Konfigurera Sophos Firewall korrekt efter installationsguiden
Efter installationsguiden kan en Sophos Firewall nås, registreras och i princip klar för drift. Det är dock ännu inte säkert att använda. Guiden gör uppstarten, inte den produktiva arkitekturen.
Artikeln sammanfattar de punkter som bör kontrolleras efter den första installationen: Internetåtkomst, registrering, licensstatus, firmware, backup, zoner, Device Access, DNS, DHCP, brandväggsregler, NAT, loggning och initiala härdningsåtgärder. Den är tänkt som en praktisk checklista för ny XGS-hårdvara, virtuella brandväggar och små migrationer.
Vid migrering från XG till XGS, från hårdvara till virtuell miljö eller vid restore till en ersättningsenhet bör även Sophos Firewall Backup skapa eller återställa och Sophos XG vs. XGS: skillnader, EOL och migrering kontrolleras.
Snabbväg efter första inloggningen
Om brandväggen precis kommer ut ur guiden är inte alla detaljer lika brådskande. De första 30 minuterna handlar om att inte tappa åtkomst, säkra situationen och identifiera de största operativa riskerna.
Denna ordning är vettig för de flesta nya installationer:
- Säker administratörsåtkomst: Dokumentlösenord, Secure Storage Master Key och andra administratörs- eller brytglasåtkomst.
- Kontrollera licens och registrering: Kontrollera under Administration > Licensing om modell, serienummer, baslicens och prenumerationer är korrekta.
- Skapa säkerhetskopia: Ladda ner en manuell säkerhetskopia och lagra den externt innan du gör några ytterligare ändringar.
- Kontrollera firmware och mönster: Kontrollera firmware-status, Hotfixes och mönsteruppdateringar, men installera bara uppdateringar med ett underhållsfönster och återställningsplan.
- Device Access Gräns: Tillåt inte att WebAdmin och SSH är brett tillgängliga från klient-, gäst-, IoT- eller WAN-zoner.
- Kontrollera zoner och gränssnitt för rimlighet: Kontrollera WAN, LAN, VLANs, bryggor, hanteringsnätverk och senare säkerhetszoner mot nätverksplanen.
- Utvärdera standardregler: Anta inte den första brandväggen och NAT-reglerna som en färdig säkerhetsdesign.
- Aktivera loggning: För viktiga regler, slå på Logga brandväggstrafik så att senare tester i Log Viewer kan spåras.
- Planacceptanstest: Släpp bara produktiv trafik efter en kort testplan, inte direkt efter guiden.
Endast när dessa punkter är rena bör produktiv trafik, fjärråtkomst, WAF, SD-WAN, RED eller TLS Inspection ställas in. Annars blir felsökningen onödigt svår senare eftersom det är oklart om ett problem kommer från grundkonfigurationen, en säkerhetsfunktion eller en applikation.
Ställ in vägar efter situation
Efter guiden förgrenas arbetet snabbt i flera områden. Dessa ingångspunkter är vettiga för nya brandväggar:
- Central anslutning: Om du vill ansluta brandväggen till Sophos Central eller förstå gränserna för Central, passar anslut Sophos Firewall till Sophos Central.
- Licensstatus: För baslicens, support och prenumerationer Sophos Firewall Understanding Base License hjälper.
- Säkerhetskopiera och återställa: Innan den första ändringen bör Sophos Firewall skapa eller återställa säkerhetskopia förberedas.
- Administratörsåtkomst: WebAdmin, SSH, User Portal eller VPN Portal förstärks via Sophos Firewall Säker åtkomst: konfigurera Device Access korrekt.
- Nätverksdesign: För zoner, gränssnitt, VLANs eller bryggor är Sophos Firewall Konfigurera zoner och gränssnitt den bättre starten.
- Första regler: För brandvägg och NAT grunderna, Förstå och korrekt konfigurera Sophos Firewall regler passar.
- DNS och DHCP: Intern namnupplösning är renare med konfigurera DNS Request Routes till Sophos Firewall.
- Rapportering: Aktivera central brandväggsrapportering hjälper till för loggar, rapporter och längre lagring.
