Sophos Firewall Bezpiecznie używaj reguły obejścia
Reguła obejścia na Sophos Firewall nie jest normalnym obiektem Allow i nie zastępuje czystej reguły zapory sieciowej. Zdefiniowany ruch omija zatem normalną ścieżkę firewalla ze stanem. Pomija to również wiele funkcji, na których świadomie polegasz w życiu codziennym: reguły zapory sieciowej, Log Viewer, IPS, filtry sieciowe, Application Control, skanowanie złośliwego oprogramowania lub inne funkcje bezpieczeństwa.
Reguły obejścia są zatem przydatne tylko w wąsko zdefiniowanych, specjalnych przypadkach, na przykład w przypadku krótkoterminowego rozwiązywania problemów za pomocą wskazówek, w przypadku bardzo konkretnego wyjątku dotyczącego zgodności lub w przypadku jasno udokumentowanego obejścia. W przypadku normalnych wersji, problemów z wydajnością lub fałszywych alarmów należy najpierw sprawdzić określone reguły, wyjątki lub zasady.
⚠️ Reguła obejścia znacznie zmniejsza widoczność i działanie ochronne zapory ogniowej. Zasady obejścia powinny zawsze być wąsko zdefiniowane, udokumentowane, przetestowane i usunięte po zakończeniu.
Typowe sytuacje w świecie rzeczywistym to specjalne przypadki z asymetrycznym routingiem, nietypowym zachowaniem protokołu lub krótkoterminową analizą dostawcy. Gdy przyczyna zostanie wyjaśniona, rozwiązaniem powinno być przywrócenie normalnych reguł zapory sieciowej, NAT, routingu, IPS, wyjątków sieciowych lub TLS.
O jakim typie obejścia mowa
Termin „obejście” pojawia się kilka razy w środowiskach Sophos. Ten artykuł dotyczy wyłącznie bypass-stateful-firewall-config w konsoli urządzenia.
- Ominięcie stanowej zapory ogniowej: konfiguracja CLI, która omija zdefiniowany ruch hosta lub sieciowy z normalnej ścieżki zapory stanowej.
- Reguła obejścia DoS: Wyjątek w obszarze Ochrona przed fałszowaniem i Ustawienia DoS dla kontroli DoS, to nie to samo, co stanowe obejście zapory ogniowej.
- IPS
Bypass session: IPS akcja reguły, w której trafienie IPS jest traktowane inaczej w sesji. - Przyspieszenie FastPath / Firewall: normalne przyspieszenie zaufanych przepływów na obsługiwanych urządzeniach lub platformach. Nie jest to ręczne obejście zapory sieciowej ze stanem i nie powinno być interpretowane jako obejście problemów z regułami.
- LAN obejście / brak podłączenia: Funkcja sprzętowa niektórych urządzeń lub modułów, a nie reguła SFOS.
- Normalny wyjątek zapory: Zapora sieciowa, NAT, WWW, TLS, IPS lub dostosowanie Kontroli aplikacji w WebAdmin.
To oddzielenie jest ważne, ponieważ środki wiążą się z różnym ryzykiem. Wyjątek DoS lub akcja IPS nie jest automatycznie nieszkodliwa, ale jest bliżej powiązana z funkcją. Z drugiej strony stanowe obejście zapory ogniowej może bardzo szeroko ominąć widoczność i ocenę zasad, jeśli źródło lub cel zostaną wybrane zbyt duże.
Sprawdź wcześniej lepsze alternatywy
Przed ustawieniem reguły obejścia powinno być jasne, dlaczego zwykłe mechanizmy nie są wystarczające.
- Reguła zapory sieciowej nie jest zgodna: Sprawdź kolejność reguł, źródło/miejsce docelowe, Services i logi.
- IPS blokuje aplikację: IPS sprawdź politykę, podpis, wyjątek lub fałszywie pozytywną analizę.
- TLS Inspection zakłóca działanie aplikacji: Dostosuj regułę SSL/TLS Inspection lub wykluczenie TLS.
- Filtr sieciowy blokuje adres URL: Sprawdź zasady internetowe, kategorię, grupę adresów URL lub wyjątek sieciowy.
- Application Control jest niepoprawny: Sprawdź zasady kontroli aplikacji i wykrytą aplikację.
- NAT lub routing działa nieprawidłowo: NAT zasady, sprawdź trasę powrotną, SD-WAN i Packet Capture.
