Uso seguro de regras de bypass no Sophos Firewall
Uma regra de bypass no Sophos Firewall não é um objeto de permissão normal e não substitui uma regra de firewall bem configurada. O tráfego definido contorna o caminho normal da firewall stateful. Isso também contorna muitas funções nas quais se confia diariamente: regras de firewall, Log Viewer, IPS, filtro web, Application Control, varredura de malware ou outros recursos de segurança.
As regras de bypass são, portanto, úteis apenas para casos especiais muito limitados, como para uma solução de problemas de curto prazo sob orientação, para uma exceção de compatibilidade muito específica ou para uma solução alternativa claramente documentada. Para liberações normais, problemas de desempenho ou falsos positivos, deve-se primeiro verificar regras, exceções ou políticas direcionadas.
⚠️ Uma regra de bypass reduz significativamente a visibilidade e a eficácia da proteção da firewall. As regras de bypass devem sempre ser limitadas, documentadas, testadas e removidas após a conclusão.
Casos reais típicos são situações especiais com routing assimétrico, comportamento invulgar de protocolo ou uma análise temporária do fabricante. Quando a causa estiver clara, a solução deve voltar para regras normais de firewall, NAT, routing, IPS e exceções Web ou TLS.
Qual tipo de bypass está em causa
O termo “bypass” aparece em vários pontos nos ambientes Sophos. Este artigo trata exclusivamente de bypass-stateful-firewall-config na Device Console.
Verificar alternativas melhores antes
Antes de definir uma regra de bypass, deve estar claro por que os mecanismos normais não são suficientes.
- Regra de firewall não corresponde: Verificar ordem das regras, origem/destino, serviços e logs.
- IPS bloqueia uma aplicação: Verificar política IPS, assinatura, exceção ou análise de falso positivo.
- Inspeção TLS interfere numa aplicação: Ajustar SSL/TLS Inspection Rule ou TLS Exclusion de forma direcionada.
- Filtro web bloqueia um URL: Verificar política web, categoria, grupo de URLs ou exceção web.
- Application Control atua incorretamente: Verificar política de Application Control e aplicação reconhecida.
- NAT ou routing atua incorretamente: Verificar regras NAT, rota de retorno, SD-WAN e Packet Capture.
Para análise de regras e logs, ajudam Testar regras do Sophos Firewall com Log Viewer e Packet Capture, Verificar causas de regras de firewall não correspondentes e Entender e configurar corretamente regras do Sophos Firewall.
Limites de uso
Uma regra de bypass deve ser definida apenas se todos os pontos forem atendidos:
- Fonte e destino são redes ou hosts específicos, não
Any. - Direção e retorno são compreendidos.
- Existe um ticket, um motivo e uma pessoa responsável.
- Uma janela de manutenção ou teste está definida.
- A configuração existente foi documentada anteriormente.
- Um comando de rollback está preparado.
- Após o teste, verifica-se se a regra foi removida.
Uma regra de bypass não é adequada para “liberação rápida” permanente entre redes. Se uma conexão deve ser permitida permanentemente, ela deve estar em uma regra de firewall normal com registro e recursos de segurança adequados.
Conexão com a Device Console
Os comandos são executados na Device Console do Sophos Firewall. Para isso, conecta-se via SSH com o usuário admin e abre-se a Device Console no menu do console.
O acesso SSH deve ser permitido apenas a partir de uma rede de administração confiável. A preparação está em Conectar ao Sophos Firewall via SSH.
Antes de qualquer alteração, deve-se primeiro exibir e documentar o estado atual.
show advanced-firewall

Escolher corretamente host ou rede
A Sophos permite entradas de bypass para hosts individuais ou redes. Para troubleshooting, um host individual é quase sempre melhor do que uma subnet inteira, porque menos tráfego fica invisível.
