Sophos Firewall Konfiguracja stref i interfejsów
Strefy i interfejsy należą do najważniejszych elementów Sophos Firewall. Jeśli je dokładnie zaplanujesz, znacznie ułatwisz późniejsze reguły zapory sieciowej, NAT, VPN, ochronę sieci i rozwiązywanie problemów. Jeśli zbyt szybko je połączysz, często tworzysz środowisko, w którym zasady stają się niejasne lub usługi zarządzania są dostępne w niewłaściwych miejscach.
Strefa to logiczna grupa zabezpieczeń. Interfejs to połączenie fizyczne lub wirtualne, na przykład Port1, VLAN, most, LAG, alias, interfejs RED lub interfejs XFRM dla VPN opartego na trasach. Każdy interfejs jest przypisany do dokładnie jednej strefy. Reguły zapory będą później w dużym stopniu współpracować z tymi strefami, dlatego strukturę strefy należy zaplanować nie tylko pod względem technicznym, ale także pod kątem bezpieczeństwa.
Który artykuł dotyczący projektowania sieci pasuje?
Strefy i interfejsy są często punktem wyjścia, ale nie zawsze rzeczywistym celem konfiguracji. W zależności od zadania lepiej pasuje bardziej szczegółowy artykuł:
- Zasadniczo planuj strefy, interfejsy, sieci VLAN, mosty, LAG lub RED: Ten artykuł.
- Skonfiguruj interfejs VLAN z interfejsem nadrzędnym, DHCP, Device Access i regułami: Sophos Firewall Skonfiguruj i przetestuj sieć VLAN.
- Utwórz i zrozum reguły zapory sieciowej pomiędzy strefami: Zrozum i poprawnie skonfiguruj reguły Sophos Firewall.
- Sprawdź zachowanie mostu VLAN zgodnie z SFOS 22: Sophos Firewall Użyj mostu ze znacznikiem VLAN.
- Bezpieczne usługi zarządzania, takie jak WebAdmin, SSH, User Portal lub DNS: Sophos Firewall Bezpieczny dostęp: Skonfiguruj poprawnie Device Access.
- Klasyfikuj NAT, SNAT, DNAT lub MASQ za pomocą interfejsów i stref: Zrozumienie NAT na Sophos Firewall: SNAT, DNAT, MASQ, PAT.
- Opublikuj serwer wewnętrzny w sieci WAN lub DMZ: Publikuj serwer poprzez DNAT do Sophos Firewall.
- Kontrola DNS dla domen wewnętrznych lub stref AD: Skonfiguruj trasy żądań DNS do Sophos Firewall.
- Ustaw opcje DHCP dla klientów VoIP, PXE lub specjalnych: Skonfiguruj opcje DHCP na Sophos Firewall.
- Zaplanuj VPN typu site-to-site z interfejsami tunelowymi: Sophos Firewall Skonfiguruj VPN IPsec typu lokacja-lokacja.
- Ruch nie przechodzi przez oczekiwaną strefę lub regułę: Sophos Firewall Zasada nie ma zastosowania: Sprawdź przyczyny.To oddzielenie zapobiega typowym błędom projektowym. Strefa nie zastępuje reguły zapory sieciowej, sieć VLAN nie zastępuje koncepcji bezpieczeństwa, a Device Access to nie to samo, co normalny ruch między dwiema sieciami. Po pierwsze, powinno być jasne, jakie obszary bezpieczeństwa istnieją. Następnie budowane są odpowiednio interfejsy, sieci VLAN, reguły, NAT, DNS i dostęp do zarządzania.
Dlaczego strefy są ważne
Strefy w Sophos Firewall to coś więcej niż tylko wizualne grupowanie. Definiuje to obszary bezpieczeństwa, które są wykorzystywane w kilku miejscach:
- Reguły zapory działają ze strefą źródłową i strefą docelową.
- Device Access kontroluje, które lokalne usługi zapory sieciowej są dostępne w każdej strefie.
- NAT, SD-WAN, VPN, ochrona sieci i dzienniki są łatwiejsze do zrozumienia dzięki czystym strefom.
- Rozwiązywanie problemów staje się prostsze, ponieważ od razu widać, z jakiego obszaru bezpieczeństwa pochodzi paczka i dokąd ma dotrzeć.Dobry podział na strefy nie zapobiega automatycznie każdemu błędowi, ale wymusza jasne granice. Sieć kliencka, sieć serwerów, gościnna sieć Wi-Fi i strefa DMZ nie powinny być traktowane po prostu jako „LAN”, jeśli wiążą się z różnymi zagrożeniami i zasadami. W przeciwnym razie później pojawią się duże reguły zezwalające, niejasne wyjątki i niepotrzebnie otwarty dostęp do zarządzania.
Dobre strefy zawsze odpowiadają na pytanie: Które sieci mają ten sam poziom zaufania i można je traktować podobnie? Jeśli dwie sieci wymagają różnych praw dostępu, wymagań dotyczących rejestrowania lub dostępu do zarządzania, oddzielna strefa lub przynajmniej bardzo świadoma koncepcja reguł ma sens.
Ważne jest rozróżnienie między strefą a obiektem sieciowym. Strefa opisuje, przez który obszar bezpieczeństwa pakiet wchodzi do firewalla albo dokąd ma trafić. Obiekt sieciowy opisuje konkretną źródłową albo docelową adresację IP. Reguła jest czysta dopiero wtedy, gdy zgadza się jedno i drugie: Source zone nie może być tylko ogólnym LAN, podczas gdy Source networks and devices pozostaje ustawione na Any. Z drugiej strony poprawny obiekt sieciowy niewiele pomaga, jeśli ruch wchodzi przez inną strefę niż oczekiwano.
Poznaj standardowe strefy
Sophos Firewall posiada kilka standardowych stref:
LAN: Sieci wewnętrzne, klienci, serwery i sieci zarządzające.WAN: Internetowe łącza nadrzędne, routery dostawców, PPPoE, DHCP lub statyczne adresy WAN.DMZ: Publicznie dostępne serwery, odwrotne proxy i izolowane usługi.WiFi: Sieci Wi-Fi, Sophos Access Points i segmenty bezprzewodowe.VPN: Remote Access VPN, VPN typu site-to-site i inne konteksty tunelowe.
Standardowe strefy znajdziesz pod Network > Zones. Strefy niestandardowe można utworzyć jako typ LAN lub DMZ. Dodatkowych stref WAN lub VPN nie można po prostu swobodnie utworzyć, ponieważ tego typu strefy mają specjalne funkcje w zaporze ogniowej.
