla kilku partnerów lub lokalizacji: Preferuj źródłowy adres IP, VPN lub połączenie typu site-to-site.
- Aplikacja powinna być dostępna wewnętrznie i zewnętrznie pod tą samą nazwą: Sprawdź podzielony DNS lub celowo zaplanowaną regułę sprzężenia zwrotnego.
W przypadku klasycznych aplikacji internetowych WAF jest często lepszym punktem wyjścia, ponieważ można uwzględnić nazwy hostów, certyfikaty, ścieżki, profile ochrony sieci i opcjonalnie uwierzytelnianie. DNAT powinien być używany do dostępu administracyjnego jedynie w wyjątkowych przypadkach. Jeśli usługa wewnętrzna tak naprawdę nie musi być publiczna, VPN lub architektura ZTNA są zwykle czystszym rozwiązaniem. Istniejące podstawy ZTNA są dostępne w Jak skonfigurować Sophos ZTNA i Utwórz bramkę Sophos ZTNA.
Jeśli zapora sieciowa znajduje się za routerem
DNAT działa również, jeśli zapora sieciowa Sophos nie ma bezpośrednio publicznego adresu IP, ale znajduje się za routerem NAT od dostawcy.
W tym przypadku potrzebne są dwa przekierowania:
- Na routerze dostawcy port publiczny jest przekazywany na adres IP sieci WAN zapory sieciowej Sophos.
- Na zaporze Sophos port jest przekazywany do serwera wewnętrznego poprzez DNAT.
Wielu routerów dostawców oferuje klasyczne przekierowanie portów lub funkcję taką jak Exposed Host lub DMZ Host. W przypadku odsłoniętej funkcji hosta wiele lub wszystkie porty przychodzące są często przekazywane do zapory ogniowej. Może to być praktyczne, ale powinno być starannie zabezpieczone, ponieważ faktyczna kontrola leży wtedy całkowicie w zaporze sieciowej Sophos.
Jeśli nie ma stałego publicznego adresu IP, możesz użyć DynDNS. Sophos Firewall może skonfigurować dynamiczny DNS tak, aby nazwa DNS zawsze wskazywała bieżący publiczny adres IP. Nadal jest ważne: przekierowanie portów na routerze dostawcy musi wskazywać na zaporę sieciową Sophos.
Ta sama zasada obowiązuje w środowiskach chmurowych. W przypadku Azure sama reguła DNAT na zaporze Sophos nie wystarczy. Dodatkowo należy otworzyć odpowiednie Reguły przychodzące w Grupie zabezpieczeń sieci, w przeciwnym razie ruch w ogóle nie dotrze do zapory.
Skonfiguruj regułę DNAT i zapory sieciowej
Publikacja serwera zawsze składa się z dwóch części: reguła NAT tłumaczy miejsce docelowe lub port, reguła zapory sieciowej zezwala na ruch i kontroluje go.
Asystent dostępu do serwera czy ręczna reguła DNAT?
Sophos Firewall oferuje dwa sposoby publikowania serwerów:
- Server Access Assistant (DNAT): szybki standardowy wariant dla pojedynczej publikacji. Tworzy automatycznie kilka reguł i umieszcza je na górze bazy reguł.
- Ręczna reguła DNAT: bardziej złożone środowiska z aliasami IP, PAT, równoważeniem obciążenia, specjalnymi źródłami lub świadomym projektowaniem reguł. Każde pole trzeba ustawić i przetestować samodzielnie.
Kreator może być pomocny, ponieważ nie tylko tworzy przychodzącą regułę DNAT, ale w zależności od wyboru tworzy także regułę pętli zwrotnej, regułę zwrotną SNAT i odpowiednią regułę zapory ogniowej. Oszczędza to czas, ale nie zastępuje sprawdzania utworzonych reguł.
Po skorzystaniu z asystenta należy zawsze sprawdzić:
- Czy reguły NAT i firewall są na właściwym miejscu?
- Czy źródło jest naprawdę tak wąskie, jak planowano, czy nadal jest ustawione na
Any? - Czy utworzono regułę sprzężenia zwrotnego, mimo że podział DNS byłby czystszym rozwiązaniem?