- Hälsokontroll: Säkerhetsfynd enligt SFOS 22 kan prioriteras med Sophos Firewall Health Check korrekt.
- Uppgraderingsplanering: För firmwareuppdatering eller SFOS-22 uppgradering, passar Sophos Firewall före SFOS 22 kontrollera uppgradering.
Denna separation är viktig eftersom en framgångsrik guide inte betyder en färdig säkerhetsarkitektur. Innan produktiv trafik bör hanteringsåtkomst, säkerhetskopiering, licens, zoner, regler, loggning och skyddsfunktioner kontrolleras noggrant.
Förbered innan installation
Innan du startar guiden bör åtkomst, WAN-anslutning, hanteringsnätverk och licenskontext vara tydlig. Detta hindrar dig från att improvisera under installationen och att behöva korrigera oklara grundantaganden senare.
Krav för inställning
Innan du ställer in den bör det vara klart hur brandväggen kommer att integreras i nätverket. Många senare problem uppstår inte i själva guiden, utan eftersom WAN, LAN, DNS, hanteringsåtkomst eller licensdata är improviserade.
Ha klart innan du börjar:
- Brandväggsmodell, serienummer och planerad plats.
- WAN får åtkomst till data eller leverantörsinformation, till exempel DHCP, statisk IP, PPPoE, VLAN eller uppströms router.
- Internt målnätverk för den första LAN eller hanteringsåtkomsten.
- DNS servrar fungerar under installationen.
- Sophos Central Access eller en person som kan generera en OTP för registrering.
- Schemalagt administratörslösenord och lagringsplats i lösenordshanteraren.
- Bestäm om brandväggen ska sättas upp igen direkt eller återställas via backup.
Brandväggen myndigheter och fungerande internetförsörjningskoppling för registrering, licensiering, uppdateringar och central försörjningskoppling. Om en uppströmsenhet filtrerar utgående trafik måste åtminstone den nödvändiga HTTPS-attkomsten fungera. För komplexet av hävstångsinstallationer finns WAN-atcomst-planering såväl som för att gissa under guiden.
Anslutningar och nätverkskonfiguration
Beroende på modell skiljer sig portnamn och standardtilldelningar. Många hårdvaruenheter tillåter initial LAN-åtkomst via standardadressen, medan större modeller också kan ha en dedikerad hanteringsport.
Typiska första åtkomster:
- LAN port med
https://172.16.16.16:4444: Initial installation via det lokala installationsnätverket. - MGMT-port med
https://10.0.1.1:4444: dedikerad hanteringsåtkomst på modeller med MGMT-port. - Serial Console eller Local Access: Nödsituationer eller ombilder.
Den initiala installationsklienten bör anslutas direkt eller via ett kontrollerat installationsnätverk. Gamla DHCP-servrar, felaktiga VLANs eller en produktiv switchport med en oväntad portkonfiguration kan komplicera den initiala installationen i onödan.
För modeller med en dedikerad hanteringsport bör detta nätverk verkligen vara reserverat för administratörer. Icke-administrativa användare, vanliga klienter eller gästenheter hör inte hemma på samma hanteringsportundernät. Annars blir en praktisk initial åtkomst snabbt ett onödigt hanteringsområde.
Tillgång till webbgränssnittet
För att konfigurera, gå till WebAdmin-konsolen via en webbläsare. Beroende på gränssnittet används en av dessa adresser:
- LAN port:
https://172.16.16.16:4444 - Management Port:
https://10.0.1.1:4444
När den öppnas för första gången använder brandväggen ett lokalt signerat certifikat. Webbläsarvarningen är normal för närvarande, men bör inte ignoreras senare. Ett lämpligt certifikat bör planeras för produktiv WebAdmin-åtkomst, särskilt om flera administratörer, central ledning eller en hanterings-FQDN används.
Så länge standardanvändaren admin fortfarande används med standardlösenordet gäller ytterligare begränsningar. SSH från WAN-zonen avvisas inte normalt, men brandväggen stänger tyst anslutningen. WebAdmin från WAN-zonen visar ett förbjudet meddelande. SCP kan inte användas med standardåtkomstdata i zonerna LAN och WAN. Detta tillstånd ska förstås som en installationsfas, inte en driftsmodell.
