Configurar corretamente o Sophos Firewall após o Assistente de Configuração
Após o Assistente de Configuração, um Sophos Firewall está acessível, registrado e basicamente operacional. No entanto, ainda não está seguro para operação. O assistente realiza o início, não a arquitetura produtiva.
O artigo reúne os pontos que devem ser verificados após a configuração inicial: acesso à internet, registro, status da licença, firmware, backup, zonas, Device Access, DNS, DHCP, regras de firewall, NAT, logging e primeiras medidas de hardening. Ele é pensado como uma lista de verificação prática para novos hardwares XGS, firewalls virtuais e pequenas migrações.
Se for uma migração de XG para XGS, hardware para virtual ou uma restauração para um dispositivo de substituição, deve-se verificar adicionalmente Criar ou restaurar backup do Sophos Firewall e Sophos XG vs. XGS: Diferenças, EOL e Migração.
Caminho rápido após o primeiro login
Quando o firewall acaba de sair do assistente, nem todos os detalhes são imediatamente urgentes. Nos primeiros 30 minutos, o foco é não perder o acesso, garantir o estado e reconhecer os maiores riscos operacionais.
Esta ordem é sensata para a maioria das novas instalações:
- Proteger o acesso do administrador: Documentar senha, Secure Storage Master Key e um segundo acesso de administrador ou de emergência.
- Verificar licença e registro: Em Administration > Licensing, verificar se o modelo, número de série, Base License e assinaturas estão corretos.
- Criar backup: Antes de outras alterações, baixar um backup manual e armazená-lo externamente.
- Verificar firmware e padrões: Verificar versão do firmware, hotfixes e atualizações de padrões, mas instalar atualizações apenas com janela de manutenção e plano de rollback.
- Limitar Device Access: Não deixar WebAdmin e SSH amplamente acessíveis a partir de zonas de cliente, convidado, IoT ou WAN.
- Verificar zonas e interfaces: Verificar WAN, LAN, VLANs, pontes, rede de gerenciamento e futuras zonas de segurança contra o plano de rede.
- Avaliar regras padrão: Não adotar as primeiras regras de firewall e NAT como design de segurança final.
- Ativar logging: Em regras importantes, ativar Log firewall traffic para que testes futuros sejam rastreáveis no Log Viewer.
Somente quando esses pontos estiverem em ordem, deve-se configurar tráfego produtivo, acesso remoto, WAF, SD-WAN, RED ou TLS Inspection. Caso contrário, a solução de problemas se tornará desnecessariamente difícil, pois não ficará claro se um problema vem da configuração básica, de uma função de segurança ou de uma aplicação.
Artigos de configuração adicionais por situação
Após o assistente, o trabalho rapidamente se ramifica em várias áreas. Para novos firewalls, esta ordem é sensata:
- Estruturar configuração inicial logo após o assistente: Este artigo
- Conectar firewall ao Sophos Central ou entender limites do Central: Conectar Sophos Firewall ao Sophos Central
- Entender status da licença, Base License e assinaturas: Entender a Base License do Sophos Firewall
- Preparar backup e restauração antes da primeira alteração: Criar ou restaurar backup do Sophos Firewall
- Proteger WebAdmin, SSH, User Portal ou VPN Portal: Configurar corretamente o Device Access no Sophos Firewall
- Planejar corretamente zonas, interfaces, VLANs ou pontes: Configurar zonas e interfaces no Sophos Firewall
- Entender as primeiras regras de firewall e NAT: Entender e configurar corretamente as regras do Sophos Firewall
- Ajustar DNS, DHCP ou resolução de nomes interna: Configurar DNS Request Routes no Sophos Firewall
- Planejar logs, relatórios e armazenamento prolongado: Ativar Central Firewall Reporting
- Priorizar achados de segurança após SFOS 22: Utilizar corretamente o Sophos Firewall Health Check
- Preparar atualização de firmware ou upgrade para SFOS 22: Verificar Sophos Firewall antes do upgrade para SFOS 22
Essa separação é importante porque um assistente bem-sucedido não significa uma arquitetura de segurança completa. Antes do tráfego produtivo, devem ser verificadas conscientemente o acesso de gerenciamento, backup, licença, zonas, regras, logging e funções de proteção.