- Czy utworzono regułę refleksyjną, która nie jest potrzebna dla wychodzącego ruchu serwerowego?
- Czy reguła zapory sieciowej jest zgodna ze strefą docelową po NAT i publicznym obiektem docelowym przed NAT?
W środowiskach produkcyjnych ręcznie nazwana i celowo umieszczona reguła DNAT jest często łatwiejsza do zrozumienia. Kreator jest dobry do szybkiego startu, ale utworzone reguły podlegają tej samej recenzji, co reguły utworzone ręcznie.
Utwórz regułę DNAT
Typowy przykład DNAT:
- Oryginalne źródło:
Anylub zdefiniowane sieci źródłowe - Pierwotne miejsce docelowe: interfejs WAN-IP lub WAN
- Oryginalny serwis:
HTTPS - Przetłumaczone miejsce docelowe: serwer wewnętrzny
- Przetłumaczona usługa: bez zmian lub wewnętrzny port docelowy
Procedura:
- Otwórz Zasady i zasady.
- Przejdź do obszaru Reguły NAT.
- Wybierz Dodaj regułę NAT > Nowa reguła NAT.
- Zdefiniuj pierwotne źródło, miejsce docelowe i usługę.
- Ustaw opcję Przetłumaczone miejsce docelowe na serwerze wewnętrznym.
- Opcjonalnie ustaw usługę tłumaczoną.
- Świadomie sprawdzaj interfejs przychodzący i wychodzący.
- Zapisz i aktywuj regułę.
Jeśli trzeba uzyskać dostęp tylko do kilku zewnętrznych adresów IP źródła, pierwotnym źródłem nie powinien być Any, ale powinien być ograniczony do tych źródeł.
W przypadku udziałów produkcyjnych obiekt hosta dla publicznego adresu IP jest zwykle czystszy niż bezpośredni wybór interfejsu WAN. Obiekt pozostaje identyfikowalny, jeśli interfejsy, adresy aliasów lub szczegóły dostawcy ulegną późniejszej zmianie.

Zrozum oryginał i poprawnie przetłumacz
Jeśli chodzi o reguły NAT, ważne jest rozróżnienie między Oryginalnym i Przetłumaczonym.
- Oryginalne źródło/miejsce docelowe/usługa opisuje ruch docierający do zapory sieciowej Sophos.
- Przetłumaczone źródło / miejsce docelowe / usługa opisuje ruch opuszczający zaporę sieciową Sophos po tłumaczeniu.
Dla przychodzącej reguły DNAT oznacza to:
- Oryginalne miejsce docelowe to publiczny adres IP lub adres WAN zapory.
- Oryginalna usługa to port zewnętrzny adresowany przez klienta.
- Przetłumaczone miejsce docelowe (DNAT) to serwer wewnętrzny.
- Usługa tłumaczona (PAT) to wewnętrzny port na serwerze docelowym, jeśli port ma zostać przetłumaczony.
- Przetłumaczone źródło (SNAT) zwykle pozostaje Oryginalne z normalnymi zasadami DNAT.
Przekierowanie portów i PAT
Przekierowanie portów jest technicznie tłumaczeniem usług. W zaporze Sophos używana jest do tego usługa tłumaczona (PAT).
Przykład:
- Zewnętrzne: TCP
20120 - Wewnętrzne: TCP
22
Klient zewnętrzny łączy się na porcie 20120, ale zapora sieciowa Sophos wewnętrznie przekazuje dalej na porcie SSH 22. Może to być przydatne, ale nie zastępuje ograniczeń dostępu. Zmiana portu zewnętrznego może zmniejszyć część szumów tła, ale nie zapewnia bezpieczeństwa usługi.
Ważne: Protokół musi pozostać taki sam. TCP można przetłumaczyć na inny port TCP, UDP na inny port UDP. TCP na UDP nie jest prawidłową translacją portów.
Jeśli publikowany jest protokół HTTPS, należy również sprawdzić, czy nie występują konflikty z WebAdmin lub Portalem użytkowników Zapory Sophos. Domyślnie konsola administracyjna korzysta z portu HTTPS 4444, portal użytkowników korzysta z portu HTTPS 443. W przypadku nakładania się porty własne zapory lub opublikowane usługi muszą być wyraźnie oddzielone.