- host de origem individual para host de destino:
dest_host <Ziel-IP> source_host <Quell-IP>. - rede de origem para host de destino:
dest_host <Ziel-IP> source_network <Netz-IP> source_netmask <Maske>. - host de origem para rede de destino:
dest_network <Netz-IP> dest_netmask <Maske> source_host <Quell-IP>. - rede de origem para rede de destino:
dest_network <Netz-IP> dest_netmask <Maske> source_network <Netz-IP> source_netmask <Maske>.
Redes amplas, como zonas completas de clientes, servidores ou VPN, quase nunca são um bom ponto de partida. É melhor um teste estreito com um host de origem, um host de destino e um serviço claro. Só quando o caso de teste realmente envolve vários hosts se deve considerar uma pequena rede.
A direção também é importante. A Sophos descreve que, para ligações completas, muitas vezes são necessárias entradas para ambas as direções. Isso deve ser feito conscientemente: não reconstruir automaticamente uma lógica Any, mas compreender o caminho de retorno concreto.
Definir o escopo de alterações antes do bypass
Uma regra de bypass nunca deve ser definida espontaneamente durante uma busca por falhas em andamento. Antes de executar o comando add, deve estar claro qual teste específico será respondido com isso e como a alteração será revertida.
Para uma janela de manutenção ou teste limpa, deve-se anotar estes pontos:
- Pergunta de teste: O tráfego definido funciona sem o caminho da firewall stateful?
- Fluxo afetado:
192.168.33.0/24para192.168.46.0/24. - Estado inicial: Saída de
show advanced-firewallantes da alteração. - Caminho de retorno planejado: Comando
delapropriado para cada direção definida. - Critério de interrupção: Tráfego inesperado, nova interrupção ou área de destino incorreta.
- Verificação pós-teste:
show advanced-firewall, captura de pacotes e teste de funcionalidade sem bypass.
O comando de reversão é especialmente importante. Ele deve ser preparado antes de definir, não procurado apenas após o teste. Isso mantém a alteração controlável, mesmo se houver pressão durante a janela de manutenção.
Exemplo: Criar uma regra de bypass
Exemplo:
- Rede de origem:
192.168.33.0/24. - Rede de destino:
192.168.46.0/24. - Máscara de rede de origem:
255.255.255.0. - Máscara de rede de destino:
255.255.255.0.
A regra para a primeira direção:
set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.33.0 source_netmask 255.255.255.0 dest_network 192.168.46.0 dest_netmask 255.255.255.0
Para a direção de retorno, é necessária uma segunda regra, se o tráfego do destino de volta à origem também deve usar o bypass.
set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.46.0 source_netmask 255.255.255.0 dest_network 192.168.33.0 dest_netmask 255.255.255.0
Depois, verificar novamente:
show advanced-firewall
If only a single client and a single server are tested, hosts should be used instead of networks:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.46.20 source_host 192.168.33.10
For the opposite direction accordingly:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.33.10 source_host 192.168.46.20
Verificar o efeito
Após definir, não se deve apenas testar se a aplicação funciona. O crucial é se o bypass realmente afeta apenas o tráfego planejado.
Pontos de verificação:
show advanced-firewallmostra exatamente as redes esperadas.- Não há redes mais amplas do que o planejado.
- Direção e retorno são definidos conscientemente.
- O tráfego de teste funciona apenas entre as fontes e destinos esperados.
- Redes não envolvidas não utilizam o bypass.
- Logs normais da firewall para esse tráfego não são mais esperados como base de decisão.
- A captura de pacotes mostra o tráfego apenas durante o teste planejado.
- A reversão foi realizada imediatamente após o teste.
Se o Log Viewer e o contador de regras de repente não mostrarem mais eventos, isso pode ser causado pelo próprio bypass. Nesse estado, a captura de pacotes é mais útil do que o Log Viewer.
Excluir regra de bypass
Para remover, usa-se o mesmo comando com del em vez de add.
Remover a primeira direção:
set advanced-firewall bypass-stateful-firewall-config del source_network 192.168.33.0 source_netmask 255.255.255.0 dest_network 192.168.46.0 dest_netmask 255.255.255.0
Remover a direção de retorno:
set advanced-firewall bypass-stateful-firewall-config del source_network 192.168.46.0 source_netmask 255.255.255.0 dest_network 192.168.33.0 dest_netmask 255.255.255.0
Depois, verificar novamente:
show advanced-firewall
A saída não deve conter entradas de bypass inesperadas.