Preparar antes da configuração
Antes de iniciar o assistente, devem estar claros o acesso, a ligação WAN, a rede de gestão e o contexto de licenciamento. Isto evita improvisações durante a configuração e correções posteriores de pressupostos pouco claros.
Pré-requisitos para a configuração
Antes da configuração, deve estar claro como o firewall será integrado à rede. Muitos problemas posteriores não surgem no assistente em si, mas porque WAN, LAN, DNS, acesso de gerenciamento ou dados de licença são improvisados.
Antes de começar, tenha à mão:
- Modelo do firewall, número de série e localização planejada.
- Dados de acesso WAN ou informações do provedor, como DHCP, IP estático, PPPoE, VLAN ou roteador pré-configurado.
- Rede de destino interna para o primeiro acesso LAN ou de gerenciamento.
- Servidores DNS que funcionem durante a configuração.
- Acesso ao Sophos Central ou uma pessoa que possa gerar um OTP para o registro.
- Senha de administrador planejada e local de armazenamento no gerenciador de senhas.
- Decisão se o firewall será configurado do zero ou restaurado a partir de um backup.
O firewall precisa de uma conexão de internet funcional para registro, sincronização de licença, atualizações de padrões e conexão com o Central. Se um dispositivo upstream filtrar o tráfego de saída, pelo menos o acesso HTTPS necessário deve funcionar. Em configurações de provedor mais complexas, o acesso WAN deve ser planejado conscientemente antes, em vez de adivinhado durante o assistente.
Conexões e configuração de rede
Dependendo do modelo, os nomes das portas e a atribuição padrão podem variar. Em muitos appliances de hardware, o primeiro acesso LAN é possível através do endereço padrão, enquanto modelos maiores podem ter uma porta de gerenciamento dedicada.
Acessos típicos iniciais:
- Porta LAN com
https://172.16.16.16:4444: Configuração inicial através da rede de configuração local - Porta MGMT com
https://10.0.1.1:4444: Acesso de gerenciamento dedicado em modelos com porta MGMT - Console serial ou acesso local: Cenários de emergência ou reimage
O cliente para a configuração inicial deve estar conectado diretamente ou através de uma rede de configuração controlada. Servidores DHCP antigos, VLANs incorretas ou uma porta de switch produtiva com configuração de porta inesperada podem dificultar desnecessariamente a configuração inicial.
Acesso à interface web
Para configurar, acesse a WebAdmin Console através de um navegador web. Dependendo da interface, um destes endereços será usado:
- Porta LAN:
https://172.16.16.16:4444 - Porta de gerenciamento:
https://10.0.1.1:4444
No primeiro acesso, o firewall usa um certificado assinado localmente. O aviso do navegador é normal neste momento, mas não deve ser ignorado posteriormente. Para o acesso produtivo ao WebAdmin, deve-se planejar um certificado adequado, especialmente se vários administradores, gerenciamento central ou um FQDN de gerenciamento forem usados.
Enquanto o usuário padrão admin com a senha padrão ainda for usado, aplicam-se restrições adicionais. SSH a partir da zona WAN não é rejeitado normalmente; o firewall fecha a conexão silenciosamente. WebAdmin a partir da zona WAN mostra uma mensagem Forbidden. SCP com as credenciais padrão não é utilizável nas zonas LAN e WAN. Esse estado deve ser entendido como fase de instalação, não como modelo operacional.
Executar o Assistente de Configuração
O Assistente de Configuração configura o firewall a um nível básico. Nesta fase, o objetivo ainda não é o desenho de segurança final, mas colocar o firewall online, registado e administrável de forma controlada.