Świadomie planuj źródłowy adres IP i ścieżkę powrotną
W przypadku normalnego wydania DNAT Przetłumaczone źródło (SNAT) powinno w większości pozostać na poziomie Oryginał. Następnie serwer wewnętrzny widzi rzeczywisty adres IP zewnętrznego źródła. Jest to ważne dla logów serwera, limitów szybkości, mechanizmów ochrony typu Fail2Ban, logów aplikacji, oceny WAF lub odwrotnego proxy i późniejszej analizy incydentów.
SNAT do zapory sieciowej lub adres wewnętrzny może być nadal konieczny, jeśli ścieżka powrotna nie przechodzi przez zaporę Sophos. Jest to możliwe, jeśli na przykład opublikowany serwer korzysta z innej bramy domyślnej, znajduje się w obcym segmencie routingu lub ma asymetryczny routing.
Decyzję należy podjąć świadomie:
- Źródło pozostaje
Original: Serwer widzi prawdziwy zewnętrzny adres IP. Ścieżka powrotna musi przebiegać bezproblemowo przez zaporę. - Źródło zostało przetłumaczone przez SNAT: Droga powrotna jest łatwiejsza do kontrolowania. Serwer widzi tylko zaporę sieciową lub adres IP SNAT, prawdziwy adres IP klienta zostaje utracony w dzienniku serwera.
Jeśli usługa działa tylko z SNAT, nie powinieneś się jej trzymać i zostawiać temat za sobą. Lepiej najpierw sprawdzić, czy można poprawić bramę, trasę, VLAN, zaporę serwera lub projekt routingu. SNAT może być uzasadnionym obejściem problemu, ale utrudnia późniejszą analizę.
Podczas testowania należy zawsze sprawdzić, jaki źródłowy adres IP faktycznie widzi serwer. Jeśli zamiast adresu IP klienta zewnętrznego pojawia się tylko adres IP zapory sieciowej, należy wyraźnie udokumentować, czy jest to zamierzone.
Sprawdź regułę zapory sieciowej
Sama reguła NAT nie zezwala automatycznie na ruch. Dodatkowo wymagana jest odpowiednia reguła zapory sieciowej.
W przypadku DNAT widok w regule zapory jest nietypowy, ponieważ zapora musi jednocześnie znać pierwotny dostęp z zewnątrz i przetłumaczony cel wewnętrzny.
Najważniejsza zasada:
⚠️ W przypadku DNAT reguła zapory używa strefy docelowej po NAT, ale sieć docelowa przed NAT.
Typowe zadanie:
Strefa źródłowa: Przeważnie
WAN, gdy dostęp pochodzi z Internetu.Sieci źródłowe i urządzenia: Tak ograniczone, jak to możliwe, na przykład indywidualne adresy IP, sieci, kraje lub grupy.
Strefy docelowe: Strefa serwera wewnętrznego firmy DNAT, np.
DMZlubSERVER.Sieci docelowe: Publiczny adres docelowy lub obiekt hosta WAN z
Original destination.Usługi: Usługa zewnętrzna z
Original service, czyli port, do którego klienci uzyskują dostęp z zewnątrz.Profile zabezpieczeń: W zależności od usługi, IPS, skanowania złośliwego oprogramowania, zasad sieciowych lub innej odpowiedniej kontroli
Rejestrowanie: Włącz dla opublikowanych usług
Bez odpowiedniej reguły zapory sieciowej ruch jest odrzucany pomimo DNAT.
Ten punkt jest częstym źródłem błędów: jeśli jako sieć docelową wpiszesz serwer wewnętrzny, nawet jeśli reguła oczekuje publicznego obiektu WAN, reguła nie będzie zgodna. Dokładną logikę wyjaśniono bardziej szczegółowo w artykule Zrozumienie NAT w zaporze Sophos: SNAT, DNAT, MASQ, PAT.

Zarządzenie dotyczy także reguł NAT. Sophos sprawdza reguły NAT od góry do dołu i wykorzystuje pierwszą pasującą regułę. Powyższa reguła NAT, która jest zbyt ogólna, może zatem uniemożliwić zastosowanie określonej reguły DNAT.
