Przejdz do tresci
Avanet

Konfiguracja Sophos Firewall po Setup Wizard

Sophos Firewall

Sophos Firewall jest sercem jednej z najlepszych platform bezpieczenstwa sieciowego na swiecie. Ten artykul opisuje kroki potrzebne do uruchomienia nowej Sophos Firewall i jej poprawnej konfiguracji. Omowione sa wymagania przed wdrozeniem, rejestracja firewalla, integracja z Sophos Central oraz aktywacja licencji.

Oczywiscie z filmem jest latwiej, a Sophos przygotowal juz calkiem dobry material.

Sophos Firewall: Basic setup and registration

Wymagania dotyczace konfiguracji

Przed rozpoczeciem konfiguracji Sophos Firewall trzeba spelnic kilka warunkow:

  1. Aktywne polaczenie internetowe: Firewall potrzebuje dzialajacego polaczenia z internetem do rejestracji i synchronizacji licencji.
  2. Konfiguracja DNS: Powinien byc skonfigurowany publiczny serwer DNS, na przyklad 8.8.8.8 (Google DNS).
  3. Dozwolony port 443: Ruch wychodzacy przez port 443 musi byc dozwolony na wszystkich urzadzeniach upstream.

Opcjonalnie mozna wczesniej utworzyc konto Sophos Central. Ten artykul pokazuje jednak rowniez, jak wykonac ten krok podczas konfiguracji.

Porty i konfiguracja sieci

Po rozpakowaniu Sophos Firewall, na przyklad modelu XGS 118, trzeba zwrocic uwage na nastepujace punkty:

  1. Polaczenie WAN: Interfejs WAN podlacza sie do portu 2, aby zestawic polaczenie internetowe.
  2. Polaczenie LAN: Interfejs LAN na porcie 1 laczy sie z lokalnym urzadzeniem. Urzadzenie automatycznie otrzyma adres IP z podsieci 172.16.16.x.
  3. Interfejs zarzadzania (jesli dostepny): W wyzszych modelach czesto dostepny jest dedykowany port zarzadzania (MGMT) ze standardowym adresem IP 10.0.1.1. Zaleca sie uzycie tego portu do podstawowej konfiguracji.

Dostep do interfejsu webowego

Sophos Firewall konfiguruje sie przez przegladarke internetowa. W zaleznosci od uzytego interfejsu korzysta sie z jednego z ponizszych adresow URL:

  • Port LAN: https://172.16.16.16:4444
  • Port zarzadzania: https://10.0.1.1:4444

Przy pierwszym dostepie pojawia sie ostrzezenie o samopodpisanym certyfikacie, ktore trzeba zaakceptowac. Nastepnie otwiera sie strona powitalna.

Pierwsza konfiguracja z Setup Wizard

  1. Ustawienie hasla administratora: Trzeba nadac i potwierdzic nowe haslo dla uzytkownika admin.
  2. Aktualizacja firmware: Jesli bedzie to wymagane, podczas konfiguracji automatycznie zostanie zainstalowana najnowsza wersja firmware.
  3. Secure Storage Master Key: Tworzony jest Master Key dla bezpiecznego magazynu, uzywany do szyfrowania danych wrazliwych. Klucz nalezy bezpiecznie zapisac w menedzerze hasel. Jest potrzebny miedzy innymi wtedy, gdy zaszyfrowany backup ma zostac odtworzony na nowym firewallu. Jesli Master Key zostanie utracony, mozna go zresetowac przy uzyciu hasla administratora i dostepu SSH. Dane lub backupy zabezpieczone starym kluczem nie beda jednak automatycznie odtwarzalne bez dodatkowych krokow.

Sprawdzenie polaczenia internetowego i DNS

W kolejnym kroku sprawdzane jest, czy firewall ma dzialajace polaczenie z internetem. Jesli wystapia problemy, ustawienia mozna dostosowac recznie. Zaleca sie uzycie publicznego serwera DNS, takiego jak 8.8.8.8.

Rejestracja Sophos Firewall

Sophos Firewall mozna zarejestrowac od razu albo pozniej. Bez rejestracji firewall moze byc uzywany przez maksymalnie 30 dni. Rejestracja odbywa sie przez platforme Sophos Central.

Kroki rejestracji

  1. Przypisanie firewalla w Sophos Central: Po rejestracji firewall zostaje przypisany w Sophos Central. Jesli konto Sophos Central jeszcze nie istnieje, mozna je utworzyc bezposrednio podczas konfiguracji.
  2. Rejestracja OTP: Do rejestracji uzywane jest One-Time Password (OTP) udostepniane przez Sophos Central.