Configuração inicial com o assistente de configuração
O Setup Wizard solicita os dados básicos e coloca o firewall em um estado inicializável. Esses pontos devem ser definidos conscientemente:
- Aceitar os Termos de Uso do Usuário Final da Sophos.
- Iniciar a configuração.
- Definir e armazenar com segurança a senha do administrador.
- Definir o nome do firewall e o fuso horário.
- Informar o número de série ou dados de licença existentes.
- Permitir que a atualização de firmware seja instalada automaticamente durante a configuração apenas se o acesso à internet e a janela de manutenção forem adequados.
- Criar o Secure Storage Master Key e documentá-lo no gerenciador de senhas.
- Realizar o registro e a sincronização de licença ou adiar conscientemente para mais tarde.
O Secure Storage Master Key é importante para dados protegidos e cenários de restauração. Ele não deve ser armazenado em um arquivo de texto local no notebook do administrador, mas em um procedimento de senha ou recuperação controlado. Se for perdido, pode ser tecnicamente redefinido, mas backups ou dados protegidos existentes não podem ser automaticamente descriptografados.
Verificação de conexão à internet e DNS
No assistente, é verificado se o firewall alcança a internet. Se a verificação falhar, não deve ser inserido “qualquer DNS”. É melhor uma delimitação clara:
- A interface WAN tem um endereço IP válido?
- O gateway padrão está correto?
- PPPoE, VLAN ou roteamento estático são necessários?
- O firewall consegue resolver DNS?
- O tráfego HTTPS de saída está sendo bloqueado por um dispositivo pré-configurado?
- Data, hora e fuso horário estão corretos?
Para ambientes produtivos, o DNS não deve ser definido aleatoriamente para resolvers públicos se for necessária resolução de nomes interna. Após a configuração inicial, domínios internos devem ser encaminhados corretamente para servidores DNS internos através de DNS request routes no Sophos Firewall.
Registro do Sophos Firewall
O registro conecta o firewall ao contexto de licença e Central da Sophos. Pode ser realizado diretamente no assistente ou mais tarde durante a operação. Para firewalls produtivos, este passo não deve ficar aberto por muito tempo, pois o status da licença, suporte, assinaturas e funções do Central dependem disso.
A Sophos suporta vários métodos de registro. Em ambientes de parceiros ou clientes, o OTP é particularmente prático, pois nem todo administrador precisa conhecer as credenciais de super administrador do Sophos Central.
Procedimento típico:
- Ter à mão o número de série do firewall.
- Registrar o firewall no Sophos Central ou gerar um OTP através de um administrador do Sophos Central.
- Inserir o OTP no firewall.
- Concluir o registro.
- Em seguida, em Administration > Licensing, verificar se o firewall está registrado corretamente.
Importante: O Sophos Central Firewall Management requer uma assinatura paga ou um contexto de suporte/pacote adequado. A Base Firewall License por si só não é suficiente para todas as funções de gerenciamento central.
Ativação de licenças
Após o registro, o firewall verifica suas licenças no servidor de licenças da Sophos. Se o firewall tiver acesso à internet, as informações de licença são sincronizadas regularmente. Além disso, pode-se iniciar manualmente a sincronização na WebAdmin Console.
Em Administration > Licensing, deve-se verificar:
- O modelo correto está registrado com o número de série correto?
- A Base License está ativa?
- Suporte, Xstream Protection, Standard Protection ou assinaturas individuais estão visíveis corretamente?
- As datas de validade são plausíveis?
- Uma nova chave de licença foi realmente aplicada ou apenas registrada no portal?
- Após
Synchronize, o firewall mostra o mesmo status que o Sophos Central?
Sem a licença adequada, muitas funções de proteção não funcionam ou funcionam de forma limitada. Isso afeta, dependendo da função, por exemplo, IPS, Web Protection, Zero-Day Protection, DNS Protection, Central Orchestration, Active Threat Response ou serviços de suporte. As bases sobre suporte e módulos estão em Entender a Base License do Sophos Firewall e Quais pacotes Sophos Firewall existem?.