Zaawansowane opcje NATOpcje te mają znaczenie tylko wtedy, gdy klienci wewnętrzni używają nazw publicznych, ścieżki powrotne wymagają specjalnego przetłumaczenia lub gdy zaangażowanych jest wiele serwerów docelowych.
Loopback, zwrotne i połączone reguły NAT
Sophos Firewall oferuje kilka opcji NAT, które można łatwo pomylić:
- Reguła sprzężenia zwrotnego: Pomaga, gdy klienci wewnętrzni powinni łączyć się z serwerem wewnętrznym poprzez publiczny adres IP lub publiczną nazwę DNS.
- Reguła refleksyjna: Tworzy regułę SNAT odzwierciedlającą regułę DNAT, dzięki czemu ruch powrotny lub pewne przeciwne kierunki są odpowiednio tłumaczone.
- Połączona reguła NAT: Utworzona na podstawie reguły zapory sieciowej i jest połączoną regułą SNAT. Połączona reguła NAT to nie to samo, co przychodząca reguła DNAT dla opublikowanego serwera.
W przypadku klasycznych publikacji serwerowych niezależna reguła DNAT plus odpowiednia reguła zapory sieciowej jest zwykle najjaśniejsza. Połączone reguły NAT mogą być przydatne, jeśli reguła zapory wymaga bezpośrednio specjalnego tłumaczenia SNAT. Jednak w środowiskach ogólnych samodzielne, jasno nazwane reguły NAT są zwykle łatwiejsze do zrozumienia i utrzymania.
Ważne: Zasady pętli zwrotnej i refleksyjne wywodzą się z oryginalnej reguły DNAT. Jeśli pierwotna reguła DNAT zostanie później zmieniona, należy osobno sprawdzić reguły pochodne. W przeciwnym razie może się zdarzyć, że dostęp zewnętrzny został poprawnie ustawiony, ale dostęp do wewnętrznej pętli zwrotnej lub ruch wychodzący z serwera nadal będzie przebiegał zgodnie ze starą logiką.
Równoważenie obciążenia i kontrola stanu
Kiedy wiele serwerów wewnętrznych jest opublikowanych za publicznym adresem IP, DNAT można również wykorzystać do równoważenia obciążenia lub przełączania awaryjnego.
Możliwe metody to na przykład:
- Robinowy
- Pierwszy żywy
- Losowe
- Przyklejony adres IP
- Jeden na jeden
Jeśli chcesz, aby zapora sieciowa wykrywała, czy serwer docelowy jest dostępny, należy skonfigurować Kontrolę stanu. Bez kontroli stanu zapora może również przekazywać ruch do serwera, do którego nie można się dostać.
Zabezpieczanie i uruchamianie
Opublikowana usługa natychmiast staje się częścią publicznej powierzchni ataku. Dlatego też zamykanie dostępu, rejestrowanie, profile bezpieczeństwa i wyraźne wycofywanie zmian stanowią część uruchomienia.
Zaplanuj uruchomienie i wycofanie
Uwolnienie DNAT należy traktować jak niewielką zmianę w produkcji. Gdy tylko reguła zostanie aktywowana, dostęp do usługi będzie możliwy z Internetu. Dlatego przed uruchomieniem powinno być jasne, która reguła zostanie aktywowana, w jaki sposób będzie testowany dostęp i jak wrócić w przypadku problemów.
Sprawdź przed uruchomieniem:
- Utwórz kopię zapasową bieżącej konfiguracji zapory lub przynajmniej udokumentuj odpowiednie reguły NAT i zapory ogniowej.
- Sprawdź istniejące reguły NAT dla tego samego publicznego adresu IP, portu zewnętrznego i interfejsu WAN.
- Dopasuj router dostawcy, grupę zabezpieczeń chmury lub reguły zapory nadrzędnej do konfiguracji Sophos.
- Weź pod uwagę DNS TTL, gdy nazwa hosta wskazuje na opublikowany adres.
- Przygotuj źródło testowe poza własną siecią LAN, na przykład telefon komórkowy, lokalizację zewnętrzną lub kontrolowany test portu online.
- Ustaw oczekiwane lokalizacje dzienników: przeglądarka logów, identyfikator reguły NAT, identyfikator reguły zapory sieciowej, przechwytywanie pakietów i dziennik serwera.
