Saltar para o conteudo
Avanet

Configurar Monitorização sFlow no Sophos Firewall

Sophos Firewall

Com a Monitorização sFlow, um Sophos Firewall pode enviar amostras de tráfego para um coletor externo. Isso permite visualizar picos de volume, fluxos notáveis, destinos incomuns ou distribuição de carga através de interfaces melhor do que apenas com logs ao vivo individuais. A Sophos adicionou sFlow como uma função de monitorização com o Sophos Firewall v22.

A função é especialmente interessante para resolução de problemas, planejamento de capacidade e monitorização de segurança. No entanto, sFlow não substitui o Log viewer nem o Packet Capture ou uma manutenção adequada de logs através do Central Firewall Reporting ou Syslog. sFlow responde a outras perguntas: não “qual regra foi exatamente aplicada?”, mas “quais fluxos de tráfego passam por esta interface e como se distribuem?”. Para o estado do hardware, temperatura, ventoinhas, fontes de alimentação e PoE, o SNMP Hardware Monitoring é mais adequado.

Quando o sFlow é útil

O sFlow é útil quando existe um coletor externo ou um sistema de monitorização e se pretende tornar visíveis os padrões de tráfego ao longo do tempo.

Casos de uso típicos:

  • Identificar picos inesperados de largura de banda em interfaces WAN, LAN ou Core.
  • Melhor classificar o tráfego entre VLANs ou locais.
  • Apoiar o planejamento de capacidade para firewall, uplink ou comutação central.
  • Encontrar fluxos suspeitos como ponto de partida para análise adicional.
  • Comparar dados de monitorização com logs de firewall, Central Reporting ou dados SIEM.

Se apenas uma única conexão precisa ser verificada, o sFlow muitas vezes não é a ferramenta certa. Para testes de desempenho direcionados, o iPerf é mais adequado. Para problemas de conexão específicos, o Log Viewer, Policy Test e Packet Capture são geralmente mais rápidos.

Requisitos

Para o sFlow, é necessário:

  • Sophos Firewall com SFOS 22.0 ou mais recente.
  • Acesso administrativo à Device Console.
  • Um coletor sFlow acessível, como um NMS, SIEM ou ferramenta de análise de fluxo.
  • Uma rede segura entre o firewall e o coletor.
  • Uma decisão clara sobre quais interfaces de hardware devem ser monitorizadas.

A configuração não é feita na interface WebAdmin normal, mas através da Device Console com system sflow. O Advanced Shell não é o local correto para isso. A distinção entre Device Console e Advanced Shell é explicada no artigo Sophos Firewall Troubleshooting: Services e Logs.

Limites importantes antes da ativação

O sFlow parece inofensivo, mas pode ter impactos na operação e segurança.

sFlow não é criptografado

O tráfego sFlow do firewall para o coletor não é criptografado. Portanto, o coletor deve ser acessível através de uma rede de gestão confiável, uma rede de monitorização interna ou um caminho protegido de outra forma.

⚠️ O sFlow não deve ser enviado sem proteção através de redes inseguras. Os dados de fluxo podem tornar visíveis endereços IP internos, relações de comunicação e sistemas de destino.

FastPath é desativado na interface monitorizada

Quando o sFlow está ativo em uma interface, o Fast Path é desativado nessa interface. Isso é especialmente importante em interfaces WAN, LAN ou Core altamente carregadas.

Antes da ativação, deve-se verificar:

  • Qual é a carga da interface?
  • Está a ser utilizado para tráfego de alta produtividade?
  • Existe uma janela de manutenção para o primeiro teste?
  • É possível comparar o desempenho antes e depois da ativação?

Para uma compreensão básica do desempenho do firewall, o artigo Compreender corretamente os dados de desempenho do Sophos Firewall é adequado.

Cluster HA: sFlow só funciona no Primary

Em um cluster HA, o agente sFlow funciona apenas no Primary. Isso deve ser considerado em avaliações e testes de failover. Após uma troca de função, deve-se verificar se o coletor continua a receber dados e se o IP do agente permanece conforme esperado.

Para o planejamento de operação e monitorização em HA, consulte Configurar Alta Disponibilidade no Sophos Firewall.

Planejar Interface e Coletor

O sFlow é configurado em interfaces de hardware. Interfaces dependentes, como aliases e VLANs da interface de hardware escolhida, também podem ser visíveis nas amostras. A seleção da interface deve, portanto, sempre corresponder ao caminho de tráfego real, não apenas ao nome da VLAN ou à avaliação desejada no coletor.

