Saltar para o conteudo
Avanet

Sophos Firewall VLAN configurar e testar

Sophos Firewall

Um VLAN no Sophos Firewall é mais do que um ID VLAN. Para que a nova rede realmente funcione, a interface pai, a marcação do switch, a zona, o endereço IP, DHCP, DNS, Device Access, regras de firewall e NAT devem corresponder.

O artigo descreve o fluxo genérico do firewall Sophos e as principais decisões operacionais sobre segmentação, zona, DHCP, regras e testes. Quando se trata de uma implementação concreta com switches UniFi, o artigo VLAN se encaixa em Sophos Firewall e configure o switch UniFi. Para casos de pontes especiais de acordo com SFOS 22, Sophos Firewall Verifique as pontes-VLANs de acordo com SFOS 22 é o melhor começo.

Resposta curta

Um VLAN é criado em Sophos Firewall em Network > Interfaces > Add interface > Add VLAN. Depois disso, você geralmente precisa de:

  • uma zona adequada
  • um endereço IP estático como gateway
  • DHCP servidor ou relé DHCP
  • DNS design
  • Device Access para serviços de firewall locais
  • regras de firewall para a Internet, redes internas ou servidores
  • Registro e um breve teste de aceitação

Somente quando um cliente de teste mostra o endereço IP, gateway, DNS, conexões permitidas, conexões bloqueadas e entradas de log apropriadas é que VLAN é aceito de forma limpa.

Quando um VLAN faz sentido

VLANs separam logicamente as redes da Camada 2 umas das outras. No Sophos Firewall eles são frequentemente usados ​​para rotear múltiplas redes através do mesmo uplink físico ou um LAG.

Aplicações típicas:

  • Separar rede de cliente e rede de servidor
  • Isolar WLAN convidado do interno LAN
  • Colocar telefones VoIP em sua própria rede
  • Limitar IoT, câmeras ou impressoras
  • Rede de gerenciamento para PCs de administração, switches e criação de monitoramento
  • DMZ ou rede de servidor principal por meio de um uplink de switch comum

No entanto, um VLAN não substitui as regras de firewall. Ele garante a separação técnica na Camada 2. Se o tráfego é permitido entre VLANs é então decidido pelo Sophos Firewall por meio de zonas, roteamento, regras de firewall, NAT e políticas de segurança.

VLAN planejando arquitetura

A questão mais importante não é como criar um VLAN. A questão mais importante é quais áreas de segurança devem existir na rede. Muitos problemas surgem porque VLANs são criados puramente tecnicamente: VLAN 10, VLAN 20, VLAN 30. Depois de alguns meses, ninguém sabe quais comunicações deveriam ser permitidas e por que certas redes foram desconectadas.

Recomendamos planejar VLANs primeiro com base no risco, função e responsabilidade operacional. Uma boa estrutura inicial geralmente se parece com esta:

FaixaDispositivos típicosPor que desconectar?
GerenciamentoAdmin PCs, switches, pontos de acesso, monitoramento, controladoresO acesso às interfaces de administração deve ser controlado de perto.
ClientesDispositivos de estação de trabalho, notebooks, dispositivos de usuário normalRede padrão com acesso à Internet e liberações internas direcionadas.
ServidorControladores de domínio, servidores de arquivos, servidores de aplicativosOs servidores não devem ser diretamente acessíveis a partir de todas as redes clientes.
ConvidadosConvidado WLAN, dispositivos externosSem acesso a sistemas internos, principalmente apenas internet.
IoT e câmerasCâmeras, impressoras, sensores, tecnologia de construçãoMuitos dispositivos têm modelos de atualização e segurança fracos.
VoIPTelefones, PBX, SBCQoS, opções próprias de DHCP e acessibilidade clara são úteis.
BackupServidores de backup, repositórios, armazenamento imutávelProteção contra ransomware e movimentação lateral.
DMZSistemas publicamente acessíveis ou proxies reversosÁrea separada para serviços expostos.

Este não é um esquema rígido. Um pequeno escritório não precisa necessariamente de dez VLANs. Porém, um ambiente com múltiplos locais, servidores, WLANs, câmeras, sistemas de backup e acesso externo não deve colocar tudo em um grande LAN.

Classifique a microssegmentação de forma realista

A microssegmentação não significa que cada dispositivo precise do seu próprio VLAN. Na prática, o melhor começo geralmente é a segmentação macro limpa: clientes, servidores, gerenciamento, convidados, IoT, backup e DMZ são separados. Sistemas particularmente críticos podem então ser segmentados de forma mais precisa.