Aktywacja licencji

Po rejestracji Sophos Firewall sprawdza swoje licencje na serwerze licencyjnym Sophos. Od pazdziernika 2024 r. Sophos zazwyczaj aktywuje licencje bezposrednio przy zakupie. Jesli firewall ma dostep do internetu, automatycznie pobiera aktualne informacje licencyjne.

W Avanet proces wyglada podobnie: przy zakupie subskrypcji Sophos Firewall zazwyczaj aktywujemy licencje za klienta. Jesli przy zamowieniu wskazany zostanie konkretny termin startu, mozna go odpowiednio uwzglednic. Serwer licencyjny Sophos zna juz wtedy dane licencji, a firewall moze przejac licencje automatycznie po rejestracji.

Po konfiguracji nalezy sprawdzic w Administration > Licensing, czy Base License, Support oraz zakupione subskrypcje sa wyswietlane poprawnie. Jesli widok nie jest aktualny, synchronizacje licencji mozna uruchomic recznie przyciskiem synchronizacji.

Polaczenie z Sophos Central

Do samej pracy pojedynczej Sophos Firewall Sophos Central nie jest obowiazkowe. Firewall moze byc w pelni zarzadzany lokalnie przez WebAdmin. Sophos Central daje jednak kilka korzysci, jesli te funkcje maja byc swiadomie wykorzystane:

  • centralny przeglad jednej lub wielu firewalli
  • dostep zarzadzajacy przez Sophos Central bez publikowania WebAdmin bezposrednio w internecie
  • przechowywanie backupow konfiguracji w Sophos Central
  • Central Firewall Reporting z logami i danymi raportowymi w chmurze
  • w zaleznosci od licencji dluzsze przechowywanie logow i dodatkowe funkcje raportowania
  • Synchronized Security z Sophos Endpoint, na przyklad Security Heartbeat i automatyczne reakcje na skompromitowane urzadzenia

Wazne: polaczenie z chmura nie jest obowiazkowe. Jesli pojedynczy firewall ma byc zarzadzany tylko lokalnie, nadal jest to mozliwe. Przy wielu produktach Sophos lub wielu firewallach Sophos Central daje jednak znacznie lepsza widocznosc.

Wiecej informacji znajduje sie w artykule Polaczenie Sophos Firewall z Sophos Central: zalety i ograniczenia.

Kroki polaczenia z Sophos Central

  1. Firewall Management w Sophos Central: W panelu Sophos Central, w sekcji “Firewall Management”, mozna dodac firewall przez podanie numeru seryjnego.
  2. Uwierzytelnienie OTP: Kod OTP sluzy do zakonczenia rejestracji.
  3. Aktywacja uslug: Na koniec na firewallu aktywuje sie uslugi Sophos Central.

Zakonczenie konfiguracji

Po zakonczeniu konfiguracji firewall uruchamia sie ponownie. Po restarcie mozna ponownie sprawdzic i aktywowac licencje. Dodatkowo konfigurowane sa automatyczne backupy konfiguracji, wysylane co tydzien poczta e-mail.

Co nalezy zrobic po Setup Wizard

Po Setup Wizard Sophos Firewall jest dostepna, zarejestrowana i zasadniczo gotowa do pracy. Nie oznacza to jednak, ze srodowisko jest juz poprawnie posegmentowane lub w pelni zabezpieczone. Kreator tworzy pierwsza konfiguracje bazowa, ale praca produkcyjna zaczyna sie dopiero pozniej: interfejsy, strefy, Device Access, DNS, DHCP, Firewall Rules, NAT, logi, backupy i profile ochrony trzeba swiadomie sprawdzic.

Sophos Firewall nie jest routerem konsumenckim, w ktorym po kreatorze wszystko jest gotowe. Moze bardzo dobrze zabezpieczyc siec, ale tylko wtedy, gdy architektura jest poprawna: strefy musza odpowiadac logice bezpieczenstwa, dostep administracyjny musi byc ograniczony, reguly powinny byc tworzone i dokumentowane celowo, a funkcje ochronne takie jak web filtering, IPS, Application Control czy TLS Inspection musza byc celowo wlaczone i przetestowane. Zle skonfigurowany firewall moze dac zludne poczucie bezpieczenstwa.

Na poczatku warto zajrzec do Control Center. Widac tam stan systemu, ruch, informacje o uzytkownikach i urzadzeniach, Active Threat Response, aktywne Firewall Rules, raporty oraz wskazowki, takie jak nowa wersja firmware. Ostrzezen i komunikatow w tym miejscu nie powinno sie po prostu zamykac, lecz traktowac jako praktyczna liste kontrolna dalszych prac.