- Zdefiniuj kryteria wycofywania, na przykład niedostępna usługa, serwer nie odpowiada, błąd certyfikatu, profil bezpieczeństwa blokuje legalny ruch lub nieoczekiwany źródłowy adres IP na serwerze.
Proste wycofanie zwykle polega na wyłączeniu nowej reguły DNAT i odpowiadającej jej reguły zapory sieciowej. Jeżeli stara publikacja została zastąpiona, powinno być jasne, czy można ponownie aktywować starą regułę, czy też należy najpierw zresetować przekierowanie portów dostawcy, DNS lub monitorowanie.
W przypadku usług krytycznych nie należy zmieniać kilku rzeczy jednocześnie. Jeśli DNS, router dostawcy, reguła NAT, reguła zapory sieciowej i konfiguracja serwera zostaną dostosowane w tym samym czasie, błąd będzie trudny do późniejszego przypisania. Lepszy jest krótki proces z jasnymi krokami: przygotuj, aktywuj, przetestuj zewnętrznie, sprawdź logi, sprawdź serwery, udokumentuj wyniki.
Ogranicz dostęp tak blisko, jak to możliwe
Nie każdy opublikowany serwis musi być dostępny z całego Internetu. Jeśli to możliwe, dostęp powinien być ograniczony.
Przydatne ograniczenia:
- Zezwalaj tylko na pojedyncze źródłowe adresy IP.
- Zezwalaj na znane hosty FQDN tylko wtedy, gdy druga strona używa dynamicznych adresów IP.
- Zezwalaj tylko na niektóre kraje.
- Wyraźnie blokuj niektóre kraje.
- Zezwalaj na dostęp tylko przez VPN.
- Użyj rozwiązania ZTNA zamiast bezpośredniej publikacji.
DNAT zwykle nie jest najlepszym rozwiązaniem dla usług administracyjnych typu SSH, RDP czy wewnętrznych portali administracyjnych. Jeśli dostęp nie musi być publiczny, VPN lub ZTNA jest prawie zawsze lepszym wyborem.
Popraw bezpieczeństwo
W przypadku opublikowanych usług należy sprawdzić:
- Czy serwer jest obecnie załatany?
- Czy istnieje opcja WAF lub odwrotnego proxy?
- Czy IPS jest aktywny w regule zapory?
- Czy otwarte są tylko niezbędne porty?
- Czy usługa jest zalogowana?
- Czy istnieją ograniczenia geograficzne adresu IP, źródła zagrożeń lub źródłowego adresu IP?
- Czy MFA jest możliwe, jeśli jest to portal?
W przypadku aplikacji internetowych zamiast czystego DNAT może być również przydatna Ochrona serwera WWW / WAF.
Boty i źródła zagrożeń
Porty publiczne, takie jak HTTP, HTTPS, SSH czy RDP, są stale w centrum uwagi botów. Gdy tylko port będzie dostępny w Internecie, często można szybko zobaczyć próby połączeń, skany, próby logowania lub wykorzystanie ruchu w przeglądarce dzienników.
Nie oznacza to automatycznie, że serwer został naruszony. Pokazuje jednak, że usługa jest częścią publicznej powierzchni ataku. Dlatego zalecamy dodatkowe zabezpieczenie opublikowanych usług za pomocą IPS, logowania, wąskich źródeł i źródeł zagrożeń stron trzecich.
Kanały zagrożeń stale dostarczają zaporze aktualne wskaźniki naruszenia, na przykład złośliwe adresy IP lub domeny. Dzięki temu zapora może blokować znanych napastników, botnety lub skanery, zanim dotrą one do opublikowanej usługi.
Więcej: Źródła zagrożeń zapory sieciowej Sophos
Testuj
Po zapisaniu reguły DNAT:
- Testuj z sieci zewnętrznej, a nie z tej samej sieci LAN
- Sprawdź tylko oczekiwany port publiczny, nie skanuj szeroko pod kątem obcych adresów
- Sprawdź przeglądarkę dzienników pod kątem identyfikatora reguły zapory sieciowej i identyfikatora reguły NAT
- Porównaj przechwytywanie pakietów ze źródłem zewnętrznym, miejscem docelowym publicznym i miejscem docelowym wewnętrznym
- Sprawdź logi serwera
- Kontroluj widoczny źródłowy adres IP w systemie docelowym
Jeśli test ma zostać przeprowadzony z wewnętrznej sieci LAN na publiczny adres IP, niezbędny może być również NAT typu hairpin lub wewnętrzne rozwiązanie DNS.
