Sophos Firewall Använd förbikopplingsregeln på ett säkert sätt
En bypass-regel på Sophos Firewall är inte ett normalt tillåtet objekt och är inte en ersättning för en ren brandväggsregel. Den definierade trafiken förbigår alltså den normala tillståndsbestämda brandväggsvägen. Detta kringgår också många funktioner som du medvetet förlitar dig på i vardagen: brandväggsregler, Log Viewer, IPS, webbfilter, Application Control, skanning av skadlig programvara eller andra säkerhetsfunktioner.
Bypass-regler är därför endast användbara för snävt definierade specialfall, till exempel för kortsiktig felsökning med vägledning, för ett mycket specifikt kompatibilitetsundantag eller för en tydligt dokumenterad lösning. För normala utgåvor, prestandaproblem eller falska positiva resultat bör du först kontrollera specifika regler, undantag eller policyer.
⚠️ En förbikopplingsregel minskar kraftigt brandväggens synlighet och skyddande effekt. Bypass-regler bör alltid definieras snävt, dokumenteras, testas och tas bort efter färdigställandet.
Typiska verkliga tillfällen är specialfall med asymmetrisk routing, ovanligt protokollbeteende eller en kortsiktig leverantörsanalys. När orsaken är klar bör lösningen återgå till normala brandväggsregler, NAT, routing, IPS, webb eller TLS undantag.
Vilken typ av bypass avses
Termen “bypass” förekommer flera gånger i Sophos-miljöer. Den här artikeln handlar uteslutande om bypass-stateful-firewall-config i Device Console.
- Stateful Firewall Bypass: CLI-konfiguration som kringgår definierad värd- eller nätverkstrafik genom den normala tillståndsfulla brandväggsvägen.
- DoS förbikopplingsregel: Undantag under Spoof Protection och DoS Inställningar för DoS kontroller, inte samma sak som förbikoppling av status för brandvägg.
- IPS
Bypass session: IPS regelåtgärd där en IPS träff behandlas annorlunda för sessionen. - FastPath/brandväggsacceleration: normal acceleration av betrodda flöden på apparater eller plattformar som stöds. Detta är inte en manuell tillståndsbestämd brandväggsförbikoppling och bör inte tolkas som en lösning för regelproblem.
- LAN bypass / fail-to-wire: Hårdvarufunktion för vissa apparater eller moduler, inte en SFOS-regel.
- Normalt brandväggsundantag: Brandvägg, NAT, webb, TLS, IPS eller anpassning av programkontroll i WebAdmin.
Denna åtskillnad är viktig eftersom åtgärderna har olika risker. Ett DoS-undantag eller en IPS-åtgärd är inte automatiskt ofarligt, men det är närmare relaterat till en funktion. En tillståndsfull brandväggsbypass kan å andra sidan kringgå synlighet och policyutvärdering mycket brett om källan eller målet väljs för stort.
Kontrollera bättre alternativ i förväg
Innan man sätter en bypass-regel bör det vara klart varför normala mekanismer inte är tillräckliga.
- Brandväggsregeln matchar inte: Kontrollera regelordning, källa/destination, tjänster och loggar.
- IPS blockerar en applikation: Kontrollera IPS-policy, signatur, undantag eller falsk positiv analys.
- TLS Inspection stör en app: Välj SSL/TLS Inspection-regel eller TLS-uteslutning.
- Webbfilter blockerar en URL: Kontrollera webbpolicy, kategori, URL-grupp eller webbundantag.
- Application Control är felaktig: Kontrollera programkontrollpolicy och upptäckt program.
- NAT eller rutt fungerar felaktigt: Kontrollera NAT regler, returväg, SD-WAN och Packet Capture.
För regel- och logganalys hjälper Sophos Firewall testregel med Log Viewer och Packet Capture, Brandväggsregeln fungerar inte: kontrollera orsaker och Sophos Firewall regler att förstå och konfigurera korrekt.
Limits of use
En förbikopplingsregel bör endast ställas in om alla punkter är uppfyllda:
- Källa och destination är specifika nätverk eller värdar, inte
Any. - Riktning och returriktning förstås.
- Det finns en biljett, en anledning och en ansvarig person.
- Ett underhållsfönster eller testfönster definieras.
- Vorher blev den bästa konfigurationsdokumentationen.
- Ett återställningskommando är tillgängligt.
- Efter testet görs en kontroll för att se om regeln har tagits bort igen.
En förbikopplingsregel är inte lämplig för permanent “snabbaktivering” mellan nätverk. Om en anslutning ska tillåtas permanent hör den hemma i en vanlig brandväggsregel med loggning och lämpliga säkerhetsfunktioner.
Du har det bättre med NAT-banor. The SNAT, DNAT, VPN-NAT or annan översättning krävs för flödet, kan en tillståndsbestämd brandväggsförbikoppling kringgå the faktiska NAT-beslutet eller korrumpera tested. I det här fallet måste du kontrollera NAT regel-ID, brandvägg regel-ID, Packet Capture och routing är tillgänglig för att helt enkelt kringgå tillståndssökvägen.