Ważne: Strefa nie jest automatycznym zezwoleniem. W zależności od kierunku i scenariusza wymagane są również odpowiednie reguły zapory sieciowej pomiędzy dwoma interfejsami w tej samej strefie. Ruch pomiędzy dwoma interfejsami stref LAN nie jest automatycznie dozwolony, ale wymaga odpowiedniej reguły LAN-to-LAN.
Sophos Firewall obsługuje własne strefy, ale nie jako nieograniczony zamiennik czystych reguł. Oficjalny limit wynosi maksymalnie 100 stref. W praktyce nie należy wykorzystywać tego limitu do końca. Jeśli prawie każda VLAN otrzymuje własną strefę, mimo że wiele z nich potrzebuje identycznych reguł i tego samego Device Access, zestaw reguł często staje się trudniejszy w utrzymaniu, a nie bezpieczniejszy.
Zaplanuj strefy przed utworzeniemPrzed konfiguracją należy zwrócić uwagę, które sieci mają różne wymagania dotyczące bezpieczeństwa. Typowe przykłady:
- LAN w miejscu pracy
- Sieć serwerów
- Sieć zarządzania
- strefa zdemilitaryzowana
- WiFi dla gości
- VoIP
- Kamera lub sieć IoT
- Sieć produkcyjna
- Klienci VPN
- MPLS lub połączenia lokalizacyjne
Oddzielna strefa ma sens, jeśli sieć potrzebuje własnych reguł, własnego Device Access lub innego poziomu zaufania. Jednak w tej samej strefie może znajdować się kilka sieci VLAN, jeśli mają być traktowane jednakowo. Zbyt wiele stref nie zwiększa automatycznie bezpieczeństwa konfiguracji. Strefy są pomocne tylko wtedy, gdy stoją za nimi jasne zasady.
W wielu małych i średnich środowiskach ta podstawowa struktura jest dobrym początkiem:
LANlubClient: normalni klienci stacji roboczej.Server: serwery wewnętrzne, NAS, serwery aplikacji i kontrolery domen.Management: Komputery administracyjne, monitorowanie, tworzenie kopii zapasowych, zarządzanie przełącznikami i zaporami sieciowymi.GuestlubWiFi: Sieci WiFi dla gości lub BYOD z ograniczonym dostępem.DMZ: Systemy, które muszą być dostępne z Internetu lub z wielu sieci.WAN: Połączenia z Internetem i dostawcami.VPN: Remote Access VPN lub konteksty VPN typu lokacja-lokacja.
Nie każda sieć VLAN automatycznie potrzebuje własnej strefy. Jeśli wiele klienckich sieci VLAN ma dokładnie te same reguły zapory sieciowej, zasady sieciowe i Device Access, mogą pozostać we wspólnej strefie klienta. Jeżeli jednak jedna sieć VLAN może łączyć się z serwerami, inna może mieć jedynie dostęp do Internetu, a trzecia w ogóle nie powinna mieć dostępu do lokalnych usług firewalla, separację należy modelować świadomie.
Dobry wzór to:
- Inny poziom zaufania: Sprawdź swoją strefę.
- Własny dostęp do zarządzania zaporą sieciową: sprawdź własną strefę lub własną regułę ACL.
- Inne logowanie lub inne funkcje zabezpieczające: przydać się może własna strefa.
- Tylko inny zakres adresów IP, ale ta sama polityka bezpieczeństwa: wystarczy koncepcja wspólnej strefy.
Przekształć model strefy w macierz dostępu
Po zaplanowaniu strefy należy na krótko określić, która strefa może komunikować się z inną strefą. Ta matryca dostępu jest często bardziej pomocna niż natychmiastowe tworzenie reguł w WebAdmin, ponieważ uwidacznia sprzeczności.
Prosty przykład:
ClientdoWAN: Dozwolone dla sieci Web, DNS, NTP i wymaganych aplikacji.ClientdoServer: Tylko zdefiniowane porty aplikacji, a nieAny.GuestdoWAN: Dozwolone, głównie z polityką sieciową i logowaniem.GuestdoServer: Normalnie zablokowane.IoTdoServer: Tylko do ściśle zdefiniowanych usług, np. MQTT, DNS czy NTP.ManagementdoLAN,Server,DMZ: Dostęp administracyjny, szczelny i zalogowany.DMZdoLAN: Domyślnie blokowane, zezwalaj tylko na jawne połączenia zwrotne.VPNdoServer: Wymagane tylko wewnętrzne cele i usługi.
Matryca nie musi być duża. Ważne jest, aby każdy dozwolony kierunek miał swój cel. Jeśli wpisu nie da się wyjaśnić, nie powinien on stanowić ogólnej reguły zapory sieciowej.
Dla każdej linii należy również zwrócić uwagę na:
- wymagane usługi i porty
- czy konieczne jest dopasowanie użytkownika lub grupy
- czy NAT jest zaangażowany
- czy logowanie powinno pozostać stale aktywne
- jakie funkcje zabezpieczeń są odpowiednie, np. IPS, Web Policy lub Application Control
- kto jest technicznie odpowiedzialny za dostęp
Na podstawie tej macierzy tworzone są następnie rzeczywiste reguły zapory sieciowej. Szczegółowe opcje i typowe błędy dotyczące kolejności reguł, źródła, miejsca docelowego, NAT i rejestrowania opisano w Zrozum i poprawnie skonfiguruj reguły Sophos Firewall.
Kontrola planowania przed zmianami
Przed utworzeniem, przeniesieniem lub usunięciem stref lub interfejsów należy wyjaśnić zależności na piśmie. Wiele późniejszych błędów nie jest spowodowanych samym adresem IP, ale zapomnianymi regułami zapory sieciowej, regułami NAT, serwerami DHCP, Device Access lub decyzjami dotyczącymi routingu.
Dla każdej nowej strefy lub interfejsu należy odpowiedzieć przynajmniej na następujące pytania:
- Poziom zaufania sieci: Od tego zależą strefa, reguły zapory sieciowej i Device Access.
- Użytkownicy i systemy w sieci: Klienci, serwery, goście, IoT, VoIP i zarządzanie potrzebują różnych zasad.
- Brama domyślna: Zapora sieciowa jest często bramą dla sieci VLAN, ale czasami nie jest bramą dla migracji.
- Źródło DHCP: Sophos Firewall, wewnętrzny serwer DHCP lub przekaźnik DHCP muszą być celowo zaplanowane.
- Serwer DNS: DNS wpływa na filtrowanie sieci, rozpoznawanie nazw i rozwiązywanie problemów.
- Lokalne usługi firewall: Device Access dla DNS, Ping, HTTPS, SSH lub portali muszą być zgodne.
- Reguły i ścieżki NAT: Bez odpowiedniej zapory sieciowej i reguł NAT interfejs jest dostępny tylko technicznie.
- Przebieg testu: Klient testowy, cel testowy i oczekiwany wpis w dzienniku oszczędzają dużo czasu wyszukiwania.