Exemplos para segmentação mais detalhada:

  • Coloque o controlador de domínio em sua própria sub-rede de servidor.
  • Torne os sistemas de backup acessíveis apenas a partir de algumas fontes.
  • Permite rede de câmeras apenas para NVR ou VMS.
  • Torne as impressoras acessíveis apenas através de servidores de impressão ou redes de clientes definidas.
  • Gerenciamento-VLAN aberto apenas para dispositivos de administração e monitoramento.

É importante: cada separação adicional também gera custos operacionais. Precisa de regras, logs, testes, documentação e alguém para manter as exceções. Uma boa segmentação não é tão complicada quanto possível, mas sim compreensível e verificável.

Preparação para ZTNA e acesso moderno

Uma estrutura VLAN limpa também ajuda posteriormente com ZTNA, VPN, SASE ou outros conceitos de acesso. Se os aplicativos internos já estiverem localizados em servidores ou redes de aplicativos claros, o acesso poderá ser publicado de forma mais específica e você não precisará liberar um flat completo LAN.

Para ZTNA é particularmente útil:

  • os servidores de aplicativos estão em redes de servidores conhecidas.
  • O acesso de gerenciamento é separado do tráfego normal do cliente.
  • DNS nomes e rotas internas estão claramente documentados.
  • As regras de firewall mostram quais usuários ou grupos de locais exigem quais alvos.
  • As antigas regras de taxa fixa LAN to LAN ou Any to Any serão desmanteladas.

Se o Sophos ZTNA for usado posteriormente, você poderá começar via Planejar e criar gateway Sophos ZTNA. O planejamento VLAN não é um requisito necessário para isso, mas torna as operações posteriores muito mais limpas.

Quantos VLANs você precisa?

Não existe um número correto fixo. Você deve criar VLANs onde sua própria decisão de segurança for necessária.

PerguntaEm caso afirmativo, isso sugere sua própria VLAN
A rede precisa de outras regras de firewall?Planeje sua própria zona ou pelo menos seu próprio objeto VLAN.
Device Access deveria ser diferente?Sua própria zona geralmente faz sentido.
Existem outras opções DHCP?Seu próprio VLAN geralmente é mais limpo.
O tráfego deve ser registrado ou monitorado separadamente?Próprio VLAN melhora a avaliação e solução de problemas.
Os dispositivos apresentam riscos significativamente diferentes?A separação faz sentido, por exemplo IoT, convidados, backup.
Existem outros responsáveis?Seu próprio VLAN facilita a operação e a documentação.

Mas você não deve forçar imediatamente cada pequeno tópico especial em um novo VLAN. Se duas redes clientes obtiverem exatamente as mesmas regras, a mesma política web e o mesmo Device Access, uma zona comum com objetos de rede claros poderá ser suficiente.

Planeje com antecedência

Antes de criar, o VLAN deve ser brevemente documentado. Não precisa ser um grande plano de rede, mas os valores mais importantes devem estar claros.

CampoExemplo
VLAN NomeClients
VLAN ID100
Sub-rede10.100.0.0/24
Gateway em Sophos Firewall10.100.0.1
Interface paiPort3 ou LAG1
ZonaClient , LAN, Guest , Server ou DMZ
DHCPSophos Firewall, DHCP Relé ou servidor externo
DNSFirewall, servidor DNS interno ou design deliberadamente diferente
FinalidadeClientes de estação de trabalho com acesso à Internet

A zona é particularmente importante. Esta configuração afeta posteriormente regras de firewall, Device Access, políticas da web, IPS, logs e solução de problemas. Sophos Firewall Configurar zonas e interfaces é adequado para planejamento básico de zonas.

Noções básicas sobre interface pai e marcação de switch

A Interface pai é a porta física, ponte ou LAG na qual Sophos Firewall recebe os pacotes marcados VLAN. O ID VLAN no Sophos Firewall deve corresponder exatamente ao que o switch está enviando neste link.

Projetos típicos:

ProjetoDescrição
Porta física como troncoUm uplink de switch transporta vários VLANs marcados para o firewall.
LAG como troncoVárias portas físicas formam um LAG, no qual existem várias interfaces VLAN.
Porta de acesso sem etiqueta VLANUm dispositivo terminal trava sem etiqueta em um VLAN; a marcação acontece no switch, não no cliente.
Ponte com VLANsCaso especial, verifique cuidadosamente especialmente para migrações ou designs transparentes.