Conexão à plataforma Sophos Central
Para a operação local de um único Sophos Firewall, o Sophos Central não é estritamente necessário. O firewall pode ser totalmente operado através do WebAdmin. No entanto, o Sophos Central traz vantagens se essas funções forem conscientemente utilizadas:
- visão centralizada de um ou mais firewalls,
- Central Firewall Management sem publicação direta do WebAdmin na internet,
- Central Backups,
- Central Firewall Reporting,
- dependendo da licença, armazenamento de logs mais longo e funções de relatório adicionais,
- Security Heartbeat e Synchronized Application Control em ambientes Sophos Endpoint,
- integração em outros processos do Sophos Central.
É importante ter a expectativa correta: o Sophos Central não substitui a documentação operacional local e nem um processo administrativo limpo. Quem ativa o Central Management deve definir conscientemente funções, MFA, acesso, armazenamento de backup e retenção de relatórios.
Mais sobre isso está no artigo Conectar Sophos Firewall ao Sophos Central: Vantagens e Limites.
Conclusão da configuração
Após a conclusão da configuração, o firewall reinicia ou redireciona para a tela de login. Depois disso, não se deve começar diretamente com o tráfego produtivo, mas primeiro verificar o estado básico.
Logo após o primeiro login, verificar:
- Data, hora e fuso horário.
- Versão do firmware e atualizações de padrões.
- Status da licença em Administration > Licensing.
- Status da WAN e acesso à internet.
- Senha do administrador e Secure Storage Master Key no gerenciador de senhas.
- Configuração de backup.
- Acessibilidade da WebAdmin Console apenas a partir das redes desejadas.
- Regras padrão, NAT e DNS.
- Primeiros logs no Log viewer.
Preparar o firewall para produção após o Assistente de Configuração
Depois do assistente começa o trabalho real: o firewall deve ser reforçado, integrado na arquitetura de rede, documentado e preparado para troubleshooting. Estes passos influenciam mais a operação futura do que o próprio assistente.
Por que o Assistente de Configuração não é suficiente
O assistente cria uma configuração básica, mas não uma arquitetura de segurança completa. Interfaces, zonas, Device Access, DNS, DHCP, regras de firewall, NAT, logs, backups e perfis de proteção devem ser conscientemente verificados.
Um Sophos Firewall não é um roteador de consumidor, onde se está pronto após o assistente. Planejado corretamente, ele pode proteger muito bem uma rede, mas apenas se a arquitetura estiver correta: as zonas devem corresponder à lógica de segurança, os acessos de gerenciamento devem ser restritos, as regras devem ser criadas conscientemente e documentadas, e funções de proteção como filtro web, IPS, Application Control ou TLS Inspection devem ser ativadas e testadas de forma direcionada. Um firewall configurado incorretamente pode criar uma falsa sensação de segurança.
Primeiro, vale a pena dar uma olhada no Control Center. Lá, você vê o estado do sistema, tráfego, informações de usuários e dispositivos, regras de firewall ativas, relatórios e avisos como nova firmware ou achados de Health-Check. Avisos e dicas nesta área não devem ser simplesmente ignorados, mas usados como uma lista de verificação prática para o trabalho posterior.
Verificar firmware, licença e backup
Em Backup & firmware, verifica-se se o firmware ativo está atualizado. Atualizações de firmware são relevantes para a segurança, pois corrigem erros, melhoram a estabilidade e aplicam correções de segurança. As atualizações não devem ser adiadas indefinidamente, mas também não devem ser instaladas sem preparação.
O Sophos Firewall trabalha com dois slots de firmware. Assim, em caso de problemas, pode-se inicializar novamente com um firmware anterior. No entanto, antes de qualquer grande alteração, deve-se criar um backup manual. Para firewalls produtivos, planeja-se uma janela de manutenção, verifica-se as notas de lançamento, o status de HA, o espaço livre, as dependências de VPN e a acessibilidade externa.