Aktualna kopia zapasowa powinna być również dostępna na potrzeby produktywnych zmian. Jeśli interfejsy są już używane, przed zmianą nazwy, powiązania strefy, adresu IP lub typu interfejsu obowiązkowe jest Użycie obiektu.
Utwórz nową strefę
Otwórz Network > Zones i kliknij Dodaj.

- Nadaj krótką, unikalną nazwę, np.
Server,Guest,ManagementlubMPLS. - Jako typ wybierz
LANlubDMZ. - W Device Access świadomie określ, które lokalne usługi firewall mogą być dostępne z tej strefy.
- Zapisz.
Po zapisaniu strefę należy sprawdzić bezpośrednio w dwóch miejscach: pod Network > Zones pod kątem nazwy, typu i Device Access oraz później w testowej regule firewalla jako wybieralną Source zone albo Destination zone. Jeśli strefa istnieje, ale nie ma w niej interfejsu, nie będzie przez nią jeszcze przechodził ruch produkcyjny.
LAN czy DMZ jako typ strefy?
Dla własnych stref zazwyczaj możesz wybierać pomiędzy LAN i DMZ na Sophos Firewall. Obydwa typy grupują interfejsy, dzięki czemu można ich później używać w czystych regułach, Device Access i politykach. Różnica polega przede wszystkim na idei bezpieczeństwa stojącej za strefą.
LAN jest używany w wewnętrznych, zasadniczo godnych zaufania sieciach. Należą do nich na przykład sieci klienckie, wewnętrzne sieci serwerów, sieci zarządzania, VoIP, drukarki lub wewnętrzne sieci VLAN. To samo dotyczy strefy LAN: ruch pomiędzy interfejsami nie jest automatycznie dozwolony. Jeśli dwie strefy LAN lub dwa interfejsy w obrębie strefy LAN mają ze sobą rozmawiać, wymagane są odpowiednie reguły zapory sieciowej.DMZ stosuje się w sieciach o podwyższonym ryzyku lub z wyraźną izolacją. Typowymi przykładami są publicznie dostępne serwery WWW, zwrotne serwery proxy, bramy pocztowe, hosty skokowe lub systemy, które muszą być dostępne z wielu obszarów bezpieczeństwa. Strefę DMZ należy zaplanować w taki sposób, aby zawierała tylko niezbędne połączenia wewnętrzne. Jeśli zaatakowany serwer znajduje się w strefie DMZ, nie powinno to automatycznie skutkować powszechnym dostępem do wewnętrznej sieci LAN.
Prosta zasada:
LAN: sieci wewnętrzne, które są ogólnie zaufane i komunikują się głównie na zewnątrz lub wewnętrznie.DMZ: odsłonięte lub szczególnie izolowane sieci, do których dostęp wewnętrzny powinien być ściśle ograniczony.
Interfejsy HA również należą do strefy DMZ. W przypadku normalnych sieci administracyjnych lub klienckich typ LAN jest zwykle bardziej odpowiedni.HTTPS może być przydatny w wewnętrznej sieci administracyjnej. W przypadku zwykłych sieci klienckich lub gościnnych należy unikać dostępu do zarządzania. Ping/ping6 jest często pomocny w rozwiązywaniu problemów, ale należy go aktywować świadomie. DNS jest potrzebny tylko wtedy, gdy klienci w tej strefie używają zapory ogniowej jako serwera DNS.
⚠️ Device Access to nie to samo, co reguła zapory sieciowej. Dostęp do lokalnych usług firewall, na przykład WebAdmin, SSH, User Portal, DNS lub Ping, jest kontrolowany przez Administration > Device access i lokalne wyjątki ACL.
Skonfiguruj interfejs
Interfejsy można znaleźć pod Network > Interfaces. Na przykład port fizyczny może działać jako sieć LAN, WAN lub DMZ. Tworzone są także wirtualne interfejsy takie jak VLAN, Bridge, LAG, RED czy XFRM.

Te punkty są szczególnie ważne w przypadku interfejsu fizycznego:
Name: nazwa opisowa dla późniejszych reguł i logów.Hardware: port fizyczny, np.Port1,Port2lubPortA.Network zone: Strefa bezpieczeństwa, w której znajduje się interfejs.IPv4 configuration: Statyczne, DHCP lub PPPoE.IPv6 configuration: Statyczny, DHCP lub delegowany, w zależności od środowiska.Gateway: dotyczy tylko interfejsów WAN.MTU/MSS: ważne dla PPPoE, VPN, SD-WAN i problemów z fragmentacją.
Konfigurację bramy otrzymują jedynie interfejsy w strefie WAN. Interfejsy wewnętrzne są zwykle adresowane statycznie. DHCP lub PPPoE mogą być przydatne w przypadku połączeń z dostawcami.
Jeśli dostawca udostępnia protokół IPv6 poprzez delegowanie prefiksów, należy osobno zaplanować ograniczenia i proces. Praktycznym artykułem na ten temat jest Skonfiguruj delegowanie prefiksu IPv6 do Sophos Firewall.
Znaczące nazwy są ważne. PortD niewiele mówi po sześciu miesiącach. Server VLAN, MPLS Provider, Guest WiFi lub Core Switch Trunk pomagają znacznie bardziej w operacjach.
Istniejący fizyczny interfejs edytuje się tak:
- Otworzyć Network > Interfaces.
- Przy wybranym porcie otworzyć menu i wybrać Edit interface.
- Sprawdzić Name, Network zone, konfigurację IP, gateway i MTU/MSS.
- Przy interfejsach WAN dodatkowo sprawdzić nazwę gateway i IP gateway.
- Zapisać, a następnie sprawdzić link status, gateway status i Log Viewer.
Przed zmianą interfejsu produkcyjnego należy otworzyć Object usage. Zmiany interfejsu mogą dotyczyć zone binding, DNS, gateways, SD-WAN routes, hostów opartych na interfejsie, interfejsów VLAN, Dynamic DNS, reguł firewalla i NAT. Przy usunięciu interfejsu wirtualnego Sophos może też usunąć konfiguracje zależne, takie jak reguły firewalla, odniesienia DHCP albo routing. Właśnie tam powstają nieprzyjemne awarie, jeśli w głowie była tylko nazwa portu.
Przed aktualizacjami firmware należy również upewnić się, że nazwy interfejsów, nazwy sprzętu i nazwy branch nie kończą się długim ciągiem liczb. Błąd wyświetlania WebAdmin jest udokumentowany w release notes SFOS, jeśli takie nazwy kończą się na dziesięć lub więcej cyfr, na przykład VLAN_1234567890. Sprawdź Sophos Firewall przed aktualizacją SFOS 22 nadaje się do planowania aktualizacji i konkretnych testów.