Macierz testów dla publikacji DNAT
Pojedynczy test portu rzadko wystarcza dla produkcyjnej publikacji DNAT. Lepiej przygotować małą macierz testów, która oddziela ścieżki dozwolone od niepożądanych. Dzięki temu widać nie tylko, czy usługa jest osiągalna, ale także czy ograniczenia, logowanie i ścieżka powrotna działają poprawnie.
Przydatne źródła testowe:
- Dozwolone źródło zewnętrzne: przetestować połączenie z sieci komórkowej, zewnętrznej lokalizacji lub sieci partnera na publiczny adres IP i port zewnętrzny. W Log Viewer muszą pojawić się oczekiwane ID reguły firewall i ID reguły NAT.
- Niedozwolone źródło zewnętrzne: jeśli publikacja jest ograniczona do konkretnych źródeł, test ze źródła niedozwolonego powinien celowo zakończyć się niepowodzeniem. W przeciwnym razie ograniczenie źródeł jest zbyt szerokie.
- Klient wewnętrzny z wewnętrzną nazwą DNS: sprawdzić, czy użytkownicy wewnętrzni rozwiązują nazwę bezpośrednio na wewnętrzny adres IP serwera. Często jest to czystsze niż loopback NAT.
- Klient wewnętrzny z publicznym FQDN: testować tylko wtedy, gdy taki dostęp jest naprawdę wymagany. Jeśli nie działa, najpierw sprawdzić split DNS i nie dodawać automatycznie loopback NAT.
- Sam serwer docelowy: sprawdzić log serwera, lokalny firewall, usługę nasłuchującą, certyfikat i widoczny adres źródłowy. Widać wtedy, czy serwer widzi prawdziwy zewnętrzny IP, czy adres SNAT.
- Monitoring lub zewnętrzny health check: sprawdzić, czy test używa tej samej URL, portu i logiki źródła co rzeczywisty monitoring.
Po każdym teście należy ocenić tylko jeden wynik: czy ruch dociera do Sophos Firewall, czy pasuje oczekiwana reguła NAT, czy pasuje oczekiwana reguła firewall, czy pakiet dociera do serwera i czy wraca odpowiedź. Jeśli zmienia się kilka rzeczy naraz, kolejny błąd jest znacznie trudniej przypisać.
Czysty test DNAT porównuje trzy punkty widzenia:
- Klient zewnętrzny: Połączenie z publicznym adresem IP i portem zewnętrznym działa lub jest celowo blokowane.
- Zapora sieciowa Sophos: Przeglądarka dzienników pokazuje oczekiwany identyfikator reguły zapory sieciowej i identyfikator reguły NAT.
- Serwer wewnętrzny: Serwis widzi oczekiwany źródłowy adres IP, odpowiada poprzez właściwą bramę i loguje dostęp.
Jeśli zbadamy tylko jedną z tych perspektyw, typowe błędy pozostaną niewykryte. Na przykład pomyślny test portu zewnętrznego nie pozwala jeszcze stwierdzić, czy rejestrowanie, IPS, ograniczenia źródła lub właściciele serwerów są odpowiednio udokumentowani.
Rozwiązywanie problemów i operacje
Po uruchomieniu usługi warto nie tylko sprawdzić, czy usługa jest dostępna. Ważne są przeglądarki dzienników, identyfikator reguły NAT, identyfikator reguły zapory sieciowej, logi serwera i regularne przeglądanie starych wersji.