Em Backup & firmware, deve-se também configurar um backup regular. Para backups criptografados, é necessário uma senha de backup. Para a restauração de dados sensíveis, o Secure Storage Master Key também é relevante. Esta chave deve estar em um gerenciador de senhas. Se for perdida, pode ser redefinida através do console, mas backups protegidos existentes não podem ser restaurados normalmente.
Em seguida, verifica-se em Administration > Licensing se o registro, a Base License e as assinaturas contratadas são exibidas corretamente. Para o tema de atualização, os artigos Atualização de Firmware do Sophos Firewall: Preparação e Melhores Práticas e Atualização do Firmware no Sophos Firewall são úteis. Backups são explicados em mais detalhes no artigo Criar ou restaurar backup do Sophos Firewall.
Planejar corretamente zonas e interfaces
O assistente pode agrupar várias portas LAN em uma ponte em appliances de hardware. Isso é prático para um início rápido, mas nem sempre é a melhor arquitetura final. Em Network > Interfaces, deve-se verificar quais portas, VLANs, pontes ou LAGs são realmente necessárias.
Cada interface está associada a uma zona específica. Essa associação determina posteriormente como as regras de firewall, Device Access e perfis de proteção são aplicados. Zonas produtivas típicas são, por exemplo, LAN, Server, DMZ, Guest, VoIP, Management ou VPN. Nem toda VLAN precisa necessariamente de uma zona própria, mas cada zona deve ter um significado claro de segurança.
Mais sobre isso está no artigo Planejar e configurar zonas e interfaces no Sophos Firewall.
Proteger o Device Access
Um erro comum após a configuração inicial é permitir muito acesso de gerenciamento. Acessos a serviços locais do firewall, como WebAdmin, SSH, User Portal, VPN Portal, DNS ou Ping, não são controlados por regras de firewall normais. Para isso, é responsável Administration > Device access.
⚠️ WebAdmin, SSH, User Portal e VPN Portal nunca devem estar acessíveis apenas porque a base de regras da firewall parece limpa. Estes serviços dependem de Device Access e Local Service ACLs. Após cada alteração, deve testar-se ativamente a partir de que zonas e redes de origem o acesso é realmente possível.
Para sistemas produtivos, HTTPS e SSH não devem ser amplamente permitidos a partir de zonas inseguras. Se o acesso externo for necessário, deve-se trabalhar com uma Local service ACL exception rule e limitar o acesso a endereços IP fixos ou redes de gerenciamento definidas. Alternativamente, o Sophos Central Firewall Management é muitas vezes a solução mais limpa.
Mais sobre isso está no artigo Configurar corretamente o Device Access no Sophos Firewall.
Definir contas de administrador, MFA e fallback
Após o primeiro login, não se deve trabalhar permanentemente com um acesso de administrador compartilhado. Para o dia a dia, administradores próprios, funções claras e um acesso de emergência documentado são melhores. Assim, pode-se rastrear posteriormente quem fez uma alteração, e uma única senha comprometida não se torna automaticamente acesso total ao firewall.
Para novos firewalls, esta ordem é sensata:
- Testar pelo menos um segundo acesso administrativo antes de ativar amplamente o MFA.
- Tratar o usuário padrão local
admincomo uma conta de emergência e não usá-lo como usuário diário. - Planejar a ativação do MFA para WebAdmin, VPN Portal e Remote Access.
- Documentar funções e responsabilidades, especialmente se o Sophos Central Firewall Management for utilizado.
- Definir redefinição de token, armazenamento de senha e acesso fora do horário comercial.
O MFA reduz o risco de credenciais roubadas, mas não substitui a restrição de acesso. Portanto, MFA para WebAdmin, VPN Portal e Remote Access do Sophos Firewall e Device Access devem ser usados juntos. Se várias pessoas trabalharem através do Sophos Central, as Funções Administrativas do Sophos Central também devem ser verificadas.