Se um PC cliente normal estiver conectado diretamente a uma porta de switch, ele normalmente envia sem etiqueta. O switch então atribui esta porta a VLAN. O Sophos Firewall só vê o VLAN no uplink quando o switch transporta o VLAN marcado para o firewall.

Portas individuais ou VLAN tronco via LAG?

Teoricamente, você pode usar sua própria porta física de firewall por VLAN. Isso é compreensível para instalações muito pequenas, mas é pouco dimensionável. As portas tornam-se escassas, o cabeamento torna-se confuso e as alterações em zonas, switches ou HA tornam-se mais tediosas posteriormente.

Em ambientes produtivos, um design de tronco geralmente é mais limpo:

  1. O Sophos Firewall está conectado a um ou mais switches centrais.
  2. Uma porta física ou LAG transporta vários VLANs marcados.
  3. No firewall, interfaces VLAN separadas são criadas nesta interface pai para cada VLAN.
  4. O firewall continua sendo o gateway padrão para VLANs e decide sobre políticas de roteamento e segurança.

Nossa variante preferida geralmente é LAG com dois uplinks rápidos, por exemplo 2x SFP+, desde que o firewall e os switches suportem isso. Os VLANs são executados nele como interfaces marcadas. Isso não significa automaticamente o dobro da velocidade para uma única sessão, mas fornece mais redundância, mais reservas e um design mais claro do que muitas portas de cobre individuais por VLAN.

DesignVantagemDesvantagem
Pro VLAN sua própria porta de firewallfácil de entender, pouco conhecimento VLAN necessárioescala mal, muitas portas, cabeamento confuso
Uma porta de tronco com VLANssimples, limpo, poucos cabosUplink é ponto único de falha
LAG com VLAN troncoredundante, limpo, facilmente escalávelSwitch e firewall devem LAG/LACP corretamente suportados
Roteamento no switch principalcom muito desempenho em redes grandesO firewall não vê mais totalmente o tráfego interno leste-oeste

Para muitas redes PME e de médio porte, Firewall como gateway padrão para VLANs é a melhor decisão de segurança. Em seguida, o tráfego interno entre VLANs é executado através do Sophos Firewall e pode ser controlado com regras de firewall, IPS, políticas da web, registro em log e funções de segurança posteriores. O roteamento no switch principal pode ser útil se for necessária uma taxa de transferência interna leste-oeste muito alta. Mas então você tem que aceitar conscientemente que o firewall não vê mais todas as comunicações internas.

Como regra geral:

  • Orientado para segurança e claro: VLAN gateways no Sophos Firewall.
  • Desempenho interno muito alto: Verifique o roteamento no switch principal, mas adicione zonas de segurança e ACLs de forma limpa.
  • Novas instalações: Roteie VLANs para o firewall via trunk ou LAG, não desperdice uma única porta por VLAN.
  • Sites pequenos: Uma única porta de tronco pode ser suficiente se a redundância não for necessária.

Equívocos comuns:

  • O VLAN é criado no firewall, mas o uplink do switch não o transporta.
  • O VLAN está marcado na porta de acesso, embora o cliente espere que não esteja marcado.
  • O ID VLAN não corresponde no switch e no firewall.
  • O VLAN foi criado na interface pai errada.
  • A interface pai foi operada como uma porta de acesso normal em vez de um tronco.

Criar interface VLAN

Caminho do menu:

Network > Interfaces > Add interface > Add VLAN

Procedimento:

  1. Atribuir nome, por exemplo Clients VLAN 100.
  2. Selecione a interface pai como Interface, por exemplo Port3 ou LAG1.
  3. Zona de rede selecione conscientemente.
  4. Insira VLAN ID, por exemplo 100.
  5. Em configuração IPv4 geralmente use Static .
  6. Insira o endereço IP e a máscara de sub-rede, por exemplo 10.100.0.1/24.
  7. Salve.

Para VLANs internos o IP do firewall geralmente é o gateway padrão dos clientes. Se outro sistema estiver roteando ou o firewall detectar apenas determinadas redes, esse projeto deverá ser documentado explicitamente. Caso contrário, você procurará regras de firewall posteriormente, mesmo que o cliente não esteja usando Sophos Firewall como gateway.

DHCP e DNS configurados

Após a interface VLAN, é necessária uma decisão para atribuir endereços.

