Przejdz do tresci
Avanet

Testowanie reguł Sophos Firewall z Log Viewer

Sophos Firewall

Reguły firewall nie należy tylko zapisać, lecz także świadomie przetestować. Szczególnie przy Webfilter, TLS Inspection, NAT, IPS lub User Matching reguła może wyglądać poprawnie w WebAdmin, ale nie działać zgodnie z oczekiwaniami.

Do testu przydatne są trzy narzędzia:

  • Log viewer dla rzeczywistych zdarzeń i decyzji reguł
  • Policy tester dla logiki web, firewall i SSL/TLS
  • Packet capture dla rzeczywistego przepływu pakietów

Przed testem

Najpierw należy dokładnie określić, co ma zostać przetestowane:

PunktPrzykład
Source IP172.16.10.25
Użytkownikuser@domain.local
Source zoneLAN
Destinationhttps://www.example.com
ServiceHTTPS
Oczekiwana regułaLAN_to_WAN_Clients
Oczekiwana actiondozwolona, zablokowana, decrypted, nie decrypted

Następnie w danej regule włączyć Log firewall traffic. Bez logowania Log Viewer ma ograniczoną wartość.

Reguła Sophos Firewall z włączoną opcją Log firewall traffic
Opcja Log firewall traffic powinna być włączona dla reguł, które mają być testowane lub później analizowane.

Krok 1: Sprawdzić pozycję reguły

Otworzyć Rules and policies > Firewall rules i sprawdzić:

  • Czy reguła znajduje się powyżej bardziej ogólnych reguł?
  • Czy jest aktywna?
  • Czy wybrano właściwy widok IPv4 lub IPv6?
  • Czy znajduje się w sensownej Rule group?
  • Czy istnieją Exclusions?
  • Czy powyżej znajduje się automatycznie utworzona reguła?

Podczas testowania nowej reguły warto zresetować jej Usage Counter. Potem łatwiej zobaczyć, czy reguła została faktycznie trafiona podczas testu.

Krok 2: Otworzyć Log Viewer

Otworzyć Log viewer w prawym górnym rogu konsoli WebAdmin.

Przydatne filtry:

  • Module: Firewall
  • Source IP
  • Destination IP
  • Destination port
  • Rule ID
  • Rule name
  • Action
  • User

Dla ruchu web sprawdzić dodatkowo:

  • Web filter
  • SSL/TLS inspection
  • Application filter
  • IPS

Log Viewer odświeża się automatycznie. Dla spokojniejszej analizy można zatrzymać widok live, ustawić filtry, a następnie wznowić podgląd.

Krok 3: Odtworzyć test

Test powinien zostać wykonany z określonego klienta:

  • Otworzyć stronę internetową
  • Wysłać ping
  • Przetestować port
  • Uruchomić aplikację
  • Nawiązać połączenie VPN
  • Pobrać plik

Jeśli to możliwe, wykonywać tylko jeden test naraz. W przeciwnym razie logi szybko się mieszają.

Następnie sprawdzić:

  • Czy licznik reguły wzrasta?
  • Czy w Log Viewer widać wpis?
  • Jaka Rule ID jest wyświetlana?
  • Jaka NAT Rule ID jest wyświetlana?
  • Czy ruch jest dozwolony czy blokowany?
  • Czy działa funkcja bezpieczeństwa?

Krok 4: Użyć Policy tester

Policy tester pomaga sprawdzić, która reguła firewall, SSL/TLS inspection rule lub Web Policy teoretycznie zastosowałaby się do ruchu web.

Ścieżka menu:

Diagnostics > Tools > Policy tester

Typowe dane wejściowe:

  • URL
  • Użytkownik
  • Godzina i dzień
  • Source IP
  • Source zone
  • Test method

Jako Test method można wybrać na przykład Firewall, SSL/TLS, and web, jeśli ma zostać sprawdzona kombinacja reguły firewall, SSL/TLS inspection rule i Web Policy.

Sophos Firewall Policy tester z zaakceptowanym wynikiem
Policy tester pokazuje tutaj, że połączenie z podanej Source IP zostałoby zaakceptowane przez dopasowaną regułę firewall.

Policy tester pokazuje nie tylko Accepted lub Blocked, ale także dopasowaną regułę firewall, rozpoznany cel, Source zone oraz zależnie od metody testu dodatkowe informacje web lub SSL/TLS. Dzięki temu szybko widać, czy ruch zasadniczo trafia do oczekiwanej reguły.

Sophos Firewall Policy tester z wynikiem zablokowanym przez Web Policy
Dla ruchu web Policy tester pokazuje także ocenę Web protection, kategorię i dopasowaną Web Policy.

