Przejdz do tresci
Avanet

Reguła Sophos Firewall nie działa: sprawdzanie przyczyn

Sophos Firewall

Gdy firewall rule nie matchuje, firewall rzadko jest “zepsuty”. Najczęściej nie pasuje jeden warunek, nad nią znajduje się bardziej ogólna reguła, NAT zmienia widok ruchu, User Matching nie jest spełniony albo logging nie został poprawnie włączony.

Ta lista kontrolna pomaga działać systematycznie zamiast losowo zmieniać reguły.

Pierwsza zasada: wygrywa pierwsza pasująca reguła

Sophos Firewall przetwarza firewall rules od góry do dołu. Gdy tylko reguła matchuje, kolejne reguły nie są już sprawdzane. Ta sama zasada dotyczy także NAT rules.

Ważne:

  • Pozycja na liście decyduje o ocenie.
  • Rule ID jest tylko referencją i nie mówi nic o aktualnej kolejności.
  • Rule groups pomagają w organizacji, ale nie są osobną logiką matchowania.
  • Ogólna reguła wyżej może całkowicie “połknąć” bardziej szczegółową regułę poniżej.

Jeśli reguła nie matchuje, najpierw sprawdza się jej pozycję.

Sophos Firewall firewall rules z zaznaczoną kolejnością reguł
Pozycja na liście firewall rules decyduje o ocenie. Wygrywa pierwsza pasująca reguła, a nie najniższe Rule ID.

Zresetować licznik reguły

Przy niejasnych trafieniach pomaga reset licznika reguły.

  1. Otworzyć Rules and policies > Firewall rules.
  2. Znaleźć daną regułę.
  3. Otworzyć menu z trzema kropkami.
  4. Wybrać Reset data transfer count.
  5. Odtworzyć ruch.
  6. Sprawdzić, czy licznik rośnie.
Menu trzech kropek Sophos Firewall z Reset data transfer count
Reset data transfer count zeruje licznik reguły. Potem łatwiej zobaczyć, czy nowy ruch testowy naprawdę trafia w tę regułę.

Jeśli licznik nie rośnie, reguła nie matchuje. Jeśli rośnie, ale aplikacja nadal nie działa, problem jest raczej w Security Profiles, NAT, routingu, drodze powrotnej albo systemie docelowym.

Sprawdzić pola matchowania

Firewall rule matchuje tylko wtedy, gdy wszystkie istotne kryteria pasują.

PoleTypowe błędy
Source zonesZła strefa, VLAN w innej strefie, ruch VPN przychodzi z VPN
Source networks and devicesZły obiekt, zły IP, niepełna host group
Destination zonesZła strefa docelowa, szczególnie przy DNAT lub VPN
Destination networksPomylenie widoku przed NAT i po NAT
ServicesBrak portu, pomylone TCP/UDP, aplikacja używa dodatkowych portów
Users or groupsUżytkownik nie jest uwierzytelniony albo jest w złej grupie
ScheduleSchedule aktualnie nie pasuje
ExclusionsRuch jest wykluczony z reguły i przetwarzany niżej
Reguła Sophos Firewall z Source, Destination and services
Firewall rule matchuje tylko wtedy, gdy Source zone, Source networks and devices, Destination zones, Destination networks, Services i Schedule pasują jednocześnie.

Dla ruchu webowego trzeba dodatkowo sprawdzić, czy aktywny jest QUIC. Jeśli przeglądarka wysyła ruch przez UDP 443, niektóre oczekiwania dotyczące web filtering i scanning działają inaczej niż przy klasycznym HTTPS przez TCP.

Więcej: Sophos Firewall i protokół QUIC.

Poprawnie czytać DNAT

Przy DNAT widok w firewall rules jest szczególnie ważny. Reguła praktyczna:

Firewall rules dla ruchu DNAT używają strefy docelowej po NAT, ale docelowego IP sprzed NAT.

Przykład:

  • Zewnętrzny klient łączy się z WAN IP firewalla.
  • NAT tłumaczy na wewnętrzny serwer w DMZ.
  • Firewall rule używa jako Destination zone strefy wewnętrznego serwera, na przykład DMZ.
  • Destination network pozostaje publicznym IP albo obiektem WAN, do którego łączył się klient.

Jeśli ta kombinacja jest błędna, NAT rule może wyglądać poprawnie, ale firewall rule nadal nie matchuje.

Więcej: Publikacja serwera przez DNAT na Sophos Firewall.

Sprawdzić NAT rules

NAT nie zezwala na ruch. NAT tylko tłumaczy. Zawsze potrzebna jest też pasująca firewall rule.

W Rules and policies > NAT rules sprawdza się:

  • Czy właściwa NAT rule znajduje się nad bardziej ogólnymi NAT rules?
  • Czy reguła jest aktywna?
  • Czy Original source, destination i service pasują?
  • Czy Translated source, destination i service pasują?
  • Czy używany jest MASQ albo stały SNAT-IP?
  • Czy nieoczekiwanie matchuje Linked NAT Rule?
  • Czy ogólna reguła SNAT nie matchuje przed bardziej szczegółową?

Dla prostych środowisk Sophos zwykle zaleca samodzielne NAT rules zamiast tworzenia Linked NAT Rule dla każdej firewall rule.

