Przejdz do tresci
Avanet

Połączenie SSH z Sophos Firewall

Sophos Firewall

Wiele zadań wsparcia i diagnostyki wymaga dostępu SSH do Sophos Firewall. Dotyczy to na przykład analizy logów, restartu usług, specjalnych poleceń diagnostycznych lub pracy w Advanced Shell.

Ta instrukcja pokazuje, jak przygotować dostęp SSH, połączyć się z firewallem i otworzyć potrzebną konsolę.

Wymagania

Do połączenia SSH z Sophos Firewall potrzebne są:

  • Dostęp administracyjny do Sophos Firewall
  • Adres IP lub nazwa DNS firewalla
  • Dostęp do użytkownika admin
  • Na macOS lub Linux: wbudowana aplikacja Terminal z SSH
  • Na Windows: Windows Terminal z OpenSSH lub PuTTY
  • Dozwolony dostęp SSH w Administration > Device access

⚠️ SSH powinno być dozwolone tylko z zaufanych sieci. W środowiskach produkcyjnych lepiej ograniczyć dostęp do adresu IP zarządzania lub sieci administratorów, zamiast udostępniać SSH szeroko.

Zezwolenie na SSH na firewallu

Aby połączenie działało, Sophos Firewall musi zezwalać na SSH w odpowiedniej strefie lub przez Local Service ACL Exception Rule.

  1. Zalogować się do Web Admin Sophos Firewall.
  2. Otworzyć Administration.
  3. Wybrać Device access.
  4. Sprawdzić, czy SSH jest dozwolone dla wymaganej strefy.

Dla wewnętrznych sieci administracyjnych SSH można włączyć bezpośrednio dla odpowiedniej strefy, na przykład LAN. Jeśli dostęp ma być dokładniej ograniczony, warto użyć Local service ACL exception rule.

Dla wyjątku ACL wartości powinny być możliwie precyzyjne:

  • Source zone: strefa, z której odbywa się administracja
  • Source Network / Host: adres IP admina lub sieć zarządzania
  • Services: SSH
  • Action: Accept
Sophos Firewall Local Service ACL Exception Rule dla dostępu SSH
Przykład Local Service ACL Exception Rule, która pozwala na SSH tylko ze zdefiniowanego obiektu źródłowego.

SSH nie powinno być dostępne z Internetu bez ścisłych ograniczeń. Jeśli potrzebny jest dostęp zewnętrzny, należy ograniczyć go do konkretnego adresu źródłowego, VPN lub dedykowanego dostępu wsparcia.

Dodanie klucza publicznego dla admin

Dla dostępu SSH preferowaną metodą jest uwierzytelnianie kluczem publicznym. W Sophos Firewall klucz publiczny można dodać dla użytkownika admin w Administration > Device access.

⚠️ Logowanie SSH do Sophos Firewall jest możliwe tylko użytkownikiem admin. Inni użytkownicy WebAdmin nie mogą logować się przez SSH.

Klucz publiczny dodaje się w Public key authentication for admin:

  1. Otworzyć Administration.
  2. Wybrać Device access.
  3. Przewinąć do Public key authentication for admin.
  4. Włączyć Enable authentication.
  5. Dodać klucz publiczny w Authorized keys.
  6. Zapisać przyciskiem Apply.
Sophos Firewall Public Key Authentication dla użytkownika admin
Zalecana metoda: włączenie Public Key Authentication dla dostępu SSH użytkownikiem admin.

Klucz prywatny pozostaje zawsze na komputerze administratora i nie powinien być udostępniany. Na firewallu zapisuje się tylko klucz publiczny.

Połączenie z macOS lub Linux

Na macOS i Linux klient SSH jest zwykle dostępny domyślnie. Połączenie wykonuje się w Terminalu.

Przykład:

ssh admin@192.0.2.1

192.0.2.1 należy zastąpić adresem IP lub nazwą DNS Sophos Firewall.

Przy pierwszym połączeniu klient SSH zapyta, czy zaakceptować fingerprint systemu docelowego. Fingerprint należy sprawdzić i dopiero potem potwierdzić.

W zależności od konfiguracji wymagane będzie hasło użytkownika admin albo logowanie przez skonfigurowany klucz SSH.

Połączenie przez PuTTY

Na Windows można użyć Windows Terminal z OpenSSH albo PuTTY.

W PuTTY:

  1. Otworzyć PuTTY.
  2. Wpisać adres IP lub nazwę DNS Sophos Firewall w Host Name.
  3. Ustawić Port na 22.
  4. Ustawić Connection type na SSH.
  5. Połączyć przez Open.
  6. Sprawdzić i zaakceptować fingerprint SSH.
  7. Zalogować się jako admin i użyć hasła lub klucza SSH zgodnie z konfiguracją.

Po zalogowaniu pojawi się menu konsoli Sophos Firewall.

Otwarcie Device Console lub Advanced Shell

Po udanym logowaniu SSH firewall pokazuje menu konsoli. Wybór opcji zależy od zadania.

Dla wielu poleceń SFOS używa się:

4. Device Console

Dla głębszych zadań Linux lub systemu plików otwiera się Advanced Shell:

5. Device Management > Advanced Shell

Advanced Shell daje bardzo szeroki dostęp do systemu. Polecenia należy wykonywać tylko wtedy, gdy ich efekt jest jasny.

Zakończenie połączenia

Po zakończeniu pracy należy zamknąć sesję SSH:

exit

Jeśli sesja znajduje się w podmenu, może być konieczny powrót do menu głównego.

Częste problemy

Połączenie odrzucone

Jeśli połączenie jest odrzucane, SSH zwykle nie jest dozwolone na firewallu dla wybranej strefy lub źródła. Sprawdzić Administration > Device access.

Timeout połączenia

Timeout często oznacza, że firewall nie jest osiągalny przez wybrany adres IP, brakuje trasy lub upstream firewall blokuje dostęp.

Logowanie nie działa

Jeśli logowanie się nie udaje, sprawdzić użytkownika admin, hasło lub klucz SSH oraz dozwolone sieci źródłowe.