Isso é prático, mas pode levar a interpretações erradas:

  • Se Port1 for monitorizado, interfaces VLAN ou alias associadas também podem ser visíveis na amostragem.
  • Se apenas uma VLAN específica for de interesse, deve-se filtrar corretamente no coletor.
  • Se existirem várias portas Core ou WAN, não se deve ativar todas as interfaces imediatamente.
  • Em designs LAG, Bridge ou VLAN, deve-se saber previamente onde o tráfego relevante realmente flui.

A base limpa para isso é um planejamento compreensível de interfaces e zonas. O artigo Configurar Zonas e Interfaces no Sophos Firewall ajuda na classificação de interfaces físicas, VLANs, Bridges, LAGs e RED.

Planejar Piloto, Privacidade e Caminho de Retorno

Antes da primeira ativação, o sFlow deve ser tratado como uma alteração de monitorização produtiva. A função gera dados adicionais, altera o FastPath na interface monitorizada e envia informações de fluxo para outro sistema. Portanto, não basta apenas inserir o IP do coletor e a taxa de amostragem.

Antes do piloto, estes pontos devem estar claros:

  • Qual problema específico o sFlow deve resolver: planejamento de capacidade, picos de largura de banda, monitorização de segurança ou resolução de problemas?
  • Quem opera o coletor e quem pode ver os dados de fluxo?
  • Por quanto tempo os dados de fluxo serão armazenados?
  • Por qual caminho de rede os pacotes sFlow chegam ao coletor?
  • Qual interface será testada primeiro?
  • Quais métricas são consideradas como linha de base antes da ativação?
  • Quando o sFlow será desativado ou movido para outra interface?

Os dados de fluxo podem tornar visíveis endereços IP internos, relações de comunicação, sistemas de destino, portas e volume de tráfego. Esses dados são menos detalhados do que uma captura de pacotes completa, mas ainda assim relevantes para operações e segurança. Se o coletor estiver conectado a um SIEM ou plataforma de monitorização central, a responsabilidade deve ser tão claramente definida quanto em Enviar Syslog do Sophos Firewall para SIEM.

Para o primeiro teste, um piloto limitado é sensato:

  1. Documentar o estado inicial: carga da interface, carga da CPU, serviços afetados, dados de monitorização existentes.
  2. Selecionar uma única interface que não esteja maximamente carregada.
  3. Definir a taxa de amostragem de forma conservadora.
  4. Verificar a recepção do coletor e a quantidade de dados.
  5. Observar o desempenho, latência e throughput após a ativação.
  6. Testar o caminho de retorno: system sflow off ou remover a interface de monitorização.

O caminho de retorno deve estar claro antes da ativação. Se o desempenho em uma interface produtiva piorar, não se deve alterar simultaneamente a taxa de amostragem, coletor, roteamento e regras de firewall. Primeiro, desative o sFlow ou remova a interface afetada da monitorização com system sflow monitor delete interface-name ..., depois meça novamente.

Adicionar Coletor sFlow

Primeiro, o coletor é definido. A porta padrão para sFlow é frequentemente 6343; em ambientes produtivos, a porta deve corresponder ao coletor utilizado.

Exemplo:

system sflow collector add ip-address 192.0.2.10 port 6343

A Sophos suporta até cinco coletores. Cada coletor é adicionado separadamente.

O status atual pode ser verificado em seguida:

system sflow show

Se um coletor precisar ser removido:

system sflow collector delete ip-address 192.0.2.10 port 6343

Configurar Interface e Taxa de Amostragem

Em seguida, é definido qual interface será monitorizada e com qual taxa de amostragem os pacotes serão selecionados.

Exemplo:

system sflow monitor add interface-name Port1 sampling-rate 1000

A taxa de amostragem decide com que frequência os pacotes são selecionados como amostras. Um número menor gera mais amostras e, portanto, mais detalhes, mas também mais carga e mais dados no coletor. Um número maior reduz a quantidade de dados, mas pode tornar fluxos curtos ou menores menos visíveis.

Os limites relevantes são:

ValorSignificado
400Taxa de amostragem padrão
10menor valor permitido
10000000maior valor permitido

Para começar, um valor conservador é sensato, por exemplo, 1000 ou superior. Depois, deve-se verificar no coletor se a quantidade de dados, nível de detalhe e desempenho correspondem ao objetivo.

Uma interface de monitorização pode ser removida novamente:

system sflow monitor delete interface-name Port1

Definir Intervalo de Polling

Além da amostragem de pacotes, o sFlow também pode consultar estatísticas e contadores de interface em um intervalo. A Sophos permite um intervalo de polling entre 30 e 300 segundos. Com 0, o polling é desativado.

Exemplo:

system sflow polling-interval 80

Desativar polling:

system sflow polling-interval 0

Para a maioria dos ambientes, um intervalo médio é sensato. Intervalos muito curtos geram mais dados e não são automaticamente mais úteis.