Verificar DNS, DHCP e resolução de nomes interna
Em Network > DNS, define-se como o firewall obtém servidores DNS: por DHCP, através de informações PPPoE do provedor ou estaticamente. Para domínios internos, deve-se usar DNS request routes para que consultas para zonas internas sejam direcionadas ao servidor DNS interno correto.
Em novas instalações, o DNS deve ser testado com nomes internos e externos reais. Um teste apenas com google.com não é suficiente se posteriormente forem usados Active Directory, servidores de arquivos, impressoras, sistemas de gerenciamento ou aplicações internas. O importante é, sobretudo, se os clientes recebem os servidores DNS corretos e se o firewall não encaminha acidentalmente domínios internos para resolvers públicos.
Teste prático de DNS:
- Firewall resolve nomes externos: Registro, sincronização de licença, atualizações e conexão com o Central funcionam
- Cliente resolve nomes externos: DHCP, servidor DNS e regra de firewall estão corretos
- Cliente resolve nomes internos: DNS interno ou DNS request route funciona
- Cliente VPN ou VLAN resolve nomes internos: Servidor DNS, domínio de busca e regra de zona estão corretos mesmo fora da primeira LAN
O DHCP é configurado em Network > DHCP por interface. É importante ajustar corretamente os intervalos de DHCP à estrutura de interfaces e VLANs. O servidor DHCP não deve atribuir endereços que já são usados estaticamente para servidores, switches, pontos de acesso, impressoras ou dispositivos de gerenciamento. Além disso, gateway, servidor DNS, nome de domínio e tempo de concessão devem ser definidos conscientemente, para que os clientes não recebam apenas um endereço IP qualquer após a primeira conexão, mas realmente operem na rede prevista.
Se o DHCP for encaminhado através de túneis VPN, o firewall também pode atuar como um DHCP Relay. Para opções especiais de DHCP, há Configurar Opções DHCP no Sophos Firewall.
Verificar as primeiras regras de firewall e NAT
A regra padrão de saída criada pelo assistente não deve ser adotada cegamente. Em Rules and policies > Firewall rules, deve-se verificar quais zonas de origem são permitidas, quais destinos devem ser acessíveis e quais recursos de segurança estão ativos. As regras são processadas de cima para baixo; a primeira regra correspondente vence.
Para começar, deve existir pelo menos uma regra de cliente-para-internet conscientemente nomeada. Esta regra não deve simplesmente permitir Any para Any, mas mostrar claramente zona de origem, rede de origem, destinos, serviços, logging e recursos de segurança. Se a regra for expandida posteriormente, deve permanecer rastreável se ela é destinada a clientes normais, servidores, convidados, IoT ou dispositivos de gerenciamento.
Uma primeira verificação de regra pode ser assim:
- Conectar um cliente de teste na zona prevista.
- Verificar endereço IP, gateway e DNS no cliente.
- Gerar uma chamada HTTPS externa.
- No Log viewer, procurar por IP de origem, destino, serviço e ID da regra.
- Verificar se a regra de firewall e a regra de NAT esperadas foram atingidas.
- Realizar um teste intencionalmente não permitido, por exemplo, a partir de uma zona de convidado ou de gerenciamento.
- Documentar qual regra permanece produtiva e qual regra de assistente ou de teste é removida.
Para NAT, vale: NAT não permite tráfego por si só. Sempre é necessária uma regra de firewall correspondente. Para clientes normais na internet, geralmente é relevante uma regra de Source-NAT com MASQ. Para servidores publicados, é necessário DNAT mais uma regra de firewall correspondente, logging e um teste externo de fora da própria LAN. Para novas configurações, regras de NAT independentes são geralmente mais claras do que Linked NAT Rules. As bases estão em Entender e configurar corretamente as regras do Sophos Firewall e Entender NAT no Sophos Firewall: SNAT, DNAT, MASQ, PAT. Se um servidor interno deve ser publicado, o artigo Publicar servidor por DNAT no Sophos Firewall é adequado.
