Hoppa till innehållet
Avanet

Sophos Firewall Använd förbikopplingsregeln på ett säkert sätt

En bypass-regel på Sophos Firewall är inte ett normalt tillåtet objekt och är inte en ersättning för en ren brandväggsregel. Den definierade trafiken förbigår alltså den normala tillståndsbestämda brandväggsvägen. Detta kringgår också många funktioner som du medvetet förlitar dig på i vardagen: brandväggsregler, Log Viewer, IPS, webbfilter, Application Control, skanning av skadlig programvara eller andra säkerhetsfunktioner.

Bypass-regler är därför endast användbara för snävt definierade specialfall, till exempel för kortsiktig felsökning med vägledning, för ett mycket specifikt kompatibilitetsundantag eller för en tydligt dokumenterad lösning. För normala utgåvor, prestandaproblem eller falska positiva resultat bör du först kontrollera specifika regler, undantag eller policyer.

⚠️ En förbikopplingsregel minskar kraftigt brandväggens synlighet och skyddande effekt. Bypass-regler bör alltid definieras snävt, dokumenteras, testas och tas bort efter färdigställandet.

Typiska verkliga tillfällen är specialfall med asymmetrisk routing, ovanligt protokollbeteende eller en kortsiktig leverantörsanalys. När orsaken är klar bör lösningen återgå till normala brandväggsregler, NAT, routing, IPS, webb eller TLS undantag.

Vilken typ av bypass avses

Termen “bypass” förekommer flera gånger i Sophos-miljöer. Den här artikeln handlar uteslutande om bypass-stateful-firewall-config i Device Console.

  • Stateful Firewall Bypass: CLI-konfiguration som kringgår definierad värd- eller nätverkstrafik genom den normala tillståndsfulla brandväggsvägen.
  • DoS förbikopplingsregel: Undantag under Spoof Protection och DoS Inställningar för DoS kontroller, inte samma sak som förbikoppling av status för brandvägg.
  • IPS Bypass session: IPS regelåtgärd där en IPS träff behandlas annorlunda för sessionen.
  • FastPath/brandväggsacceleration: normal acceleration av betrodda flöden på apparater eller plattformar som stöds. Detta är inte en manuell tillståndsbestämd brandväggsförbikoppling och bör inte tolkas som en lösning för regelproblem.
  • LAN bypass / fail-to-wire: Hårdvarufunktion för vissa apparater eller moduler, inte en SFOS-regel.
  • Normalt brandväggsundantag: Brandvägg, NAT, webb, TLS, IPS eller anpassning av programkontroll i WebAdmin.

Denna åtskillnad är viktig eftersom åtgärderna har olika risker. Ett DoS-undantag eller en IPS-åtgärd är inte automatiskt ofarligt, men det är närmare relaterat till en funktion. En tillståndsfull brandväggsbypass kan å andra sidan kringgå synlighet och policyutvärdering mycket brett om källan eller målet väljs för stort.

Kontrollera bättre alternativ i förväg

Innan man sätter en bypass-regel bör det vara klart varför normala mekanismer inte är tillräckliga.

För regel- och logganalys hjälper Sophos Firewall testregel med Log Viewer och Packet Capture, Brandväggsregeln fungerar inte: kontrollera orsaker och Sophos Firewall regler att förstå och konfigurera korrekt.

Limits of use

En förbikopplingsregel bör endast ställas in om alla punkter är uppfyllda:

  • Källa och destination är specifika nätverk eller värdar, inte Any.
  • Riktning och returriktning förstås.
  • Det finns en biljett, en anledning och en ansvarig person.
  • Ett underhållsfönster eller testfönster definieras.
  • Vorher blev den bästa konfigurationsdokumentationen.
  • Ett återställningskommando är tillgängligt.
  • Efter testet görs en kontroll för att se om regeln har tagits bort igen.