Sprawdzenie firmware, licencji i backupu

Otwiera sie Backup & firmware i sprawdza, czy aktywna wersja firmware jest aktualna. Aktualizacje firmware sa istotne dla bezpieczenstwa, poniewaz dostarczaja poprawki bledow, usprawnienia stabilnosci i poprawki bezpieczenstwa. Aktualizacji nie powinno sie odkladac w nieskonczonosc, ale nie powinno sie ich tez instalowac bez przygotowania.

Sophos Firewall pracuje z dwoma slotami firmware. Dzieki temu w razie problemow mozna ponownie uruchomic poprzednia wersje firmware. Mimo to przed kazda wieksza zmiana nalezy utworzyc reczny backup. Na firewallach produkcyjnych planuje sie okno serwisowe oraz sprawdza release notes, stan HA, wolne miejsce, zaleznosci VPN i dostepnosc z zewnatrz.

W Backup & firmware nalezy rowniez skonfigurowac regularne backupy. Do zaszyfrowanych backupow potrzebne jest haslo backupu. Do odtworzenia danych wrazliwych istotny jest dodatkowo Secure Storage Master Key. Ten klucz powinien znalezc sie w menedzerze hasel. Jesli zostanie utracony, mozna go zresetowac przez konsole, ale istniejacych zabezpieczonych backupow nie da sie wtedy normalnie odtworzyc nowym kluczem.

Nastepnie w Administration > Licensing nalezy sprawdzic, czy rejestracja, Base License i zakupione subskrypcje sa wyswietlane poprawnie. Bez odpowiedniej licencji wiele funkcji ochronnych nie dziala albo dziala z ograniczeniami. Przy aktualizacjach pomagaja artykuly Sophos Firewall Firmware Update - przygotowanie i best practices oraz Aktualizacja firmware na Sophos Firewall. Backupy opisuje dokladniej artykul Tworzenie lub odtwarzanie backupu Sophos Firewall.

Poprawne planowanie stref i interfejsow

Na appliance’ach sprzetowych kreator moze polaczyc kilka portow LAN w bridge. Jest to praktyczne przy szybkim starcie, ale nie zawsze jest najlepsza architektura docelowa. W Network > Interfaces nalezy sprawdzic, ktore porty, VLAN-y, bridge lub LAG sa rzeczywiscie potrzebne.

Kazdy interfejs jest przypisany dokladnie do jednej strefy. To przypisanie pozniej decyduje, jak dzialaja Firewall Rules, Device Access i profile ochrony. Typowe strefy produkcyjne to na przyklad LAN, Server, DMZ, Guest, VoIP, Management lub VPN. Nie kazdy VLAN musi miec osobna strefe, ale kazda strefa powinna miec jasne znaczenie bezpieczenstwa.

Wiecej informacji znajduje sie w artykule Planowanie i konfiguracja stref oraz interfejsow Sophos Firewall.

Zabezpieczenie Device Access

Czestym bledem po pierwszej konfiguracji jest zbyt szeroki dostep administracyjny. Dostep do lokalnych uslug firewalla, takich jak Web Admin, SSH, User Portal, DNS czy Ping, nie jest sterowany przez zwykle Firewall Rules. Odpowiada za to Administration > Device access.

W systemach produkcyjnych HTTPS i SSH nie powinny byc szeroko dozwolone z niezaufanych stref. Jesli dostep zewnetrzny jest potrzebny, nalezy uzyc Local service ACL exception rule i ograniczyc dostep do stalych adresow IP lub zdefiniowanych sieci administracyjnych. Alternatywnie Sophos Central Firewall Management czesto jest czystszym rozwiazaniem.

Wiecej informacji znajduje sie w artykule Zabezpieczanie dostepu do Sophos Firewall: poprawna konfiguracja Device Access.

Sprawdzenie DNS, DHCP i wewnetrznego rozwiazywania nazw

W Network > DNS okresla sie, skad Sophos Firewall otrzymuje serwery DNS: przez DHCP, informacje PPPoE od operatora albo ustawienia statyczne. Dla domen wewnetrznych nalezy uzywac DNS request routes, aby zapytania dla stref wewnetrznych trafialy do wlasciwego wewnetrznego serwera DNS.