Anslutning till Device Console
Kommandona exekveras i Device Console i Sophos Firewall. För att göra detta, anslut till användaren admin via SSH och öppna Device Console i konsolmenyn.
SSH-åtkomst bör endast tillåtas från ett pålitligt administratörsnätverk. Förberedelsen är i Sophos Firewall anslut via SSH.
Innan du gör några ändringar bör du först visa och dokumentera den aktuella statusen.
show advanced-firewall

Välj rätt värd eller nätverk
Sophos tillåter bypass-poster för enskilda värdar eller nätverk. För felsökning är en enskild värd nästan alltid bättre än ett helt undernät eftersom det innebär att mindre trafik är osynlig.
- Enkelkälla värd till destinationsvärd:
dest_host <Ziel-IP> source_host <Quell-IP> - Källnätverk till destinationsvärd:
dest_host <Ziel-IP> source_network <Netz-IP> source_netmask <Maske> - Källvärd till målnätverk:
dest_network <Netz-IP> dest_netmask <Maske> source_host <Quell-IP> - Källnätverk till destinationsnätverk:
dest_network <Netz-IP> dest_netmask <Maske> source_network <Netz-IP> source_netmask <Maske>
Breda nätverk som kompletta klient-, server- eller VPN-zoner är nästan aldrig en bra utgångspunkt. Det är bättre att ha ett tätt test med en källvärd, en destinationsvärd och en tydlig tjänst. Bara om testfallet verkligen berör flera värdar bör man tala om ett litet nätverk.
Riktningen är också viktig. Sophos beskriver att ingångar för båda riktningarna ofta är nödvändiga för fullständiga anslutningar. Men detta bör göras medvetet: inte automatiskt återskapa Any logik, utan förstå den specifika returvägen.
Sophos anger ingen praktisk gräns för antalet värdar eller nätverk för denna bypass-lista. Det är precis det som är riskabelt i affärer: många små poster är tekniskt möjliga, men de blir snabbt förvirrande. Om flera bypass-poster verkar nödvändiga är detta vanligtvis ett tecken på att själva routing-, NAT-, policy- eller applikationsproblemet ännu inte är klart förstått.
Definiera förändringsram före bypass
En förbikopplingsregel ska aldrig ställas in spontant medan felsökning pågår. Innan kommandot add exekveras bör det vara klart vilket individuellt test det är tänkt att besvara och hur ändringen kommer att ångras.
För att säkerställa ett rent underhålls- eller testfönster, notera dessa punkter:
- Testfråga: Fungerar den definierade trafiken utan en tillståndsbestämd brandväggsväg?
- Påverkat flöde: till exempel
192.168.33.0/24till192.168.46.0/24 - Startläge: Utdata på
show advanced-firewallföre ändringen. - Planerad returrutt: lämpligt
del-kommando för varje riktningsuppsättning. - Abortkriterier: oväntad trafik, ny störning eller felaktigt målområde.
- Uppföljningskontroll:
show advanced-firewall, Packet Capture och funktionstest utan bypass.
Uttagsordern är särskilt viktig. Den ska förberedas före sättning, inte sökas efter testet. Detta innebär att förändringen förblir kontrollerbar även om tryck uppstår under underhållsfönstret.
Exempel: Skapa en förbikopplingsregel
Exempel:
- Källnätverk:
192.168.33.0/24 - Målnätverk:
192.168.46.0/24 - Källnätmask:
255.255.255.0 - Målnätmask:
255.255.255.0
Regeln för den första riktningen:
set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0
En andra regel krävs för den omvända riktningen om trafiken från destinationsnätverket tillbaka till källnätverket också ska använda bypass.
set advanced-firewall bypass-stateful-firewall-config add dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0
Kontrollera sedan igen:
show advanced-firewall
Både klienten och slutservern testar data för leveransen:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.46.20 source_host 192.168.33.10
För motsatt riktning i enlighet därmed:
set advanced-firewall bypass-stateful-firewall-config add dest_host 192.168.33.10 source_host 192.168.46.20
Kontrollera effekten
Efter inställning ska du inte bara testa om applikationen fungerar. Det avgörande är om förbifarten verkligen bara påverkar den planerade trafiken.
Kontrollpunkter:
show advanced-firewallvisar exakt de förväntade nätverken.- Det finns inga bredare nät än planerat.
- Riktning och retur är medvetet inställd.
- Testtrafik fungerar bara mellan de förväntade källorna och destinationerna.
- Oengagerade nätverk använder inte bypass.
- Normala brandväggsloggar för denna trafik förväntas inte längre som underlag för beslutsfattande.
- Packet Capture visar bara trafik under det schemalagda testet.
- Uttaget utfördes omedelbart efter testet.
Om Log Viewer och kontrollräknaren plötsligt inte längre visar några händelser, kan detta orsakas av förbikopplingen i sig. I detta tillstånd är Packet Capture mer användbar än Log Viewer.