VarianteQuando útil
DHCP em Sophos Firewalllocais simples, cliente, convidado, redes IoT ou VoIP
DHCP Retransmissãoservidor central do Windows DHCP ou infraestrutura DHCP existente
Servidor DHCP externo em o VLANCaso especial quando um servidor é responsável diretamente no VLAN
IPs estáticospequenas redes de servidores, gerenciamento ou infraestrutura

DHCP no Sophos Firewall é criado em Network > DHCP. Interface, intervalo, gateway, servidor DNS e domínio de pesquisa são importantes. Opções especiais como PXE, VoIP ou valores específicos do fabricante são descritos em Sophos Firewall DHCP Configurar Opções.

Ao projetar o DNS, você deve decidir claramente se os clientes usam o Sophos Firewall como encaminhadores DNS ou perguntar diretamente aos servidores DNS internos. Quando o firewall atua como um encaminhador DNS, os domínios internos geralmente precisam ser encaminhados para os servidores DNS corretos por meio de DNS Rotas de solicitação em Sophos Firewall.

Device Access check

Device Access controla os serviços locais do Sophos Firewall. Isso não é o mesmo que uma regra de firewall entre VLANs.

Exemplos típicos:

  • Os clientes devem usar o firewall como um servidor DNS: permita DNS para a zona.
  • A solução de problemas deve permitir ping no firewall: habilite conscientemente Ping/Ping6.
  • Cliente normal, convidado ou IoT VLANs não devem ter acesso WebAdmin ou SSH.
  • O acesso de gerenciamento deve ser feito por meio de uma rede administrativa dedicada ou de regras de exceção de ACL de serviço local.

O procedimento exato está em Sophos Firewall Acesso seguro: configure Device Access corretamente.

regras de firewall e suplemento NAT

Um novo VLAN precisa então de regras de firewall apropriadas. Sem regra, um cliente pode obter um endereço IP, mas não automaticamente na Internet ou em outras redes internas.

Uma primeira regra simples da Internet poderia ser assim:

CampoExemplo
Nome da regraClients_to_WAN
Zonas de origemClient ou LAN
Redes de origemVLAN rede, por exemplo 10.100.0.0/24
Zonas de destinoWAN
Redes de destinoAny
Serviçosserviços necessários conscientemente, não automaticamente Any
Registrar tráfego de firewallativado

Devem ser criadas regras separadas para acesso interno. Um convidado, IoT ou câmera VLAN não deve ter permissão para entrar no servidor ou na rede de gerenciamento em geral. O planejamento de regras é descrito com mais detalhes em Sophos Firewall-Compreendendo e configurando regras com segurança.

NAT não é necessário para todo tráfego VLAN. Para acesso normal à Internet, a regra MASQ ou SNAT existente é frequentemente usada. Entre VLANs NAT geralmente está errado porque os sistemas de destino não veem mais o IP real do cliente. A classificação está em NAT entenda Sophos Firewall: SNAT, DNAT, MASQ, PAT.

Teste de aceitação

Um VLAN só está pronto quando o fluxo de pacotes for comprovado. Um único ping não é suficiente.

Sequência de teste útil:

  1. Conecte o cliente de teste à porta do switch ou SSID pretendido.
  2. Verifique se o cliente recebe um endereço IP do VLAN correto.
  3. Verifique o gateway, o servidor DNS e o domínio de pesquisa.
  4. Faça ping no IP do firewall em VLAN se o ping for permitido.
  5. DNS Teste a resolução para nomes internos e externos.
  6. Teste permitiu acesso à Internet.
  7. Teste permitiu acesso interno, se fornecido.
  8. Teste deliberadamente o acesso interno não permitido e verifique o bloco em Log Viewer.
  9. Em Log Viewer Verifique o ID da regra, a zona de origem, a zona de destino e o ID NAT.
  10. Se não estiver claro, use Captura de pacotes na interface VLAN.

Para a avaliação com Log Viewer, Policy Test e Packet Capture, Sophos Firewall Test Rule com Log Viewer, Policy Test e Packet Capture é adequado.