En förbikopplingsregel är inte lämplig för permanent “snabbaktivering” mellan nätverk. Om en anslutning ska tillåtas permanent hör den hemma i en vanlig brandväggsregel med loggning och lämpliga säkerhetsfunktioner.

Du har det bättre med NAT-banor. The SNAT, DNAT, VPN-NAT or annan översättning krävs för flödet, kan en tillståndsbestämd brandväggsförbikoppling kringgå the faktiska NAT-beslutet eller korrumpera tested. I det här fallet måste du kontrollera NAT regel-ID, brandvägg regel-ID, Packet Capture och routing är tillgänglig för att helt enkelt kringgå tillståndssökvägen.

Anslutning till Device Console

Kommandona exekveras i Device Console i Sophos Firewall. För att göra detta, anslut till användaren admin via SSH och öppna Device Console i konsolmenyn.

SSH-åtkomst bör endast tillåtas från ett pålitligt administratörsnätverk. Förberedelsen är i Sophos Firewall anslut via SSH.

Innan du gör några ändringar bör du först visa och dokumentera den aktuella statusen.

show advanced-firewall
Sophos Firewall Visa förbikopplingsregler
Med visa avancerad brandvägg blir befintliga förbikopplingsregler synliga.

Välj rätt värd eller nätverk

Sophos tillåter bypass-poster för enskilda värdar eller nätverk. För felsökning är en enskild värd nästan alltid bättre än ett helt undernät eftersom det innebär att mindre trafik är osynlig.

  • Enkelkälla värd till destinationsvärd: dest_host <Ziel-IP> source_host <Quell-IP>
  • Källnätverk till destinationsvärd: dest_host <Ziel-IP> source_network <Netz-IP> source_netmask <Maske>
  • Källvärd till målnätverk: dest_network <Netz-IP> dest_netmask <Maske> source_host <Quell-IP>
  • Källnätverk till destinationsnätverk: dest_network <Netz-IP> dest_netmask <Maske> source_network <Netz-IP> source_netmask <Maske>

Breda nätverk som kompletta klient-, server- eller VPN-zoner är nästan aldrig en bra utgångspunkt. Det är bättre att ha ett tätt test med en källvärd, en destinationsvärd och en tydlig tjänst. Bara om testfallet verkligen berör flera värdar bör man tala om ett litet nätverk.

Riktningen är också viktig. Sophos beskriver att ingångar för båda riktningarna ofta är nödvändiga för fullständiga anslutningar. Men detta bör göras medvetet: inte automatiskt återskapa Any logik, utan förstå den specifika returvägen.

Sophos anger ingen praktisk gräns för antalet värdar eller nätverk för denna bypass-lista. Det är precis det som är riskabelt i affärer: många små poster är tekniskt möjliga, men de blir snabbt förvirrande. Om flera bypass-poster verkar nödvändiga är detta vanligtvis ett tecken på att själva routing-, NAT-, policy- eller applikationsproblemet ännu inte är klart förstått.

Definiera förändringsram före bypass

En förbikopplingsregel ska aldrig ställas in spontant medan felsökning pågår. Innan kommandot add exekveras bör det vara klart vilket individuellt test det är tänkt att besvara och hur ändringen kommer att ångras.

För att säkerställa ett rent underhålls- eller testfönster, notera dessa punkter:

  • Testfråga: Fungerar den definierade trafiken utan en tillståndsbestämd brandväggsväg?
  • Påverkat flöde: till exempel 192.168.33.0/24 till 192.168.46.0/24
  • Startläge: Utdata på show advanced-firewall före ändringen.
  • Planerad returrutt: lämpligt del-kommando för varje riktningsuppsättning.
  • Abortkriterier: oväntad trafik, ny störning eller felaktigt målområde.
  • Uppföljningskontroll: show advanced-firewall, Packet Capture och funktionstest utan bypass.

Uttagsordern är särskilt viktig. Den ska förberedas före sättning, inte sökas efter testet. Detta innebär att förändringen förblir kontrollerbar även om tryck uppstår under underhållsfönstret.