Utwórz interfejs VLAN
W przypadku skoncentrowanego procesu z interfejsem nadrzędnym, tagowaniem przełączników, DHCP, Device Access, regułami i testami zapory ogniowej odpowiedni jest Sophos Firewall Skonfiguruj i przetestuj sieć VLAN. W poniższej sekcji sklasyfikowano sieci VLAN w ramach większego modelu interfejsu i strefy.
Interfejs VLAN jest tworzony pod Network > Interfaces > Add interface > Add VLAN. Szczególnie ważny jest interfejs nadrzędny, strefa, identyfikator VLAN i konfiguracja IP.

Interfejs nadrzędny to port fizyczny lub grupa LAG, do której dociera oznaczona sieć VLAN. Jeśli przełącznik wysyła sieć VLAN na inny port, bez oznaczenia lub z nieprawidłowym identyfikatorem VLAN, zapora widzi interfejs VLAN, ale klienci nie mogą się z nim niezawodnie połączyć.W przypadku wewnętrznych sieci VLAN na zaporze zwykle używany jest statyczny adres IP, na przykład jako brama domyślna dla tej sieci VLAN. Strefa później decyduje, które reguły zapory sieciowej, zasady sieciowe i ustawienia Device Access mają zastosowanie. Właśnie dlatego podczas tworzenia sieci VLAN nie należy po prostu wprowadzać adresu IP, ale także bezpośrednio rozważyć, czy sieć VLAN wymaga Client, Server, Management, Guest, DMZ lub innej strefy.
Konkretny praktyczny przykład z profilami portów przełącznika, zachowaniem oznaczonym/nieoznaczonym, DHCP i sekwencją testową można znaleźć w Skonfiguruj VLAN na Sophos Firewall i UniFi Switch.
Na sprzęcie XGS Sophos nie podaje stałej twardej liczby interfejsów VLAN na interfejs fizyczny. Nie oznacza to jednak, że pojedynczy parent port jest zawsze najlepszą decyzją operacyjną. Dla wydajności, troubleshooting i utrzymania VLAN należy sensownie rozdzielać między porty fizyczne albo LAG, szczególnie przy wielu VLAN, dużym ruchu east-west albo projektach HA.
Czyste wdrożenie sieci VLAN
Sieć VLAN uważa się za kompletną tylko wtedy, gdy utworzono nie tylko interfejs, ale także przełącznik, protokół DHCP, DNS, reguły zapory sieciowej i rejestrowanie. Zwłaszcza w przypadku nowych sieci łatwo jest szukać w niewłaściwym miejscu: reguła zapory wygląda poprawnie, ale przełącznik wysyła nieoznaczone. Lub klient otrzymuje adres IP, ale Device Access nie pozwala na dostęp DNS do zapory.
Dla każdej nowej sieci VLAN należy sprawdzić następujące punkty:
- Interfejs zapory: Identyfikator VLAN, interfejs nadrzędny, strefa, adres IP i maska podsieci odpowiadają projektowi.
- Przełącz port: Łącze wysyłające do zapory sieciowej jest skonfigurowane jako łącze trunkingowe i ma oznaczoną sieć VLAN.
- Port dostępu lub SSID: Port klienta lub SSID sieci WLAN mapuje klientów do właściwej sieci VLAN.
- Brama: Adres IP zapory sieciowej w sieci VLAN jest oczekiwaną bramą domyślną lub routing jest inaczej udokumentowany.
- DHCP: Serwer DHCP, przekaźnik DHCP lub zewnętrzny serwer DHCP rozprowadza prawidłowy adres IP, bramę, DNS i dzierżawę.
- DNS: Klienci mogą rozpoznawać nazwy wewnętrzne i zewnętrzne zgodnie z planem.
- Device Access: Ze strefy dozwolone są tylko wymagane lokalne usługi zapory sieciowej, na przykład DNS lub Ping.
- Reguła zapory sieciowej: Strefa źródłowa, sieć źródłowa, strefa docelowa, usługi i rejestrowanie odpowiadają przebiegowi testu.
- NAT: Aktywny tylko wtedy, gdy ruch rzeczywiście wymaga tłumaczenia. W przypadku normalnego ruchu wewnętrznego NAT jest zwykle nieprawidłowy.
- Test: Log Viewer pokazuje oczekiwaną zaporę sieciową Rule ID; w razie potrzeby Packet Capture potwierdza przepływ pakietów.Do testu akceptacyjnego nie wystarczy, że klient otrzyma dowolny adres IP. Przydatny test składa się z kilku kroków: podłącz klienta przez DHCP, pinguj bramę, sprawdź DNS, przetestuj dozwolone połączenie wewnętrzne, sprawdź, czy zabroniony dostęp jest celowo blokowany, a następnie sprawdź dostęp do Internetu. W ten sposób możesz sprawdzić, czy sieć VLAN, strefa, Device Access, reguła zapory i NAT rzeczywiście pasują.
Jeśli jednocześnie tworzonych jest wiele sieci VLAN, należy użyć osobnego klienta testowego lub co najmniej jednego unikalnego testowego adresu IP dla każdej sieci VLAN. W przeciwnym razie Log Viewer i Packet Capture staną się niepotrzebnie mylące. Przetestuj regułę zapory sieciowej za pomocą Log Viewer, Policy Test i Packet Capture nadaje się do rzeczywistej kontroli przepływu pakietów.
Prawidłowo odczytaj stan interfejsu
Pod Network > Interfaces Sophos Firewall wyświetla komunikaty o stanie. Te komunikaty o stanie są bardzo pomocne przy rozwiązywaniu problemów, ponieważ można szybko sprawdzić, czy interfejs jest po prostu nieprawidłowo skonfigurowany, czy też rzeczywiście nie ma łącza.
Not configured: Interfejs nie jest przypisany do wejścia. Nie można go zatem używać w żaden znaczący sposób, dopóki strefa nie zostanie powiązana.Connected: Interfejs jest skonfigurowany i podłączony.Connecting: Trwa uzyskiwanie nowego adresu IP, na przykład przez DHCP.Disconnected: Adres IP został zwolniony.Disconnecting: Adres IP jest obecnie udostępniany.Unplugged: Brak fizycznego połączenia. W przypadku Wi-Fi może to również oznaczać, że żaden Access Point nie jest podłączony lub nie jest przypisana żadna sieć bezprzewodowa.Not available: Porty FleXi zostały skonfigurowane, ale nie ma już odpowiedniego modułu portu FleXi.
Jeśli interfejs nieoczekiwanie wyświetli komunikat Not configured lub Unplugged, nie należy najpierw szukać reguł zapory sieciowej. Najpierw sprawdź powiązanie strefy, łącze, SFP/transceiver, kabel, port przełącznika i, w przypadku DHCP/PPPoE, przypisanie adresu.