Ativar sFlow

Quando o coletor, interface e polling estão planejados, o sFlow é ativado:

system sflow on

Verificar o status:

system sflow show

Desativar sFlow:

system sflow off

Após a ativação, deve-se verificar não apenas o firewall, mas também o coletor. Lá, os dados do IP do agente do firewall devem chegar e ser resolvidos de forma significativa.

Validação após a Ativação

Após a ativação, deve-se verificar os seguintes pontos:

  1. system sflow show mostra o coletor, interface, taxa de amostragem e status corretamente.
  2. O coletor recebe dados sFlow do IP do firewall esperado.
  3. O tempo no firewall e no coletor está correto.
  4. Os nomes das interfaces e a direção do fluxo são compreensíveis no coletor.
  5. A carga no firewall e no coletor permanece não crítica.
  6. A quantidade de dados corresponde ao armazenamento e processamento planejados.
  7. O caminho de retorno definido foi testado uma vez ou pelo menos documentado como um comando concreto.
  8. Em clusters HA, após um failover, verifica-se se os dados continuam a chegar.

Se as regras de firewall, NAT, VPN ou TLS Inspection forem analisadas em paralelo, o sFlow não deve ser considerado isoladamente. Para decisões de conexão específicas, o Log Viewer e o Packet Capture continuam a ser decisivos. Para uma avaliação a longo prazo, deve-se verificar se é necessário Syslog ou Central Reporting adicionalmente.

Resolução de Problemas

Nenhum Tráfego no Coletor

Primeiro, verifique system sflow show. Depois, controle se o IP do coletor, porta, roteamento e regras de firewall correspondem ao coletor. Além disso, deve-se verificar no coletor se a porta UDP está acessível e se os pacotes sFlow recebidos estão a ser descartados.

Apenas Parte do Tráfego é Visível

O sFlow trabalha com amostragem. É normal que nem todos os pacotes individuais sejam visíveis. Se fluxos importantes estiverem faltando, a taxa de amostragem pode ser ajustada ou outra interface escolhida. Em VLANs e aliases, deve-se verificar se a interface de hardware correta está a ser monitorizada.

Desempenho Muda Após Ativação

Se uma interface muito utilizada estiver a ser monitorizada, a desativação do FastPath pode ser relevante. Nesse caso, o sFlow deve ser desativado para teste e o desempenho comparado. Em interfaces Core ou WAN produtivas, um teste planejado é melhor do que uma ativação espontânea.

Dados HA Parecem Incompletos

Em ambientes HA, o agente sFlow funciona no Primary. Após um failover, deve-se verificar qual firewall é atualmente o Primary, qual IP é usado como IP do agente e se o coletor continua a atribuir os dados corretamente.

Lista de Verificação Operacional

  • Colocar o coletor em uma rede segura.
  • Documentar proprietário, propósito, acesso e armazenamento dos dados de fluxo.
  • Verificar porta UDP e roteamento para o coletor.
  • Começar com uma ou poucas interfaces.
  • Capturar linha de base antes e depois para carga de interface, CPU, latência e throughput.
  • Escolher a taxa de amostragem de forma conservadora e ajustar depois.
  • Considerar o impacto do FastPath em interfaces críticas.
  • Documentar caminho de retorno: system sflow off ou remover interface de monitorização.
  • Testar failover HA se o sFlow for usado no cluster.
  • Comparar dados de fluxo com Log Viewer, Packet Capture e Reporting.
  • Verificar regularmente se os dados ainda estão a ser analisados ou apenas coletados sem uso.

FAQ

O que é sFlow no Sophos Firewall?

sFlow é uma função de monitorização que permite ao Sophos Firewall enviar dados de tráfego amostrados e estatísticas de interface para um coletor externo. Isso ajuda na análise de tráfego, planejamento de capacidade e monitorização de segurança.

sFlow é o mesmo que Packet Capture?

Não. Packet Capture mostra pacotes concretos para uma análise direcionada. sFlow fornece amostras e estatísticas sobre fluxos de tráfego. Para correspondência de regras, erros de NAT ou conexões individuais, o Packet Capture continua a ser mais preciso.

O Sophos Firewall criptografa dados sFlow?

Não. O tráfego sFlow do firewall para o coletor não é criptografado. Portanto, o coletor deve ser acessível através de uma rede interna protegida.

Por que o sFlow pode afetar o desempenho?

Quando o sFlow é ativado em uma interface, o Sophos Firewall desativa o FastPath nessa interface. Portanto, o sFlow deve ser testado conscientemente em interfaces muito utilizadas e o desempenho deve ser observado.

Quantos coletores sFlow o Sophos Firewall suporta?

O Sophos Firewall suporta até cinco coletores sFlow. Cada coletor é configurado separadamente com system sflow collector add.