Exempel: Skapa en förbikopplingsregel

Exempel:

  • Källnätverk: 192.168.33.0/24
  • Målnätverk: 192.168.46.0/24
  • Källnätmask: 255.255.255.0
  • Målnätmask: 255.255.255.0

Regeln för den första riktningen:

set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0

En andra regel krävs för den omvända riktningen om trafiken från destinationsnätverket tillbaka till källnätverket också ska använda bypass.

set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0

Kontrollera sedan igen:

show advanced-firewall

Både klienten och slutservern testar data för leveransen:

set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.46.20 source_host 192.168.33.10

För motsatt riktning i enlighet därmed:

set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.33.10 source_host 192.168.46.20

Kontrollera effekten

Efter inställning ska du inte bara testa om applikationen fungerar. Det avgörande är om förbifarten verkligen bara påverkar den planerade trafiken.

Kontrollpunkter:

  1. show advanced-firewall visar exakt de förväntade nätverken.
  2. Det finns inga bredare nät än planerat.
  3. Riktning och retur är medvetet inställd.
  4. Testtrafik fungerar bara mellan de förväntade källorna och destinationerna.
  5. Oengagerade nätverk använder inte bypass.
  6. Normala brandväggsloggar för denna trafik förväntas inte längre som underlag för beslutsfattande.
  7. Packet Capture visar bara trafik under det schemalagda testet.
  8. Uttaget utfördes omedelbart efter testet.

Om Log Viewer och kontrollräknaren plötsligt inte längre visar några händelser, kan detta orsakas av förbikopplingen i sig. I detta tillstånd är Packet Capture mer användbar än Log Viewer.

Med asymmetrisk routing bör du också kontrollera om returvägen faktiskt går genom den förväntade brandväggen. En förbikoppling kan maskera symtom om grundorsaken är en felaktig standardgateway, en ofullständig rutt eller NAT på fel sida.

Om du misstänker prestanda eller avlastning bör du inte blanda ihop Bypass med FastPath. FastPath, brandväggsacceleration, PKI-acceleration och IPsec-acceleration är separata mekanismer. Beroende på trafik och plattform kan normal trafik accelereras utan att ställa in en förbikopplingsregel. Omvänt gör en bypass-regel inte en dålig design till en ren prestandaarkitektur.

Ta bort förbikopplingsregel

För att ta bort använd är samma kommando med del tillgängligt för add.

Ta bort första riktningen:

set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0

Ta bort omvänd riktning:

set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0

Kontrollera sedan igen:

show advanced-firewall

Utdata ska inte längre innehålla oväntade bypass-poster.

Efter testet, säkra det rent igen

En borttagen förbikopplingsregel löser inte automatiskt det ursprungliga problemet. Testet visar bara att den normala brandväggsvägen för den testade trafiken sannolikt var inblandad. Du bör sedan medvetet överföra orsaken till en stödd, synlig konfiguration.

Användbara följdfrågor:

  • Var en normal brandväggsregel för snäv eller på fel plats? Kontrollera regelordning, zoner, källa, destination, tjänst och användarmappning.
  • Blockerade IPS, Web Protection eller Application Control? Dokumentsignatur, kategori, policy eller riktat undantag.
  • Var TLS Inspection inblandad? Kontrollera TLS regel, certifikat, undantag och påverkad applikation.
  • Var det ett routing- eller NAT-problem? Jämför NAT Rule ID, returrutt, SD-WAN-rutt och Packet Capture.
  • Kommer trafiken att behövas permanent i framtiden? Skapa en normal brandväggsregel med loggning, ägare och granskningsdatum.

Efter uttag bör minst ett kontrolltest utan bypass utföras. Om trafiken bara fungerar med förbifart igen är ärendet ännu inte avslutat. Då behöver du en ren regel, policy, NAT eller inspektionsjustering som förblir synlig i Log Viewer och kan kontrolleras senare.