DHCP konfiguruje sie per interfejs w Network > DHCP. Wazne jest, aby zakresy DHCP byly dobrze dopasowane do struktury interfejsow i VLAN-ow. Jesli DHCP ma byc przekazywany przez polaczenia VPN, firewall moze rowniez pracowac jako DHCP Relay. Dla domen wewnetrznych pomocny jest artykul Konfiguracja DNS request routes na Sophos Firewall. Specjalne opcje DHCP opisuje Konfiguracja Sophos Firewall DHCP Options.

Sprawdzenie pierwszych Firewall i NAT Rules

Domyslna regule outbound utworzona przez kreator nie powinno sie przejmowac bez sprawdzenia. W Rules and policies > Firewall rules nalezy zweryfikowac, ktore strefy zrodlowe sa dozwolone, jakie cele maja byc osiagalne i ktore funkcje bezpieczenstwa sa aktywne. Reguly sa przetwarzane od gory do dolu; wygrywa pierwsza pasujaca regula.

W przypadku NAT wazne jest: NAT sam z siebie nie zezwala na ruch. Zawsze potrzebna jest rowniez pasujaca Firewall Rule. W nowych konfiguracjach niezalezne NAT rules sa zazwyczaj czytelniejsze niz Linked NAT Rules. Podstawy opisano w artykulach Zrozumiec i poprawnie konfigurowac Sophos Firewall Rules oraz NAT na Sophos Firewall: SNAT, DNAT, MASQ, PAT. Jesli trzeba opublikowac serwer wewnetrzny, pasuje artykul Publikowanie serwera przez DNAT na Sophos Firewall.

Przygotowanie logowania i troubleshooting

W waznych Firewall Rules nalezy wlaczyc Log firewall traffic, w przeciwnym razie pozniej czesto brakuje dokladnie tych informacji, ktore sa potrzebne do analizy problemu. Wielu administratorow nie ma tego swiadomosci: jesli Firewall Rule nie loguje, pasujacy ruch nie pojawi sie sensownie w Log Viewer. Byc moze widoczne beda inne zdarzenia systemowe, ale nie konkretna decyzja reguly, ktorej wlasnie potrzeba.

W System services > Log settings mozna okreslic, ktore typy logow sa wysylane lokalnie, do serwerow syslog lub do Sophos Central. Firewall ma lokalne pliki logow i wewnetrzna baze raportowa, ale nie sa one przeznaczone jako dlugoterminowe archiwum na tygodnie, miesiace lub lata. Jesli logi maja byc trwale przechowywane lub centralnie przeszukiwane, potrzebny jest zewnetrzny serwer syslog albo Sophos Central Firewall Reporting.

Dla Sophos Central w uproszczeniu: przy aktywnej subskrypcji firewalla Central Firewall Reports sa dostepne przez ograniczony czas. Z Xstream Protection albo Central Orchestration mozliwe sa dluzsze analizy. Sophos Central Firewall Reporting Advanced daje dodatkowa przestrzen i znacznie dluzszy okres przechowywania. Szczegoly opisuje osobny artykul o raportowaniu.

Do pierwszej analizy zazwyczaj wystarczaja Log viewer, Policy tester i Packet capture. Do glebszej analizy mozna dodatkowo zbierac logi CLI, wlaczac debug logs albo uzyc tcpdump. Debug logs nalezy wlaczac tylko celowo i na ograniczony czas, poniewaz generuja znacznie wiecej danych. Testowanie regul opisuje Testowanie Firewall Rules z Log Viewer, Policy Test i Packet Capture. Dla Packet Capture, nazw uslug i plikow logow dostepne sa artykuly Uzycie Packet Capture w WebAdmin oraz Zrozumiec uslugi i pliki logow Sophos Firewall. Jesli logi maja trafic do Sophos Central lub zostac zebrane dla supportu, pomocne beda Wlaczenie Central Firewall Reporting oraz Zapis logow Sophos Firewall do analizy zewnetrznej.

Support

Po podstawowej konfiguracji Sophos Firewall dziala i jest gotowa do uzycia. Trzeba jednak pamietac, ze w tym stanie firewall nie jest jeszcze w pelni bezpieczny. Wlasciwa praca zaczyna sie teraz: konfiguracja interfejsow, stref, Firewall Rules, Intrusion Prevention Systems (IPS), polityk i wielu innych elementow jest niezbedna, aby uzyskac bezpieczne i solidne rozwiazanie ochrony sieci.

Naszym dlugoterminowym planem jest przygotowanie szczegolowych filmow do kazdego z tych krokow, aby ulatwic konfiguracje i zapewnic mozliwie najlepsze bezpieczenstwo. Do tego czasu nasz zespol wsparcia chetnie pomoze przy uruchomieniu, optymalizacji lub migracji Sophos Firewall.