Klasyfikuj sieć VLAN, most, LAG, alias i RED
Sophos Firewall obsługuje różne typy interfejsów. Dla początkujących najważniejsze jest to, jaki typ ma sens.
- VLAN: Standard dla sieci segmentowanych na porcie trunk.
- Most: Przejrzyste połączenie wielu portów, często w przypadku prostych konfiguracji lub migracji.
- LAG: Łączenie wielu łączy fizycznych w celu zapewnienia redundancji lub przepustowości.
- Alias: dodatkowy adres IP w istniejącym interfejsie.
- RED: Remote Ethernet Device dla lokalizacji zewnętrznych.
- XFRM: Interfejs VPN IPsec oparty na trasach.
Interfejsy Alias są często niedoceniane. Są szczególnie przydatne, gdy provider dostarcza kilka publicznych adresów IP w tej samej podsieci. Kilka oddzielnych interfejsów WAN w tej samej podsieci powoduje na Sophos Firewall problemy ARP i może sprawić, że gateways będą nieosiągalne. W takich projektach alias na istniejącym interfejsie WAN albo dobrze zaplanowany LAG jest zwykle lepszym wyborem.
W przypadku nowych instalacji sieć VLAN na jasno określonym łączu nadrzędnym do przełącznika jest zwykle czystsza niż duży most łączący wiele portów. Most może być przydatny w przypadku migracji lub bardzo prostych konfiguracji, ponieważ wiele portów jest traktowanych jako wspólny segment warstwy 2. Ale to właśnie jest wada: granice bezpieczeństwa, domeny rozgłoszeniowe i źródła błędów stają się mniej widoczne.
Dlatego zalecamy mosty tylko specjalnie, a nie jako konstrukcję standardową. W praktyce mosty mają kilka wad:
- Wiele portów korzysta z tego samego segmentu warstwy 2, dzięki czemu transmisje i zakłócenia łatwiej wpływają na wiele urządzeń.
- Zasady zapory sieciowej stają się mniej jasne, ponieważ separacja nie jest już wyraźnie widoczna pomiędzy własnymi interfejsami, sieciami VLAN i strefami.
- Rozwiązywanie problemów staje się trudniejsze, ponieważ przepływ pakietów, uczenie się adresów MAC, problemy STP i konfigurację przełącznika należy rozpatrywać łącznie.
- Późniejsza segmentacja staje się bardziej złożona, jeśli z prostego mostu mają zostać utworzone oddzielne sieci klientów, serwerów, gości lub sieci zarządzające.
- Projekty HA, VLAN, DHCP lub dostępu do urządzeń szybko stają się zagmatwane, jeśli zbyt wiele funkcji działa przez most.
Mosty można tworzyć na Sophos Firewall za pośrednictwem interfejsów fizycznych, interfejsów RED, sieci VLAN lub LAG i obsługiwać z własnym adresem IP lub bez niego. Właśnie w tym miejscu często pojawiają się nieporozumienia:
- Bez adresu IP most działa w sposób przezroczysty, ale nie można go używać jak normalnego interfejsu routowanego.
- Jeżeli na moście wymagany jest routing, mostkowi należy przypisać adres IP.
- W przypadku ruchu pomiędzy elementami mostu nadal wymagane są odpowiednie reguły zapory sieciowej pomiędzy zaangażowanymi strefami, na przykład LAN do LAN.
- STP może być przydatny, jeśli istnieją nadmiarowe ścieżki i należy zapobiegać pętlom mostów. Przy aktywnym HA nie można jednak włączyć STP na interfejsach Bridge.
- Filtry VLAN i filtry EtherType mogą pomóc w ograniczeniu ruchu warstwy 2 przechodzącego przez most. Jeżeli filtr VLAN jest aktywny, ale nie wpisano żadnych dozwolonych VLAN, firewall odrzuca tagowany ruch wszystkich VLAN. Ruch nietagowany nie jest tym objęty.
- Ruch przez interfejsy mostu bez adresu IP może zostać porzucony, jeśli trafi na regułę zapory sieciowej z filtrowaniem serwera proxy sieci Web lub regułę NAT. Takie spadki nie są rejestrowane. W przypadku NAT należy zwrócić szczególną uwagę na tłumaczenie źródłowe lub zastąpić tłumaczenie źródłowe.
Ten ostatni punkt jest ważny: jeśli nagle nie widzisz żadnych kłód na moście, nawet jeśli wydaje się, że ruch nie działa, problem nie zawsze dotyczy Log Viewer. Może to być spowodowane trybem mostu, NAT lub filtrowaniem proxy.
Jeśli na przełączniku istnieją już sieci VLAN, zapora sieciowa powinna świadomie przyjąć te sieci VLAN jako własne interfejsy VLAN. Powoduje to wyraźniejsze strefy i czystsze reguły zapory sieciowej i jest zwykle łatwiejsze w utrzymaniu w dłuższej perspektywie.
SFOS 22: Sprawdź ruch na moście, SNAT i nawrotie
W przypadku SFOS 22 istnieje dodatkowy specjalny przypadek mostu, który jest szybko pomijany podczas migracji. Routing przez interfejs mostu może się nie powieść, jeśli do ruchu przez most zastosowano SNAT lub MASQUERADE, a źródło i miejsce docelowe są osiągalne za pośrednictwem tego samego fizycznego elementu mostu. W tym scenariuszu pakiety odpowiedzi mogą być upuszczane na mostek tak, aby spadek nie był wyraźnie widoczny w drppkt.
Nie jest to normalny problem z dopasowaniem reguł. Jeśli Log Viewer pokazuje niewiele, reguła wygląda poprawnie, a mimo to tylko niektóre połączenia przez most zawodzą, powinieneś razem sprawdzić NAT i topologię mostu:
- Czy SNAT lub MASQUERADE są naprawdę potrzebne w ruchu mostowym?
- Czy źródło i miejsce docelowe korzystają z tego samego fizycznego elementu mostu?
- Czy jest tylko jeden aktywnie używany element mostu?
- Czy projekt routowany lub dedykowany interfejs fizyczny byłby czystszy?
- Czy można przetestować ruch bez tłumaczenia źródła?
Istnieje również oddzielny przypadek SFOS 22 dla ruchu oznaczonego VLAN do samej zapory. Praktyczna procedura znajduje się w Sophos Firewall Sprawdź sieci VLAN mostu zgodnie z SFOS 22.
RED Bridge: Rozciągnij sieć na różne lokalizacje
Technicznie możliwe jest włączenie interfejsów RED do mostu i tym samym rozciągnięcie sieci warstwy 2 na wiele lokalizacji. Może to być pomocne w szczególnych przypadkach, na przykład gdy aplikacja musi pozostać w tej samej podsieci lub migracja powinna nastąpić bez natychmiastowej zmiany adresu IP.