Kör installationsguiden
Installationsguiden ställer in den grundläggande brandväggen. Denna fas handlar inte om den slutliga säkerhetsdesignen, utan snarare om att få brandväggen online, registrerad och hanterbar på ett kontrollerat sätt.
Initial installation med installationsguiden
Installationsguiden frågar efter grundläggande data och sätter brandväggen i ett startbart tillstånd. Dessa punkter bör ställas in medvetet:
- Acceptera Sophos slutanvändarvillkor.
- Starta installationen.
- Ställ in administratörslösenord och lagra det säkert.
- Ställ in brandväggsnamn och tidszon.
- Ange serienummer eller befintliga licensdata.
- Tillåt endast automatiska firmwareuppdateringar under installationen om internetåtkomst, tidsfönster och returväg är lämpliga.
- Skapa Secure Storage Master Key och dokumentera det i lösenordshanteraren.
- Utför registrering och licensjämförelse eller skjut upp det medvetet till senare.
Secure Storage Master Key är viktigt för skyddade data och återställningsscenarier. För nya installationer skapas den i Setup Assistant. Det hör inte hemma i en lokal textfil på admin-anteckningsboken, utan i ett kontrollerat lösenord eller återställningsprocedur. Om den tappas bort kan den tekniskt återställas, men befintliga skyddade säkerhetskopior eller data kan inte dekrypteras automatiskt.
Internetanslutning och DNS verifiering
Guiden kontrollerar om brandväggen når internet. Om kontrollen misslyckas, skriv inte bara “någon DNS”. En tydlig definition är bättre:
- Har WAN-gränssnittet en giltig IP-adress?
- Är standardgatewayen korrekt?
- Behövs PPPoE, VLAN eller statisk routing?
- Kan brandväggen lösa DNS?
- Blockeras utgående HTTPS-trafik av en uppströmsenhet?
- Är datum, tid och tidszon korrekta?
För produktionsmiljöer bör DNS inte slumpmässigt ställas in på offentliga resolvers när intern namnupplösning behövs. Efter den första installationen ska interna domäner vidarebefordras rent till interna DNS-servrar via DNS begärande rutter på Sophos Firewall.
Registrering av Sophos Firewall
Registrering kopplar brandväggen till Sophos License and Central-kontext. Du kan göra det direkt i guiden eller senare under drift. För produktiva brandväggar bör detta steg inte lämnas onödigt långt eftersom licensstatus, support, prenumerationer och centrala funktioner beror på det.
Sophos stöder flera sätt att registrera sig. OTP är särskilt användbart i partner- eller kundmiljöer eftersom inte alla administratörer behöver känna till Sophos Central Super Admin-uppgifter.
Typisk process:
- Ha brandväggens serienummer redo.
- Gör anspråk på brandväggen i Sophos Central eller få OTP genererad av en Sophos Central-administratör.
- Ange OTP i brandväggen.
- Slutför registreringen.
- Kontrollera sedan under Administration > Licensing om brandväggen är korrekt registrerad.
Viktigt: Sophos Central Brandväggshantering kräver en aktiv betalprenumeration eller ett lämpligt supportavtal. Den rena basbrandväggslicensen är inte tillräcklig för alla centrala hanteringsfunktioner. Dessutom måste brandväggen för central hantering ansluta till Internet via IPv4.
Aktivering av licenser
Efter registrering kontrollerar brandväggen dina licenser med Sophos licensserver. Om brandväggen har tillgång till Internet synkroniseras licensinformationen regelbundet. Dessutom kan du utlösa justeringen manuellt i konsolen WebAdmin.
Under Administration > Licensing bör du kontrollera:
- Är rätt modell registrerad med rätt serienummer?
- Är baslicensen aktiv?
- Syns support, Xstream-skydd, standardskydd eller enskilda prenumerationer korrekt?
- Är utgångsdatum rimliga?
- Tillämpades verkligen en ny licensnyckel eller lagrades den bara i portalen?
- Visar brandväggen efter
Synchronizesamma status som Sophos Central?