Erros típicos

ErroSintomaPróxima verificação
VLAN não permitido no uplink do switchO cliente não obtém um IP ou não alcança o gatewayVerifique o tronco/marcado VLAN no switch
Interface pai erradaFirewall não vê o tráfegoCompare VLAN interface e cabeamento físico
Porta do cliente marcada em vez de não marcadaClientes normais não acabam no VLANVerifique a porta de acesso ou o perfil nativo VLAN
DHCP ausente ou incorreto DHCP respondeO cliente obtém nenhum ou IP erradoDHCP aluga e verifica Packet Capture para UDP 67/68
DNS Device Access faltandoO tráfego de IP funciona, a resolução de nome não éDevice Access e verifica o cliente DNS
Zona errada selecionadaRegras ou políticas não funcionam como esperadoCompare a zona de interface e as regras de firewall
A regra de firewall está ausenteO cliente tem IP, mas o tráfego está bloqueadoLog Viewer e verificação de ID de regra
NAT entre VLANs internossistemas de destino veem IP de origem incorretoverificam regras NAT e planejam exceções internas NAT

Se uma regra não for correspondida, o problema geralmente está na marcação de zona, rede de origem, gateway ou switch. O artigo Sophos Firewall regra não se aplica: verifique as causas ajuda na distinção.

Verificação operacional

Para VLANs produtivos, não apenas a configuração inicial deve estar correta. É crucial que os administradores posteriores possam entender por que VLAN existe e quais regras pertencem a ele.

Você deve documentar:

  • VLAN ID, nome e sub-rede
  • Interface pai e switch uplink
  • Zona e finalidade de segurança
  • DHCP fonte e DNS servidor
  • zonas alvo e serviços permitidos
  • NAT decisão
  • proprietário responsável
  • cliente de teste ou procedimento de teste
  • data da última verificação de regra

Para ambientes maiores, uma matriz de acesso simples também vale a pena. Tal matriz mostra quais VLANs podem conversar entre si e quais permanecem deliberadamente separados.

Uma matriz de acesso simples pode ser assim:

DeApósDecisão
ClientesInternetpermitida com Política da Web, DNS Proteção e Registro
ClientesServidorapenas os definidos Aplicativo portas
ConvidadosInternobloqueado
IoTInternetapenas alvos e portas necessários
IoTServidorapenas para NVR, servidor de impressão ou sistemas de gerenciamento
GerenciamentoInfraestruturapermitido para protocolos administrativos
BackupServidorespecificamente permitido, limite fortemente a direção reversa

Esta matriz é frequentemente mais importante do que a própria lista VLAN. Isso evita que regras gerais sejam criadas posteriormente e que na verdade anulem a segmentação.

Perguntas frequentes

Como você configura um VLAN em Sophos Firewall?

Você cria uma nova interface VLAN em Network > Interfaces > Add interface > Add VLAN, seleciona a interface pai correta, define VLAN ID, zona e endereço IP e então adiciona DHCP, Device Access, regras de firewall e testes.

Cada VLAN precisa de sua própria zona?

Não necessariamente. Uma zona separada faz sentido se VLAN precisar de um nível de confiança diferente, regras de acesso a dispositivos diferentes ou suas próprias políticas de firewall. Vários VLANs com políticas idênticas também podem estar na mesma zona.

O roteamento entre VLANs deve passar pelo firewall ou pelo switch?

Para redes relevantes para a segurança, o roteamento via Sophos Firewall é geralmente melhor porque regras, logs e políticas de segurança entram em vigor centralmente. O roteamento no switch principal pode fazer sentido se houver um tráfego leste-oeste muito alto, mas deverá ser protegido com ACLs, monitoramento e documentação clara.

Um LAG com vários VLANs é melhor do que uma porta por VLAN?

Para ambientes mais produtivos, um tronco VLAN é mais limpo do que um LAG. Você economiza portas, reduz cabos, aumenta a redundância e pode controlar muitos VLANs através da mesma conexão de firewall. Uma porta por VLAN é mais adequada para configurações muito pequenas ou temporárias.

Por que o cliente não obtém um endereço IP em VLAN?

Freqüentemente, VLAN não pode ser marcado no uplink do switch, a porta do cliente está atribuída incorretamente, DHCP está faltando ou outro servidor DHCP está respondendo. Um Packet Capture em DHCP 67/68 geralmente ajuda mais rápido do que clicar novamente em WebAdmin.

NAT precisa ser ativado entre VLANs internos?

Principalmente não. Entre VLANs internos normalmente devem ser roteados e permitidos ou bloqueados por meio de regras de firewall. NAT entre redes internas dificulta os registros, as rotas de retorno e a solução de problemas.

Por que a Internet funciona, mas não há acesso aos servidores internos?

Então provavelmente existe uma regra LAN-to-WAN funcionando, mas nenhuma regra correspondente de VLAN para a zona do servidor. Verifique Zona de Origem, Zona de Destino, Rede de Origem, Objeto de Destino, Serviço e ID de Regra em Log Viewer.