Rozwiązywanie problemów
Typowe błędy:
- Brak reguły zapory sieciowej
- wybrano błędny adres IP WAN
- Brak przekierowania portów na routerze dostawcy
- Grupa zabezpieczeń sieci Azure blokuje port
- Usługa nie działa wewnętrznie
- Brama serwera nie wskazuje na zaporę sieciową Sophos
- Reguła NAT podlega innej, która zaczyna obowiązywać wcześniej
- Reguła zapory sieciowej używa niewłaściwej sieci docelowej w DNAT
- Port jest już używany przez inną usługę
- Brak pętli zwrotnej, gdy klienci wewnętrzni korzystają z publicznej nazwy FQDN
- Brakuje kontroli stanu lub jest ona nieprawidłowa podczas korzystania z równoważenia obciążenia
- Testowanie odbywa się z sieci wewnętrznej, a nie zewnętrznej
- Serwer docelowy odpowiada za pośrednictwem innej bramy
- Profil zabezpieczeń blokuje ruch, ale nie jest wyszukiwany w odpowiednim dzienniku
Przeglądarka logów jest najważniejszym punktem wyjścia dla problemów z DNAT. Można tam sprawdzić, czy ruch przychodzi, która reguła zapory sieciowej i która reguła NAT ma zastosowanie oraz czy ruch jest dozwolony, czy odrzucany. Jeśli trafienie nie odpowiada oczekiwaniom, pomoże Reguła zapory sieciowej Sophos nie ma zastosowania: sprawdź przyczyny.
Aby uzyskać głębsze informacje o rozwiązywaniu problemów, nie powinieneś tylko patrzeć na zaporę sieciową Sophos. Jeśli przeglądarka dzienników zezwala na ruch, a przechwytywanie pakietów pokazuje, że pakiety nadal płyną do serwera, przyczyna często leży w systemie docelowym: lokalna zapora sieciowa, nieprawidłowa brama domyślna, brak powiązania z usługą, problem z certyfikatem, aplikacja nasłuchująca na innym porcie lub odwrotny serwer proxy nadrzędny nie odpowiada zgodnie z oczekiwaniami.
Szybka klasyfikacja pomaga nie szukać w niewłaściwym miejscu:
- W Log Viewer nie pojawia się żadne trafienie: Ruch nie dociera do zapory albo używany jest niewłaściwy adres IP WAN. Sprawdzić router operatora, Cloud Security Group, publiczny adres IP i Packet Capture na WAN.
- Firewall Rule ID pasuje, ale brakuje NAT Rule ID: Reguła NAT nie pasuje albo znajduje się zbyt nisko w kolejności. Sprawdzić
Original destination,Original service, interfejs przychodzący i kolejność NAT. - NAT Rule ID pasuje, ale usługa nie odpowiada: Serwer docelowy albo ścieżka powrotna nie są poprawne. Sprawdzić zaporę serwera, bramę domyślną, routing i Packet Capture w kierunku serwera.
- Z zewnątrz działa, ale wewnętrznie przez FQDN już nie: Brakuje Split DNS albo loopback. Sprawdzić wewnętrzne rozwiązywanie DNS i dodawać loopback tylko świadomie.
- Po zmianie w kreatorze tylko część zachowuje się nieprawidłowo: Wygenerowana reguła loopback albo reflexive nie pasuje już do publikacji. Sprawdzić osobno wygenerowane reguły NAT i firewall.
Kiedy DNAT czarnej dziury również pomaga
Jeśli usługa celowo musi pozostać publicznie dostępna, ale niektóre źródła muszą zostać przechwycone przed faktyczną publikacją, sensowne może być ustawienie reguły DNAT czarnej dziury nad produktywną regułą DNAT. Działa to na przykład w przypadku list znanych złych adresów IP, trwale niechcianych krajów lub powtarzających się źródeł skanerów.
Technika ta nie zastępuje czystego uwalniania. Produktywna reguła DNAT musi być nadal rygorystyczna, rejestrowanie musi być aktywne, a opublikowany serwer musi być na bieżąco aktualizowany. Black Hole DNAT to dodatkowa warstwa blokowa przed wydaniem, a nie faktyczna architektura bezpieczeństwa.
DNAT czarnej dziury jest szczególnie przydatny w następujących przypadkach:
Powtarzające się źródła skanerów trafiają do tej samej opublikowanej usługi: Źródła mogą zniknąć przed produktywną zasadą DNAT.
Poszczególne kraje nie powinny mieć dostępu do przekierowania portów: Regułę blokową można umieścić nad właściwą regułą DNAT.