Ważne:

⚠️ Policy tester nie zastępuje rzeczywistego testu przepływu pakietów. Sophos wskazuje, że wyniki Policy tester nie odzwierciedlają SD-WAN routes. Rzeczywiste zachowanie może więc być inne, gdy w grę wchodzą SD-WAN, routing lub gateways.

Policy tester jest szczególnie przydatny dla:

  • Web Policy
  • Kategoryzacji URL
  • Kontekstu użytkownika
  • Schedule
  • SSL/TLS inspection rule
  • Dopasowania reguł firewall dla ruchu web

Jest mniej przydatny dla:

  • rzeczywistych decyzji routingu
  • ścieżki powrotnej NAT
  • utraty pakietów
  • problemów operatora lub switcha
  • aplikacji z wieloma połączeniami i portami

Krok 5: Użyć Packet Capture

Jeśli Log Viewer i Policy tester nie wystarczają, użyć Diagnostics > Packet capture.

Ustawić wąski filtr, na przykład:

  • Source IP klienta
  • Destination IP serwera
  • Destination port
  • Protokół

Następnie:

  1. Uruchomić Packet Capture.
  2. Odtworzyć test.
  3. Zatrzymać Packet Capture.
  4. Porównać zdarzenia Incoming i Forwarded.
  5. Porównać Rule ID i NAT ID z Log Viewer.

Interpretacja:

ObserwacjaCo sprawdzić?
Żaden pakiet nie docieraKlient, VLAN, switch, gateway, operator, Cloud Security Group
Pakiet wchodzi, ale nie wychodziReguła firewall, NAT, routing, funkcja bezpieczeństwa
Pakiet wychodzi, ale brakuje odpowiedziTrasa powrotna, system docelowy, NAT, zewnętrzny firewall
Pakiet ma status ViolationPolicy, IPS, filtr web, Application Control
NAT ID jest nieoczekiwanyKolejność NAT i ogólne reguły NAT

Więcej informacji: Używanie Packet Capture w WebAdmin.

Krok 6: Osobno zweryfikować funkcje bezpieczeństwa

Jeśli właściwa reguła matchuje, ale ruch nie działa, sprawdzić aktywne funkcje.

FunkcjaCo sprawdzić?
Web policyKategoria, użytkownik, schedule, kolejność policy
Scan HTTP and decrypted HTTPSHTTPS jest skanowany tylko wtedy, gdy został już decrypted
SSL/TLS inspectionPasująca reguła, Decryption Profile, certyfikat CA na klientach
IPSSygnatura, policy, false positive
Application ControlWykryta aplikacja, kategoria, wykrywanie cloud apps
Security HeartbeatEndpoint wysyła heartbeat, status zielony/żółty/czerwony
Traffic ShapingPolicy aktywna, właściwa aplikacja lub reguła
NATPoprawna reguła SNAT/DNAT/PAT, kolejność

Dla HTTPS sama reguła firewall z filtrowaniem web nie wystarcza do inspekcji treści HTTPS. Potrzebna jest także odpowiednia SSL/TLS inspection rule z decryption i rozdystrybuowanym certyfikatem CA.

Więcej informacji: Wdrażanie TLS Inspection na Sophos Firewall krok po kroku.

Krok 7: Sprawdzić pliki logów

Jeśli narzędzia WebAdmin nie wystarczają, sprawdzić odpowiednie pliki logów.

Typowe pliki:

TematPlik logu
Reguła firewallfirewall_rule.log
NATnat_rule.log
Połączenia firewallfwlog.log
IPS i DPIips.log
Web Proxyawarrenhttp.log
IPsecstrongswan.log, charon.log
SSL VPNsslvpn.log
DNSdnsd.log, dnsgrabber.log
DHCPdhcpd.log

Szczegółowy przegląd znajduje się tutaj: Sophos Firewall Troubleshooting: usługi i logi.

Przykład: test reguły web LAN do WAN

  1. Utworzyć regułę firewall LAN_to_WAN_Clients.
  2. Włączyć logging.
  3. Ustawić Services na HTTP i HTTPS.
  4. Wybrać Web Policy.
  5. Pozostawić włączone Block QUIC protocol.
  6. Włączyć Scan HTTP and decrypted HTTPS.
  7. Utworzyć SSL/TLS inspection rule dla grupy testowej.
  8. Zainstalować certyfikat CA na kliencie testowym.
  9. Zresetować licznik reguły.
  10. Otworzyć stronę internetową.
  11. Filtrować Log Viewer według Source IP.
  12. Uruchomić Policy tester dla tego samego URL.
  13. W przypadku rozbieżności uruchomić Packet Capture.

W ten sposób widać, czy reguła matchuje, czy HTTPS jest rzeczywiście odszyfrowywany oraz czy interweniują Webfilter, IPS lub Application Control.

Dalsze informacje