Utan lämplig licens fungerar många skyddsfunktioner inte eller bara i begränsad omfattning. Beroende på funktion gäller detta till exempel IPS, Web Protection, Zero-Day Protection, DNS Protection, Central Orchestration, Active Threat Response eller supporttjänster. Grunderna för support och moduler finns i Sophos Firewall Understanding OS Base License och Vilka Sophos Firewall-paket finns det?.
Anslutning till plattformen Sophos Central
Sophos Central är inte absolut nödvändigt för lokal drift av en enda Sophos Firewall. Brandväggen kan manövreras helt via WebAdmin. Sophos Central har dock fördelar om du medvetet använder dessa funktioner:
- central översikt över en eller flera brandväggar,
- Central brandväggshantering utan direkt WebAdmin publicering från Internet,
- centrala säkerhetskopior,
- Central brandväggsrapportering,
- Beroende på licensen, längre logglagring och ytterligare rapporteringsfunktioner,
- Security Heartbeat och Synchronized Application Control i Sophos endpoint-miljöer,
- Integration i andra Sophos Central-processer.
Det är viktigt att ha rätt förväntningar: Sophos Central ersätter inte lokal driftdokumentation eller en ren adminprocess. Alla som aktiverar Central Management bör medvetet definiera roller, MFA, åtkomst, backuplagring och rapporteringslagring.
Mer om detta finns i artikeln Ansluta Sophos Firewall med Sophos Central: Fördelar och begränsningar.
Färdigställande av anläggningen
När installationen är klar startar brandväggen om eller omdirigeras till inloggningsskärmen. Om en firmware-uppdatering utförs under guiden och anslutningen går sönder, bör du inte omedelbart anta att det finns en defekt: brandväggen kan starta om och komma tillbaka med den levererade firmwareversionen. Därefter ska du inte börja direkt med produktiv trafik, utan hellre kolla grundstatusen först.
Kontrollera direkt efter första inloggningen:
- Datum, tid och tidszon.
- Firmwareversion och mönsteruppdateringar.
- Licensstatus under Administration > Licensing.
- WAN status och internetåtkomst.
- Administratörslösenord och Secure Storage Master Key i lösenordshanteraren.
- Säkerhetskopieringskonfiguration.
- Tillgänglighet för WebAdmin-konsolen endast från önskade nätverk.
- Standardregler, NAT och DNS.
- Loggar först in i Loggvisaren.
Gör dig redo för produktion efter installationsguiden
Efter guiden börjar det riktiga arbetet: Brandväggen måste härdas, integreras i nätverksarkitekturen, dokumenteras och förberedas för felsökning. Dessa steg har större inflytande på senare drift än själva guiden.
Varför installationsguiden inte räcker
Guiden skapar en initial grundkonfiguration, men inte en färdig säkerhetsarkitektur. Gränssnitt, zoner, Device Access, DNS, DHCP, brandväggsregler, NAT, loggar, säkerhetskopior och skyddsprofiler måste kontrolleras medvetet.
En Sophos Firewall är inte en konsumentrouter där du är klar efter guiden. Om det planeras rätt kan det säkra ett nätverk mycket bra, men bara om arkitekturen är rätt: zoner måste matcha säkerhetslogiken, hanteringsåtkomst måste begränsas, regler ska skapas medvetet och dokumenteras och skyddsfunktioner som webbfilter, IPS, Application Control eller TLS Inspection måste aktiveras och testas specifikt. En felkonfigurerad brandvägg kan skapa en falsk känsla av säkerhet.
Först är det värt att ta en titt på Control Center. Där kan du se systemstatus, trafik, användar- och enhetsinformation, aktiva brandväggsregler, rapporter och information som ny firmware eller hälsokontroll. Varningar och anteckningar på detta område ska inte bara ignoreras utan snarare användas som en praktisk checklista för uppföljningsarbete.
Kontrollera firmware, licens och backup
Under Backup & firmware kan du kontrollera om den aktiva firmwaren är uppdaterad. Firmwareuppdateringar är säkerhetsrelevanta eftersom de inkluderar buggfixar, stabilitetsförbättringar och säkerhetsfixar. Uppdateringar bör inte skjutas upp permanent, men de bör inte heller installeras oförberedda.