Utrzymywana zła grupa adresów IP już istnieje: Grupy można używać jako
Original sourcereguły czarnej dziury.Usługa musi pozostać publiczna, ale powinna generować mniejszy ruch botów: Zasada produktywności zostaje zachowana, a niechciane źródła są wcześniej przechwytywane
Black Hole DNAT nie nadaje się do lokalnych usług firewall, takich jak WebAdmin, User Portal, VPN Portal lub SSH, do samej zapory. Odpowiadają za to Dostęp do urządzenia i Reguły wyjątków ACL usług lokalnych. W przypadku serwerów internetowych za pośrednictwem WAF należy najpierw sprawdzić regułę WAF, zablokowane kraje, uwierzytelnianie i logi WAF.
Kolejność jest ważna: reguła DNAT czarnej dziury musi znajdować się ponad produktywną regułą DNAT. Następnie powinieneś sprawdzić w przeglądarce logów, czy zablokowane źródła rzeczywiście spełniają regułę czarnej dziury i dozwolone źródła w dalszym ciągu korzystają z produktywnej reguły NAT i firewalla. Dokładną procedurę można znaleźć w Zapora Sophos: Blokuj kraje i złośliwe adresy IP.
Kontrola działania
Zasady DNAT należy poddawać regularnemu przeglądowi. Stare wersje stanowią typowe zagrożenie bezpieczeństwa, ponieważ opublikowane usługi często pozostają dostępne, nawet jeśli aplikacja została już dawno przeniesiona, zastąpiona lub potrzebna tylko tymczasowo.
W przypadku produktywnych zasad DNAT należy udokumentować co najmniej:| punkt | Dlaczego to jest ważne |
- Cel wydania: Później musi być jasne, dlaczego usługa jest w ogóle dostępna publicznie
- Osoba lub zespół odpowiedzialny: Bez właściciela stare akcje rzadko są usuwane
- Publiczny adres IP i port zewnętrzny: Ułatwia testowanie, monitorowanie i skanowanie zewnętrzne
- Wewnętrzny serwer docelowy i port docelowy: Ważne przy migracji serwerów, równoważeniu obciążenia i zmianach certyfikatów
- Oczekiwane źródła: Pomaga ustalić, czy
Anyjest naprawdę potrzebny - Środki ochronne: IPS, alternatywa WAF, MFA, źródła zagrożeń, rejestrowanie i status poprawek powinny być identyfikowalne
- Data ważności lub data przeglądu: Zwolnienia tymczasowe wymagają jasnego końca
Znacząca recenzja nie polega tylko na przyjrzeniu się regule. Powinieneś sprawdzić zewnętrznie, czy otwarte są tylko oczekiwane porty, sprawdzić w przeglądarce logów, do jakich źródeł faktycznie uzyskują dostęp, a na serwerze docelowym sprawdzić, czy aplikacja jest nadal utrzymywana. Jeśli usługa jest potrzebna tylko wewnętrznie lub dla kilku partnerów, należy ponownie ocenić VPN, ZTNA, ograniczenie źródłowego adresu IP lub regułę WAF.
Usuwając stare reguły DNAT, nie należy po prostu usuwać reguły NAT. Często dołączone są do niego reguły zapory sieciowej, obiekty hosta, obiekty usług, reguły sprzężenia zwrotnego, reguły refleksyjne, wpisy DNS, kontrole monitorowania lub przekierowywanie portów dostawcy. Lepszy jest krótki proces likwidacji:
- Sprawdź ostatnie dostępy w przeglądarce logów.
- Poproś osobę odpowiedzialną lub dział o potwierdzenie, że usługa nie jest już potrzebna.
- Najpierw dezaktywuj regułę NAT i odpowiednią regułę zapory sieciowej.
- Sprawdź zewnętrznie, czy port jest zamknięty.
- Sprawdź dzienniki monitorowania i serwera pod kątem błędów.
- Dopiero wtedy wyczyść obiekty, wpisy DNS i reguły dostawcy, które nie są już potrzebne.
Jeśli nadal wymagane jest zezwolenie, przegląd powinien zakończyć się konkretnym wnioskiem: zostaw to tak, jak jest, zawęź je, przejdź na WAF, przenieś za VPN/ZTNA lub ponownie sprawdź z datą wygaśnięcia.