Reforçar a segurança após o teste
Uma regra de bypass removida não resolve automaticamente o problema original. O teste apenas mostra que o caminho normal da firewall provavelmente estava envolvido no tráfego testado. Depois, deve-se conscientemente transferir a causa para uma configuração suportada e visível.
Perguntas de acompanhamento úteis:
- Uma regra de firewall normal estava muito restrita ou no lugar errado?: Verificar ordem das regras, zonas, origem, destino, serviço e atribuição de usuário.
- IPS, Web Protection ou Application Control bloquearam?: Documentar assinatura, categoria, política ou exceção direcionada.
- A inspeção TLS estava envolvida?: Verificar regra TLS, certificado, exceção e aplicação afetada de forma limpa.
- Foi um problema de roteamento ou NAT?: Comparar ID da regra NAT, rota de retorno, rota SD-WAN e captura de pacotes.
- O tráfego será necessário permanentemente no futuro?: Criar regra de firewall normal com registro, proprietário e data de revisão.
Após a reversão, deve-se realizar pelo menos um teste de controle sem bypass. Se o tráfego funcionar novamente apenas com bypass, o caso ainda não está encerrado. Então, é necessária uma adaptação limpa de regra, política, NAT ou inspeção, que permaneça visível no Log Viewer e possa ser verificada posteriormente.
Para alterações permanentes, deve-se documentar adicionalmente quais recursos de segurança permanecem conscientemente ativos e qual exceção é realmente necessária. Uma regra de bypass temporária não deve se tornar silenciosamente parte da arquitetura operacional.
Documentação
Cada regra de bypass deve ser documentada:
- Data e hora
- Administrador
- Motivo
- Rede de origem e rede de destino
- Aplicação afetada
- Duração planejada
- Evidência de teste
- Momento da remoção
- Tarefa subsequente, caso seja necessário criar uma regra ou exceção limpa
Sem documentação, as regras de bypass podem permanecer despercebidas. Isso é particularmente perigoso, pois a visão normal em regras de firewall ou Log Viewer não é suficiente para reconhecer a lacuna de segurança.
Checklist
Antes do bypass:
- Regra normal de firewall, NAT, routing, IPS, Web, TLS Inspection e Application Control foram verificados.
- Pergunta de teste concreta definida.
- Origem, destino, direção e direção de retorno documentados.
- Variante mais estreita possível escolhida, de preferência host em vez de rede.
- Estado atual guardado com
show advanced-firewall. - Comando
delpreparado para cada direção planeada. - Ticket, owner, janela temporal e momento de remoção definidos.
Durante o teste:
- Bypass ativo apenas durante o período planeado.
- Tráfego de teste documentado com origem, destino, serviço e hora.
- Packet Capture ou log do sistema de destino usado como evidência.
- Nenhuma rede ou aplicação adicional afetada sem intenção.
Depois do teste:
- Todas as entradas de bypass removidas com
del. show advanced-firewallnão mostra regras de bypass inesperadas.- Teste sem bypass repetido ou problema subsequente documentado.
- Solução permanente planeada como regra normal, policy, ajuste de NAT, routing ou inspection.
- Ticket e documentação operacional atualizados.
Erros comuns
- Redes muito amplas usadas: Mais tráfego do que o planejado contorna a firewall.
- Direção de retorno esquecida: Aplicação funciona apenas parcialmente ou de forma assimétrica.
- Regra não removida: Surge uma lacuna de segurança permanente.
- Sem ticket ou comentário: Posteriormente, não está claro por que o bypass existe.
- Log Viewer esperado como prova: O tráfego não aparece como decisões normais da firewall.
- Bypass usado em vez de exceção direcionada: Recursos de segurança são desnecessariamente desativados.
- Alteração sem janela de manutenção: Erros afetam imediatamente o ambiente de produção.