Więcej: NAT w Sophos Firewall: SNAT, DNAT, MASQ, PAT.

Sprawdzić routing i SD-WAN

Jeśli reguła matchuje, ale połączenie nie działa, problemem może być routing.

Sprawdza się:

  • Czy istnieje odpowiednia default route?
  • Czy istnieje trasa statyczna?
  • Czy działa SD-WAN route?
  • Czy gateway jest aktywny?
  • Czy są trasy powrotne na systemie docelowym albo w sieci zdalnej?
  • Czy droga powrotna jest symetryczna?
  • Czy ruch idzie przez VPN, MPLS albo inny interfejs niż oczekiwano?

Ważne: Policy tester nie odwzorowuje w pełni SD-WAN routing. Jest bardzo pomocny przy decyzjach firewall, SSL/TLS i web policy, ale nie zastępuje prawdziwego testu przepływu pakietów.

Więcej: Dostosowanie priorytetu routingu w Sophos Firewall.

Włączyć logging

Bez logów troubleshooting staje się trudny. Sprawdza się dwa miejsca:

  1. W firewall rule musi być aktywne Log firewall traffic.
  2. W System services > Log settings właściwy typ logu musi być aktywny lokalnie, dla Sophos Central albo syslog.

Log viewer zwykle pokazuje sesje firewall, gdy firewall kończy połączenie i otrzymuje zdarzenie Destroy. Jeśli połączenie internetowe po prostu zrywa się, nie każda sesja musi pojawić się zgodnie z oczekiwaniami.

Log Viewer otwiera się w prawym górnym rogu konsoli WebAdmin. Przydatne filtry:

  • Source IP
  • Destination IP
  • Port albo service
  • Rule ID
  • Rule name
  • Action
  • User
  • NAT rule ID
Sophos Firewall Log Viewer z Firewall rule ID i NAT rule ID
W Log Viewer widać, która Firewall Rule ID i NAT Rule ID przetworzyły ruch. To często szybsze niż szukanie tylko po nazwie reguły albo adresie IP.

Więcej: Usługi i logi Sophos Firewall.

Użyć Packet Capture

Jeśli Log Viewer i liczniki reguł nie wystarczą, używa się Diagnostics > Packet capture.

Najważniejsze pytanie:

Sophos Firewall Packet Capture z filtrem BPF, NAT ID i Rule ID
Packet Capture pokazuje, czy pakiety docierają, przez który interfejs przechodzą oraz jaka NAT ID albo Rule ID jest widoczna. Filtr BPF utrzymuje wynik krótki i czytelny.
ObserwacjaZnaczenie
Żaden pakiet nie docieraProblem przed firewallem: klient, switch, VLAN, gateway, provider, Cloud Security Group
Pakiet wchodzi, ale nie wychodziSprawdzić firewall rule, NAT, routing albo security feature
Pakiet wychodzi, ale nie wraca odpowiedźSprawdzić trasę powrotną, system docelowy, NAT albo blokadę zewnętrzną
Pakiet pokazuje ViolationBlokuje policy albo security feature
Pakiet pokazuje NAT ID i Rule IDDokładnie porównać trafienia reguły i NAT

Więcej: Packet Capture w WebAdmin.

Sprawdzić security features pojedynczo

Jeśli reguła matchuje, ale aplikacja nie działa, może ingerować profil ochronny:

  • Web Policy
  • SSL/TLS inspection rule
  • Decryption Profile
  • IPS Policy
  • Application Control
  • Malware Scan
  • Zero-day protection
  • Security Heartbeat
  • Traffic Shaping

Do testów nie powinno się trwale wyłączać wszystkiego. Lepiej krótko i precyzyjnie sprawdzić, obserwować Log Viewer, a następnie poprawnie usunąć przyczynę. Przy TLS Inspection pomaga artykuł Wdrażanie TLS Inspection na Sophos Firewall krok po kroku.

Częste przyczyny

ObjawPrawdopodobna przyczyna
Licznik reguły zostaje 0Zła pozycja reguły, Source zone, Destination zone albo Service
Log pokazuje inną regułęBardziej ogólna reguła jest wyżej
Brak widocznego loguLogging nieaktywny albo ruch nie dociera do firewalla
DNS działa, web nieSprawdzić Service, Web Policy, TLS Inspection albo QUIC
HTTPS nie jest skanowanyBrak pasującej SSL/TLS inspection rule albo CA nie została wdrożona
DNAT nie działaFirewall rule używa złej Destination zone albo Destination network
Ruch VPN nie matchujeSprawdzić strefę VPN, route, tunnelinterface albo kontekst XFRM
Dotyczy tylko niektórych użytkownikówSprawdzić User Matching, grupę, SSO, Captive Portal albo Heartbeat

Praktyczny przebieg

  1. Zanotować problem z Source IP, destination, portem, userem i godziną.
  2. Sprawdzić pozycję reguły.
  3. Zresetować licznik reguły.
  4. Odtworzyć test.
  5. Filtrować Log Viewer po Source IP i Destination IP.
  6. Sprawdzić NAT rule i routing.
  7. Uruchomić Packet Capture z wąskim filtrem.
  8. Sprawdzić Security Profiles tylko celowo.
  9. Udokumentować zmianę.

Połączony przebieg testów: Test firewall rule z Log Viewer, Policy Test i Packet Capture.

Więcej informacji