Ativar conscientemente funções de proteção
Uma regra de firewall não é automaticamente uma regra de proteção completa. Dependendo da licença e do objetivo, IPS, Web Protection, Application Control, Malware-Scanning, TLS Inspection, Zero-Day Protection ou Threat Feeds devem ser conscientemente ativados, testados e documentados.
Ordem prática:
- Criar zonas e regras limpas.
- Ativar logging para regras importantes.
- Ativar IPS e Web Protection onde for adequado.
- Adicionar Application Control para aplicações arriscadas ou indesejadas.
- Introduzir TLS Inspection apenas de forma planejada, com grupo de teste, distribuição de CA e exceções.
- Ativar Threat Feeds, NDR ou Active Threat Response apenas quando o monitoramento e o processo de falsos positivos estiverem claros.
Para o contexto mais amplo de hardening, o artigo Melhores Práticas do Sophos Firewall: Rede, Regras e Segurança é adequado. Para Zero-Day Protection, há Entender e operar a Zero-Day Protection do Sophos Firewall, para TLS Inspection Introduzir TLS Inspection no Sophos Firewall.
Preparar logging e troubleshooting
Em regras de firewall importantes, deve-se ativar Log firewall traffic, caso contrário, muitas vezes faltam exatamente as informações necessárias para a solução de problemas. Isso não é óbvio para muitos: se uma regra de firewall não faz logging, o tráfego correspondente também não aparece de forma significativa no Log Viewer. Pode-se ver talvez outros eventos do sistema, mas não a decisão de regra concreta que se procura.
Em System services > Log settings, pode-se definir quais tipos de log são enviados localmente, para servidores Syslog ou para o Sophos Central. O firewall possui arquivos de log locais e um banco de dados de relatórios interno, mas estes não são destinados a um arquivo de longo prazo para semanas, meses ou anos. Se os logs devem ser armazenados permanentemente ou pesquisados centralmente, é necessário um servidor Syslog externo ou o Sophos Central Firewall Reporting.
Para o Sophos Central, em linhas gerais: com uma assinatura de firewall ativa, os Central Firewall Reports estão disponíveis por um período limitado. Com Xstream Protection ou Central Orchestration, são possíveis análises mais longas. Com o Sophos Central Firewall Reporting Advanced, obtém-se armazenamento adicional e uma retenção significativamente mais longa. Os detalhes estão em Ativar Central Firewall Reporting.
Para análises iniciais, geralmente são suficientes Log viewer, Policy tester e Packet capture. Para análises mais profundas, pode-se adicionalmente salvar logs de CLI, ativar logs de depuração ou usar tcpdump. Logs de depuração devem ser ativados apenas de forma direcionada e por tempo limitado, pois geram significativamente mais dados. Como testar regras é mostrado em Testar regra de firewall com Log Viewer, Policy Test e Packet Capture. Para Packet Capture, nomes de serviços e arquivos de log, há os artigos Usar a ferramenta Packet Capture no WebAdmin e Solução de problemas no Sophos Firewall: Serviços e Logs. Se os logs devem ser coletados para suporte ou análise externa, ajuda Salvar logs do Sophos Firewall para análise externa.
Teste de aceitação antes do tráfego produtivo
Antes do go-live, não se deve apenas verificar se “a internet funciona”. Um pequeno teste de aceitação documentado evita muitos casos de suporte posteriores.