Med asymmetrisk routing bör du också kontrollera om returvägen faktiskt går genom den förväntade brandväggen. En förbikoppling kan maskera symtom om grundorsaken är en felaktig standardgateway, en ofullständig rutt eller NAT på fel sida.
Om du misstänker prestanda eller avlastning bör du inte blanda ihop Bypass med FastPath. FastPath, brandväggsacceleration, PKI-acceleration och IPsec-acceleration är separata mekanismer. Beroende på trafik och plattform kan normal trafik accelereras utan att ställa in en förbikopplingsregel. Omvänt gör en bypass-regel inte en dålig design till en ren prestandaarkitektur.
Ta bort förbikopplingsregel
För att ta bort använd är samma kommando med del tillgängligt för add.
Ta bort första riktningen:
set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.46.0 dest_netmask 255.255.255.0 source_network 192.168.33.0 source_netmask 255.255.255.0
Ta bort omvänd riktning:
set advanced-firewall bypass-stateful-firewall-config del dest_network 192.168.33.0 dest_netmask 255.255.255.0 source_network 192.168.46.0 source_netmask 255.255.255.0
Kontrollera sedan igen:
show advanced-firewall
Utdata ska inte längre innehålla oväntade bypass-poster.
Efter testet, säkra det rent igen
En borttagen förbikopplingsregel löser inte automatiskt det ursprungliga problemet. Testet visar bara att den normala brandväggsvägen för den testade trafiken sannolikt var inblandad. Du bör sedan medvetet överföra orsaken till en stödd, synlig konfiguration.
Användbara följdfrågor:
- Var en normal brandväggsregel för snäv eller på fel plats? Kontrollera regelordning, zoner, källa, destination, tjänst och användarmappning.
- Blockerade IPS, Web Protection eller Application Control? Dokumentsignatur, kategori, policy eller riktat undantag.
- Var TLS Inspection inblandad? Kontrollera TLS regel, certifikat, undantag och påverkad applikation.
- Var det ett routing- eller NAT-problem? Jämför NAT Rule ID, returrutt, SD-WAN-rutt och Packet Capture.
- Kommer trafiken att behövas permanent i framtiden? Skapa en normal brandväggsregel med loggning, ägare och granskningsdatum.
Efter uttag bör minst ett kontrolltest utan bypass utföras. Om trafiken bara fungerar med förbifart igen är ärendet ännu inte avslutat. Då behöver du en ren regel, policy, NAT eller inspektionsjustering som förblir synlig i Log Viewer och kan kontrolleras senare.
För permanenta ändringar bör du också dokumentera vilka säkerhetsfunktioner som medvetet lämnas aktiva och vilket undantag som verkligen är nödvändigt. En tillfällig förbikopplingsregel får inte i det tysta bli en del av den operativa arkitekturen.
Dokumentation
Varje förbikopplingsregel bör dokumenteras:
- Datum och tid
- Admin
- anledning
- Källnät och destinationsnätverk
- påverkad applikation
- planerad varaktighet
- Testa bevis
- Tid för borttagning
- Uppföljningsuppgift om en ren regel eller undantag behöver skapas
Utan dokumentation kan kringgå regler lätt gå obemärkt förbi. Detta är särskilt farligt eftersom en normal titt på brandväggsregler eller Log Viewer inte räcker för att identifiera skyddsgapet.
Checklista
Före bypass:
- Normal brandväggsregel, NAT, routing, IPS, webb, TLS Inspection och Application Control markerade.
- Specifik testfråga definierad.
- Källa, destination, riktning och retur dokumenteras. – Det finns minsta möjliga varianter, för vilka de olika alternativen finns för kollektivtrafiken.
- Aktuell status sparad med
show advanced-firewall. delkommando förberett för varje planerad riktning.- Biljett, ägare, tidsfönster och demonteringstid bestäms.
Under testet:
- Bypass endast aktiv under den planerade perioden.
- Testtrafik dokumenterad med källa, destination, tjänst och tid.
- Packet Capture eller målsystemlogg används som bevis.
- Inga ytterligare nätverk eller applikationer påverkas oavsiktligt.
Efter testet:
- Tog bort alla bypass-poster med
del. show advanced-firewallvisar inga oväntade förbikopplingsregler.- Testet upprepas utan bypass eller efterföljande problem dokumenterat.
- Permanent lösning planerad som en normal regel, policy, NAT, routing eller inspektionsjustering.
- Biljett- och driftsdokumentation uppdaterad.
Typiska misstag
- För breda nätverk som används: Mer trafik än planerat går förbi brandväggen.
- Glömde omvänd riktning: Applikationen fungerar bara delvis eller asymmetriskt.
- Regeln har inte tagits bort: En permanent skyddslucka skapas.
- Ingen biljett eller kommentar: Det är senare oklart varför förbifarten finns.
- Log Viewer förväntas som bevis: Trafiken ser inte ut som vanliga brandväggsbeslut.
- Bypass används istället för att rikta ett undantag: Säkerhetsfunktioner är avstängda i onödan.
- Ändra utan underhållsfönster: Fel har en omedelbar produktiv effekt.