Sophos Firewall fungerar med två fasta programplatser. Det betyder att om problem uppstår kan du starta tillbaka till en tidigare firmware. Ändå bör en manuell säkerhetskopia skapas innan några större ändringar. Med produktiva brandväggar planerar du ett underhållsfönster, kontrollerar Release-anteckningar, HA-status, ledigt lagringsutrymme, VPN-beroenden och extern tillgänglighet.
En vanlig säkerhetskopia bör också ställas in under Backup & firmware. Ett säkerhetskopieringslösenord krävs för krypterade säkerhetskopior. Secure Storage Master Key är också relevant för att återställa känslig data. Denna nyckel hör definitivt hemma i en lösenordshanterare. Om den tappas bort kan du återställa den via konsolen, men befintliga skyddade säkerhetskopior kan inte längre återställas normalt.
Kontrollera sedan under Administration > Licensiering om registrering, baslicens och bokade prenumerationer visas korrekt. För uppdateringsämnet hjälper artiklarna Sophos Firewall Firmware Update: Preparation and Best Practices och Updating the Firmware on the Sophos Firewall till. Säkerhetskopiering förklaras mer i detalj i artikeln Sophos Firewall Skapa eller återställ en säkerhetskopia.
Planera zoner och gränssnitt noggrant
Guiden kan kombinera flera LAN-portar till en brygga på hårdvaruapparater. Detta är användbart för en snabb start, men är inte alltid den bästa målarkitekturen. Under Network > Interfaces bör du kontrollera vilka portar, VLANs, bryggor eller LAGs som verkligen behövs.
Varje gränssnitt är tilldelat exakt en zon. Den här uppgiften avgör senare hur brandväggsregler, Device Access och skyddsprofiler gäller. Typiska produktiva zoner är till exempel LAN, Server, DMZ, Guest, VoIP, Management eller VPN. Inte varje VLAN behöver nödvändigtvis sin egen zon, men varje zon bör ha en tydlig säkerhetsinnebörd.
Du kan ta reda på mer om detta i artikeln Sophos Firewall Planera och konfigurera zoner och gränssnitt.
Säker Device Access
Ett vanligt misstag efter den första installationen är för mycket hanteringsåtkomst. Åtkomst till lokala brandväggstjänster, såsom WebAdmin, SSH, User Portal, VPN Portal, DNS eller Ping, kontrolleras inte via vanliga brandväggsregler. Administration > Device access ansvarar för detta.
⚠️ WebAdmin, SSH, User Portal och VPN Portal bör aldrig vara tillgänglig bara för att brandväggens regelbas ser “ren” ut. Dessa tjänster beror på Device Access och Local Service ACLs. Efter varje ändring bör du aktivt testa från vilka zoner och källnätverk som verkligen är möjlig.
För produktiva system bör HTTPS och SSH inte tillåtas i stor utsträckning från osäkra zoner. Om extern åtkomst är nödvändig bör du arbeta med en Local Service ACL-undantagsregel och begränsa åtkomsten till fasta IP-adresser eller definierade hanteringsnätverk. Alternativt är Sophos Central Brandväggshantering ofta den renare lösningen.
Mer information finns i artikeln Sophos Firewall Säkra åtkomst: Konfigurera Device Access korrekt.
Ställ in administratörskonton, MFA och reserv
Efter den första inloggningen ska du inte arbeta permanent med delad administratörsåtkomst. Engagerade administratörer, tydliga roller och dokumenterad akutåtkomst är bättre för vardagen. Detta gör det möjligt att senare se vem som gjort en ändring, och ett enstaka komprometterat lösenord ger dig inte automatiskt full tillgång till brandväggen.
Denna ordning är vettig för nya brandväggar:
- Testa minst en andra administrativ åtkomst innan MFA är allmänt aktiverad.
- Behandla den lokala standardanvändaren
adminsom ett break glass-konto och inte använda det som en dagsanvändare. - MFA är schemalagd att aktivera WebAdmin, VPN portal och fjärråtkomst.
- Dokumentera roller och ansvar, särskilt om Sophos Central brandväggshantering används.