Pomoc dotycząca analizy reguł i dzienników Sophos Firewall Przetestuj regułę z Log Viewer i Packet Capture, Reguła zapory sieciowej nie działa: sprawdź przyczyny i Sophos Firewall reguły i skonfiguruj je poprawnie.
Ograniczenia operacyjne
Regułę obejścia należy ustawić tylko wtedy, gdy spełnione są wszystkie punkty:
- Źródło i miejsce docelowe to określone sieci lub hosty, a nie
Any. - Kierunek i kierunek odwrotny są rozumiane.
- Istnieje bilet, powód i osoba odpowiedzialna.
- Zdefiniowano okno konserwacji lub okno testowe.
- Istniejąca konfiguracja została wcześniej udokumentowana.
- Dostępne jest polecenie wycofania.
- Po teście sprawdzane jest, czy reguła została ponownie usunięta.
Reguła obejścia nie nadaje się do trwałej „szybkiej aktywacji” między sieciami. Jeśli połączenie ma być dozwolone na stałe, należy do normalnej reguły zapory sieciowej z rejestrowaniem i odpowiednimi zabezpieczeniami.
Należy zachować szczególną ostrożność w przypadku ścieżek NAT. Jeśli do przepływu wymagane jest SNAT, DNAT, VPN-NAT lub inne tłumaczenie, stanowe obejście zapory sieciowej może ominąć rzeczywistą decyzję NAT lub uszkodzić test. W takich przypadkach NAT Rule ID, Firewall Rule ID, Packet Capture i routing powinny zostać sprawdzone w pierwszej kolejności, zamiast omijać ścieżkę stanową na całej płycie.
Połączenie z konsolą urządzenia
Polecenia są wykonywane w Konsoli urządzenia Sophos Firewall. Aby to zrobić, połącz się z użytkownikiem admin poprzez SSH i otwórz Konsolę Urządzenia w menu konsoli.
Dostęp SSH powinien być dozwolony wyłącznie z zaufanej sieci administracyjnej. Przygotowanie odbywa się w Sophos Firewall, połącz się przez SSH.
Przed wprowadzeniem jakichkolwiek zmian należy najpierw wyświetlić i udokumentować bieżący stan.
show advanced-firewall

Wybierz poprawnie hosta lub sieć
Sophos umożliwia pomijanie wpisów dla poszczególnych hostów lub sieci. W przypadku rozwiązywania problemów pojedynczy host jest prawie zawsze lepszy niż cała podsieć, ponieważ oznacza, że mniejszy ruch jest niewidoczny.
- Pojedynczy host źródłowy do hosta docelowego:
dest_host <Ziel-IP> source_host <Quell-IP> - Sieć źródłowa do hosta docelowego:
dest_host <Ziel-IP> source_network <Netz-IP> source_netmask <Maske> - Host źródłowy do sieci docelowej:
dest_network <Netz-IP> dest_netmask <Maske> source_host <Quell-IP> - Sieć źródłowa do sieci docelowej:
dest_network <Netz-IP> dest_netmask <Maske> source_network <Netz-IP> source_netmask <Maske>
Szerokie sieci, takie jak kompletne strefy klientów, serwerów lub VPN, prawie nigdy nie są dobrym punktem wyjścia. Lepiej jest przeprowadzić dokładny test z hostem źródłowym, hostem docelowym i przejrzystą usługą. Tylko jeśli przypadek testowy rzeczywiście dotyczy kilku hostów, należy mówić o małej sieci.
Kierunek jest również ważny. Sophos opisuje, że do pełnego połączenia często potrzebne są wpisy dla obu kierunków. Należy to jednak robić świadomie: nie odtwarzać automatycznie logiki Any, ale raczej rozumieć konkretną drogę powrotną.
Sophos nie zapewnia praktycznego ograniczenia liczby hostów lub sieci dla tej listy pomijania. To właśnie jest ryzykowne w biznesie: wiele małych wpisów jest technicznie możliwych, ale szybko stają się mylące. Jeśli konieczne wydaje się kilka wpisów obejścia, jest to zwykle znak, że rzeczywisty problem z routingiem, NAT, polityką lub aplikacją nie jest jeszcze jasno poznany.
Ustaw ramkę zmiany przed obejściem
Reguła obejścia nie powinna nigdy być ustawiana samoistnie podczas rozwiązywania problemów. Przed wykonaniem polecenia add powinno być jasne, na jaki test ma odpowiadać i w jaki sposób zmiana zostanie cofnięta.