Zalecamy ten projekt bardzo ostrożnie. Most przez RED rozszerza domenę warstwy 2 nad tunelem. Powoduje to, że rozgłoszenia, ARP, nieznane pakiety emisji pojedynczej i inne efekty warstwy 2 będą przesyłane przez sieć WAN lub połączenie internetowe. Może to pogorszyć wydajność i sprawić, że błędy będą trudniejsze do zrozumienia. Jeśli tunel RED jest niestabilny, będzie to miało również bezpośredni wpływ na rozciągniętą sieć.
W większości przypadków lepszy jest projekt routowany: każda lokalizacja ma swoje własne podsieci, trasy zapory między sieciami i reguły zapory szczegółowo definiują, co jest dozwolone. Jest to czystsze, bardziej skalowalne i znacznie wygodniejsze podczas rozwiązywania problemów.
LAG: Zaplanuj prawidłowo redundancję i przepustowość
Grupa agregacji łączy (LAG) łączy kilka portów fizycznych w interfejs logiczny. Ma to sens, jeśli potrzebujesz redundancji głównego przełącznika lub chcesz zapewnić większą przepustowość między zaporą ogniową a przełącznikiem. Ale LGD nie zastępuje czystego podziału na strefy. W końcu interfejs LAG to nadal tylko interfejs, na którym można np. obsługiwać sieci VLAN czy przydzielać strefę.

Sophos Firewall obsługuje głównie dwa typowe tryby pracy:
Active-Backup: Jedno łącze jest aktywne, w przypadku awarii drugie przejmuje jego funkcję. Jest to proste i dobre w przypadku redundancji.LACP (802.3ad): Można używać wielu łączy równolegle. Wymaga to LACP po obu stronach, tj. na zaporze i przełączniku.
Ważne: LACP działa poprawnie tylko wtedy, gdy druga strona jest poprawnie skonfigurowana. Na przełączniku porty muszą należeć do tej samej grupy LAG, używać tej samej szybkości i trybu dupleksu oraz odpowiadać konfiguracji zapory. Jeśli utworzysz tylko grupę LAG na zaporze, ale nie skonfigurujesz odpowiednio przełącznika, często pojawiają się trudne do zrozumienia utraty pakietów lub problemy z asymetrycznym połączeniem.
W przypadku LGD obowiązują pewne ograniczenia praktyczne:
- LAG w Sophos Firewall składa się z dwóch do czterech interfejsów fizycznych. — Jako elementy członkowskie nadają się tylko niezwiązane interfejsy fizyczne o konfiguracji statycznej.
- Interfejsy PPPoE, komórkowe WAN i WLAN nie mogą być używane jako członkowie LAG.
- W przypadku
LACP (802.3ad)porty członkowskie muszą być tego samego typu i szybkości. xmit-hash-policyokreśla sposób dystrybucji sesji pomiędzy łączami. Pojedyncza sesja TCP zwykle nie staje się nagle szybsza, ponieważ zwykle pozostaje na łączu.
W małych środowiskach często wystarcza jeden czysty port trunk. LAG jest szczególnie opłacalne, jeśli główny przełącznik ma być podłączony redundantnie, jeśli wiele sieci VLAN działa na tym samym łączu nadrzędnym lub jeśli zapora sieciowa naprawdę potrzebuje większej przepustowości dla przełącznika.
XFRM: Zrozumienie protokołu IPsec opartego na trasach jako interfejsuInterfejs XFRM należy do tematu IPsec VPN oparty na trasach. Nie jest on planowany jak zwykła sieć VLAN lub port fizyczny, ale jest tworzony w kontekście połączenia IPsec. Sophos Firewall tworzy interfejs XFRM automatycznie, gdy zarówno podsieć lokalna, jak i zdalna jest ustawiona na Any w połączeniu IPsec.
Jest to istotna różnica w stosunku do klasycznych tuneli IPsec opartych na zasadach. W przypadku sieci VPN opartej na trasach nie tylko zasady IPsec, ale także routing, reguły zapory sieciowej i interfejs XFRM decydują o tym, dokąd zmierza ruch. Dzięki temu bardziej złożone połączenia lokalizacji są bardziej elastyczne, ale wymagają starannego planowania:
- Interfejs XFRM znajduje się w strefie
VPN. - W ramach Administration > Device access należy zezwolić na
IPsecdla strefyWAN, aby można było nawiązać połączenie. - Jeśli podsieci lokalne lub zdalne nie są
Any, nie jest tworzony żaden interfejs XFRM. - MTU i MSS są szczególnie ważne w przypadku VPN opartych na trasach, ponieważ protokół IPsec powoduje dodatkowe obciążenie. Praktyczna procedura testu znajduje się w Sophos Firewall Sprawdź MTU i MSS pod kątem problemów z VPN.
- Interfejs XFRM nie jest dezaktywowany bezpośrednio w Network > Interfaces, ale raczej poprzez powiązane połączenie IPsec w Site-to-site VPN > IPsec.
XFRM jest szczególnie przydatny dla administratorów, gdy routing SD-WAN, routing dynamiczny lub wiele sieci musi być odpowiednio kontrolowane za pośrednictwem tunelu lokalizacyjnego. Jeśli wszystko, czego potrzebujesz, to bardzo proste połączenie typu site-to-site z dwiema sieciami stacjonarnymi, często łatwiej jest zrozumieć klasyczny tunel oparty na zasadach.
RED: Lokalizacje zewnętrzne jako osobna koncepcja interfejsuInterfejsy RED nie są normalnym portem przełącznika. RED oznacza Remote Ethernet Device i służy do łączenia lokalizacji zewnętrznej z Sophos Firewall poprzez szyfrowany tunel. Można to wdrożyć za pomocą dedykowanego sprzętu SD-RED lub połączeń RED między zaporami ogniowymi.
Przed planowaniem powinno być jasne, jaki tryb pracy jest wymagany:
Standard/Unified: Zapora sieciowa zarządza siecią zdalną. Ruch przebiega przez centralną zaporę ogniową. Bardzo łatwe do kontrolowania, ale zależne od tunelu.Standard/Split: Przez tunel przebiegają tylko zdefiniowane sieci docelowe, ruch internetowy odbywa się lokalnie w danej lokalizacji. Mniejsza przepustowość w centrali, ale mniejsza kontrola centralna.Transparent/Split: RED zawiesza się w sposób przezroczysty w istniejącej sieci. Dobry do specjalnych przypadków, ale trudniejszy do zrozumienia i nie nadaje się do każdego projektu.Manual/Split: Bardziej ręczna konfiguracja sieci. W przypadku awarii tunelu obiekt będzie mógł nadal działać lokalnie.Dla wielu firmStandard/Unifiedjest najczystszą opcją, jeśli lokalizacja musi być całkowicie chroniona przez centralny firewall. Wada jest jasna: w przypadku awarii tunelu RED lokalizacja traci również centralnie kontrolowany dostęp do Internetu, w zależności od projektu.Standard/Splitzmniejsza tę zależność, ale oznacza również, że lokalny ruch internetowy nie jest już całkowicie filtrowany i rejestrowany przez centralę Sophos Firewall.