- Ställ in tokenåterställningar, lösenordslagring och åtkomst utanför kontorstid.
MFA minskar risken för stulen åtkomstdata, men ersätter inte åtkomstbegränsningar. Därför hör MFA för Sophos Firewall WebAdmin, VPN Portal och fjärråtkomst och Device Access ihop. Om flera personer arbetar via Sophos Central ska Sophos Central administrationsrollerna också kontrolleras.
Kontrollera DNS, DHCP och intern namnupplösning
Network > DNS bestämmer hur brandväggen tar emot DNS servrar: via DHCP, via PPPoE information från leverantören eller statiskt. För interna domäner bör du använda DNS request routes så att förfrågningar om interna zoner går till rätt interna DNS server.
För nya installationer bör DNS testas med riktiga interna och externa namn. Ett test med enbart google.com räcker inte om Active Directory, filservrar, skrivare, hanteringssystem eller interna applikationer används senare. Det som är särskilt viktigt är om klienterna får rätt DNS-servrar och om brandväggen inte oavsiktligt vidarebefordrar interna domäner till offentliga resolvers.
Praktisk DNS tentamen:
- Brandväggen löser externa namn: Registrering, licensjämförelse, uppdateringar och centralt anslutningsarbete.
- Klienten löser externa namn: DHCP, DNS server- och brandväggsregelmatchning.
- Klient löser interna namn: Intern DNS eller DNS begäran rutt fungerar.
- VPN eller VLAN klient löser interna namn: DNS server, sökdomän och zonregel passar också utanför den första LAN.
DHCP ställs in under Network > DHCP per gränssnitt. Det är viktigt att anpassa DHCP-områdena rent till gränssnittet och VLAN-strukturen. DHCP-servern bör inte tilldela adresser som redan används statiskt för servrar, switchar, åtkomstpunkter, skrivare eller hanteringsenheter. Dessutom bör gateway, DNS-server, domännamn och leasingtid ställas in medvetet så att klienter inte bara får någon IP-adress efter den första anslutningen, utan faktiskt fungerar i det avsedda nätverket.
Om DHCP ska vidarebefordras över VPN-rutter kan brandväggen också fungera som ett DHCP-relä. För DHCP specialalternativ finns det Sophos Firewall DHCP Konfigurera alternativ.
Kontrollera den ursprungliga brandväggen och NAT-reglerna
Standardregeln för utgående överföring som skapats av guiden bör inte antas blint. Under Rules and policies > Firewall rules bör du kontrollera vilka källzoner som är tillåtna, vilka destinationer som ska vara tillgängliga och vilka säkerhetsfunktioner som är aktiva. Regler bearbetas uppifrån och ned; den första matchningsregeln vinner.
Till att börja med bör det finnas minst en avsiktligt namngiven klient-till-internet-regel. Den här regeln bör inte bara tillåta Any till Any, utan bör tydligt visa källzon, källnätverk, destinationer, tjänster, loggning och säkerhetsfunktioner. Om regeln senare utökas bör det förbli klart om den är avsedd för vanliga klienter, servrar, gäster, IoT eller hanteringsenheter.
En första regelkontroll kan se ut så här:
- Anslut testklienten i den angivna zonen.
- Kontrollera IP-adress, gateway och DNS på klienten.
- Skapa ett externt HTTPS-anrop.
- Sök efter käll-IP, destination, tjänst och Rule ID i Loggvisaren.
- Kontrollera om den förväntade brandväggsregeln och NAT-regeln uppfylldes.
- Genomföra ett avsiktligt otillåtet test, till exempel från en gäst- eller ledningszon.
- Dokumentera vilken regel som förblir produktiv och vilken guide eller testregel som tas bort.
Följande gäller för NAT: NAT tillåter ingen trafik på egen hand. En lämplig brandväggsregel krävs alltid. För vanliga klienter på Internet är en käll-NAT-regel med MASQ vanligtvis relevant. För publicerade servrar behöver du dock DNAT plus lämplig brandväggsregel, loggning och ett externt test utanför din egen LAN. För nya konfigurationer är fristående NAT-regler vanligtvis tydligare än länkade NAT-regler. Grunderna finns i Förstå och korrekt konfigurera Sophos Firewall-regler och Förstå NAT på Sophos Firewall: SNAT, DNAT, MASQ, PAT. If an internal server is to be published, the article Publish server via DNAT to Sophos Firewall is appropriate.