För permanenta ändringar bör du också dokumentera vilka säkerhetsfunktioner som medvetet lämnas aktiva och vilket undantag som verkligen är nödvändigt. En tillfällig förbikopplingsregel får inte i det tysta bli en del av den operativa arkitekturen.

Dokumentation

Varje förbikopplingsregel bör dokumenteras:

  • Datum och tid
  • Admin
  • anledning
  • Källnät och destinationsnätverk
  • påverkad applikation
  • planerad varaktighet
  • Testa bevis
  • Tid för borttagning
  • Uppföljningsuppgift om en ren regel eller undantag behöver skapas

Utan dokumentation kan kringgå regler lätt gå obemärkt förbi. Detta är särskilt farligt eftersom en normal titt på brandväggsregler eller Log Viewer inte räcker för att identifiera skyddsgapet.

Checklista

Före bypass:

  • Normal brandväggsregel, NAT, routing, IPS, webb, TLS Inspection och Application Control markerade.
  • Specifik testfråga definierad.
  • Källa, destination, riktning och retur dokumenteras. – Det finns minsta möjliga varianter, för vilka de olika alternativen finns för kollektivtrafiken.
  • Aktuell status sparad med show advanced-firewall.
  • del kommando förberett för varje planerad riktning.
  • Biljett, ägare, tidsfönster och demonteringstid bestäms.

Under testet:

  • Bypass endast aktiv under den planerade perioden.
  • Testtrafik dokumenterad med källa, destination, tjänst och tid.
  • Packet Capture eller målsystemlogg används som bevis.
  • Inga ytterligare nätverk eller applikationer påverkas oavsiktligt.

Efter testet:

  • Tog bort alla bypass-poster med del.
  • show advanced-firewall visar inga oväntade förbikopplingsregler.
  • Testet upprepas utan bypass eller efterföljande problem dokumenterat.
  • Permanent lösning planerad som en normal regel, policy, NAT, routing eller inspektionsjustering.
  • Biljett- och driftsdokumentation uppdaterad.

Typiska misstag

  • För breda nätverk som används: Mer trafik än planerat går förbi brandväggen.
  • Glömde omvänd riktning: Applikationen fungerar bara delvis eller asymmetriskt.
  • Regeln har inte tagits bort: En permanent skyddslucka skapas.
  • Ingen biljett eller kommentar: Det är senare oklart varför förbifarten finns.
  • Log Viewer förväntas som bevis: Trafiken ser inte ut som vanliga brandväggsbeslut.
  • Bypass används istället för att rikta ett undantag: Säkerhetsfunktioner är avstängda i onödan.
  • Ändra utan underhållsfönster: Fel har en omedelbar produktiv effekt.

Vanliga frågor

Är en Bypass-regel detsamma som en Tillåt-regel?

Nej. En normal tillåtsregel tillåter trafik inom brandväggsregeluppsättningen och kan tillämpa loggning, IPS, webbfiltrering, Application Control eller andra säkerhetsfunktioner. En förbikopplingsregel kringgår den normala brandväggssökvägen för de definierade nätverken.

Ser du förbipasserande trafik i Log Viewer?

Inte som vanlig brandväggstrafik. Det är just därför en bypass-regel inte bör användas som permanent frigivning. För testning är Packet Capture ofta en bättre kontroll.

Måste man gå åt båda hållen?

Om förbifarten ska fungera i båda riktningarna, ja. Men riktningen bör bestämmas medvetet. Inte varje undantag behöver automatiskt en bred ryggregel.

Ska du använda en bypass-regel för prestandaproblem?

Bara väldigt reserverad. Prestandaproblem bör först undersökas med Rule Analysis, IPS/Webfilter/TLS-Inspection-Tuning, Sizing, FastPath, Logs och Packet Capture. En bypass kan dölja ett problem utan att lösa orsaken.