Testes sensatos:
- Login de administrador a partir da rede de gerenciamento: WebAdmin é acessível, mas não está aberto a partir de zonas indesejadas
- Segundo administrador ou acesso de emergência: O acesso permanece possível se MFA, SSO ou uma conta de usuário falhar
- Cliente da LAN para a internet: Regra de firewall, NAT, DNS e política de segurança funcionam como esperado
- Nome DNS interno: DNS request routes ou resolvers internos funcionam
- Tráfego de teste bloqueado: Log Viewer mostra a regra correspondente ou o drop esperado
- Download e armazenamento de backup: O backup não é apenas criado, mas também encontrado
- Destino Central ou Syslog: Logs e relatórios chegam fora do firewall, se planejado
O teste deve ser brevemente documentado: data, versão do firmware, localização, IP de origem testado, destino, resultado esperado e pontos pendentes. Isso pode parecer pouco espetacular, mas economiza tempo quando, dias depois, um VPN, uma regra de NAT ou um problema de DNS precisa ser investigado.
Lista de verificação após a configuração inicial
Verificar imediatamente
- Senha do administrador e Secure Storage Master Key armazenados com segurança.
- Firewall registrado e status da licença verificado.
- Versão do firmware e atualizações de padrões verificadas.
- Backup manual criado e armazenado externamente.
- WebAdmin e SSH acessíveis apenas a partir das redes desejadas.
- WebAdmin e SSH testados negativamente de forma ativa a partir de zonas indesejadas.
- Segundo acesso de administrador e conceito de emergência testados.
- WAN, DNS e fuso horário verificados.
- Regra de firewall padrão conscientemente avaliada.
Verificar nos primeiros dias
- Zonas, VLANs, pontes e LAGs planejados corretamente.
- DNS request routes e intervalos de DHCP verificados.
- Regras de firewall e NAT documentadas.
- Logging ativado em regras importantes.
- Backup Central ou processo de backup local configurado.
- Central Reporting, Syslog ou outro destino de log decidido.
- Primeiras regras validadas com Log Viewer, Policy Test e Packet Capture.
Verificar antes da operação produtiva ou go-live
- Acesso de gerenciamento protegido.
- MFA e funções de administrador verificadas.
- IPS, Web Protection, Application Control e outras funções de proteção conscientemente ativadas.
- TLS Inspection planejado apenas com processo de teste e exceção.
- Acesso remoto, IPsec, WAF, RED ou SD-WAN testados separadamente, se usados.
- Caminho de rollback e suporte documentado.
Erros típicos
- Configuração do wizard usada diretamente em produção: Regras demasiado amplas, zonas erradas ou serviços de gestão abertos permanecem. Após o wizard, executar uma checklist operacional própria.
- Secure Storage Master Key não documentado: Restore ou migração tornam-se desnecessariamente difíceis. Guardar imediatamente o SSMK no gestor de palavras-passe.
- WebAdmin acessível a partir da WAN ou redes cliente: Bots, brute force e superfície de ataque desnecessária tornam-se mais prováveis. Device Access e Local Service ACL Exception Rules devem ser restritos.
- MFA ativado sem fallback: Admins podem bloquear-se com problemas de token, hora ou grupos. Testar previamente segundo admin, acesso break-glass e processo de token.
- Logging esquecido nas regras: O troubleshooting posterior fica às cegas.
Log firewall trafficdeve estar ativo nas regras importantes. - DNS resolvido apenas por resolver público: Nomes internos não funcionam de forma fiável. Planear servidores DNS internos e DNS request routes.
- NAT esperado sem regra firewall correspondente: Servidores ou serviços não ficam acessíveis apesar do NAT. Verificar sempre NAT e regra firewall em conjunto.
- Firmware update instalado sem backup: Falta caminho de retorno se surgirem problemas. Verificar backup, release notes e janela de manutenção antes dos updates.
FAQ
O Sophos Firewall está configurado de forma segura após o Assistente de Configuração?
É necessário usar o Sophos Central para um Sophos Firewall?
Qual endereço é usado para o primeiro acesso ao Sophos Firewall?
https://172.16.16.16:4444. Em modelos com porta de gerenciamento dedicada, https://10.0.1.1:4444 também pode ser relevante. O comportamento exato depende do modelo e da conexão.