Aktivera medvetet skyddsfunktioner
En brandväggsregel är inte automatiskt en fullständig skyddsregel. Beroende på licens och mål bör IPS, Web Protection, Application Control, skanning av skadlig programvara, TLS Inspection, Zero-Day Protection eller Threat Feeds medvetet aktiveras, testas och dokumenteras.
Praktisk ordning:
- Skapa rena zoner och regler.
- Aktivera loggning för viktiga regler.
- Aktivera IPS och Web Protection där de passar tekniskt.
- Lägg till Application Control för riskabla eller oönskade applikationer.
- Inför bara TLS Inspection som planerat, med testgrupp, CA distribution och undantag.
- Aktivera endast Threat Feeds, NDR eller Active Threat Response när övervakningen och den falska positiva processen har klarlagts.
För det bredare härdande sammanhanget passar Sophos Firewall Best Practices: Network, Rules and Security. För Zero-Day Protection finns Sophos Firewall förstå och använda Zero-Day Protection, för TLS Inspection finns det Sophos Firewall introducera TLS Inspection.
Förbered loggning och felsökning
Loggbrandväggstrafik bör aktiveras i viktiga brandväggsregler, annars saknas ofta den exakta informationen du behöver för felsökning senare. Många människor är inte medvetna om detta: Om en brandväggsregel inte loggar, verkar lämplig trafik inte meningsfull i Log Viewer. Du kan då se andra systemhändelser, men inte det specifika regelbeslutet som du faktiskt letar efter.
Under System services > Log settings kan du definiera vilka loggtyper som skickas lokalt, till syslog-servrar eller till Sophos Central. Brandväggen har lokala loggfiler och en intern rapportdatabas, men dessa är inte tänkta som ett långtidsarkiv på veckor, månader eller år. Om loggar ska lagras permanent eller genomsökas centralt krävs antingen en extern syslog-server eller Sophos Central brandväggsrapportering.
Följande gäller i grova drag för Sophos Central: Med en aktiv brandväggsprenumeration är centrala brandväggsrapporter tillgängliga under en begränsad tidsperiod. Längre utvärderingar är möjliga med Xstream Protection eller Central Orchestration. Med Sophos Central Firewall Reporting Advanced får du ytterligare lagringsutrymme och betydligt längre lagring. Detaljerna beskrivs i Aktivera central brandväggsrapportering.
För inledande analyser räcker det vanligtvis med Loggvisare, Policytestare och Packet capture. För djupare analys kan du även säkerhetskopiera CLI-loggar, aktivera felsökningsloggar eller använda tcpdump. Felsökningsloggar bör endast aktiveras specifikt och under en begränsad tidsperiod eftersom de genererar betydligt mer data. Testa brandväggsregler med Log Viewer, Policy Test och Packet Capture visar hur man testar regler. För Packet Capture, tjänstnamn och loggfiler finns artiklarna Packet Capture Använd verktyg i WebAdmin och Sophos Firewall Felsökning: tjänster och loggar. Om du vill samla in loggar för support eller extern analys, hjälper Sophos Firewall Spara loggar för extern analys.
Acceptanstest före produktiv trafik
Innan du går live bör du inte bara kontrollera om “Internet fungerar”. Ett litet, dokumenterat acceptanstest förhindrar många senare supportärenden.
Användbara tester:
- Administratörsinloggning från hanteringsnätverk: WebAdmin är tillgänglig, men inte öppen från oönskade zoner.
- Administratörsinloggning från klient, gäst eller WAN-zon: Åtkomst blockeras om inget medvetet hanteringsnätverk tillhandahålls där.
- Andra Admin eller Break Glass Access: Åtkomst är fortfarande möjlig om MFA, SSO eller ett användarkonto misslyckas.
- Klient från LAN till Internet: Brandväggsregel, NAT, DNS och säkerhetspolicy fungerar som förväntat.