W przypadku RED powinieneś wcześniej sprawdzić te punkty:
- Usługę RED należy aktywować pod adresem System services > RED.
- Do połączenia zazwyczaj wymagane są protokoły TCP
3400, UDP3410i NTP123. - Urządzenia SD-RED wymagają prawidłowego czasu, w przeciwnym razie uzgadnianie TLS i ustanowienie tunelu może się nie powieść.
- Podczas pierwszego uruchomienia, DHCP na łączu nadrzędnym jest zwykle łatwiejsze, ponieważ urządzenie musi zapewnić obsługę administracyjną.
- Sieci VLAN nie są jednakowo przydatne w każdym trybie RED.
Standard/SplitiTransparent/Splitnie są przeznaczone dla ramek ze znacznikami VLAN. Jeśli za SD-RED wymagane są sieci VLAN, należy szczególnie ostrożnie wybrać tryb pracy. - Jeśli urządzenie RED znajduje się za routerem dostawcy, połączenia wychodzące i DNS/NTP muszą działać.
RED jest bardzo wygodny dla małych witryn, ale nie należy go traktować jak zwykłego kabla LAN. Decydującym czynnikiem jest to, czy lokalizacja powinna być centralnie chroniona, lokalnie autonomiczna, czy tylko częściowo połączona tunelem. Ta decyzja ma wpływ na DHCP, DNS, sieci VLAN, routing, reguły zapory sieciowej, rejestrowanie i rozwiązywanie problemów.
Device Access czysto ograniczajPod Administration > Device access możesz zobaczyć, które lokalne usługi firewalla są dostępne z jakich stref. Należą do nich między innymi:
HTTPSSSHUser PortalVPN PortalDNSPing/Ping6Captive PortalSTASWireless Protection
W środowiskach produkcyjnych im mniej usług lokalnych jest dostępnych ze strefy, tym lepiej. W szczególności HTTPS i SSH powinny być dozwolone wyłącznie w zaufanych sieciach zarządzania lub za pośrednictwem Reguły wyjątku listy ACL usługi lokalnej.
Jeśli potrzebne jest SSH, ten przewodnik będzie pomocny: Nawiąż połączenie SSH z Sophos Firewall.
Przy własnych strefach Device Access może być widoczny także bezpośrednio podczas tworzenia albo edycji strefy. Technicznie nadal chodzi o lokalne usługi firewalla, a nie o zwykły ruch tranzytowy. Jeśli klienci używają firewalla jako serwera DNS, DNS musi być dozwolony dla tej strefy. Jeśli administratorzy mają uzyskać dostęp do WebAdmin, nie powinno się tego włączać szeroko dla całej strefy klientów, lecz przez sieć management albo wyjątek Local Service ACL.
Pamiętaj o zależnościach
Zmiany w interfejsach rzadko są izolowane. Zone binding, DNS, gateways, SD-WAN routes, hosty oparte na interfejsie, interfejsy VLAN, Dynamic DNS, reguły firewalla i reguły NAT mogą zależeć od tego samego interfejsu. Przed większymi zmianami należy sprawdzić w Object usage, gdzie interfejs, strefa albo obiekt hosta jest już używany. Sophos Firewall pokazuje wykorzystanie obiektów i linkuje bezpośrednio do wielu konfiguracji zależnych.
Należy zachować szczególną ostrożność podczas dezaktywacji lub usuwania:
- Jeśli interfejs zostanie dezaktywowany, konfiguracja zostanie zachowana, a status będzie nadal widoczny.
- Tunele IPsec typu site-to-site, w których inicjatorem jest zapora sieciowa, są natychmiast rozłączane.
- Tunele IPsec typu site-to-site jako obiekty odpowiadające i połączenia dostępu zdalnego są rozłączane najpóźniej z powodu braku aktywności lub wykrycia martwego elementu równorzędnego.
- Interfejsów Alias i XFRM nie można dezaktywować bezpośrednio, tak jak normalne interfejsy. Interfejsy aliasów podążają za interfejsem fizycznym, interfejsy XFRM są dezaktywowane poprzez Site-to-site VPN > IPsec.
- Po usunięciu interfejsu wirtualnego można wraz z nim usunąć zależne reguły zapory sieciowej, konfiguracje DHCP, wpisy ARP, trasy, hosty interfejsów i inne odniesienia.
Dlatego przed usunięciem należy zawsze sprawdzić, czy interfejs jest używany w regułach firewalla, regułach NAT, DHCP, routingu, SD-WAN, dynamicznym DNS lub obiektach hosta. Nieostrożne usunięcie może spowodować usunięcie nie tylko samego interfejsu.
Bezpiecznie wdrażaj zmiany
Zmiany interfejsu powinny następować stopniowo. Szczególnie krytyczne są lokalizacje zdalne, klastry HA, interfejsy WAN, łącza VLAN, interfejsy XFRM i sieci zarządzania. Niewielka zmiana w powiązaniu strefy może wystarczyć, aby reguły zapory sieciowej, trasy Device Access lub SD-WAN przestały działać zgodnie z oczekiwaniami.
Sprawdzony proces:
- Udokumentuj bieżący interfejs i konfigurację strefy.
- Sprawdź zależności przez Object usage i od razu zanotuj najważniejsze trafienia.
- Utwórz kopię zapasową.
- Zdefiniuj okno konserwacji lub czas awaryjny.
- Najpierw dodaj nową strefę lub nowy interfejs, nie usuwaj od razu starej konfiguracji.
- Przygotuj klienta testowego lub ruch testowy.
- Po zmianie sprawdź stan łącza, adres IP, bramę, DHCP i DNS.
- Sprawdź regułę zapory sieciowej, regułę NAT i Device Access za pomocą Log Viewer lub Packet Capture.
- Usuń stare reguły, interfejsy lub obiekty dopiero wtedy, gdy nowa ścieżka będzie stabilna.
Kopia zapasowa to tylko część drogi powrotnej. Przed krytycznymi zmianami interfejsu lub strefy należy również udokumentować, który stary adres IP, strefa, identyfikator VLAN, brama, trasa, trasa SD-WAN, reguła zapory sieciowej i reguła NAT muszą zostać przywrócone w przypadku przerwania. Sophos Firewall Utwórz lub przywróć kopię zapasową nadaje się do rzeczywistego procesu tworzenia kopii zapasowych i przywracania.