Aby zapewnić czyste okno konserwacji lub testowania, zwróć uwagę na następujące punkty:
- Pytanie testowe: Czy zdefiniowany ruch działa bez stanowej ścieżki zapory ogniowej?
- Dotknięty przepływ: na przykład
192.168.33.0/24do192.168.46.0/24 - Stan uruchomienia: Dane wyjściowe
show advanced-firewallprzed zmianą. - Planowana ścieżka powrotna: odpowiednie polecenie
deldla każdego ustawionego kierunku. - Kryteria przerwania: nieoczekiwany ruch, nowe zakłócenia lub nieprawidłowy obszar docelowy.
- Kontrola uzupełniająca:
show advanced-firewall, Packet Capture i test działania bez obejścia.
Polecenie wycofania jest szczególnie ważne. Należy go przygotować przed wiązaniem, a nie szukać po badaniu. Oznacza to, że zmianę można kontrolować nawet, jeśli w oknie konserwacyjnym pojawi się ciśnienie.
Przykład: Utwórz regułę obejścia
Przykład:
- Sieć źródłowa:
192.168.33.0/24 - Sieć docelowa:
192.168.46.0/24 - Źródłowa maska sieci:
255.255.255.0 - Docelowa maska sieci:
255.255.255.0
Pierwsza zasada kierunku:
set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0
Jeśli ruch z sieci docelowej z powrotem do sieci źródłowej powinien również korzystać z obejścia, wymagana jest druga reguła dla kierunku odwrotnego.
set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0
Następnie sprawdź ponownie:
show advanced-firewall
Podczas testowania pojedynczego klienta i pojedynczego serwera rozważ użycie hostów zamiast sieci:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.46.20 source_host 192.168.33.10
Odpowiednio dla kierunku przeciwnego:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.33.10 source_host 192.168.46.20
Sprawdź efekt
Po ustawieniu należy nie tylko sprawdzić, czy aplikacja działa. Kluczowe jest to, czy obwodnica faktycznie będzie dotyczyć tylko planowanego ruchu.
Punkty kontrolne:
show advanced-firewallpokazuje dokładnie oczekiwane sieci.- Nie ma sieci szerszych niż planowano.
- Celowo ustawiono kierunek i kierunek wsteczny.
- Ruch testowy działa tylko między oczekiwanymi źródłami i miejscami docelowymi.
- Niezaangażowane sieci nie korzystają z obejścia.
- Normalne dzienniki zapory sieciowej dla tego ruchu nie są już oczekiwane jako podstawa do podejmowania decyzji.
- Packet Capture pokazuje ruch tylko podczas zaplanowanego testu.
- Wycofanie przeprowadzono natychmiast po teście.
Jeśli Log Viewer i liczniki reguł nagle przestaną pokazywać jakiekolwiek zdarzenia, przyczyną może być samo obejście. W tym stanie Packet Capture jest bardziej pomocny niż Log Viewer.
W przypadku routingu asymetrycznego należy dodatkowo sprawdzić, czy ścieżka powrotna faktycznie przechodzi przez oczekiwaną zaporę ogniową. Obejście może maskować objawy, jeśli główną przyczyną jest nieprawidłowa brama domyślna, niekompletna trasa lub NAT po niewłaściwej stronie.
Jeśli podejrzewa się wydajność lub odciążanie, nie należy mylić obejścia z FastPath. FastPath, akceleracja Firewall, akceleracja PKI i akceleracja IPsec to osobne mechanizmy. W zależności od ruchu i platformy normalny ruch można przyspieszyć bez ustawiania reguły obejścia. I odwrotnie, zasada obejścia nie zmienia złego projektu w architekturę o czystej wydajności.
Usuń regułę obejścia
Aby usunąć, użyj tego samego polecenia z del zamiast add.
Usuń pierwszy kierunek:
set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0
Usuń kierunek odwrotny:
set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0
Następnie sprawdź ponownie:
show advanced-firewall
Dane wyjściowe nie powinny już zawierać nieoczekiwanych wpisów pomijania.
Zabezpiecz ponownie po teście
Usunięta reguła obejścia nie rozwiązuje automatycznie pierwotnego problemu. Test pokazuje jedynie, że prawdopodobnie zaangażowana była normalna ścieżka zapory sieciowej dla testowanego ruchu. Należy wtedy świadomie przenieść przyczynę na obsługiwaną, widoczną konfigurację.