- Internt DNS namn: DNS begäran rutter eller interna resolvers fungerar.
- Blockerad testtrafik: Log Viewer visar lämplig regel eller förväntat fall.
- Nedladdning och lagring av säkerhetskopiering: Säkerhetskopiering skapas inte bara utan kan också upptäckas.
- Central eller Syslog-destination: Loggar och rapporter kommer utanför brandväggen, om det är schemalagt.
Testet bör kortfattat dokumenteras: datum, firmwareversion, plats, käll-IP testad, mål, förväntat resultat och utestående problem. Detta verkar ospektakulärt, men sparar tid när en VPN, en NAT regel eller ett DNS problem behöver undersökas dagar senare.
Checklista efter första installationen
Kontrollera omedelbart
- Administratörslösenord och Secure Storage Master Key lagras säkert.
- Brandvägg registrerad och licensstatus kontrollerad.
- Firmware-status och mönsteruppdateringar kontrollerade.
- Manuell säkerhetskopia skapad och lagrad externt.
- WebAdmin och SSH kan endast nås från önskade nätverk.
- WebAdmin och SSH från oönskade zoner testades aktivt negativt.
- Andra administratörsåtkomst och krossglaskoncept testades.
- WAN, DNS och tidszon kontrollerade.
- Standardbrandväggsregeln har utvärderats medvetet.
Kolla under de första dagarna
- Zoner, VLANs, broar och LAGs är snyggt planerade.
- DNS begär rutter och DHCP kontrollerade områden.
- Brandväggsregler och NAT regler dokumenterade.
- Inloggning på viktiga regler aktiverad.
- Central säkerhetskopiering eller lokal säkerhetskopiering konfigureras.
- Central Reporting, syslog eller annan loggdestination bestämd.
- De första reglerna validerade med Log Viewer, Policy Test och Packet Capture.
Kontrollera innan produktiv drift eller sätts i drift
- Hanteringens åtkomst hårdnade.
- MFA och administratörsroller kontrollerade.
- IPS, Web Protection, Application Control och andra skyddsfunktioner aktiverade medvetet.
- TLS Inspection endast planerad med test- och undantagsprocess.
- Fjärråtkomst, IPsec, WAF, RED eller SD-WAN testade separat om de används.
- Återställning och supportsökväg dokumenteras.
Typiska misstag
- Guidens konfiguration används direkt produktivt: Regler som är för breda, felaktiga zoner eller öppna hanteringstjänster kvarstår. Efter guiden ska du fylla i din egen operativa checklista.
- Secure Storage Master Key inte dokumenterad: Återställning eller migrering blir onödigt svårt. SSMK bör lagras i lösenordshanteraren omedelbart.
- WebAdmin tillgänglig från WAN eller klientnätverk: Bots, brute force och onödiga attackytor blir mer sannolika. Device Access och Local Service ACL Exception Rules bör ställas in noggrant.
- MFA aktiverad utan reserv: Administratörer kan låsa sig ute i händelse av token-, tids- eller gruppproblem. Testa den andra administratören, bryt glasåtkomst och tokenprocess i förväg.
- Glömde inloggningsregler: Senare felsökning kommer att vara blind.
Log firewall trafficbör vara aktiv för viktiga regler. - DNS löses endast med offentlig resolver: Interna namn fungerar inte tillförlitligt. Planera interna DNS servrar och DNS begäran rutter.
- NAT förväntas utan en lämplig brandväggsregel: Servrar eller tjänster kan inte nås trots NAT. Kontrollera alltid NAT och brandväggsregeln tillsammans.
- Firmware-uppdatering installerad utan backup: Det finns ingen väg tillbaka om problem uppstår. Före uppdateringar, kontrollera säkerhetskopiering, Release-anteckningar och underhållsfönster.
FAQ
Är Sophos Firewall säkert konfigurerad efter installationsguiden?
Måste du använda Sophos Central för en Sophos Firewall?
Vilken adress använder du för att först komma åt Sophos Firewall?
https://172.16.16.16:4444. För modeller med en dedikerad hanteringsport kan https://10.0.1.1:4444 också vara relevant. Det exakta beteendet beror på modell och anslutning.