- Dostosowano strefę zarządzania lub Device Access: Alternatywny dostęp administratora jest testowany przed usunięciem starej dostępności.
- Zmieniono interfejs WAN lub bramę: Stara ścieżka dostawcy, wartości PPPoE/DHCP/statyczne i trasa SD-WAN są udokumentowane.
- Trwa konwersja łącza VLAN: Można prześledzić stary identyfikator VLAN, natywną sieć VLAN, profil portu przełącznika i interfejs zapory.
- Zmieniono mostek, LAG lub RED: Stan łącza, zaangażowane porty i dostęp do lokalizacji można niezależnie sprawdzić.
- Zmieniono interfejs XFRM lub VPN: Reguły tunelu, routingu i zapory sieciowej są sprawdzane przed usunięciem starej ścieżki.
Szczególną uwagę należy zwrócić na zachowanie oznaczonych/nieoznaczonych podczas migracji sieci VLAN. Jeśli przełącznik i zapora korzystają z różnych identyfikatorów VLAN, natywnych sieci VLAN lub profili łączy trunkingowych, zapora albo nie widzi żadnego ruchu, albo ruch trafia do niewłaściwej strefy.
W przypadku lokalizacji zdalnych zawsze powinna istnieć ścieżka dostępu poza właśnie zmienionym interfejsem. Może to być Sophos Central, drugi dostęp do sieci WAN, lokalny administrator na miejscu lub osobna sieć zarządzająca.
Typowe przeszkody
Interfejs jest niepowiązany lub wyłączony: Najpierw sprawdź, czy strefa jest przypisana. Nie można usunąć interfejsu fizycznego, ale można usunąć jego konfigurację, ustawiając strefę na None.
VLAN nie działa: Sprawdź identyfikator VLAN, port przełącznika, konfigurację oznaczoną/nieoznaczoną, natywną sieć VLAN i interfejs nadrzędny.
Klienci nie mogą połączyć się z zaporą poprzez polecenie ping lub HTTPS: Nie sprawdzaj najpierw normalnych reguł zapory. Administration > Device access i lokalne wyjątki ACL są kluczowe.
Ruch pomiędzy dwiema sieciami wewnętrznymi nie działa: Sprawdź strefę źródłową, strefę docelową, obiekty sieciowe, routing i pozycję reguły zapory.
Brama WAN nie staje się aktywna: Sprawdź konfigurację IP, IP bramy, status łącza, dane uwierzytelniające PPPoE, DNS i jeśli to konieczne Menedżer łączy WAN.
Wiele interfejsów WAN w tej samej podsieci: Jeśli wiele interfejsów WAN używa adresów IP z tej samej podsieci, mogą wystąpić problemy z protokołem ARP, a bramy mogą stać się nieosiągalne. Jeśli dostawca udostępnia wiele publicznych adresów IP w tej samej podsieci, interfejsy aliasów lub LAG są zwykle czystsze niż wiele oddzielnych interfejsów WAN w tej samej sieci.
SFP, prędkość portu lub przerwanie nie są zgodne: Szybkość portu na przełączniku, routerze, transiwerze i zaporze sieciowej musi być zgodna. Portu 25 Gbit/s nie można podłączyć bezpośrednio do portu 40 Gbit/s bez odpowiedniej technologii. W przypadku modeli z portami 40G lub 100G kable rozłączające mogą być przydatne, jeśli jeden port ma zostać podzielony na kilka mniejszych portów.
Problemy z MTU z VPN lub PPPoE: Sprawdź MTU i MSS. W przypadku ruchu VPN zbyt wysoka wartość MTU może prowadzić do utraty pakietów, co na co dzień wygląda jak przypadkowe problemy z połączeniem. Sophos Firewall Sprawdź MTU i MSS pod kątem problemów z VPN nadaje się do systematycznego ograniczania.
Rozwiązywanie problemów
Ta kolejność jest praktyczna przy rozwiązywaniu problemów:
- Network > Interfaces: Sprawdź stan łącza, adres IP, strefę i bramę.
- Network > Zones: Sprawdź Device Access i typ linii.
- Hosty i usługi: Sprawdź, czy obiekty hosta i usługi są prawidłowe.
- Rules and policies > Firewall rules: Sprawdź strefę źródłową, strefę docelową, usługi i zamówienie.
- Rules and policies > NAT rules: Jeśli w grę wchodzi NAT, porównaj dokładnie oryginał i tłumaczenie.
- Przeglądarka dziennika: Sprawdź, która zasada lub upuszczenie ma zastosowanie.
- Diagnostics > Tools > Packet capture: Sprawdź, czy pakiety w ogóle docierają i dokąd są przekazywane.
Jeśli strefy i interfejsy są odpowiednio rozplanowane, kolejny krok staje się znacznie łatwiejszy: Zrozum i poprawnie skonfiguruj reguły Sophos Firewall. Jeśli pomimo pozornie prawidłowej strefy ruch nie działa, pomocna będzie lista kontrolna Reguła zapory sieciowej nie działa: sprawdź kolejność, dopasowanie i logi. Do głębszej analizy możesz także użyć Użyj Packet Capture w WebAdmin, a do tłumaczeń lub przekierowania portów artykułu Zrozumienie NAT na Sophos Firewall: SNAT, DNAT, MASQ, PAT.
Operacyjna lista kontrolna
- Udokumentowany model strefy: klient, serwer, zarządzanie, gość, DMZ, WAN i VPN celowo oddzielone lub celowo połączone.
- Nowe sieci VLAN udokumentowane za pomocą identyfikatora VLAN, interfejsu nadrzędnego, profilu portu przełącznika i adresu IP bramy.
- Strefa i konkretny obiekt hosta IP udokumentowane dla każdej ważnej sieci.
- Device Access sprawdzane dla każdej strefy, szczególnie dla HTTPS, SSH, DNS, Ping, User Portal i VPN Portal.
- Reguły zapory sieciowej utworzone ze strefą źródłową, strefą docelową, usługami i rejestrowaniem.
- Alias sprawdzony zamiast dodatkowego interfejsu WAN, gdy kilka publicznych IP jest używanych w tej samej podsieci providera.
- Sprawdzono reguły NAT, czy w grę wchodzi dostęp do Internetu, DNAT, SNAT lub VPN.
- Testowano DHCP, DNS i NTP dla nowych sieci.
- Sprawdzono wykorzystanie obiektu przed zmianami w istniejących interfejsach.
- Status łącza, Log Viewer i Packet Capture sprawdzono pod kątem zmian.
- Dostęp do zarządzania zapewniony niezależną ścieżką.
- Dostępna kopia zapasowa przed poważnymi zmianami.