Przydatne pytania uzupełniające:
- Czy normalna reguła zapory sieciowej była zbyt wąska lub znajdowała się w niewłaściwym miejscu? Sprawdź kolejność reguł, strefy, źródło, miejsce docelowe, usługę i mapowanie użytkowników.
- Czy IPS, Ochrona sieci lub Application Control zablokowały? Podpis dokumentu, kategoria, polityka lub docelowy wyjątek.
- Czy TLS Inspection był zaangażowany? Dokładnie sprawdź regułę TLS, certyfikat, wyjątek i aplikację, której dotyczy problem.
- Czy był to problem z routingiem, czy NAT? Porównaj NAT Rule ID, trasę powrotną, trasę SD-WAN i Packet Capture.
- Czy ruch będzie stale potrzebny w przyszłości? Utwórz normalną regułę zapory sieciowej z rejestracją, właścicielem i datą przeglądu.
Po wycofaniu należy przeprowadzić co najmniej jeden test kontrolny bez obejścia. Jeżeli ruch znów będzie działał tylko z obwodnicą, sprawa nie jest jeszcze zamknięta. Następnie potrzebujesz czystej reguły, polityki, NAT lub korekty inspekcji, która pozostanie widoczna w Log Viewer i będzie można ją później sprawdzić.
W przypadku trwałych zmian należy również udokumentować, które funkcje bezpieczeństwa celowo pozostawiono aktywne, a który wyjątek jest naprawdę konieczny. Reguła tymczasowego obejścia nie może po cichu stać się częścią architektury operacyjnej.
Dokumentacja
Każda reguła obejścia powinna być udokumentowana:
- Data i godzina
- Administrator
- Powód
- Sieć źródłowa i sieć docelowa
- aplikacja, której dotyczy problem
- planowany czas trwania
- Dowód testowy
- Czas usunięcia
- Zadanie uzupełniające, jeśli trzeba utworzyć czystą regułę lub wyjątek
Bez dokumentacji reguły obejścia mogą łatwo pozostać niezauważone. Jest to szczególnie niebezpieczne, ponieważ zwykłe spojrzenie na reguły zapory sieciowej lub Log Viewer nie wystarczy, aby zidentyfikować lukę w zabezpieczeniach.
Lista kontrolna
Przed obejściem:
- Sprawdzono normalną regułę zapory sieciowej, NAT, routing, IPS, web, TLS Inspection i Application Control.
- Zdefiniowano konkretne pytanie testowe.
- Udokumentowano źródło, miejsce docelowe, kierunek i powrót.
- Wybrano najwęższy możliwy wariant, preferujący host zamiast sieci.
- Bieżący stan zapisany za pomocą
show advanced-firewall. - Polecenie
delprzygotowane dla każdego planowanego kierunku. - Zdefiniowano bilet, właściciela, okno czasowe i czas demontażu.
Podczas testowania:
- Obejście aktywne tylko w zaplanowanym okresie.
- Ruch testowy udokumentowany ze źródłem, miejscem docelowym, usługą i czasem.
- Packet Capture lub dziennik systemu docelowego używany jako dowód.
- Nie ma niezamierzonego wpływu na żadne dodatkowe sieci lub aplikacje.
Po przetestowaniu:
- Usunięto wszystkie wpisy z
del. show advanced-firewallnie wyświetla nieoczekiwanych reguł obejścia.- Test powtórzony bez udokumentowania obejścia lub kolejnego problemu.
- Stałe rozwiązanie zaplanowane jako zwykła zasada, polityka, NAT, dostosowanie tras lub inspekcji.
- Zaktualizowano bilet i dokumentację operacyjną.
Typowe błędy
- Użyto zbyt szerokich sieci: Większy ruch niż planowano omija zaporę ogniową.
- Zapomniałem odwrotnego kierunku: Aplikacja działa tylko częściowo lub asymetrycznie.
- Reguła nie została usunięta: Utworzono trwałą lukę w ochronie.
- Brak zgłoszenia i komentarza: Później nie jest jasne, dlaczego istnieje obwodnica.
- Log Viewer oczekiwany jako dowód: Ruch nie wygląda jak normalne decyzje dotyczące zapory sieciowej.
- Zamiast docelowego wyjątku zastosowano obejście: Funkcje bezpieczeństwa są niepotrzebnie wyłączane.
- Zmiana bez okna konserwacyjnego: Błędy mają natychmiastowy skutek produktywny.